Académique Documents
Professionnel Documents
Culture Documents
Contract Nº 001/MEF/ON-FED/MS/2012
Mai 2013
Mai 2013
« Le présent rapport a été élaboré par des experts indépendants et n’engage que ses auteurs ; il ne peut être considéré comme
reflétant l’avis du Gouvernement Béninois ni de l’Union Européenne »
Prosper GNIMADI
Liste de distribution
Ministère de
Directeur de l’Organisation et de l’Informatique
Côme DOSSOU l'Economie et
et du Pré archivage
des Finances
Ministère de
Ingénieur Informatique (Réseaux et Systèmes
Fréjus Roméo GBAGUIDI l'Economie et
d'Informations)
des Finances
4 Recommandations......................................................................................................................... 13
6 LIVRABLES ...................................................................................................................................... 16
7 Conclusion ..................................................................................................................................... 16
2 Présentation de la mission
2.1 Résultats à atteindre
Tel que spécifié dans le cahier des termes de références pour la mission, les résultats à atteindre
suite à cette mission se résument dans les quatre points suivants :
Résultat 2 : Actualiser les schémas des réseaux informatiques des sites concernés :
2.2 Méthodologie
Collecte d’information via la consultation de la documentation existante, des entretiens avec
les équipes IT, des visites des sites concernés, etc
Tests actifs de mesure de temps de réponse et de taux de pertes sur le réseau ainsi que le
temps de réponse de quelques services
2.3 Phases
La mission s'est déroulée selon les phases suivantes :
2. Rapport de démarrage
4. Rapport de l’audit
3 Résultats de l'audit
3.1 Architecture
Nous avons commencé l'audit par la revue de l'architecture du réseau. Tout d'abord nous avons
constaté que, pour la plupart des sites, l'architecture n'est pas modulaire. Ceci signifie que le réseau
n'est pas organisé en des modules dédiés à chaque utilisation: module de connexion des utilisateurs,
module d'interconnexion des serveurs, modules d'interconnexion avec les réseaux distants, etc. Les
différents modules du réseau sont confondus. Ceci affecte la sécurité, les performances, la
disponibilité et l'évolutivité du réseau. En plus, le réseau n'est pas hiérarchique, c'est à dire, les
équipements ne sont pas connectés entre eux selon des couches hiérarchiques. Ainsi, souvent deux
nœuds du réseau communiquent entre eux en traversant un grand nombre d'équipements. Ceci
affecte la disponibilité et les performances du réseau.
Au niveau de la plupart des structures, une seule plage d'adresse IP est utilisée pour adresser les
ordinateurs des employés, les serveurs, les équipements réseau, les imprimantes, etc. Ainsi, tous les
nœuds du réseau sont placés dans le même réseau logique. D'une part, ceci présente une
vulnérabilité très critique. Par exemple, il suffit qu'un utilisateur attribue à sur son ordinateur
l'adresse IP d'un serveur pour rendre l'application hébergé sur se serveur incassable. D'autre part, il
est impossible de sécuriser les différentes zones du réseau. En plus, ceci affecte les performances et
la disponibilité du réseau : un problème au niveau d'une zone dans le réseau affectera tout le réseau.
Nous avons également remarqué l'absence des solutions de sécurité au niveau du réseau du MEF.
Ainsi, le réseau est vulnérable aux différentes menaces : attaque réseau depuis Internet, propagation
de virus à partir des sites distants, infection virale ou tentative de sabotage à partir du réseau
interne, etc.
En plus, l'architecture actuelle ne permet pas une bonne fiabilité du réseau. En effet, en cas d'une
panne d'un équipement névralgique, le service sera interrompu. Ceci est à cause du manque de
mécanismes de basculement automatique et d'équipements de secours au niveau du réseau.
• Dans plusieurs sites, les équipements réseau sont hébergés dans des environnements qui ne
répondent pas aux exigences d'un fonctionnement normal (poussières, encombrement de la
salle serveur par des cartons, etc.)
• Dans certains sites, le câblage informatique n'est pas bien entretenu (prises réseaux non
fonctionnelles, dégradation des composants du système de câblage, etc.)
