Académique Documents
Professionnel Documents
Culture Documents
Maintenance des SI
TP Fil Rouge
1ère partie
1
Problème
1. Contexte
Notre équipe informatique a été convoquée par le PDG de l’entreprise pour un entretien stratégique
important : Etablir un Plan de Continuité (PCA) et un Plan de Reprise d’Activités du Système
Informatique de l’Entreprise.
N’étant pas technicien, mais un financier, il n’a aucune idée de ce qui est important à protéger en
termes de Sûreté de Fonctionnement. Il nous demande donc de lui fournir pour le 15 décembre 2022,
au plus tard une étude complète de la « Solution » que nous pouvons lui proposer ainsi qu’une
estimation budgétaire des moyens à mettre en œuvre.
A ous de nous débrouiller pour obtenir cela dans les limites du « raisonnable budgétaire ».
Présentation du contexte
Née en décembre 2010, la société NEWCO est une entreprise spécialisée dans l’inNEWCOation de
startups partageant les mêmes valeurs de solidarité et de développement durable. Au travers de sa
plate-forme web, NEWCO permet à des professionnels d’accéder à des espaces de travail dédiés :
salles de réunion, de formation ou de séminaire.
Le concept novateur de NEWCO repose sur une démarche collaborative de type « BtoB », en effet
NEWCO propose aux entreprises qui disposent d'espaces inoccupés de les louer à l'heure ou à la
journée.
Armand Zaks, Michèle Ribez et Quentin Reynaud, les trois fondateurs, sont partis d’un double
constat :
• en France, plus de 100 000 personnes travaillent ou ont déjà travaillé en espace de coworking.
La France se classe au 6ᵉ rang mondial pour ce qui est du nombre d’espaces, et la pratique du
coworking devrait continuer à progresser.
Forte d’une croissance très rapide, NEWCO fait une levée de fonds de 1,2 millions d’euros en 2016 et
développe son activité pour atteindre sa dimension actuelle d’inNEWCOateur.
À la différence d’une pépinière d’entreprises classique, NEWCO s'adresse à des sociétés très jeunes,
ou encore en création, pour leur apporter un appui lors des premières étapes de la vie de l'entreprise.
Outre un parc de près de 200 m² mis à disposition des jeunes entrepreneurs, l’inNEWCOateur offre
des services logistiques et d’infrastructures mutualisés, un accompagnement professionnel de conseil
et de financement personnalisé aux porteurs de projets liés au digital, aux applications mobiles et au e-
commerce.
2
Chaque agence disposera d’une adresse IPv4 publique propre et nominative. Pour cela, l’entreprise
NEWCO a demandé auprès du RIPE NCC l’obtention d’un numéro d’AS et d’un préfixe IPv4 :
192.36.253.0/24. Elle est donc considérée comme un LIR (Local Internet Registry).
NEWCO met à disposition de ses clients un ensemble de solutions techniques d’accès dans un millier
de salles de réunion situées dans une quarantaine de villes différentes. Les ressources et outils du
Web 2.0 qui permettent aux entreprises de gérer leurs contenus et leurs connaissances de manière
sécurisée sont accessibles indépendamment via des prestataires de type informatique dans les
nuages (cloud computing) : partage de fichiers, gestion de projet, réseau social d’entreprise, wiki
d’entreprise, etc.
Le siège social de NEWCO est situé à Paris, des agences sont implantées dans plusieurs grandes
villes internationales : Anvers, Barcelone, Hong-Kong, Los Angeles et en Corse.
La direction des systèmes d’information (DSI), située à Paris, participe étroitement aux choix
stratégiques de NEWCO, elle a pour mission de définir et mettre en œuvre la politique informatique en
accord avec la stratégie générale et ses objectifs de performance.
Le siège social est le cœur du système d’information interne de NEWCO, mais un service informatique
de proximité (SIP) est présent sur chaque agence. Le SIP est responsable de l’assistance aux
utilisateurs locaux et de la maintenance des ressources locales (infrastructure réseau et serveurs). Le
SIP prend également en charge des projets qui concernent ponctuellement leur site.
