Rapport de Stage - 5

BURKINA-FASO
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR Unité-Progrès-Justice

DE LA RECHERCHE SCIENTIFIQUE ET DE
L’INNOVATION
*************************
DIRECTION GENERALE DE L’ENSEIGNEMENT
SUPERIEUR PRIVE
******************
GROUPE SUP’MANAGEMENT
***********************
SUP’MANAGEMENT – BURKINA
Rapport de stage de fin de cycle

En vue de l’obtention du Diplôme d’ingénieur des Travaux
Option : Ingénierie des systèmes d’Informatiques et Réseaux
Thème :
ETUDE ET SECURISATION D’UN RESEAU INFORMATIQUE

AVEC FORTIGATE
Stage effectué a Innovant Technologie Sécurité du 03 Mai au 04 Aout 2021

Présenté par :
OUEYIGA Wèpya Bernardin
Professeur de suivi : Maitre de stage :

Mr SEBEOGO RAGA Mr ADJIOUBOU Marcelin Responsable
(Enseignant Sup ’Management Burkina) Technique
(Innovante Technologie Sécurité)
Année Académique 2022-2023

ETUDE ET SECURISATION D’UN RESEAU INFORMATIQUE AVEC FORTIGATE
Dédicace
A ma mère,
Qui a ouvré pour ma réussite à travers son amour, son soutien, par tous les sacrifices
consentis, ses précieux conseils et sa présence dans ma vie, Maman reçois à travers ce
modeste travail, l’expression de mes sentiments et de mon éternelle gratitude ;
A mon père,
Qui a toujours mis un point d’honneur sur mon éducation, peut être fier et trouver ici le
résultat de longues années de sacrifices et de privations pour m’aider à avancer dans la vie.
Merci pour l’éducation, les valeurs nobles et le soutien permanent venu de toi ;
A mes frères et sœurs,
Qui n’ont cessé d’être pour moi des exemples de persévérance, de courage et de générosité.
Merci pour votre soutien permanent inconditionnel,
Merci à tous ceux qui, de près ou de loin, n’ont ménagé aucun effort pour cet ouvrage et
dont les noms ne sont pas cités. Qu’ils ne voient en ceci que la contrainte de limitation
imposée à toute présentation.
RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 1

Remerciement
Je tiens tous d’abord à m’incliner face contre terre devant l’éternel, le DIEU de mes
ancêtres et aussi mon Dieu pour lui dire merci du chemin qu’il mon fait traverser tout au
long de ma vie et de m’avoir guidé comme toujours jusqu’à l’achèvement de ce présent
travail.
Je remercier M. KONVELBO W-I Elisée le responsable de Innovante Technologie

Sécurité. Sarl pour m’avoir accordé le privilège d’effectuer mon stage de fin de d’étude au
sein de son entreprise.
Merci à mon professeur de suivi Mr SEBEOGO Raga pour sa simplicité, et les

compréhensions qu’il a eues à mon égare
Enfin, je remercie l’ensemble du personnel de Innovante Technologie Sécurité

spécialement à mon maitre de stage pour ma formation, l’accompagnement dans
l’élaboration de ce document, pour leurs conseils, et leur partage de connaissances. Ce fut
pour moi un réel plaisir de travailler en apprenant à leurs cotés

Liste des tableaux
Tableau 1: Fiche d'identification de Innovante Technologie Sécurité.........................................4
Tableau 2:Fonctionnalité des principaux technologies leaders du marché...............................57
Tableau 3:Dimensionnement pour le choix du boitier FortiGate..................................................62
Tableau 4: Glossaire........................................................................................................................B
Tableau 5:Planning d'exécution des travaux................................................................................D
Tableau 6:Estimation financière....................................................................................................D
Tableau 7:Taches effectuées............................................................................................................E

Liste des figures
Figure 1:Man in middle................................................................................................................14

Figure 2:Attaque par rebond........................................................................................................14
Figure 3: DDOS.............................................................................................................................15
Figure 4: Image des équipements terminaux de ITS..................................................................27
Figure 5:Image des équipements intermédiaire de ITS..............................................................28
Figure 6:Image des supports de communication.........................................................................28
Figure 7:Architecture du réseau d'innovante Technologie Sécurité..........................................30
Figure 8:Résultat du scan du réseau............................................................................................31
Figure 9:Résultat sur le ping de la machine cible.......................................................................32
Figure 10:Résultat du scan...........................................................................................................33
Figure 11:Résultat sur la recherche de vulnérabilité..................................................................33
Figure 12:Résultat de l’exploitation de la vulnérabilité..............................................................34
Figure 13:Image d'une baie de connexion...................................................................................37
Figure 14:Filtre de paquets par routeur......................................................................................43
Figure 15:Figure : pseudo-serveur...............................................................................................44
Figure 16:Dual-Homed Bastion Host...........................................................................................44
Figure 17:zone démilitarisée.........................................................................................................45
Figure 18:Modèles de pare-feu matériels.....................................................................................48
Figure 19:cisco firepower 2100.....................................................................................................53
Figure 20:Cisco firepower 1140....................................................................................................53
Figure 21:Figure : Fortigate-200E...............................................................................................54
Figure 22:Figure : FortiGate 712F...............................................................................................54
Figure 23:Palo alto Networks serie PA-5200 serie......................................................................55
Figure 24:Figure : Image des SRX...............................................................................................56
Figure 25:Image d’un pare-feu chekpoint...................................................................................56
Figure 26:Image d’un FortiGate d’entrée de gamme.................................................................60
Figure 27:Image d’un FortiGate milieux de gamme...................................................................60
Figure 28:Image d'un FortiGate haute de Gamme.....................................................................61
Figure 29:Lab d'expérimentation................................................................................................64
Figure 30:Installation du boitier 80E de fortiGate.....................................................................65
Figure 31:Interface d'accueil FortiGate......................................................................................66
Figure 32:Tableau de bord de FortiGate.....................................................................................66
Figure 33:Image de la configuration de l’interface du port 2....................................................67
Figure 34:Image de configuration du port 3...............................................................................67
Figure 35:Interface de la liste des règles de sécurité...................................................................68
Figure 36:Interface de configurations des règles et actions de sécurités...................................69
Figure 37:Configurations de la règle d’accès au Service Web...................................................69
Figure 38:Figure : Liste des règles et actions..............................................................................70
Figure 39:Résultat d’accès de l’hôte au service Web..................................................................70
Figure 40:Configuration de la règle d’interdiction au Service Web..........................................71
Figure 41:Résultat d’interdiction de l’hôte au Service Web.......................................................71
Figure 42:Interface de création d’un portail captif....................................................................72
Figure 43:Choix du type d’authentification................................................................................72
Figure 44:Figure : Liste des portails............................................................................................73
Figure 45:Figure : Liste des interfaces.........................................................................................74
Figure 46:Autorisation du portail captif......................................................................................74
Figure 47:Création du groupe utilisateur....................................................................................75
Figure 48:Architecture finale.......................................................................................................76

Sigles et abréviations
Abréviation Signification
ABIDS Application Based Intrusion Detection System
ACL Access Control List
AES Advanced Encryption Standard
API Application Programming Interface
ARCEP Autorité de regulation des Communication
Electronique et des postes
ARP Address Resolution Protocol
AWS Amazon Web Services
BLR Boucle Locale Radio
CCNA Cisco Certified Network Associate
CEH Certification Ethical Hacking
CPU Central Processin Unit
Ddos Distributed Denial of Service
DES Data Encryption Standard
DMZ Demilitarised Zone
DNS Domaine Name Service
DoS Denial of Service
DSA Digital Signature Algorithm
FAI Fournisseur d’Accès Internet
FDDI Fibre Distribuate Data Interface
FIPS Federal Information Processing Standard
FTP File Transfert Protocol
GPRS General Packet Radio Service
GPS Global Positioning System
GSM Global System of Mobile
GTP GPRS Tunneling Protocol
HIDS Hosted-based Intrusion Detection System
HIPS Host-based Instrusion Prevention System
HTTPS Hypertext Transfert Protocol
ICMP Internet Control Message Protocol
IDEA Internationnal Data Encryption Algorithm
IDS Intruction Detection System
IEEE Institute of Electrical and Electronics Engineers
IETF Internet Engineering Task Force
IP Internet Protocol
IPNG Internet Protocol Next Generation
IPS Intrusion Prevention Système
IPsec IP Security
IPv4 Internet Protocol Version 4
IPv6 Internet Protocol Version 6

IT Informatique et Télécommunication
KIPS Kernel Intrusion Prevention System
LAN Local Area Network
MAC Media Access Control
NGFW NextGen Firwall
NIDS Network Intrusion Detection System
NIPS Network Intrusion Prevention System
Nmap Network Mapper
NNIDS Network Node Intrusion Detection System
NP Network Processor
ONATEL Office National des Télécommunications
OSI Open System Interconnection
PDA Personal Digital Assistant
PPTP Point-to-Point Tunneling Protocol
QoS Quality of Service
RJ45 Registe Jack 45
RSA Revest Shamir Aldeman
RSH Remote Shell
SA Société Anonyme
SASE Secure Access Service Edge
SCTP Stream Control Transmission Protocol
SMTP Simple Mail Transfert Protocol
SNMP Simple Network Management Protocol
SSH Secure Shell
SSID Service Set Identified
TCP/IP Transmission Control Protocol/Internet
Protocol
TFTP Trivial File Transfer Protocol
TLS Transport Layer Security
UDP User Datagram Protocol
URL Uniform Ressource Locator
UTM Unified Threat Management
UTP Unshield Twisted Pair
VDOM Virtual Domain
VPN Virtual Private Network
WAN Wireless Area Network
WEP Wired Equivalent Privacy
Wi-Fi Wireless Fidelity
WLAN Wireless Local Area Network
WPAN Wireless Personal Area Network
WWAN Wireless Wide Area Network

SOMMAIRE
Dédicace.................................................................................................................................1
Remerciement........................................................................................................................2
Liste des tableaux...................................................................................................................3
SOMMAIRE..........................................................................................................................7
Introduction générale............................................................................................................11
PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE...........................................12
Chapitre 1 : Présentation de la structure de formation et de la structure d’accueil..............13
1. INTRODUCTION PARTIELLE...................................................................................13
Présentation de Sup ’Management Burkina.........................................................................13
Historique et filières de formation.......................................................................................13
Sup’ management Burkina offre deux pôles de formation à savoir :...................................14
2. Présentation de Innovante Technologie Sécurité..........................................................15
3. Fiche d’identification et ressources..............................................................................15
3.1 Ressources.............................................................................................................16
3.2 Prestations..............................................................................................................16
3.3 Services..................................................................................................................16
4. Conclusion partielle......................................................................................................16
Chapitre 2 : Généralité et étude de la sécurité du réseau de Innovant Technologie Sécurité
..............................................................................................................................................17
1. Introduction partielle.....................................................................................................17
1.1 Définition des concepts réseaux informatiques et sécurité informatique..............17
1.2 Généralité sur les réseaux informatiques...............................................................18
1.2.1 Réseaux sans files..........................................................................................18
1.2.2 Réseaux filaires..............................................................................................19
1.2.3 Topologie réseaux..........................................................................................20
1.2.4 Protocoles réseaux..........................................................................................21
1.2.5 Faiblesses des réseaux....................................................................................22
1.3 Généralité sur la sécurité informatique..................................................................22
1.3.1 Critères de sécurité.........................................................................................23
1.3.2 Principales attaques........................................................................................24
1.3.3 Techniques de parade aux attaques................................................................30
1.3.4 Enjeux et risques de la sécurité informatique................................................35
1.3.5 Politique de sécurisation d’un réseau informatique.......................................35
1.3.6 Outils de sécurité............................................................................................35

1.3.7 Mesure d’accompagnement de la politique de sécurité.................................36

2. Réseau de Innovant Technologie Sécurité....................................................................36
2.1 Présentation du réseau...........................................................................................36
2.2 Parc informatique et logiciel.................................................................................37
2.2.1 Environnement client.....................................................................................38
2.2.2 Environnement serveur..................................................................................38
2.2.3 Logiciels utilisés.............................................................................................38
2.3 Architecture du réseau...........................................................................................38
2.4 Analyse et Critique de l’existant...........................................................................39
2.4.1 Etat des lieux de l’existant.............................................................................39
2.4.2 Résumé de l’état de l’existant........................................................................45
3. Etude du thème.............................................................................................................47
3.1 Problématique........................................................................................................47
3.2 Objectifs................................................................................................................47
3.3 Résultats attendus..................................................................................................48
3.4 Périmètre de l’étude...............................................................................................48
3.5 Méthodologie du travail........................................................................................48
DEUXIEME PARTIE : ELABORATION ET MISE EN PLACE DE LA SOLUTION......50
Chapitre 1 : Pare-feu (Firewall)...........................................................................................51
Introduction partielle............................................................................................................51
1. Définition......................................................................................................................51
2. Fonctions d’un pare-feu................................................................................................51
3. LES 4 PRINCIPALES TOPOLOGIES DES FIREWALLS.........................................51
3.1 Le filtrage de paquets par routeur..........................................................................51
3.2 Le pseudo-serveur d'accueil..................................................................................52
3.3 Le Dual-Homed Bastion Host...............................................................................53
3.4 La zone démilitarisée.............................................................................................53
4. Avantages et inconvénients d'une DMZ.......................................................................54
4.1 Les avantages :......................................................................................................54
4.2 Les inconvénients..................................................................................................54
4.3 Pare-feu UTM/NGFW...........................................................................................55
4.4 Pare-feu classique..................................................................................................56
5. Types de pare-feu..........................................................................................................56
5.1 Pare-feu bridges.....................................................................................................56
5.2 Pares-feux matériels..............................................................................................57
5.3 Pares-feux logiciels...............................................................................................58