• Quelques armoires et coffrets réseau ne sont pas bien aménagés et les câbles sont brassés
sans aucun arrangement.
• Sur certains sites, la fibre optique n’est pas installée conformément à la norme
• Bien que la plupart des équipements réseaux soient alimentés via des onduleurs, nous avons
remarqué que certains onduleurs ne sont pas mis sur le groupe électrogène.
• La sécurité physique des équipements réseaux et des salles informatiques n'est pas bien
assurée (certains coffrets réseaux sont placés dans des salles accessibles, les coffrets ne sont
pas fermés par des clés, absence de mécanisme de contrôle d'accès, vidéosurveillance, et
détection d'intrusion au niveau des salles serveurs)
Les résultats détaillés de l'analyse du trafic ont été présentés dans le rapport d'audit. Dans ce qui suit
nous résumons les résultats :
• Le nombre d'ordinateur sur le même segment de réseau atteint, au niveau de quelques sites,
les 450. Ceci affecte les performances et la sécurité du réseau. Les réseaux doivent être
segmentés en des réseaux plus petits.
• Le pourcentage de trafic inutile sur le réseau dépasse souvent la moitié du trafic total. Ceci
affecte les performances du réseau et des serveurs.
• Le temps de réponse des services DNS (services de résolution des noms) est assez élevé (la
plupart des requêtes prennent plus de dix secondes). Ceci engendre une lenteur pour
accéder aux différents services Internet. L'installation des serveurs DNS au niveau du MEF
peut réduire ces délais.
• L'analyse des performances des applications a montré que les utilisateurs distants reliés par
la boucle locale radio souffrent d'une mauvaise qualité lors de l'utilisation des applications.
Les pertes de paquets sont la cause principale de la dégradation de la qualité. L'origine de ce
problème est l'interférence radio au niveau des boucles locales radio.
L'internet reste une source de menace pour la sécurité des réseaux. De jour en jour, les techniques
d'attaque et d'intrusion évoluent et chaque faille ou vulnérabilité peut être exploitée par des pirates.
Compte tenu de la criticité et de l'importance des données traitées au sein du MEF, elle est une cible
privilégiée des pirates. Ainsi, une attention particulière doit être attribuée à la sécurisation de l'accès
Internet. Durant l'audit, nous avons noté les lacunes suivantes :
• Aucune solution, pour la protection du réseau du MEF contre les attaques réseaux qui
peuvent être lancées via Internet, n'est mise en place au niveau de la plupart des sites.
• Aucune solution de détection ou de prévention des intrusions n'est déployée au niveau du
réseau. Ainsi, dans le cas d'une intrusion, l'administrateur réseau ainsi que l'équipe de
sécurité ne seront pas alertés. En plus, l'intrusion peut initier d'autres types d'attaques plus
dangereuses.
• Il n'existe aucune solution de filtrage des sites web par catégorie ou par contenu. En plus, il
n'existe aucun mécanisme de protection des utilisateurs des menaces des sites web. Aussi, il
n'y a pas une inspection des fichiers téléchargés depuis Internet pour s'assurer qu'ils ne
contiennent pas de virus. Enfin, les utilisateurs ne sont pas protégés contre les sites de
phishing utilisés pour les vols d'informations.
• Les serveurs sont dans le même réseau logique que le reste des utilisateurs. Ainsi, d'une part,
il est extrêmement facile de perturber le fonctionnement des serveurs, intentionnellement
ou par erreur. D'autre part, il est impossible de contrôler l'accès aux serveurs ou de
restreindre les services uniquement pour les utilisateurs légitimes.
• Les serveurs qui sont connectés directement à Internet, tels que le serveur Proxy, sont dans
la même zone que les serveurs applicatifs. Ainsi, en cas d'attaque de ce serveur, les serveurs
critiques du ministère seront également exposés.
• Il n'y a aucun mécanisme de détection ou de prévention d'intrusion. En cas d'une intrusion
dans le réseau, il sera très difficile de détecter cette intrusion. Ainsi, l'intrusion peut durer
une longue période. Durant ce temps, les données peuvent être volées et d'autre attaques
peuvent avoir lieu.