Le malware Emotet est un cheval de Troie qui se diffuse par mail (capacité à récupérer des listes de
contacts et envoi de mail d’hameçonnage avancé) et par des failles de sécurité liées au protocole de
partage de fichiers SMB de Microsoft. Il permet de récupérer des mots de passe, des listes de contact.
Il sert actuellement à installer d’autres outils malveillants spécialisés dans la récupération
d’informations bancaires.
Emotet a touché un nombre important d’entreprises françaises en 2020 ce qui a conduit l’Agence
nationale de la sécurité des systèmes d'information (ANSSI) à publier un bulletin d’alerte1. Ainsi, le
service RSSI de l’entreprise NEWCO envisage le remplacement des pare-feu stateful vieillisants
PFSense par une solution de sécurité unifiée (UTM) de l’entreprise Stormshield afin d’améliorer la
gestion des menaces informatiques au sein de la société.
Aujourd’hui, vous travaillez dans l’équipe SIP de l’entreprise en tant que technicien systèmes et
réseaux. Vous aurez notamment la charge de la mise en œuvre d’un nouveau dispositif de sécurité,
dans chacune des agences, nommé UTM (Unified Thread Management). Ces équipements émanent
de la société Stormshield spécialisée en sécurité des réseaux et des systèmes d’information.
Stormshield est une entreprise française, sous-filiale d’Airbus, dont le siège social se situe à Issy-les-
Moulineaux. Ainsi, elle est soumise à la loi française et à la loi européenne (loi informatique et libertés,
RGPD, etc).
L’outil de protection réseau Stormshield SNS a obtenu la certification ANSSI EAL4+ et une
qualification de niveau standard.
L’administration de l’outil en question se fera exclusivement par le biais du réseau local de l’agence où
vous avez été affecté.
1
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/
3
L’architecture du réseau NEWCO est fournie dans la documentation ci-après :
Indice
4
Le préfixe réseau 172.28.0.0 /16 a été affecté au siège social ainsi qu’à l’agence 1. Vous avez la
charge de concevoir un plan d’adressage IP pour ces sites en découpant ce préfixe initial en 5 sous-
réseaux. Pour chacun des 5 sous-réseaux, indiquez l’adresse du sous-réseau ainsi que la plage
d’adresses d’hôtes valides. Une fois les calculs effectués, complétez le tableau d’adressage IP
disponible en annexe afin de pouvoir vous y référer ultérieurement.
Raccordez les périphériques en vous basant sur les informations présentes sur le schéma de l’atelier.
Note
Les interfaces série à configurer en tant que DCE sont indiquées dans le tableau d’adressage IP
disponible en annexe à la fin de cet énoncé.
Note
Afin d’éviter de saisir en permanence les mots de passe pour les différents accès aux périphériques,
ils seront plutôt configurés en fin d’atelier.
En utilisant le tableau d’adressage IP disponible en annexe à la fin de cet énoncé (complété à l’étape
1), réalisez la configuration IP des interfaces des différents routeurs, hormis celle des sous-interfaces
du routeur R1 qui seront configurées ultérieurement.
Note
Toutes les interfaces série de type DCE des routeurs seront configurées à 64.000 bauds (voir annexe
à la fin de cet énoncé).
Utilisez le tableau d’adressage IP disponible en annexe à la fin de cet énoncé pour configurer l’adresse
IP d’administration du commutateur S4. Configurez également la passerelle par défaut sur celui-ci.
Utilisez le tableau d’affectation des ports aux VLAN disponible en annexe à la fin de cet énoncé afin de
créer les VLAN et y affecter les ports d’accès, ainsi que pour configurer les ports Trunk sur les
commutateurs S1, S2 et S3.
Note
5
Afin de renforcer la sécurité des commutateurs, tout port non connecté à un périphérique doit être
désactivé.