5.3.1 Pares-feux personnels.....................................................................................58

5.3.2 Pare-feu plus...................................................................................................58
6. Différents types de filtrage............................................................................................58
6.1 Filtrage simple de paquet.......................................................................................58
6.2 Filtrage dynamique de paquet...............................................................................58
6.3 Filtrage applicatif...................................................................................................59
7. Les limites de protection des pares-feux.......................................................................59
7.1 Conseil pour le déploiement d’un pare-feu en entreprise......................................59
7.2 Présentation des principales technologies de pare-feu sur le marché....................60
7.2.1 Comparaison des principales Technologies...................................................61
7.3 Choix de la technologie FortiGate.........................................................................67
Chapitre 2 : Mise en place de la solution FortiGate.............................................................68
2. Présentation de FortiGate..............................................................................................68
2.1 Aperçu des fonctionnalités de FortiGate...............................................................69
2.2 Choix du modèle de FortiGate..............................................................................70
3. Proposition des règles de sécurité.................................................................................71
4. Simulation.....................................................................................................................72
4.1 Présentation du LABS...........................................................................................72
4.2 Installation de FortiGate........................................................................................72
4.3 Configuration de base de FortiGate.......................................................................74
4.3.1 Configuration des interfaces..........................................................................74
4.4 Expérimentation d’un critère de sécurité...............................................................75
5. Nouvelle architecture....................................................................................................79
6. Conclusion....................................................................................................................79
Conclusion générale.............................................................................................................80
Bibliographie.........................................................................................................................A
Webographie..........................................................................................................................A
ANNEXE...............................................................................................................................C
Table des matières.................................................................................................................H

Introduction générale
Dans le cadre de l’obtention du diplôme d’ingénieur des travaux en ingénierie des

systèmes informatiques et Réseaux, nous avons pu effectuer du 03 mai au 04 aout 2023, un
stage d’ingénieur IT (Informatique et Télécommunication) a Innovante Technologie
Sécurité. Sarl. Au cours de notre premier mois en entreprise, l’un des leitmotive qui
revenait dans la discutions des responsables du département informatique étais la question
de trouver une solution pare-feu pour la sécurité des données de l’entreprise. Cette question
essentielle a fait l’objet de mon intérêt.
Comment sécuriser les données du réseau informatique de Innovante Technologie Sécurité

Sarl avec une solution pare-feu ? Telle fut la problématique à résoudre. Ainsi, après diverse
discussion et proposition des techniciens de l’entreprise, nous avons retenu pour
thème : << ETUDE ET SECURISATION DU RESEAU INFORMATIQUE DE
INNOVANTE TECHNOLOGIE SECURITE. Sarl AVEC FORTIGATE >>
Un réseau informatique sécurisé, est un réseau informatique plus sûr et plus performant.
Pour une entreprise, cela garanti des gains en argent et permet de réduire le plus possible
les risques sur la réputation de l’entreprise. Notre objectif dans le cadre de cette étude, est
d’évaluer la pertinence du choix du pare-feu FORTIGATE dans la prise en charge effective
de la sécurité des données du réseau informatique et ce en fonction des capacités de
l’entreprise.
Ce présent rapport est divisé en quatre (04) grandes parties : dans la première et la
deuxième partie nous aborderons dans cet ordre la présentation de la structure d’accueil
pour ensuite étudier l’existant du réseau informatique après avoir bien sur compris les
différents concepts que constitue notre projet. La troisième partie quant à elle sera dédiée à
la compréhension des systèmes pare-feu, et enfin dans la quatrième partie, il sera question
de la mise en place de la solution demandée (la solution FORTIGATE)

PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE

Chapitre 1 : Présentation de la structure de formation et de la structure

d’accueil
1. INTRODUCTION PARTIELLE
Nos études de fin du premier cycle demandent la réalisation d’un stage en

entreprise. Dans ce chapitre, nous allons présenter dans un premier temps l’établissement
dans lequel nous avons mené nos études. Ensuite nous présenterons la structure dans
laquelle s’est passé notre stage d’une période de trois (03) mois.
Présentation de Sup ’Management Burkina

Historique et filières de formation
Sup’ management Burkina est une école supérieure de management, de commerce et

d’informatique. Créée en Octobre 2008 par Dr Alassane NIKIEMA, elle appartient au
groupe Sup’ management dont le siège est au Maroc dans la ville de Fès. Le groupe Sup’
management est membre du réseau universitaire intercontinental libre avec une très bonne
représentativité en Afrique, Europe aux USA
Sup’ management Burkina, école supérieure de renommée internationale, a pour

vocation de former de véritables managers de l’entreprise du 3 ème millénaire, dotés des
qualités polyvalentes, d’initiative de communication et capable de décider, d’entreprendre
et d’agir avec un sens aigu de la responsabilité et de l’éthique. Avec une formation
polyvalente et opérationnelle, une pédagogie active, pragmatique et responsabilisante, un
professoral compétent qualifié et déterminé, Sup’ management Burkina assure de façon
optimale et avec les exigences académiques du moment, (une pratique opérationnelle du
format LMD), la qualité de la formation de ses étudiants.
Sup’ management booste ses étudiants au travail en mettant à disposition des bourses
d’excellences à tous les étudiants dont la moyenne générale annuelle est supérieure ou
égale à 16/20, leurs exonérants ainsi d’un taux de 50% du paiement des frais de scolarité
Sup’ management assume pleinement sa dimension internationale par l’organisation d’un

voyage d’étude extérieure à l’intention des étudiants en vue de cultiver en eux un esprit de
brassage et de tolérance interculturelle. Des activités extra-académiques (semaine
culturelle, journée de l’entreprenariat, coupe du DG, concours d’art culinaire, don de

sang…) organisées par le bureau des étudiants viennent agrémenter leur cadre
d’apprentissage tout en développant en eux un esprit de collaboration, de partage, de
compassion et d’organisation.
Sup’ management Burkina offre deux pôles de formation à savoir :

1ère pôle: Ecole de Management (School of Business Administration )
1er CYCLE : LICENCE (L1, L2, L3) 2d CYCLE : MASTER (M1, M2)
❖ Finance Management ❖ Ingénierie Financière
❖ Management International ❖ Ingénierie Commerciale
❖ Marketing – Communication ❖ Management des Projets
❖ Management des Projets ❖ Management des Ressources
Humaines
❖ Management des Ressources ❖ Banque et Microfinance
Humaines
❖ Banque et Microfinance ❖ Management des opérations logistiques
❖ Droit des Affaires & Fiscales ❖ Eco-Management Environnemental
❖ Management Touristique & Hôtelier ❖ Management de la Communication
des entreprises et des institutions
2ème pôle : Ecole d’ingénierie (School of Engineering)
1er CYCLE : LICENCE (L1, L2, L3) 2d CYCLE : MASTER (M1, M2)
❖ Ingénierie des Systèmes d’Information ❖ Ingénierie des Systèmes d’Information
❖ Ingénierie des Systèmes et Réseaux ❖ Ingénierie des Systèmes et Réseaux

Pour les étudiants en fin de cycle, l’école Sup’ Management Burkina préconise un
stage pratique de trois mois minimums en entreprise aboutissant à la réalisation d’un
rapport. En effet, l’accomplissement de ce stage permet à chaque étudiant de mettre en
pratique les connaissances théoriques acquises d’une part et d’exercer son esprit critique et
se préparer à la vie professionnelle d’autre part.
2. Présentation de Innovante Technologie Sécurité
Innovante Technologie Sécurité. Sarl est une société fournissant des services dans le
domaine de l’ingénierie informatique donc le siège social est situé à Ouagadougou, lot 05
section RC parcelle 07 secteur 05, non loin de de l’échangeur de Gounghin, elle compte
environ dix (4) ans d’existence.
Dans le but de participer au développement des systèmes d’information, d’intégrer les

nouvelles technologies de l’informatique et de contribuer à l’optimisation de l’utilisation
de l’architecture des systèmes d’information chez le client, Innovante Technologie Sécurité
Sarl a fondé sa force sur quatre (4) principes fondamentaux qui sont : son équipe, la
compétence, la disponibilité et la satisfaction des clients. L’expertise, le travail acharné et
le sérieux du personnel font de la société, une structure imposante dans le domaine au
BURKINA FASO.
3. Fiche d’identification et ressources
Le tableau ci-dessous nous présente la fiche d’identification de la structure d’accueil.
Tableau 1 : Fiche d'identification de Innovante Technologie Sécurité

RAISON SOCIALE Innovante Technologie Sécurité
FORME JURIDIQUE SOCIETE ANONYME
CAPITAL 1.000.000
DATE DE CREATION 2016
ADRESSE 13 BP 1190 Ouaga 13
TELEPHONE +226 70-19-72-85
SITE WEB www.innovantetechsecurite.com
EMAIL innovtechsecurite@gmail.com
SIEGE SOCIAL Ouagadougou, lot 05section
RC parcelle 07 secteur 05

DOMAINE D’ACTIVITE INGENIERIE INFORMATIQUE
3.1 Ressources
Le fonctionnement de la société Innovante Technologie Sécurité Sarl repose sur (03) types
de ressources : Les ressources humaines, les ressources matérielles, les ressources
financières.
3.2 Prestations
Les prestations de Innovante Technologie Sécurité. Sarl :
 Assistance en travaux informatique ;
 Les réseaux et télécom ;
 Installation de vidéo-surveillance ;
 Contrôle d’accès
 Détection d’incendie
 L’assistance technique
 Développements de logiciels de gestion
3.3 Services
 La sécurité informatique ;
 La formation et la certification ;
 Les business application.
4. Conclusion partielle
Depuis sa création en 2011, Innovante Technologie Sécurité. Sarl, de par son dynamisme,
son professionnalisme et sa compétence, n’a cessé de gravir les échelons.
Le succès de Innovante Technologie Sécurité n’est pas seulement du a son comportement

vis-à-vis de l’environnement externe, mais aussi à son organisation interne. En effet,
l’entreprise est divisée en départements, ce qui facilite la gestion interne. Chaque

département est composé de spécialistes, travaillant dans ses prérogatives. Cela permet à
Innovante Technologie Sécurité d’être très productive.
Chapitre 2 : Généralité et étude de la sécurité du réseau de Innovant

Technologie Sécurité
Introduction partielle
L’informatique de nos jours est devenue en plus d’être un outil, un domaine incontournable
pour tous les autres secteurs préexistants. L’informatique de par son immensité et la facilité
qu’il offre en tant que domaine d’application pour les autres secteurs d’activités, se définit
à travers des termes et concept qui méritent a eu seuls d’être considéré comme des
domaines à part entière. Aux rangs de ces concepts, nous avons les réseaux informatiques
et la sécurité informatique etc.
Dans ce chapitre, nous donnerons après définition des concepts réseaux informatique et
sécurité informatique, une généralité de ces concepts dans le but de comprendre
l’environnement spécifique qui sera traité à savoir la mise en place d’un réseau
informatique sécurisé avec le pare-feu FortiGate.
4.1 Définition des concepts réseaux informatiques et sécurité
informatique
 Réseau informatique : Le réseau informatique désigne les appareils informatiques

interconnectés qui peuvent échanger des données et partager des ressources (disque
dur, imprimantes, données etc.) entre eux. Ces appareils en réseau utilisent un
système de règles, appelées protocoles de communication, pour transmettre des
informations sur des technologies physiques ou sans fil.
Le terme générique réseau défini un ensemble d’entités (objet, personnes, …)

interconnectées les unes avec les autres.
 Sécurité informatique : C’est l’ensemble des moyens mis en œuvre pour réduire
la vulnérabilité d’un système d’information contre les menaces accidentelles ou
intentionnelles. La sécurité informatique englobe les technologies, les processus et
les règles utilisés pour défendre tous les types de réseaux, le trafic réseau et les

ressources du réseau contre les cybers attaques, les accès prohibés et les pertes de
données.
En bref, la définition de la sécurité informatique est un dispositif vaste et

multiforme visant à protéger un réseau informatique et ses données contre toute
violation, fuite, publication d'informations privées ou attaque.
4.2 Généralité sur les réseaux informatiques
Les réseaux informatiques obéissent à un ensemble très bien organisé. On distingue les
réseaux sans fils et les réseaux filaires. Pour interagir entre eux, les équipements
implémentent un pack de langage.
4.2.1 Réseaux sans files
Un réseau sans fil est un réseaux informatiques numérique qui connecte différents postes
ou systèmes entre eux par ondes radio.
Un réseau sans fils (en anglais Wireless Network) est comme son nom l’indique, un réseau
dans lequel au moins deux terminaux peuvent communiquer sans le biais d’un fil ou câble.
A la base, les réseaux sans fils peuvent être vus comme un ensemble de technologies
permettant d’établir un réseau local sans l’utilisation du câblage pour les liaisons entre les
ordinateurs.
Grace aux réseaux sans fils, un utilisateur a la possibilité de rester connecter tout en se
déplaçant dans un périmètre géographique plus ou moins étendu, c’est la raison pour
laquelle on attend souvent parler de « mobilité ». Les réseaux sans fils sont basés sur une
liaison utilisant des ondes radioélectriques (radio et infrarouges) en lieu et place des câbles
habituels. Il existe plusieurs technologies se distinguant d’une part par la fréquence
d’émission utilisée ainsi que le débit et la portée des transmissions. Les principales
technologies permettant de développer des réseaux sans fils sont celles appartenant au
norme IEEE 802.11 parmi lesquelles on peut citer : Le mode Wifi, - La technologie
Bluetooth, - La technologie par infra-rouge.
On distingue habituellement plusieurs catégories de réseaux sans fils, selon le périmètre

géographie offrant une connectivité (appelé zone de couverture) :
 Le réseau personnel sans fil (appelé également réseau individuel sans fil ou réseau
domestique sans fil et noté WPAN pour Wireless Personal Area Network) concerne les

réseaux sans fil d'une faible portée : de l'ordre de quelques dizaines mètres. Exemple
Bluetooth.
 Un WLAN (Wireless Local Area Network) est un réseau local sans fil qui relie des
ordinateurs, des imprimantes, des scanners et d'autres appareils grâce à des points
d'accès, et permet généralement aussi de se connecter à Internet. Ce sont des réseaux
permettant de couvrir l’équivalent d’un réseau local d’entreprise, soit une portée
d’environ une centaine de mètres exemple du WIFI.
 Le réseau métropolitain sans fil (WMAN pour Wireless Métropolitains Area