• Il n'y a aucun suivi des événements qui auront lieu sur les serveurs et aucune collecte ni
sauvegarde des logs. Ainsi, par exemple, une tentative d'accès non autorisée ne sera ni
détectée ni traitée.
• Certains équipements réseaux (par exemple, switch, etc.) sont installés sans mot de passe ou
avec leur mot de passe par défaut. Ainsi, il est possible d'accéder à ces équipements et de
Nous avons également remarqué que, même pour les composants qui sont redondants, aucune
solution de haute disponibilité n'est mise en place. Dans la plupart des cas, nous trouvons un
équipement qui fonctionne et un autre équipement, semblable, qui est éteint et qui servira
comme équipement de remplacement en cas de panne. Ainsi, en cas de problème, le service
sera interrompu jusqu'à la mise en service de l'équipement de secours.
Enfin, nous avons remarqué que la plupart des liens d'interconnexions avec les sites distants ne
sont pas secourus. Même pour les sites qui sont connectés au MEF par deux liaisons, aucune
solution de basculement automatique n'est mise en place.
3.6.1 Organisation
La DOIP est la structure qui est responsable de la gestion du système d'information du MEF. En plus
de son rôle dans la gestion du système d'information du ministère elle intervient pour assister les
• La définition des rôles et des responsabilités entre l'équipe DOIP et l'équipe informatique de
chaque structure n'est pas claire. Par exemple les routeurs qui interconnectent les sites
distants (BLR et VSAT) sont gérés à la fois par la DGB et la DOIP.
• La sécurité informatique n'est pas mise en valeur dans l'organisation. Aucune structure ne
dispose d'un Responsable de Sécurité du Système d’Information (RSSI). En plus, les tâches de
sécurisation du réseau ne sont attribuées formellement à aucune division.
• L'équipe qui gère le réseau est souvent l'équipe qui gère la maintenance et le support des
utilisateurs. En plus, il n'y a aucun processus qui permet d'organiser le support client (gestion
d'incident, gestion de requêtes, gestion de changement, etc.), ainsi l'équipe ne trouvera pas
le temps pour bien gérer et exploiter le réseau.
• Les ressources techniques qui maitrisent le réseau ne sont pas nombreuses. Ainsi, souvent
des développeurs sont chargés des tâches d'administration et de gestion du réseau.
• Les utilisateurs ne disposent pas d'un contact unique pour la déclaration des incidents et les
demandes de changements. En plus il n'y a pas de procédure claire pour la gestion IT :
gestion d'incident, gestion des requêtes, gestion des changements, gestion des problèmes,
etc.
• Le côté supervision n'est pas pris en compte dans l'organisation actuelle. En effet, il n'y a
aucune notion d'un centre de supervision réseau (NOC) ou sécurité (SOC).
Nous avons également remarqué qu'aucun outil n'est utilisé pour la gestion du réseau ce qui rend les
opérations de diagnostic et de maintenance du réseau plus difficiles à faire. De même, nous n'avons
identifié aucun outil de supervision du réseau. Ceci empêche les administrateurs réseau d'être
proactifs aux problèmes et de prévenir les éventuelles pannes et perturbations.
Durant l'audit, nous avons remarqué qu'il n'y a aucune trace des indicateurs ou des tableaux de bord
relatifs à l'infrastructure réseau. En plus, nous n'avons trouvé aucun rapport sur l'état du réseau.
Au cours de l'audit, nous avons remarqué que la plupart de la documentation est incomplète et n'est
pas mise à jour. Ceci empêche les administrateurs réseau de bien exploiter et maintenir le réseau.
4 Recommandations
Afin de pallier les défaillances décrites dans les paragraphes précédents, nous résumons nos
recommandations dans les points suivants :
• Revoir l'architecture des différents réseaux afin de mettre en place une architecture qui
permettra une continuité de service de l’ensemble du système d’information, une protection
du système d'Information au vu des attaques qui peuvent survenir et une flexibilité dans
l'évolution de l'infrastructure. L'architecture de référence est modulaire et hiérarchique. Elle
permettra d'avoir un réseau gérable, évolutif, stable et sécurisé. L'architecture que nous
avons proposé est bien détaillée dans le rapport "Recommandation et plan d'action".