Utilisez le tableau d’adressage IP disponible en annexe à la fin de cet énoncé afin de configurer le
routage inter-VLAN de type « Router On A Stick » sur le routeur R1, en faisant en sorte que l’ensemble
de la topologie soit routé.
Configurez le protocole OSPFv2 sur les routeurs R1, R2 et R3 afin d’assurer le service de
routage inter sites avec les caractéristiques suivantes :
Zone OSPF : 0 ;
Le trafic à destination d’Internet provenant de l’agence 1 et du bureau à domicile transite par le siège
social. Le routeur de chacun de ces deux sites doit donc transférer les paquets dont la destination lui
est inconnue au routeur R1 du siège social.
Le routeur R1 transmettra au routeur FAI tout le trafic ne correspondant à aucune route spécifique de
sa table de routage.
Le routeur FAI devra pouvoir répondre aux requêtes émanant des différents sites de la topologie. A
cette fin, vous utiliserez le routage statique entre le routeur FAI et le routeur R1.
9. Étape 9 : DHCPv4
Configurez le service serveur DHCP sur le routeur R1 afin qu’il distribue la configuration IP
adéquate aux hôtes de trois des quatre sous-réseaux du siège social. Créez à cet effet un pool DHCP
pour les VLANs 40, 60 et 80 avec les paramètres suivants :
Pool VLAN_xx :
Options DHCP :
6
Vérifiez que chaque hôte client DHCP a reçu une configuration IP du pool DHCP adéquat et
communique avec les hôtes des différents VLAN.
Authentification :
Login : "sebastien" ;
Configurez les éléments suivants sur le routeur R1 afin de mettre en œuvre le service NAT/PAT avec
les caractéristiques suivantes :
Les hôtes des réseaux 172.28.0.0 /16 et 192.168.5.0 /24 accèdent à Internet et aux
réseaux distants grâce au service PAT, également nommé "NAT dynamique avec
surcharge", en empruntant l’adresse de l’interface s0/2/0 du routeur R1 ;
Vérifiez que les hôtes PC1, PC2, PC3, PC4, Laptop1 et Laptop2 sont bien en mesure d’accéder aux
services présents sur Internet au travers du service PAT qui traduit leurs adresses IP privées en
l’adresse IP public du routeur R1. Testez également l’accès via le protocole SSH au commutateur S4
depuis l’hôte Admin présent sur Internet.
Configurez les éléments suivants afin de contrôler les flux de trafic autorisés ou refusés à circuler sur
le réseau :
Sur le routeur R1 :
autorisant exclusivement le trafic DNS, HTTP et ICMP vers Internet (et les autres destinations)
pour les hôtes du VLAN 20 ;
hormis pour l’hôte disposant de l’adresse IP 172.28.32.252 /19, qui ne peut effectuer aucune
requête IP en dehors de son VLAN.
7
refusant tout le trafic IP provenant des hôtes du VLAN 40 (Commercial) vers ceux du VLAN
80 (Comptabilité) ;
autorisant tout le trafic IP des hôtes du VLAN 40 vers les autres VLAN.
Sur le routeur R2 :
Une liste de contrôles d’accès standard numérotée "5", permettant uniquement à l’hôte PC4 de
se connecter en Telnet au routeur R2.
Note
Avant de tester l’ACL 5, définissez sur le routeur R2, le mot de passe Telnet "telnetpa$$", ainsi que le
mot de passe "privipa$$" pour l’accès au mode privilégié.
Indice
Pour les routeurs mettant en œuvre le routage inter VLAN à l’aide de sous-interfaces, affectez les ACL
à ces dernières plutôt qu’à l’interface physique parente.
Pour terminer, testez chacune des instructions pour vérifier que les ACL sont bien configurées. Utilisez
pour cela les commandes suivantes : ping, tracert, nslookup, telnet n°_de_port, ainsi qu’un navigateur
web.
Configurez les éléments suivants pour tous les routeurs, hormis le routeur FAI :
14. ANNEXE
Tableau d’adressage IP
1
Adresse IP valide pour un hôte / le premier sous-réseau est le sous-réseau zéro.