Network), aussi connu sous le nom de Boucle Locale Radio (BLR), est une technologie
informatique pour le réseau. Les WMAN sont basés sur la norme IEEE 802.16, et
offrent un débit utile de 1 à 10 Mbit/s pour une portée de 4 à 10 kilomètres, ce qui
destine principalement cette technologie aux opérateurs de télécommunication.
WWAN (Wireless Wide Area Network), également appelé le haut débit mobile, offre un
accès Internet via un réseau de téléphonie mobile. Vous bénéficiez des avantages du haut
débit régulier, comme l'ADSL (de l’anglais Asymmetric Digital Subscriber Line)
 Ou le câble, et de la mobilité sans fil.
L'ADSL est une technologie d'accès à Internet qui tire parti des hautes fréquences de la
ligne téléphonique pour transmettre des données numériques à très haute vitesse.
Les principales technologies du WWAN sont les suivantes :
 GSM (Global System for Mobile Communications ou en français Groupe Spécial

Mobile)
 GPRS et EDGE (General Packet Radio Service)
 UMTS (Universal Mobile Telecommunications System)
 LTE (Long Term Evolution)
4.2.2 Réseaux filaires
Par définition, un réseau filaire est un réseau informatique qui permet d’interconnecter un
ensemble d’ordinateur entre eux et qui peuvent communiquer par le biais d’un câblage

physique. L’arrangement physique de ces éléments est appelé topologie. Pour ce faire on
distingue la topologie physique et la topologie logique.
4.2.3 Topologie réseaux
 La topologie physique
Elle peut être définit comme étant l'organisation physique du réseau, c'est-à-dire la
configuration spatiale du réseau. En d’autres termes la manière dont les équipements sont
connectés physiquement entre eux. On distingue généralement les topologies suivantes :
 La topologie en BUS (Voir Annexe 3)
Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans une
topologie en bus tous les ordinateurs sont reliés à une même ligne de transmission par
l'intermédiaire de câble, généralement coaxial appelé backbone. Le mot « bus » désigne la
ligne physique qui relie les machines du réseau.
 La topologie en ETOILEE (Voir Annexe 3)
Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système matériel
central appelé concentrateur (en anglais hub, littéralement moyen de roue). Il s'agit d'une
boîte comprenant un certain nombre de jonctions auxquelles il est possible de raccorder les
câbles réseau en provenance des ordinateurs. Celui-ci a pour rôle d'assurer la
communication entre les différentes jonctions.
 La topologie en ANNEAU (Voir Annexe 3)
Dans un réseau possédant une topologie en anneau, les ordinateurs sont situés sur une
boucle et communiquent chacun à leur tour. Les informations circulent toujours dans le
même sens. Chaque machine qui reçoit un message, le recopie immédiatement sur le
second câble.
 La topologie maillée
Une topologie maillée, est une évolution de la topologie en étoile, elle correspond à
plusieurs liaisons point à point.
 La topologie logique

La topologie logique, par opposition à la topologie physique, représente la façon dont les
données transitent dans les lignes de communication. Les topologies logiques les plus
courantes sont :
 Ethernet
 Token Ring
 FDDI
4.2.4 Protocoles réseaux
Un protocole réseau est un langage de communication utilisé sur un réseau informatique

ou un réseau de télécommunication pour la communication entre les diffèrent équipements
du réseau. On peut citer les protocoles suivants :
 IP (Internet Protocol) qui est le protocole de base du réseau interne.
 DNS (Domain Name System) Un système de noms de domaine, ou DNS, traduit

les noms de domaine lisibles par l'homme (par exemple www.amazon.com) en
adresses IP lisibles par une machine (par exemple, 192.0.2.44).
 TCP (Transmission contrôle protocole) : Le protocole TCP, ou protocole TCP/IP,

est un protocole de transfert de données qui permet à tous les appareils connectés
à Internet de communiquer entre eux
 ICMP (Internet Control Message Protocol) : Est un protocole qui permet le

contrôle des erreurs de transmission et aide au débogage réseau. En effet, comme le
protocole IP ne gère que le transport des paquets et ne permet pas l’envoie de mes-
sage d’erreur, c’est grâce à ce protocole qu’une machine émettrice peut savoir qu’il
a eu un incident de réseau.
 DHCP (Dynamic Host Configuration Protocol) est un protocole client/serveur qui

fournit automatiquement une adresse Internet Protocol (IP) et d’autres informations
de configuration pertinentes à un hôte IP (par exemple, masque de sous-réseau et
passerelle par défaut)
 FTP (File Transfer Protocol) est un protocole standard pour la transmission de fi-
chiers entre ordinateurs sur Internet par le biais de connexions TCP/IP.

 HTTP (Hypertext Transfer Protocol) est l'ensemble de règles régissant le transfert

de fichiers (texte, images, son, vidéo, et autres fichiers multimédias) sur le Web.
Dès qu'un utilisateur se connecte au Web et ouvre un navigateur, il utilise indirecte-
ment le protocole HTTP.
 UDP (User Datagram Protocol) : qui permet l’envoi des messages appelés data-
grammes en évitant le surcharge du réseau entre autres.
 TFTP (Trivial File Transfert Protocol) ou protocole simplifié de transfert de fichier

est un protocole simplifié de transfert de fichiers. Il fonctionne en UDP sur le port
69, au contraire du FTP qui utilise lui TCP. TFTP est très utilisé pour la mise à jour
des logiciels embarqués sur les équipements réseaux (Routeur, pare-feu, etc.) ou
pour démarrer un ordinateur à partir d’un carte réseau.
4.2.5 Faiblesses des réseaux
Les faiblesses des réseaux proviennent essentiellement du fait que les protocoles réseaux
n’aient pas été conçus avec une prise en compte des problèmes sécuritaire dès le départ. A
cela, se rajoute les faiblesses issues de l’erreur humaine. Ainsi, on peut classifier les
faiblesses réseaux comme suit :
 Faiblesses des protocoles : Les protocoles réseaux n’ont pas été conçus pour
contrecarrer les attaques de sécurité potentielles ; ainsi les protocoles réseaux ne
s’appuient pas sur une couche sécurité et offrent donc plus plusieurs vulnérabilités.
 Faiblesses d’authentification : La majorité des protocoles ne s’appuient sur aucun

mécanisme d’authentification. Ceci facilite les attaques se basant sur l’usurpation
d’identité comme « IP Spoofing »
 Faiblesses d’implémentations : Certains protocoles sont mal implémentés ou mal

programmés ce qui offre certaines vulnérabilités exploitables comme TCP/IP ou «
ping-of-the-death »
 Faiblesses de configuration : Beaucoup d’attaques sont due a l’erreur humaine qui

se manifeste par exemple par une mauvaise configuration de pare-feu, des serveur,
des routeur ou des switchs.

4.3 Généralité sur la sécurité informatique
Après connaissance de la définition de la sécurité informatique, il convient de comprendre

les critères établis à cet effet pour caractériser l’aspect sécuritaire d’un système
d’informatique. Ainsi la connaissance de ces critères permet d’identifier les risques et les
types de menaces que peut rencontrer un système informatique qui à leur tour permettent
de développer des stratégies et techniques de parade pour maintenir un système
informatique en toutes sécurité.
4.3.1 Critères de sécurité
Au niveau des critères de sécurité nous avons :
 Intégrité : Il s’agit ici de prévenir l’altération volontaire ou accidentelle d’une

donnée ou des services d’un système. Elle s’applique à la phase de communication
entre composants, au flux, au stockage des données (altérations de contenu) et au
système (détection d’intrusion).
 Confidentialité : La confidentialité des données doit être assurée lors d’échange de

données sensibles (mot de passe, données bancaires ou médicales.). Il s’agit de
garantir que des données acquises illégalement soient inutilisables. Les moyens
technologiques principaux pour mettre la confidentialité en œuvre reposent sur des
mécanismes de chiffrement qui permettent de protéger l’échange et le stockage des
données.
 Disponibilité : Le bon fonctionnement des services, systèmes et données doivent

être accessibles aux ayants droits en continu sans interruption, sans retard, ni
dégradation.
 Non-réputation : Cette fonction consiste à s’assurer que l’envoi et la réception

d’un message sont incontestables. L’émetteur ou le récepteur d’une donnée ne doit
pas être en mesure de nier son implication en cas de litige. Le moyen technologique
repose sur les certificats.
 Authenticité : L’authentification consiste à savoir lier, grâce à une caractéristique

discriminante (un mot de passe par exemple) une identité à une entité donnée d’un
système. Elle s’applique à l’utilisateur, à l’émetteur d’un message ou à l’auteur
d’un document.

4.3.2 Principales attaques
4.3.2.1 Attaques des réseaux
4.3.2.1.1 Man in the middle
Encore connu sous le nom de « L’attaque de l’homme du milieu », c’est une attaque qui a
pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre
ne puisse douter que le canal de communication entre elles a été compromis.
Figure 1:Man in middle
Source : https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
4.3.2.1.2 Balayage par port
Le balayage de port ou « Port scanning » en anglais, est une technique qui consiste à
rechercher les ports ouverts sur un serveur de réseau. Les pirates utilisent cette technique
pour tenter de trouver des failles dans les systèmes. Un balayage de port effectué sur un
système tiers est généralement considéré comme une tentative d’intrusion, car un balayage
de port sert à préparer une intrusion.
4.3.2.1.3 Attaque par rebond
Les attaques par rebond constituent une famille d’attaques de systèmes d’informatiques qui
consistent à utiliser un ou des systèmes intermédiaires, participant à leur insu, et permettant
à un assaillant de rester caché lors d’une intrusion.

Figure 2:Attaque par rebond
Source : https://fr.wikipedia.org/wiki/Attaque_de_l%27attaque par rebonu
4.3.2.1.4 Déni de service (DOS)
Une attaque de type Déni de service (Denial of Service en anglais) a pour effet de réduire
la disponibilité normale d’une application. Les attaques Dos revêtent deux formes :
1) L’invasion par surcharge, qui consiste à envoyer un nombre très élevé de messages
pour faire tomber un serveur ;
2) Le verrouillage, où la requête a pour effet de rendre les temps de réponse du

serveur extrêmement longs en consommant des ressources ou en rendant les
ressources indisponibles.
Ce type d’offensives peut se dérouler à n’importe quel niveau du modèle OSI. Elles sont
relativement faciles à orchestrer, mais difficiles à contrer.
Exemples :
• Envoi d’un trop grand nombre de requêtes simultanées au routeur.
• Envoi de requêtes qui provoquent le redémarrage du serveur ou des temps de réponse

très longs.
Solutions possibles
• Filtrage des paquets avec un pare-feu.