• Mettre en place un nouveau plan d'adressage et de nommage qui soit en adéquation avec la
nouvelle architecture et qui permettra une gestion plus facile du réseau.
• Mettre en place des services d'infrastructure telle que le service de résolution du nom (DNS),
le service d'allocation dynamique des adresses (DHCP), etc.
• Mettre en service tous les équipements réseaux qui ne sont pas exploités afin de fournir une
haute disponibilité au niveau des nœuds critiques du réseau. En cas de problème sur un
équipement, le réseau doit converger automatiquement sans que le service ne soit
interrompu.
• Mettre en service tous les équipements de sécurité qui ne sont pas exploités afin de mieux
sécuriser le réseau.
• Revoir le système de câblage au niveau des réseaux locaux et plus précisément les
interconnexions entre les différents coffrets réseau afin de mettre en place une architecture
hiérarchique hautement disponible.
• Revoir la configuration des équipements qui interconnectent les utilisateurs afin de protéger
le réseau contre les attaques internes.
• Mettre en place une solution de sécurité Internet qui permet de mieux gérer la connexion
internet, par le contrôle d'accès aux sites Web et par la protection des utilisateurs contre les
différents dangers d'Internet.
• Mettre à niveau le réseau d'interconnexion des sites distants. Ceci peut être fait selon un des
trois scénarios proposés dans le rapport "Recommandations et plan d'action" :
• Consolider les serveurs de chaque structure dans une seule salle serveur qui doit être bien
aménagée. Dès que le Data center du ministère sera fonctionnel, il faudra migrer les serveurs
au Data Center.
La création d'une cellule de Help desk qui sera la seule vis à vis des utilisateurs pour
la déclaration des incidents et les demandes d'interventions. Il est nécessaire
également d'unifier et de formaliser les canaux de demande de support.
• Renforcer les compétences des équipes en charge de l'exploitation des équipements réseau
et sécurité par la planification et l'exécution d'un plan de formation pour les équipes en
charge de l'exploitation. Nous avons proposé dans le rapport "Recommandions et Plan
d'Action" un plan de formation qui peut être adopté.
5 Plan d'action
5.1 Vue d'ensemble
Afin de mettre en œuvre ces recommandations nous proposons au MEF un plan d'action composé de
5 projets. Le tableau ci-dessous présente ces projets.
Scénario A: 1526
P4: Mise à niveau de l’interconnexion des Acquisition
18 mois Moyenne Scénario B: 1600
sites distants et service
Scénario C: 350
Sécuriser l'accès Internet à plusieurs niveaux : restriction d'accès, protection contre les virus
et les malware, protection contre les sites escroquerie, etc.
• Le prix de l'abonnement pour les mises à jour du logiciel, des bases de signatures de anti
virus et anti malware, la base de classification d'URL, etc.
Avec un abonnement d'une seule année le coût de la solution est autours de 25 MFCFA. Pour 3
années le coût s'élèvera à 40 MFCFA.
6 LIVRABLES
En plus de ce rapport de synthèse, les livrables suivants ont été produits durant cette mission :
7 Conclusion
Cette mission, d'audit du réseau informatique du MEF, a pu déterminer les différentes défaillances
du réseau de MEF et a proposé un ensemble de recommandations et un plan d'action pour améliorer
le réseau.
1. Le premier résultat, diagnostiquer les forces et faiblesses du réseau actuel, a été obtenu par
le rapport "Audit du réseau".
2. Le deuxième résultat, actualiser les schémas des réseaux informatiques des sites concernés,
a été obtenu par la production des schémas des réseaux des différentes structures ainsi que
les schémas d'interconnexion.
Il est extrêmement important que le MEF inclut ces projets dans la liste des futurs projets du
ministère et commence à travailler sur le plan de financement de ces projets afin de les réaliser à
temps. L'exécution de ces différents projets permettra au MEF d'avoir une infrastructure réseau
performante, sécurisée, fiable et gérable. Ceci permettra au MEF de pouvoir mettre en place de
nouvelles applications afin d'urbaniser son système d'information pour pouvoir mieux gérer les
finances publiques et fournir plus de services aux citoyens et aux entreprises.