Passerelle
Masque de sous-
Périphérique Interface Adresse IP réseau par défaut
8
Passerelle
Masque de sous-
Périphérique Interface Adresse IP réseau par défaut
(vers R2)
(vers R3)
(vers FAI)
(vers R3)
G0/0/0
(vers
Laptop1) 192.168.5.254 255.255.255.0 ---
S0/1/0
R3
(vers R2) 95.62.139.10 255.255.255.252 ---
S0/1/1
(vers R1)
(vers
Serveur
Web/DNS)
9
Passerelle
Masque de sous-
Périphérique Interface Adresse IP réseau par défaut
G0/0/1
(Commercial)
(RH)
(Comptabilité)
Public
10
Informations VLAN Informations DHCP
3. Actions
Pour répondre aux attentes du PDG, nous avons décidé de nous réunir en comité de « crise » pour
élaborer une solution à présenter lors de notre prochaine entrevue.
Conscients que nous ne pouvons pas assurer la disponibilité de 99.999 % sur l’ensemble des
équipements au risque de faire exploser les budgets, nous avons décidé d’établir une échelle de
priorité.
En bref ce que l’on va proposer au prochain entretien c’est un plan d’action qui propose les actions
suivantes :
11
Les actions que nous avons à réaliser sont les suivantes
1) Etablir les valeurs métiers critiques qu’il faut à la fois protéger et dont il faut assurer 99.999 %
de disponibilité
3) Mettre en place une structure organisationnelle capable de soutenir cet objectif en mettant en
place une organisation de maintenance :
a) Préventive
b) Conditionnelle
c) Corrective (PCA/PRA)
Mais le canevas Ebios n’est pas impératif, il est permis d’utiliser d’autres outils permettant d’évaluer la
criticité es risques. Il existe d’autres méthodes (AMDEC, MEHARI, etc.) qui peuvent aussi convenir. De
simples outils sous EXCEL sont aussi disponibles
Le rendu consistera en un dossier (soit sous forme de rapport ou sous forme de tableau permettant
une classification des risques attachés aux valeurs métier
5. Stratégie de surveillance de
l’Infrastructure
L’idée ici est de présenter un système opérationnel qui permet de gérer les actions de maintenance
préventive, corrective et de la consignation des tickets de demande d’intervention
Au besoin, nous présenterons un système automatisé de collecte d’information sur les supports
informatiques qui soutiennent les valeurs métier critiques.
Le démonstration de l’outil est indispensable (par exemple, GLPI, OCS, Fusion factory,….)
12
6. Organisation de la Maintenance et de
la Surveillance (Politique)
En fonction de la criticité des outils soutenant les valeurs métier, il faudra définir une politique de
maintenance (préventive, prévisionnelle ou corrective) qui correspondra le mieux à chacun des
équipements.
Cette politique fera l’objet d’un dossier de type PCA et PRA qui formalise les procédures…
Afin de « partager » les risques le PDG souhaite que nous externalisions certaines infrastructures qui
supportent notre activité. Il demande donc que nous déterminions des métriques permettant de
qualifier les sous-traitants en fonction de critères qui nous semblent importants.
Le PDG nous demande également de définir des éléments de mesure (PKI) pour évaluer le niveau de
performance de notre politique de maintenance.
7. PCA / PRA
PCA
Un PCA, est une procédure qui prend en compte toutes les mesures permettant d’assurer la continuité
des activités métiers suite à une importante perturbation. C’est un dispositif préventif qui interroge sur
la criticité des ressources informatiques et leur continuité de service. Il concerne les processus
métiers, c’est-à-dire les activités vitales de l’entreprise. Les processus IT quant à eux ne sont traités
que s’ils sont supports aux processus métiers de l’organisme. Le PCA s’inscrit dans une démarche de
gestion des risques. Par exemple, dans le cas de la perte d’un accès à Internet (coupure de fibre), une
liaison 4G doit être disponible immédiatement ou la mise en place du télétravail, font parties des
méthodes à mettre en place en vue de la continuité d’activité.