• Utilisation d’un programme d’équilibrage de charge pour réduire le nombre de requêtes

émanant d’une seule source.
• Utilisation de protocoles asynchrones pour gérer les requêtes demandant des calculs
intensifs avec une reprise des erreurs adaptée.
Figure 3: DDOS
Source : https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
4.3.2.1.5 Usurpation d’adresse IP
L’usurpation d’adresse IP également appelé mystificateur ou en anglais « IP Spoofing » est

une technique de piratage informatique qui consiste à envoyer des paquets IP en utilisant
une adresse IP source qui n’a pas été attribuée à l’ordinateur qui l’émet. Le but peut être de
masquer sa propre identité lors d’une attaque d’un serveur, ou d’usurper en quelque sorte
l’identité d’un autre équipement du réseau pour bénéficier des services auxquels il a accès.
4.3.2.2 Attaques des réseaux sans fils
4.3.2.2.1 Le Snifing
Le "sniffing" (ou "sniffage" in English) est une technique utilisée pour intercepter et
analyser le trafic réseau dans le but d'extraire des informations utiles. Cette pratique peut
être utilisée à des fins légitimes, telles que le dépannage de réseaux informatiques, mais
elle peut également être utilisée à des fins malveillantes, telles que l'espionnage ou le vol
de données.
Le sniffing consiste à capturer les paquets de données qui transitent sur un réseau, à l'aide
d'un outil appelé "sniffer". Le renifleur peut être un logiciel installé sur un ordinateur, ou
un équipement physique connecté au réseau. Les paquets concernés peuvent ensuite être

analysés pour extraire des informations telles que les adresses IP, les noms d'utilisateur, les
mots de passe, les identifiants de session, etc.
Il est important de noter que le sniffing peut être illégal dans certaines juridictions, en
particulier s'il est utilisé à des fins malveillantes. Il est donc essentiel de respecter les lois et
les règles applicables lors de l'utilisation de cette technique.
4.3.2.2.2 Le brouillage radio
Le brouillage radio est une technique utilisée pour interférer avec les signaux radio afin de
les rendre inintelligibles ou de les empêcher de fonctionner correctement. Cette technique
est utilisée à la fois à des fins militaires et civiles.
Le brouillage radio peut être effectué de différentes manières, notamment en émettant des
signaux radio sur les mêmes fréquences qu’utilisées par les communications radio que l'on
souhaite perturber. Les signaux émis par le brouilleur peuvent être plus forts que ceux des
communications normales, ce qui peut entraîner une interruption de la communication.
4.3.2.2.3 L’interception des données
L'interception de données est le processus de surveillance et de capture des données qui

circulent sur un réseau de communication, tel qu'internet. Cette pratique est souvent
associée à des activités de surveillance illégales ou malveillantes, comme le piratage
informatique ou l'espionnage.
Il existe plusieurs techniques pour intercepter les données, notamment l'installation de

logiciels malveillants, la capture de paquets sur un réseau Wi-Fi public non sécurisé,
l'utilisation de chevaux de Troie pour espionner les utilisateurs à distance, etc.
4.3.2.2.4 Le wardriving
Le wardriving est une pratique qui consiste à rechercher des réseaux Wi-Fi en utilisant un
dispositif mobile équipé d'un récepteur Wi-Fi. Cette pratique est souvent effectuée à des
fins de recherche ou d'audit de sécurité des réseaux Wi-Fi.
Le wardriving peut être utilisé pour détecter les réseaux Wi-Fi ouverts et non sécurisés,
ainsi que pour identifier les points d'accès sans fil qui sont vulnérables aux attaques. Les
personnes qui pratiquent le wardriving peuvent également utiliser des outils d'analyse pour

collecter des informations sur les réseaux Wi-Fi, telles que les adresses MAC, les noms de
réseau, les adresses IP et les configurations de sécurité.
4.3.2.3 Attaques du système d’exploitation
Les attaques du système d'exploitation sont des tentatives malveillantes de prendre le

contrôle ou de compromettre un système d'exploitation. Voici quelques exemples courants
d'attaques de système d'exploitation :
1. Virus - Un virus est un programme malveillant qui peut infecter un ordinateur ou un

réseau, se répliquer et causer des dommages importants. Les virus sont souvent
transmis via des fichiers ou des e-mails infectés.
2. Cheval de Troie - Un cheval de Troie est un programme défectueux qui se cache

dans un logiciel légitime et qui peut être téléchargé et installé par l'utilisateur. Une
fois installé, le cheval de Troie peut ouvrir une porte dérobée pour permettre aux
pirates informatiques de prendre le contrôle de l'ordinateur.
Il existe de nombreuses autres formes d'attaques de système d'exploitation, et il est

important de maintenir des logiciels et des systèmes d'exploitation à jour pour réduire les
risques d'attaques.
4.3.2.4 Attaques applicatives
Les attaques applicatives sont des attaques qui visent les applications web, mobiles ou de
bureau, en exploitant des vulnérabilités dans leur code ou leur infrastructure. Les attaques
applicatives peuvent être créées à distance par des pirates informatiques qui cherchent à
prendre le contrôle d'une application ou à voler des données sensibles. Certaines attaques
applicatives les plus courantes comprennent :
1. L'injection SQL : une attaque qui consiste à injecter du code SQL défectueux dans
une application pour accéder à des informations sensibles transférées dans une base
de données.
2. Les attaques de cross-site scripting (XSS) : une attaque qui consiste à injecter du
code malveillant dans une page web pour détourner les informations de l'utilisateur
ou voler des cookies de session.

3. L'injection de commandes : une attaque qui consiste à injecter des commandes

système dans une application pour effectuer du code malveillant sur le serveur.
4. L'usurpation de session : une attaque qui consiste à voler ou à imiter une session
d'utilisateur valide pour accéder à des données confidentielles ou effectuer des
actions malveillantes.
5. Les attaques de déni de service (DDoS) : une attaque qui consiste à surcharger
une application ou un serveur avec un grand nombre de requêtes pour le rendre
inaccessible aux utilisateurs légitimes.
Pour se protéger contre ces attaques, les développeurs doivent mettre en place des
pratiques de sécurité solides telles que le chiffrement des données, la validation des entrées
utilisateur et l'utilisation de pare-feu de sécurité. Les entreprises doivent également
effectuer des tests de sécurité réguliers pour détecter les vulnérabilités dans leur code et
leur infrastructure.
4.3.2.4.1 Exploit
Un exploit est un morceau de code ou une technique qui tire parti d'une vulnérabilité ou
d'une faiblesse dans un système, un logiciel ou une application pour obtenir un accès non
autorisé, effectuer des actions ou extraire des informations auxquelles l'utilisateur ne
devrait pas pouvoir accéder.
Les exploits peuvent être utilisés à des fins malveillantes telles que le vol de données
sensibles, la prise de contrôle d'un système ou d'un réseau, l'installation de logiciels
malveillants ou l'endommagement du système cible. Cependant, ils peuvent également être
utilisés à des fins légitimes telles que tester et améliorer la sécurité d'un système ou d'une
application.
4.3.2.4.2 Dépassement de Tampon
Le dépassement de tampon, également connu sous le nom de débordement de tampon

(buffer overflow en anglais), est une vulnérabilité de sécurité informatique qui survient
lorsqu'un programme tente d'écrire des données dans une zone de mémoire tampon (buffer)
qui n 'est pas assez grande pour contenir ces données. Si le programme n'a pas été
correctement conçu pour gérer cette situation, il peut causer des dommages sur le système,
voire permettre à un attaquant de prendre le contrôle de celui-ci.

Pour prévenir les dépassements de tampon, les programmeurs doivent suivre des bonnes
programmations sécurisées, telles que la vérification des entrées de l'utilisateur, l'utilisation
des fonctions de manipulation des chaînes de caractères sûres et la gestion appropriée de la
mémoire. Les systèmes d'exploitation modernes peuvent également inclure des protections
contre les attaques de dépassement de tampon, tels que des mécanismes de randomisation
de l'espace d'adressage ou des canaries de pile (stack canaries) qui permettent de détecter
les attaques avant qu’elles ne causent des dommages importants.
4.3.2.4.3 Un ShellCode
Un Shellcode est un code binaire qui représente une séquence d'instructions de langage
machine exécutables directement par un système d'exploitation ou par un programme. Les
shellcodes sont souvent utilisés dans les attaques de sécurité informatique pour exploiter
des vulnérabilités et exécuté du code malveillant sur un système cible.
Les shellcodes sont souvent écrits en langage assembleur, qui est ensuite compilé en un
code binaire exécutable. Le code binaire peut ensuite être intégré dans la mémoire d'un
processus en cours d'exécution ou exécuté directement en exploitant une vulnérabilité de
sécurité.
4.3.3 Techniques de parade aux attaques
4.3.3.1 Cryptographie
La cryptographie est l'étude des techniques de communication sécurisées dans des

situations où des tiers non autorisés peuvent intercepter, modifier ou falsifier des messages.
Le but de la cryptographie est de concevoir des méthodes pour protéger l'intégrité, la
confidentialité et l'authenticité des données en transit.
La cryptographie est largement utilisée dans la vie quotidienne, notamment pour sécuriser
les transactions en ligne, les échanges de courrier électronique, les communications
téléphoniques et les systèmes de paiement. Les algorithmes de cryptographie modernes
utilisent des techniques perfectionnées telles que la cryptographie à clé publique, la
cryptographie à courbe elliptique, la cryptographie quantique et la cryptographie
homomorphe pour protéger les données sensibles.
Cependant on distingue deux grands types de cryptographie qui sont :

4.3.3.1.1 Cryptographie symétrique
La cryptographie symétrique est une technique de cryptage dans laquelle une clé secrète
est utilisée pour à la fois chiffrer et déchiffrer les données. La clé de chiffrement et la clé
de déchiffrement sont identiques. Cette technique est également connue sous le nom de
chiffrement par clé secrète.
L'un des avantages de la cryptographie symétrique est qu'elle est rapide et efficace, car elle
utilise des algorithmes de chiffrement rapides qui peuvent chiffrer et déchiffrer des
données en temps réel. Cependant, un inconvénient majeur de la cryptographie
symétrique est la gestion de la clé secrète, car elle doit être partagée entre les parties
autorisées tout en protégée étant contre les parties non autorisées.
4.3.3.1.2 Cryptographie asymétrique
La cryptographie asymétrique est une méthode de cryptage où deux clés différentes sont
utilisées pour le chiffrement et le déchiffrement des données. Ces deux clés sont appelées
clé publique et clé privée. La clé publique est utilisée pour chiffrer les données, tandis que
la clé privée est utilisée pour les déchiffrer.
La cryptographie asymétrique est utilisée pour sécuriser les communications sur Internet,
notamment pour la sécurisation des transactions bancaires en ligne, des transactions
commerciales et de l'échange de courriers électroniques confidentiels. Elle est également
utilisée pour la gestion des clés dans les systèmes de sécurité.
4.3.3.2 Suite de sécurité IPsec
IPsec (Internet Protocol Security) est un protocole de sécurité de couche de réseau qui
permet de sécuriser les communications entre les réseaux distants en utilisant un tunnel
VPN (Virtual Private Network). IPsec utilise deux protocoles principaux : ESP
(Encapsulating Security Payload) et AH (Authentication Header).
En plus de ces protocoles, IPsec utilise également des clés de cryptage et d'authentification
pour garantir la sécurité des données. Il existe deux modes de fonctionnement pour IPsec :
le mode transport et le mode tunnel.
Le mode transport est utilisé pour sécuriser les communications entre deux hôtes, tandis
que le mode tunnel est utilisé pour sécuriser les communications entre deux réseaux.

IPsec est largement utilisé pour sécuriser les communications sur Internet, notamment pour
les VPN. Il est également utilisé pour sécuriser les communications entre les serveurs et les
clients, ou pour sécuriser les communications entre les serveurs distants.
4.3.3.3 Serveur proxy
 Un serveur proxy est un serveur situé entre une application cliente, telle qu’un
navigateur Web, et un serveur réel. Il intercepte toutes les demandes adressées au
serveur réel pour voir s’il peut répondre aux demandes lui-même. Sinon, il transmet
la demande au serveur réel.
 L’avantage d’un serveur proxy est son cache peut servir tous les utilisateurs. Si un
ou plusieurs sites Internet sont fréquemment demandés, ceux-ci se trouvent
probablement dans le cache du proxy, ce qui améliore le temps de réponse de
l’utilisateur.
 Un proxy peut également enregistrer ses interactions, ce qui peut être utile
4.3.3.4 Traduction d’adresse (NAT)
Son principe consiste à modifier l’adresse IP source ou destination, dans l’en-tête d’un
datagramme IP lorsque le paquet transite dans le pare-feu (proxy) en fonction de l’adresse
source ou de destination et du port source ou destination. Lors de cette opération, le pare-
feu garde en mémoire l’information lui permettant d’appliquer la transformation inverse
sur le paquet retour. La traduction d’adresse permet de masquer le plan d’adresse interne
(non routable) a l’entreprise par une ou plusieurs adresses routables sur le réseau externe
ou sur internet. Cette technologie permet donc de cacher le schéma d’adressage réseau
présent dans une entreprise derrière un environnement protégé.
4.3.3.5 Reverse proxy
Un reverse proxy est un serveur proxy qui reçoit des requêtes d'un client et les renvoie à un
ou plusieurs serveurs web en aval. Le serveur proxy agit comme un intermédiaire entre le
client et le serveur web, masquant l'existence et l'adresse du serveur en aval.
Les proxys inverses peuvent être utilisés pour diverses tâches, telles que la mise en cache
de contenu statique, la distribution de charge entre plusieurs serveurs, la sécurisation des

serveurs web en aval en cachant leur adresse IP et la protection contre les attaques par déni
de service distribué (DDoS).
4.3.3.6 Réseaux privés virtuels (VPN)
Un réseau privé virtuel (VPN) est un outil de sécurité qui permet de créer une connexion
sécurisée et cryptée entre deux ordinateurs distants, ou entre un ordinateur et un réseau
privé. Un VPN utilise un tunnel sécurisé pour transmettre les données entre les deux
moyens de la connexion, de sorte que les données soient protégées contre les regards
indiscrets et les tentatives d'interception.
Les VPN peuvent être utilisés sur différents types de réseaux, tels que les réseaux publics,
les réseaux privés ou les réseaux sans fil. Les VPN sont également couramment utilisés
pour sécuriser les connexions à Internet, en particulier lorsque l'on se connecte à un point
d'accès Wi-Fi public.
Il existe de nombreux fournisseurs de services VPN sur le marché, chacun avec ses propres
caractéristiques et fonctionnalités. Les VPN sont un outil important pour assurer la sécurité
et la confidentialité des données lorsqu'on se connecte à Internet ou à un réseau privé.
4.3.3.7 Sécurité physique des équipements
La sécurité physique vise à définir des périmètres de sécurité associés à des mesures de
sécurité de plus en plus strictes suivant la nature des équipements à protéger. D’une
manière générale, tout équipement réseau ou lié au réseau doit être situé dans des locaux
dédiés, réservés au personnel habilité (badge, clé, les cartes à puce, etc.). De plus, tous les
accès doivent être archivés à des fins d’investigation en cas d’incident de sécurité. Tout
local contenant des équipements de télécommunications doit être protégé des menaces
telles que l’humidité, le feu, les inondations, la température, le survoltage, les coupures de
courants etc. La localisation d’un tel local doit suivre des règles de sécurité précises. Il est
préférable qu’il ne soit ni au rez-de-chaussée ni au dernier étage d’un immeuble et qu’il ne
se situe pas dans une zone géographique réputée à risque (inondation, orage, etc.). D’autre
règles peuvent être définies selon les règles de l’entreprise, telle que le marquage des
matériels, un plan de maintenance pour les pièces de rechange, des normes de sécurité
centrales, etc.
La sécurité physique mérite que chaque entreprise s’y attarde, afin de définir une politique
de sécurité adaptée pour protéger ses équipements les plus critiques.
4.3.3.8 Intrusion Detection System (IDS)
« Intrusion Detection System », signifie système de détection d’intrusion. C’est un logiciel,

un matériel ou une combinaison des deux utilisé pour détecter l’activité d’un intru dans
réseau. Il existe plusieurs types d’IDS :
 NIDS : Network Intrusion Detection System
 HIDS : Hosted-based Intrusion Detection System
 Les systèmes de détection d’intrusion hybrides
Ces types d’IDS sont utilisés dans des environnement décentralisés. Ils centralisent les
informations en provenance de plusieurs emplacements (capteur) sur le réseau.
- ABIDS : Application Based Intrusion Detection System
- NNIDS : Network Node Intrusion Detection System
4.3.3.9 Intrusion prévention Systèmes (IPS)
Les systèmes de prévention d’intrusions sont des systèmes de détection d’intrusions

particuliers qui permettent, en plus de repérer les tentatives d’intrusion a un système, d’agir
pour contrer ces tentatives. En effet, les IPS constituent des IDS actifs qui tentent de
bloquer les intrusions. Tous comme les IDS, on distingue plusieurs types d’IPS :
 Les HIPS : « Host-based Intrusion Prevention System »
 Les NIPS : « Network Intrusion Prevention System »
 Les KIPS : « Kernel Intrusion Prevention System »
4.3.3.10 Pare-feu
Dans le langage informatique, un pare-feu est un logiciel ou un matériel de sécurité qui

peut surveiller et contrôler le trafic réseau, à la fois entrant et sortant. Il établit une sorte de
barrière entre les réseaux internes fiables et externes inconnus
Un pare-feu est un dispositif de sécurité qui surveille le trafic réseau entrant et sortant et
autorise ou bloque les paquets de données en fonction d’un ensemble de règles de sécurité.

L’objectif du pare-feu est de créer une barrière entre votre réseau interne et le trafic
provenant de sources externes (telles que Internet) afin de bloquer le trafic malveillant tel
que les virus et les pirates.
4.3.4 Enjeux et risques de la sécurité informatique
4.3.5 Politique de sécurisation d’un réseau informatique
La politique de sécurité définit un certain nombre de règles, de procédures et une bonne

pratique permettant d’assurer un niveau de sécurité conforme au besoin de l’organisation.
4.3.5.1 Objectifs de la politique de sécurité
4.3.5.2 Type de la politique de sécurité
 La politique qui interdit tout par défaut : dans cette approche, tout ce qui n’est pas
explicitement permis est interdit. Elle consiste à définir les services à autoriser
(SMTP pour l’hôte serveur de courrier, http pour l’hôte devant accéder au web) et
définir les droits de chaque utilisateur.
 La politique qui autorise tout par défaut : dans cette approche, tout est permis sauf
ce qui est considéré comme dangereux donc tout ce qui n’est pas explicitement
interdit est autorisé. Elle consiste à analyser les différents risques d’application qui
doivent s’exécuter, en déduire les interdictions à appliquer et autoriser tout le reste
Une politique de sécurité réseau couvre les éléments suivants :
 Sécurité de l’infrastructure : couvre la sécurité logique et physique des équipements

et des connexion réseaux, aussi bien internes que celles fournie par des fournisseurs
d’accès internet (FAI)
 Sécurité des accès : couvre la sécurité logique des accès locaux et distants aux
ressources de l’entreprise, ainsi que la gestion des utilisateurs et de leurs droits
d’accès au système d’informations de l’entreprise.
4.3.6 Outils de sécurité
L’achat des moyens de sécurité est dépendant de la politique de sécurité envisagée. Il peut
s’agir, d’une part, de l’achat de matériel pour l’interconnexion de réseau (LAN et WAN)
comme les routeurs, les passerelles et les ponts. Il peut s’agir également de l’achat de

logiciels de différents types tels que les relais de connexion, les relais d’applications, les
firewalls, etc. L’installation de ces produits nécessite des compétences spécifiques.
4.3.7 Mesure d’accompagnement de la politique de sécurité
4.3.7.1 Audits
La mise en place d’un système de sécurité nécessite la réalisation des audits dans le but de
détecter ses éventuelles vulnérabilités. Cela consiste à collecter et à analyser plusieurs
informations : login (connexion) et logout (déconnexion), tentatives de prises de droits de
l’administrateur, accès aux ports, serveur demandés, changements de droits, accès invité et
anonyme (anonymous), modifications des services, login échoué, etc.
4.3.7.2 Sauvegarde
Le sauvegarde de votre système est l’élément le plus important dans la mise en place d’une
politique de sécurité. Elle permet de reconstruire votre installation en cas d’intrusion. Il est
préférable qu’elle soit effectuée sur des supports variés (cartouche, CD Rom, disque dur
amovible, etc.).
5. Réseau de Innovant Technologie Sécurité
5.1 Présentation du réseau
Les équipements d’interconnexion représentent le cœur du réseau dans une architecture.

S’ils sont mal dimensionnés, ils pourront avoir des effets négatifs sur le trafic du réseau,
pouvant entrainer la détérioration de celui-ci. Dans notre cas d’étude, l’infrastructure du
réseau.
Le réseau informatique de Innovant Technologie Sécurité (ITS) est constitué :
 D’équipements terminaux : Comme équipements terminaux qui existent a ITS on

a : des postes de travail (Ordinateur de bureau, ordinateur portables), des téléphones
IP, des caméras de surveillance, des serveurs.
Figure 4: Image des équipements terminaux de ITS

 D’équipements intermédiaires : parmi les équipements intermédiaires de ITS, nous

avons : des routeurs, des points d’accès, et des switches.
Figure 5 : Image des équipements intermédiaire de ITS

Source : https://www.shutterstock.com/fr/search/pare-feu
 Des supports de communications qui sont :
 Des câbles UTP Catégorie 6 (cables Ethernet RJ45)
 De la fibre optique.
 Cable a paire torsadée
Figure 6:Image des supports de communication

Source : https://fr.rs-online.com/web/c/cables-cordons-et-fils/cables-informatiques/
5.2 Parc informatique et logiciel
L’entreprise ITS dispose d’un important parc informatique. En effet, pour son
fonctionnement efficient, les responsables ne lésinent pas à mettre les moyens financiers
pour acquérir du matériel de qualité.

5.2.1 Environnement client
Au niveau de l’environnement client, ITS dispose de :
- 04 ordinateurs de bureau de marque HP dont 03 équipés de processeur i5 et 01

équipés de processeur i3.
- 08 ordinateurs portables parmi lesquels :
 05 modèles de HP ProBook de core i5
 03 modèles de Asus de core i7
5.2.2 Environnement serveur
Au niveau de l’environnement serveur, l’entreprise dispose de :
- 01 serveur d’application
- 01 serveur de téléphonie IP
5.2.3 Logiciels utilisés
Le système d’exploitation WINDOWS 10 de Microsoft est le système d’exploitation qui

occupe l’ensemble des postes de travail de l’entreprise et sa version serveur est celle
installée sur les équipements serveur. Outre les systèmes d’exploitation on note la présence
sur certains postes les logiciels telles que : pacque tracer, les logiciels d’infographie telle
que Photoshop, Illustrator…
5.3 Architecture du réseau
Le réseau informatique de I.T.S est un réseau local qui est connecté à internet grâce à
l’ONATEL. ONATEL fournie également un accès au réseau téléphonie qui est lié à la
communication unifiée. Soit l’architecture suivante :

Figure 7 : Architecture du réseau d'innovante Technologie Sécurité
De l’architecture, nous avons déduis que l’architecture de Innovante Technologie Sécurité

présente une topologie en étoile. En effet tous les éléments du réseau sont directement
centralisés sur un seul équipement à savoir un switch de distribution. Ainsi toute
communication entre les équipements ne circule uniquement que par ce switch.
5.4 Analyse et Critique de l’existant
5.4.1 Etat des lieux de l’existant
Le personnel de ITS utilise le réseau informatique pour se connecter aux serveurs du

réseau local, et à internet. L’objectif étant de créer, lire, stoker, télécharger, ou modifier des
données. Ces données qui sont très importante pour le bon fonctionnement de l’entreprise
doivent être protégées de sorte à garantir leur sécurité. Ainsi il reste donc nécessaire de
définir cette sécurité des données par ses aspects essentiels qui sont ; la confidentialité, la
disponibilité, l’intégrité et un peu plus la traçabilité des activités qui y sont menés. Aussi,
l’accès en toute sécurité des données doit s’effectuer avec une vitesse optimale.
Autre élément important à prendre en compte dans ce réseau est son infrastructure.
L’infrastructure ici qui représente l’ensemble des équipements du réseau doit être protégée
et disposée de manière à permettre les interventions de maintenance avec un minimum de
risque possible.
A la suite de cette partie, l’implémentation d’un pare-feu étant, l’objectif de cette étude, il
conviendrait que nous nous intéressions aux aspects dits de sécurités des données, mais

ajouté à cela, il est aussi nécessaire de toucher à la sécurité de l’infrastructure de Innovante

Technologie Sécurité
 La confidentialité
Nous avons procédé à la vérification de la confidentialité sur deux (02) parties du réseau :
La partie logiciel et la partie infrastructure.
 Partie logicielle
Le réseau de l’entreprise est-il très vulnérable au piratage ?
Afin de répondre à cette question, nous allons premièrement réaliser un test de

vulnérabilité. Il s’agit ici de chercher à savoir si le réseau informatique est vulnérable
aux attaques pouvant compromettre la confidentialité.
- Test de vulnérabilité
Afin de connaitre le niveau de vulnérabilité des différents systèmes cibles, nous avons
utilisé l’outil nmap, qui nous a permis de scanner le réseau informatique. La commande
nmap plus l’adresse du reseau sur kali linux nous permet d’obtenir les résultats ci-
dessous.
Figure 8 : Résultat du scan du réseau

En plus d’avoir eu une liste des ports ouverts, nous avons également pu savoir les
différents services qu’ils utilisent, les adresses MAC de toutes les machines connectées.
Aussi, nous avons découvert l’adresse d’une potentiel cible ; un « serveur ».
Alors nous avons décidé de tester la connectivité avec la machine cible en faisant un ping
sur la cible. On obtient les résultats suivants :
Figure 9 : Résultat sur le ping de la machine cible
A partir des résultats précédents nous remarquons que notre machine attaquant arriver à
communiquer avec notre machine cible.
Pour avoir plus d’informations sur la liste des port et service ouvert nous avons taper la
commande nmap -Sv sur kali lunix :

Figure 10 : Résultat du scan
Pour avoir accès à la machine cible nous avons décidé de rechercher des vulnérabilités
dans une base de données concernant un des logiciels que la machine cible à installer.
Figure 11 : Résultat sur la recherche de vulnérabilité
Après avoir retrouvé des vulnérabilités concernant le logiciel, nous avons passé à
l’exploitation de la vulnérabilité.