PRA
Le plan de reprise d’activité représente l’ensemble des procédures et des moyens (organisationnels,
humains et techniques) permettant d’assurer la reprise d’activité de votre entreprise en cas de sinistre
(inondation, coupure électrique, incendie, destruction de données vitales…). Ce document répertorie
les démarches à entreprendre pour reconstruire son système informatique en cas de crise importante
(de manière dégradée puis complète). Il permet également la remise en route des applications
nécessaires aux activités d’une entreprise. L’objectif principal est d’anticiper et d’atténuer les effets
dévastateurs d’une crise ou catastrophe naturelle sur vos activités. Par exemple, le déport progressif
d’un datacenter vers un autre après un incendie ou une inondation.
13
Faire un audit de tous les risques de pannes possibles sur le système d’information et identifier
les causes probables : panne matérielle, panne logicielle, cyberattaque, coupures électriques,
incendie, catastrophe naturelle, erreur humaine, etc.
Détecter et évaluer chaque risque pour identifier les applications métiers qui ne pourront pas
fonctionner en mode dégradé. Il faut donc bien appréhender et mesurer la tolérance aux
pannes de l’ensemble du système d’information.
Définir la criticité des environnements applicatifs et les besoins de sauvegarde et
réplication ainsi que de restauration qui devront s’appliquer. Devront être définis ici le
RTO (Recovery Time Objective) et le RPO (Recovery Point Ojective).
Prévoir des sauvegardes automatiques à une fréquence correspondant au besoin de
l’organisation.
Faire du « Crisis Management », c’est-à-dire attribuer des rôles et des tâches à des personnes
précises qui auront la responsabilité d’intervenir le moment venu. En d’autres termes, il faut
organiser et mobiliser ses équipes pour agir efficacement lors du sinistre.
Définir des priorités et un coût de reprise d’activité : évaluer des seuils d’indisponibilité des
services et les prioriser afin de définir le coût de remise en service de l’infrastructure. Selon les
cas, la reprise d’activité devra pouvoir s’effectuer en moins d’une minute. La mise en place
nécessaire d’environnements synchrones élèvera alors rapidement les coûts par exemple.
Définir le choix de l’équipement de sauvegarde et de reprise d’activité ainsi que le budget qui y
sera consacré. Il faut savoir que le doublement simple du matériel existant sur un site distant
peut ne pas suffire selon les cas. Le choix du matériel est donc important si l’on veut qu’il
puisse supporter la charge d’une remise en service.
Tester régulièrement le plan de reprise d’activité : bien que le coût d’un test de PRA
informatique soit conséquent, il est impératif d’évaluer régulièrement sa fiabilité à minima deux
fois par an.
Faire évoluer le plan de reprise d’activité en fonction des changements apportés au système
d’information : le SI d’une entreprise évoluant constamment, il est essentiel de répercuter ces
changements sur le PRA informatique construit initialement afin d’en assurer sa fiabilité.
Documenter précisément le PRA: il faut encourager le retour d’expériences des acteurs garants
de la fiabilité du PRA en le documentant précisément. Le partage de la connaissance du SI va
directement impacter les performances d’un PRA informatique. Ainsi, les phases de tests ou les
remontées d’échecs doivent être systématiquement documentées, ce qui est généralement peu
souvent le cas.
Prendre en compte les contraintes réglementaires auxquels certaines typologies
d’organisations doivent se conformer dans l’exécution de leurs activités.
14
8. Documents à remettre
1. Le Canevas PCI
Il vous revient de définir les activités (valeurs métiers) qui vous semblent critiques.
Concerne
Proposition X
4 - Elevée (probable)
3 - Moyenne (possible)
2 - Faible (improbable)
1 - Nul (rare)
15
5-
2- 3- 4- Très
Faibl Moyenn Elevé élevé
1 - Nul e e e e
Gravité
3. Le plan de reprise
16