Figure 12:Résultat de l’exploitation de la vulnérabilité
Nous avons réussi à avoir accès au machine cible, et a naviguant dans la machine cible
nous avons retrouvé une liste des travailleurs et certains dossiers.
Critiques : Nous venons de montrer ici que le réseau informatique d’innovante

Technologie Sécurité n’est pas sécurisé. En effet nous avons pu avoir des informations sur
les systèmes d’exploitation, sur les ports ouverts et les types de service qui tourne. C’est
une faille du système qu’une personne avec des mauvais intentions pourrait utiliser pour
compromettre le système d’information, et donc la confidentialité
 Partie physique
Il sera question pour nous de chercher à savoir s’il existe un système efficace contre les
vols.
Afin de protéger son infrastructure contre les vols et autres formes d’intrusion physique de
tierce personne à l’intérieur des locaux notamment au niveau des point névralgiques de
l’ensemble du système d’information à savoir la salle serveur et la deuxième (2 ème) salle
accueillant une baie d’interconnexion. Innovante Technologie Sécurité a mis en place un
système de vidéo surveillance et une grille d’antivol au niveau des fenêtres
Critique(s) : Le système contre les vols n’est pas efficace. Les caméras de surveillance et
une grille d’antivol ne suffisent pas.
 La disponibilité
Nous nous intéressons également ici à la partie logicielle et la partie infrastructure.
 Partie infrastructure
- Refroidissement
Il s’agit ici de vérifier si le système de refroidissement du local technique fonctionne.
Il existe un système de refroidissement dans le local technique c’est-à-dire au niveau de la

salle serveur pour prévenir la surchauffe des équipements, mais qui ne fonctionne plus
efficacement. Aussi au niveau de la salle abritant le relais d’extension du réseau pour le
bloc B, il existe un système de refroidissement mais non fonctionnel.
- L’eau, la poussière et le système de protection contre les vols
A la suite nous devrons dire, si le local est exposé aux vols pouvant rendre inaccessible des
services, et donc le rendre indisponible. Également nous devrons montrer si oui ou non le
local est exposé à l’eau ou à la poussière.
Nous avions déjà montré que la politique de protections contre les vols dans le local,
expose des insuffisances ;
Nous avions également constaté que le nettoyage de tous les locaux de l’entreprise est
assuré par un personnel de nettoyage. En effet, tous les matins, ce personnel a accès au
local technique. Ce personnel accède au local avec généralement du matériel standard de
nettoyage à savoir des seaux d’eau et sans outils spécifiques de nettoyage pour les espaces
comportant du matériel aussi sensible que les équipements réseaux. De ce constat, il
apparait un risque permanent de panne des serveurs et de certains équipements sous-jacents
dû à l’eau.
La poussière étant un facteur immense de détérioration de matériel, le nettoyage des locaux

permet d’éviter des dépôts significatifs sur le matériel. Sur ce, on peut affirmer que les
risques dus à la poussière sont négligeables au niveau de ITS.
 Partie logicielle
Est-ce que par le piratage, on peut compromettre la disponibilité des données de Innovante
Technologie Sécurité ?
Le réseau informatique est fortement vulnérable à des attaques comme par déni de service
distribué. En effet, il est sujet à des risques de contamination par virus. Ainsi, il peut servir

de BOTNET (Réseau d’appareil, infecté par des malwares) pour une attaque de déni de
service. Également, le réseau est grandement exposé aux zéro Day.
 L’intégrité
Est-ce que par le piratage, on peut compromettre facilement l’intégrité ?
ITS n’a pas de système de protection globale du réseau. Il est donc vulnérable aux attaques
des pirates, donc aux attaques pouvant affecter l’intégrité des données, comme celle de
l’homme du milieu.
 L’Authenticité
Les questions auxquelles on doit répondre, sont les suivants :
Est-ce qu’il existe des systèmes d’authentifications ?
Si oui, sont-ils forts ?
Pour aller plus loin dans nos recherches, nous avons tenté de nous introduire dans les
paramètres de configuration du point d’accès que nous avions trouvé par scanne, lors de
l’étude sur la confidentialité.
Nous avons pu nous introduire dans le système de configuration en insérant un nom

d’utilisateur et un mot de passe trop facile admin, admin soit la figure suivante :
Critique(s) : Il est urgent de revoir le système d’authentification des points d’accès.
5.4.2 Résumé de l’état de l’existant
- Au niveau du paramètre infrastructure
Le problème assez inquiétant que nous notons au niveau de l’infrastructure, est l’absence
d’un bon système de repérage. Exemple de la figure...

Figure 13 : Image d'une baie de connexion
Toujours au niveau de l’infrastructure, Innovant Technologie sécurité présente une grande

vulnérabilité à l’eau, il n’a pas une bonne topologie, il possède un groupe électrogène, mais
qui ne permet pas d’alimenter toute l’entreprise en cas de coupure.
- Au niveau logiciel
Innovant Technologie sécurité présente un sérieux problème de protection contre les

piratages et les virus : Il n’y a ni pare-feu, ni anti-virus sur la plupart des ordinateurs du
service.
La confidentialité, la disponibilité, l’intégrité, ont un niveau de risques très important.

Tous ces problèmes nous ont permis d’effectuer le cahier de charge suivant :
 Proposition d’une solution de sécurisation globale du réseau contre le piratage et

révision du système d’authentification des points d’accès ;
 Mise en place d’une politique de sécurité de l’entreprise ;

6. Etude du thème
6.1 Problématique
Le réseau internet de nos jours est incontournable et apporte beaucoup aux entreprises. En
plus de contribuer à faciliter les communications avec différents maillons du monde des
entreprises, du business, allant jusqu’au plus haut sommet de hiérarchie des états, il peut
être une porte sujette à des attaques. Ces attaques exposent les systèmes d’informatique des
différents maillons a de nouvelle forme de menace. Ainsi, le grand défi est la sécurisation
de l’ensemble du réseau informatique de ces structurations afin de garder un très bon
niveau de fiabilité du trafic sur le réseau.
Au cours de notre stage, nous avons décelé des insuffisances au niveau de la

confidentialité, de la disponibilité, de l’intégrité et de l’authenticité ce qui contribue à
croitre fortement les risques. Ainsi, ces observations nous conduisent à nous poser la
question suivante :
 Comment Innovant Technologie sécurité peut protéger efficacement les données de

son réseau informatique ?
A cette question d’ordre générale, il convient nécessaire de se demander :
- Qui doit avoir les droits de se connecter au réseau (filaire ou sans fil) ?
- Que fait-il sur le réseau ?
- Qui attaque le réseau et quand est ce que l’attaque a eu lieu ?
Dans la perspective de trouver une solution idoine a la problématique, il nous a été

demandé de faire une étude dans l’optique de mettre en place un pare-feu suivant un
principe de défense en profondeur.
6.2 Objectifs
Au regard des risques identifiés, notre projet poursuivra les objectifs suivants :
 Assurer la disponibilité des ressources réseaux : les informations et services sont

accessibles ;
 Assurer l’intégrité des données : L’information est authentique et exacte ;

 Journaliser quotidiennement les informations sur les utilisateurs qui se connecte
 Assure la traçabilité des opérations : possibilité de tracer l’intrus et de reconstituer

l’opération effectuée sur le système d’informatique.
6.3 Résultats attendus
A la fin de ce projet, un pare-feu doit être mise en place. Les solutions proposées en termes
de résultats attendus sont :
 Un outil capable de sécuriser l’ensemble du réseau contre le piratage ;
 Un outil capable de superviser l’activité des différents utilisateurs un outil de

détection et de prévention d’intrusion
 Un portail captif pour forcer les utilisateurs à s’authentifier avant l’accès à

l’internet.
6.4 Périmètre de l’étude
Notre projet s’inscrit dans le cadre d’une étude pour éventuelle implémentation dans le cas
où les résultats obtenus lors de l’étude sont concluants, c’est pour cela que toutes les
fonctionnalités (résultats attendus) du projet doivent être implémentées. Vus la
confidentialité et la portée des données et ressources de Innovant Technologie sécurité,
nous allons juste travailler avec les informations qui touchent à la sécurité informatique et
nous essayerons de garder certaines informations confidentielles pour mieux assurer la
sécurité de son réseau informatique. Notre projet a pour but d’assurer la s’sécurité du
réseau local de Innovant Technologie sécurité, mais peut également être implémenté dans
d’autres institutions, entreprises, organisations, qui désirent sécuriser leur système
informatique.
6.5 Méthodologie du travail
Après une étude et analyse poussée de notre situation, l’implémentation d’un pare-feu telle
que demandé par l’entreprise dès le départ est plus que nécessaire. Cette implémentation
aura pour but essentielle de contrôler l’accès au réseau. Pour ce faire, nous utiliserons la
démarche méthodologique suivante :
 Généralités sur les pares-feux dans le but de :

- Comprendre leur fonctionnement, les techniques et outils d’authentification, de

supervision et d traçabilité ;
- Une comparaison des solutions propriétaires et open sources disponibles afin de

confirmer le choix de l’entreprise ou d’en proposer un autre ;
 Présentation et déploiement de la solution retenue.
7. Conclusion partielle
Dans ce chapitre nous avons compris les différents concepts et leurs spécificités entrant
dans le cadre de l’étude de notre thème. Nous avons également pu toucher du doigt le cœur
du réseau informatique d’Innovante Technologie Sécurité, ce qui nous a permis de mieux
appréhender la situation pour proposer une solution pouvant prendre en charge la sécurité
des données de son réseau informatique.

DEUXIEME PARTIE : ELABORATION ET MISE EN PLACE DE LA SOLUTION

Chapitre 1 : Pare-feu (Firewall)
Chaque réseau informatique connecté à internet est susceptible d’être victime d’une
intrusion pouvant compromettre l’intégrité du système ou bien y altérer les données.
Ainsi, il est nécessaire, notamment pour les entreprises connectées à internet et les
internautes ayant une connexion de type câble ou ADSL, de se protéger des intrusions en
installant un système pare-feu.
Définition
Dans le langage informatique, un pare-feu est un logiciel ou un matériel de sécurité qui

peut surveiller et contrôler le trafic réseau, à la fois entrant et sortant. Il établit une sorte de
barrière entre les réseaux internes fiables et externes inconnus.
8. Fonctions d’un pare-feu
Un firewall dispose de plusieurs fonctions dont :
 Autorisation de connexion (allow) ;
 Bloquer la connexion (deny) ;
 Rejeter la demande de connexion sans avertir l’émetteur (drop) ;
 Autoriser ou interdire l’ouverture d’un service ;
 Utiliser un protocole ;
 Autoriser ou bannir une adresse IP source/destination ;
 Vérifier ou inspecter la conformité du trafic
9. LES 4 PRINCIPALES TOPOLOGIES DES FIREWALLS
9.1 Le filtrage de paquets par routeur
Le firewall le plus simple est un routeur qui filtre les paquets entre Internet et le réseau lo -
cal. Le routeur assure ses fonctions en ne distribuant que les paquets autorisés d'après les
règles de filtrage qu'on lui a indiqué. Généralement, les règles de filtrage sont définies de

manière à ce que les machines du réseau privé puissent avoir un accès direct à Internet,
tandis que les machines externes n'ont qu'un accès limité au réseau privé. La règle généra -
lement appliquée dans ce type de firewall est que l'on interdise tout pour ensuite n'autoriser
que certaines choses. Il est évident que l'on ne peut pas commencer par tout autoriser, pour
ensuite interdire certaines choses, car dans ce cas, le moindre oubli pourrait avoir de graves
conséquences. Ce genre de firewall a l'avantage de ne pas être très cher et d'être transparent
vis à vis des utilisateurs. Le risque de filtres mal configurés, ou bien d'attaques à travers
des services permis sont les deux choses les plus dangereuses. Pour éviter certain désagré-
ment chaque hôte externe doit clairement être identifié et l'on doit analyser régulièrement
le trafic pour éviter d'éventuelles attaques. Si quelqu'un arrive à pénétrer le routeur, c'est la
sécurité de l'ensemble du réseau privé qui est compromise.
Figure 14 : Filtre de paquets par routeur
Source : https://geekflare.com/fr/hardware-vs-software-cloud-firewall/
9.2 Le pseudo-serveur d'accueil
Ce deuxième type de firewall utilise un routeur filtre de paquet ainsi qu'un Bastion Host.
Ce type de Firewall renforce la sécurité car tout intrus désirant pénétrer le réseau privé doit
franchir le routeur et la machine Bastion Host. En effet on paramètre le routeur de façon à
ce que tout ce qui vient de l'extérieur soit dirigé obligatoirement vers la machine Bastion
Host, le reste étant obligatoirement bloqué. On peut aussi obliger les machines du réseau
interne à passer par le Bastion Host pour accéder à l'extérieur en n'autorisant sur le routeur
uniquement le trafic provenant du Bastion Host s'il s'agit d'une machine du réseau privé.
Cependant on peut autoriser certains utilisateurs à avoir un accès direct à internet, ce qui en
cas de négligence peut être une faille dans la sécurité.
Un des avantages de ce type de firewall réside dans le fait qu'un serveur public peut être
installé entre le routeur et le Bastion Host.

Figure 15 : Figure : pseudo-serveur
9.3 Le Dual-Homed Bastion Host
On augmente le niveau de sécurité en couplant le Bastion Host avec une passerelle. Le

principal avantage de ce système est qu'il n'y a pas de liaison directe entre le réseau public
et privé. Le Bastion Host étant la seule machine visible depuis Internet, il faut simplement
éviter de permettre aux utilisateurs internes de se connecter au Bastion Host pour éviter les
failles de sécurité.
Figure 16:Dual-Homed Bastion Host
Source:http://alois.aubel.online.fr/form/admin/firewall/firewall3.html/.
9.4 La zone démilitarisée
La zone démilitarisée (DMZ) peut être considérée comme un petit réseau s'intercalant entre
le réseau public et le réseau privé. On place les serveurs publics (WWW, FTP, etc.) à

l'intérieur avec le Bastion Host. Ils ne résident donc pas sur votre réseau, la DMZ est
configurée pour que les systèmes internes et externes ne puissent accéder qu'à certaines
choses, bien entendu le trafic direct à travers la DMZ est interdit.
Le trafic entrant est sécurisé une première fois par le routeur externe. Celui-ci est configuré
pour repousser l'IP spoofing et gère les accès internet vers la DMZ. Les utilisateurs
externes n'ont donc accès qu'au Bastion Host et aux serveurs publics de la DMZ. Le second
routeur autorise vers le réseau privé que ce qui provient du Bastion Host. Le routeur
externe n'acceptant vers internet que ce qui provient aussi du Bastion Host.
10.Avantages et inconvénients d'une DMZ
10.1 Les avantages :
- 3 systèmes à franchir pour pénétrer le réseau privé

- Seule la DMZ est visible de l'extérieur (routeur externe ne connaissant pas les
adresses paramétrées dans le routeur interne)
- Pas d'accès direct à Internet
- Pas besoin de Dual-Homed : trafic dirigé par les routeurs
10.2 Les inconvénients
- Coûts très élevés : matériels, temps passé...

- Complexité de mise en œuvre, de gestion
- Moins de transparence pour les utilisateurs
Figure 17:zone démilitarisée

Source : http://alois.aubel.online.fr/form/admin/firewall/firewall3.html/
Facteur à considérer pour l’implémentation d’un pare-feu. Lors de l'implémentation d'un

pare-feu, voici quelques facteurs à considérer :
1. Objectifs de sécurité : Déterminez les objectifs de sécurité que vous souhaitez

atteindre avec votre pare-feu. Cela peut inclure la protection contre les attaques de
réseau, la gestion des connexions à distance, la prévention des intrusions, etc.
2. Topologie réseau : Comprenez la topologie de votre réseau pour pouvoir définir la

zone délimitée par le pare-feu. Il est important de déterminer les zones critiques du
réseau pour lesquelles une protection supplémentaire est nécessaire.
3. Politique de sécurité : Établissez une politique de sécurité claire pour votre pare-
feu. Cette politique doit définir les règles pour le filtrage du trafic entrant et sortant
du réseau.
4. Matériel : Choisissez le bon matériel pour votre pare-feu. Les pares-feux matériels
offrent souvent des performances supérieures, mais ils peuvent être plus coûteux.
5. Logiciel : Choisissez le logiciel pare-feu qui répond le mieux à vos besoins en

matière de sécurité. Il existe des pare-feu open source ainsi que des solutions
commerciales.
6. Configuration : Configurez correctement votre pare-feu en fonction de vos besoins

en matière de sécurité. Il est important de suivre les bonnes pratiques pour
configurer un pare-feu efficace.
7. Formation : Formez les utilisateurs finaux sur les politiques de sécurité de votre
pare-feu. Les utilisateurs doivent être conscients des risques et des mesures de
sécurité appropriées pour maintenir la sécurité du réseau.
Outre les critères déterminer pour les besoins de l’entreprise, il devient convenable de faire
le choix de la catégorie de pare-feu ; s’agira-t-il d’un UTM (Unified Threat
Management)/NGFW (NextGen Firewall) ou d’un pare-feu classique.
10.3 Pare-feu UTM/NGFW
Les termes UTM (Unified Threat Management) et NGFW (NextGen Firewall) sont utilisés
par les constructeurs pour désigner ces nouvelles fonctions de sécurité multi-compétences.

De nos jours ces termes désignent des boitiers aux fonctionnalités très similaires, qui
incorporent des fonctionnalités IPS et de supervision applicative. Bien que ces deux (02)
termes fusionnent, il faut remarquer due les UTM caractérisent des appliances réseau
« entrée de gamme » créées par des acteurs plus connus pour leurs solutions anti-malwares
et destinés aux petites et moyennes entreprises gérant un nombre limité d’utilisateurs. En
revanche, le terme NGFW est le plus utilisé pour désigner des solutions d’entreprises
fortement focalisées sur les capacités en matière de bande passante dans le but de soutenir
des centaines d’utilisateurs.
10.4 Pare-feu classique
Les pares-feux classiques se contentent essentiellement de surveiller des ports, de bloquer

des paquets et parfois même de filtrer des URL/IPS. Ils agissent sur les basiques des
transferts réseaux.
11.Types de pare-feu
11.1 Pare-feu bridges
Ces derniers sont relativement répandus. Ils agissent comme de vrais câbles réseau avec la
fonction de filtrage en plus, d’où leur appellation de firewall. Leurs interfaces ne possèdent
pas d’adresse IP, et ne font que transférer les paquets d’une interface a une autre en leur en
leur appliquant les règles prédéfinies. En effet, quand une requête ARP est émise sur le
câble réseau, le firewall ne répond jamais et comme il ne fait que transmettre les paquets, il
sera totalement invisible sur le réseau. Cela rend impossible toute attaque dirigée
directement contre le firewall, étant donné qu’aucun paquet ne sera traité par ce dernier
comme étant sa propre destination. Donc, la seule façon de la contourner est de passer
outre ses règles. Toute attaque devra donc faire avec ses règles, et essayer de les
contourner. Comme tous les firewalls ce dernier contient des avantages et des
inconvénients :
 Avantages
 Peu couteux
 Inconvénients
 Possibilité de le contourner

 Configuration souvent contraignante
 Les fonctionnalité présentes sont très basiques (Filtrage sur adresse IP, port)
11.2 Pares-feux matériels
Ils sont intégrés directement dans la machine, ils font office de boite noire, et ont une
intégration parfaite avec le matériel. Leur configuration est souvent relativement ardue,
mais leur interaction avec les autres fonctionnalités du routeur est simplifiée par leur
présence sur le même équipement réseau. Souvent relativement peu flexibles en termes de
configuration, ils sont aussi peu vulnérables aux attaques. De plus, étant souvent très liés
au matériels, l’accès à leur code est assez difficile. Leur administration est souvent plus
aisée que les firewalls bridges. Et leur niveau de sécurité est de plus très bon sauf
découvert de failles éventuelles comme dans tous firewalls.
 Avantages
 Intégré directement dans la machine.
 Administration relativement simple
 Inconvénients
 Dépendant du constructeur pour les mises à jour.
 Souvent peu flexibles car seules les spécificités prévues par le constructeur du
matériel sont implémentées
Figure 18 : Modèles de pare-feu matériels

Source : https://www.google.com
11.3 Pares-feux logiciels
Présents à la fois dans les serveurs et les routeurs, ils peuvent être classés en plusieurs
catégories :
11.3.1 Pares-feux personnels
Ils ont pour but de sécuriser un ordinateur particulier, et non pas un groupe d’ordinateurs.
Souvent payants, ils peuvent être contraignants et quelque fois sécurisés. En effet, ils
s’orientent plus vers la simplicité d’utilisation plutôt que vers l’exhaustivité, afin de rester
accessible à l’utilisateur final
11.3.2 Pare-feu plus
Tournant généralement sous linux, ils ont le même comportement que les firewalls
matériels des routeurs, à ceci près qu’ils sont configurables à la main.
12.Différents types de filtrage
12.1 Filtrage simple de paquet
Pendant la communication réseau, un nœud transmet un paquet qui est filtré et mis en
correspondance avec des règles et des politiques prédéfinies. Une fois apparié, un paquet
est accepté ou refusé. Le filtrage de paquets vérifie les adresses IP source et de destination .
12.2 Filtrage dynamique de paquet
Le filtre de paquets avec état ou (Statefull Packet Filtering) est la méthode de filtrage la
plus simple, elle opère au niveau de la couche réseau et transport du modèle OSI. La
plupart des routeurs d’aujouurd’hui permettent d’effectuer du filtrage simple de paquet.
Cela consiste à accorder ou refuser le passage de paquet d’un réseau a un autre en se basant
sur :
 L’adresse IP Source/Destination.
 Le numéro de port Source/Destination.
 Le protocole de niveaux 3 ou 4 du modèle OSI

12.3 Filtrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application. Il

opère au niveau de la couche application du modèle OSI, il suppose une connaissance des
protocoles utilisés par chaque application sur le réseau, et notamment de la manière dont
elles structurent les données échangées. Un firewall effectuant un filtrage applicatif est
appelé passerelle applicative ou proxy, car il sert de relais entre deux réseaux en
s’interposant et en effectuant une validation fine du contenu des paquets échangés. Le
proxy représente donc un intermédiaire entre les machines du réseau interne et le réseau
externe, subissant les attaques à leurs places.
13.Les limites de protection des pares-feux
La sécurité d'un réseau ne dépend pas uniquement de la mise en place d'un firewall et de la
configuration de ce dernier. En effet un firewall :
 Ne protège pas des attaques qui le contourne (Liaison avec un provider, assurée par
un modem installé sur une machine du réseau local)
 Ne prévient pas des virus se trouvant dans des fichiers lors d'un transfert, ou à la ré-
ception de mails infectés.
 Ne protège pas des utilisateurs imprudents qui peuvent injecter des fichiers infectés,
ou copier du réseau local des informations sur des supports amovibles (clé USB).
Afin de garantir un niveau de protection maximal, il est nécessaire d’administrer le pare-
feu et notamment de surveiller son journal d’activité afin d’être en mesure de détecter les
tentatives d’intrusion et les anomalies. Par ailleurs, il est recommandé d’effectuer une
veille de sécurité (en s’abonnant aux alertes de sécurité) afin de modifier le paramétrage de
son dispositif en fonction de la publication des alertes.
13.1 Conseil pour le déploiement d’un pare-feu en entreprise
Sans vouloir être exhaustive, voici quelques directives contribuant à sécuriser un

environnement internet :
 Un pare-feu doit être protégé et sécurisé contre des accès non autorisés.
 Tous les trafics entrants et sortant doivent passer par le pare-feu ;
 Seul le trafic défini par la politique de sécurité comme étant valide et autorisé peut
traverser le pare-feu ;
 Si les données du réseau interne sont vraiment sensibles, il faut alors accéder à
internet par des machines détachées du réseau interne ;
 Un pare-feu n’est pas un anti-virus, il faut donc le protéger de manière

complémentaire contre des infections virales.
NB : Un pare-feu ne peut pas protéger l’environnement à sécuriser contre des attaques ou

des accès illicites qui ne passent pas par lui. Il n’est d’aucune efficacité en ce qui concerne
des délits perpétrés à l’intérieur de l’entreprise.
13.2 Présentation des principales technologies de pare-feu sur le marché
On retrouve sur le marché une variété de solutions pare-feu, parmi lesquelles, des
« Appliance » (matériels et logiciels déjà prêt pour l’usage) et des logiciels (qui nécessitent
une installation et configuration). Il faut également noter que certains pares-feux sont
propriétaires et d’autres viennent du monde des logiciels libres. Dans cette partie, pour être
en phase avec la demande de l’entreprise sur la mise en place d’un pare-feu notamment
FortiGate, nous nous pencherons sur la catégorie de pare-feu idéal pour l’entreprise,
ensuite nous verrons si le choix de l’entreprise porté sur la solution FortiGate peut prendre
en considération les différents aspects de la sécurité de son réseau tout en tenant compte de
l’ensemble de ses moyens et de ses attentes.
Innovant Technologie Sécurité, de par sa taille, sa notoriété et son domaine d’action

nécessite une protection de haut niveau. Cette protection aura pour but de protéger
l’ensemble de son réseau du monde extérieur avec un seul dispositif physique. A cet effet,
nous recommandons l’utilisation au sein de l’entreprise un UTM/NGFW.
Pour donner de la pertinence a la présentation des principales technologies sur le marché et

d’en faire une comparaison, nous nous sommes basés sur les travaux du Gartner Magic
Quadrant qui est une analyse poussée des acteurs d’un secteur technologie donnée. Ce
critère d’analyse poussé est la propriété d’une société américaine de conseil dénommée
GARTNER et qui publie chaque année les résultats de ses analyses dans plus de 100

secteurs technologues dont celle des constructeurs des matériels hauts de gamme dans la
sécurité informatique.
Pour comparer les UTM/NGFW, il est important de rechercher les différences existantes
entre les pare-feu nouvelles générations. Parmi ces différences, nous avons les critères
suivants :
 Performance ;
 Capacité d’intégration de produit de sécurité tiers ;
 Facilité de blocage des menaces ;
 Fonction supplémentaire telles que la visibilité des applications et la protection

cloud ;
 Tarification
13.2.1Comparaison des principales Technologies
Selon le Gartner Magic Quadran, les cinq principales technologies de pare-feu

UTM/NGFW sur le marché en 2023 son : CISCO Firepower de Cisco ; FortiGate de
FORTINET ; PA-series de Palo Alto networks ; SRX firewall series Juniper Networks ;
Checkpoint.
 Cisco Firepowe
Cisco Firepower est une solution de sécurité réseau avancée développée par Cisco
Systems. Il s'agit d'une plate-forme intégrée qui combine des fonctionnalités de pare-feu
(firewall) de nouvelle génération, de prévention des intrusions (IPS), de détection des
malwares, de surveillance du réseau et de gestion des menaces en temps réels.
Cisco Firepower offre une visibilité complète sur le trafic réseau, permettant de détecter et
de bloquer les menaces potentielles. Il utilise une approche de sécurité basée sur des
politiques qui permet aux administrateurs de définir des règles granulaires pour contrôler le
trafic entrant et sortant.
En plus de la protection contre les menaces traditionnelles, Cisco Firepower intègre

également des fonctionnalités de détection et de blocage des malwares. Il utilise des
techniques d'analyse avancées pour identifier les fichiers malveillants et les logiciels
malveillants en temps réel, contribuant ainsi à une meilleure sécurité globale.

La plate-forme Firepower offre également des fonctionnalités de surveillance du réseau, ce

qui permet aux administrateurs de visualiser le trafic en temps réel, de détecter les
anomalies et d'investiguer les incidents de sécurité. Elle offre des tableaux de bord intuitifs
et des rapports détaillés pour une meilleure compréhension de l'état de sécurité du réseau.
Figure 20:Cisco firepower 1140

Figure 19:cisco firepower 2100
Source : www.fortinet/image.net
 FortiGate
FortiGate est une solution de pare-feu développée par Fortinet, une société spécialisée dans
la sécurité réseau. FortiGate est une plate-forme de sécurité réseau complète qui intègre
plusieurs fonctionnalités avancées pour protéger les réseaux d'entreprise contre les
menaces.
Le pare-feu FortiGate offre une protection contre les attaques en filtrant et en contrôlant le
trafic entrant et sortant du réseau. Il utilise des règles de pare-feu personnalisables pour
autoriser ou bloquer le trafic en fonction de critères spécifiques tels que l'adresse IP, le port
ou le protocole. Cela permet aux administrateurs de définir des politiques de sécurité
strictes pour protéger le réseau contre les attaques externes.
FortiGate propose également des fonctionnalités avancées de prévention des intrusions

(IPS) pour détecter et bloquer les attaques ciblant les vulnérabilités connues. Il utilise
régulièrement une base de données de signatures mise à jour pour identifier et bloquer les
tentatives d'exploitation.
En plus du pare-feu et de l'IPS, FortiGate intègre d'autres fonctionnalités de sécurité telles

que la protection contre les malwares, le filtrage web, la protection contre les attaques de
déni de service (DDoS) et la sécurisation des communications VPN. Ces fonctionnalités

permettent de renforcer la sécurité globale du réseau et de protéger les données sensibles

des entreprises.
FortiGate offre également une gestion centralisée à travers un contrôleur de gestion qui
permet aux administrateurs de gérer plusieurs appareils FortiGate à partir d'une seule
interface. Cela simplifie la gestion et la configuration des pares-feux dans les
environnements réseaux complexes.
Figure 22:Figure : FortiGate 712F Figure 21:Figure : Fortigate-200E
Source : www.fortinet/image.net
 PA-SERIES :
Le pare-feu PA-Series, ou Palo Alto Networks PA-Series, est une solution de sécurité
réseau avancée développée par Palo Alto Networks. Il offre une protection complète et
hautement personnalisable contre les menaces réseau et les attaques potentielles.
Le PA-Series fonctionne en inspectant le trafic réseau à plusieurs niveaux, en utilisant des

fonctionnalités de pare-feu traditionnelles ainsi que des technologies de prévention des
intrusions (IPS), de filtrage des applications, de détection des malwares et de chiffrement
SSL/TLS.
L'une des caractéristiques clés du PA-Series est sa capacité à identifier et à contrôler le

trafic des applications de manière granulaire. Il utilise une technologie appelée App-ID
pour identifier les applications en utilisant des méthodes de reconnaissance avancées, ce
qui permet aux administrateurs de définir des politiques de sécurité spécifiques aux
applications.
En plus de la visibilité et du contrôle des applications, le PA-Series intègre également des

fonctionnalités avancées de prévention des menaces. Il dispose d'une base de données de
signatures de menaces toujours mise à jour pour détecter et bloquer les attaques connues,
ainsi que des fonctionnalités de détection de comportement anormal pour identifier les
nouvelles formes de malwares et les activités suspectes.
Le pare-feu PA-Series offre également des fonctionnalités de chiffrement SSL/TLS,

permettant d'inspecter le trafic chiffré pour détecter les menaces et les activités
malveillantes qui pourraient être dissimulées dans les flux chiffrés.
Figure 23 : Palo alto Networks serie PA-5200 serie
 SRX Firewall Series

La série de pare-feu SRX est une gamme de dispositifs de sécurité réseau développés par
Juniper Networks. Ces pares-feux offrent des capacités avancées de protection contre les
menaces, de segmentation du réseau et d'application des politiques pour les réseaux
d'entreprise et de fournisseur de services.
La série de pare-feu SRX se compose de plusieurs modèles, dont les SRX100, SRX210,
SRX220, SRX240, SRX550, SRX650 et le SRX5800 haut de gamme. Chaque modèle
offre différents niveaux de performances et d'évolutivité pour répondre aux besoins des
différents environnements réseau.
Certaines des fonctionnalités clés de la série de pare-feu SRX incluent le pare-feu

dynamique, la prévention des intrusions, la prise en charge VPN, l'identification et le
contrôle des applications, le filtrage de contenu et la prévention avancée des menaces. Ces
fonctionnalités sont conçues pour protéger les réseaux contre un large éventail de menaces,
notamment les logiciels malveillants, les virus, les attaques par déni de service et d'autres
types de cyberattaques.
En plus de ses fonctionnalités de sécurité, la série de pare-feu SRX prend également en

charge une variété de protocoles réseau, notamment IPv4, IPv6, BGP, OSPF et MPLS.
Cela en fait une solution polyvalente pour les environnements de réseautage traditionnels
et définis par logiciel.

Dans l'ensemble, la série de pare-feu SRX est une solution de sécurité réseau puissante et
flexible qui peut aider les organisations à protéger leurs actifs critiques contre un large
éventail de cybermenaces.
Figure 24:Figure : Image des SRX
Source : https://www.juniper.net/image/
 CHEKPOINT
Checkpoint propose un pare-feu de nouvelle génération (NGFW) offrant une protection

avancée pour les réseaux informatiques. Ce pare-feu combine les fonctionnalités
traditionnelles d'un pare-feu avec des capacités avancées de prévention des intrusions, de
détection des logiciels malveillants, de filtrage de contenu et de contrôle des applications.
Le pare-feu Checkpoint utilise une approche basée sur les politiques pour sécuriser les
réseaux. Les administrateurs peuvent définir des règles de sécurité précises pour contrôler
le flux du trafic, en fonction de critères tels que les adresses IP, les ports, les protocoles, les
utilisateurs et les applications.
Figure 25 : Image d’un pare-feu checkpoint

BLEAUX RECAPITULATIF DES FONCTIONNALITES DES DIFFERENTES

TECHNOLOGIES
Tableau 2 : Fonctionnalité des principaux technologies leaders du marché
Fonctionnalité Cisco Fortinet Paloalto Juniper Check Poin
Performance et polyvalence de la solution

Performance
Processeur
Application contrôle &
DLP
Cloud/On Premise
Sandboxing
QoS & Traffic Shaping
Intégration de produit de sécurité tiers

Advanced SD WAN &
VLAN
Wan Optimination
Plateforme de gestion de
sécurité à distance
Mobile sécurity &
Endpoint
Blocage de menaces
Accelerated Firewall
ipv4 ipv6
SSL & IPsec VPN
(+ADVPN)
Dynamic Web
Filtrering
QoS & Traffic Shaping
IPS & IDS

13.3 Choix de la technologie FortiGate
Après avoir exploré les solutions de différents constructeurs leader du marché de la

sécurité des données, le choix de l’entreprise porté sur FortiGate est à même de pouvoir
prendre en charge l’aspect dit de la sécurité des données de son réseau informatique. Effet,
en plus des fonctionnalités communes et des performances d’avec les autre concurrents, les
boitiers FortiGate se distinguent des autres par leur nombre de processeur. La plupart des
boitiers des autres concurrents ont un seul processeur (CPU) tandis que FortiGate a quatre
processeurs qui sont :
- NP : chargé du traitement du networking, du VPN
- CPU : traitement de base
- CPS : chargé des IDS & IPS
- SoC : qui permet d’optimiser les traitements
Ce qui permet de soulager le CPU, en diminuant les latences dues aux processus
simultanés des traitements ; préserve l’espace et consomme moins d’énergie même dans
les plus hautes gammes. De plus, pour les domaines virtuels flexibles, FortiGate offre les
fonctionnalités créer plusieurs firewalls virtuels déconnectés les unes des autres d’où
chacun a des fonctionnalités avec ses propres interfaces pour la création des règles.
Il intègre la solution Security Fabric ; en effet cette solution permet de d’interconnecter

les équipements de fabrication de Fortinet (Fortiweb, Forticlient, FortiADC…) pour avoir
une large vision et un contrôle de ce qui se passe en entreprise même si elle est immense et
étendue sur plus d’un site.
14.Conclusion partielle
Nous avons vu que le domaine de la sécurité informatique notamment celui de la

protection des données des entreprises est caractérisé par une variété de constructeur qui
intègrent dans leurs différentes gammes des fonctionnalités importantes pour prendre en
charge et gérer les différents aspects de la sécurité. Ainsi parmi ces constructeurs, cinq (5)
grands noms sortent du lot à savoir CISCO, FORTINET, Palo Alto, Juniper et Checkpoint.
Au regard de ces constructeurs susmentionnés, Fortinet apparait comme une solution

pouvant prendre en charge les différents aspects de la sécurité du réseau informatique de

Innovant Technologie Sécurité.
Chapitre 2 : Mise en place de la solution FortiGate
FortiGate est une des solutions de la célèbre firme américaine FORTINET. Cette solution
est principalement dédiée à la sécurité informatique des entreprises. Il s’agit d’un pare-feu
muni de nombreuses fonctionnalités intégrées s’adaptant aux petites, moyennes et grandes
entreprises tout comme aux plateformes et data center. FortiGate représente la solution
phare des plateformes de sécurité réseaux de la marque FORTINET, elle peut être
également intégrer de manière virtuelle grâce à la gamme « Virtual Appliance ».
Dans ce chapitre nous verront premièrement une présentation des différents types de
fortiGate, deuxièmement les règles de sécurité, troisièmement une simulation de
l’implémentation de fortiGate, et nous terminerons par la proposition de la nouvelle
architecture du réseau.
15.Présentation de FortiGate
On distingue pour la solution FortiGate une variété de gamme parmi lesquelles :
 Les entrées de gamme : qui sont de mini boitiers (UTM) contenant parfois des
antennes wifi constituées des 30-50 series et des 60-90 series;
Figure 26:Image d’un FortiGate d’entrée de gamme
 Les milieux de gamme : ce sont les plus vendus des produits FortiGate
généralement pour les petites t moyennes entreprises (NGFW). Ils sont constitués
des 100-500 series et des 600-900 series ;

Figure 27 : Image d’un FortiGate milieux de gamme
Source : https://www. Fortinet.com/

 Les hauts de gammes et des châssis : représentés par de grand boitier pour les
1000-5000 séries et châssis constitués des 5000 – 7000 sériés. Ils sont constitués
des et sont destinés aux data center ou aux opérateurs ;
Figure 28:Image d'un FortiGate haute de Gamme

Source :https://www. Fortinet.com/
15.1 Aperçu des fonctionnalités de FortiGate
La solution FortiGate implémente une très grande variété de fonctionnalité au rang

desquelles :
 Accelerated Firewall ipv4
 SSL & IPsec VPN (+ADVPN)
 Dynamic Web Filtrering
 Application contrôle & DLP
 IPS & IPS
 Wan Optimisation (cache, explicit proxy, wanop)
 Cloud/On PrimiseSandboxing
 QoS& Traffic Shaping

 Identity & Device Azareness
 Advanced SD WAN & VLAN
 Mobile security & Endpoint control
15.2 Choix du modèle de FortiGate
De ce qui précède, nous avons su que FortiGate est classifié en différentes gammes. Ces
gammes sont proposées en fonction des besoins des sites à sécuriser. Elles différent
également de par leurs performances et des fonctionnalités qu’elles embarquent. Ainsi le
dimensionnement pour le choix du type de boitier se fera en fonction de la taille de
l’entreprise et de ses besoins. A cet effet il s’agira de répondre à un certain nombre de
questions à savoir :
1. Nombre d’utilisateurs connectés au réseau, internes et distants. Nombre estimé

d’appareils / BYOD
2. Y a-t-il des serveurs auxquels les utilisateurs se connectent via le fortigate,

considérez chaque serveur comme +10 utilisateurs.
3. Y a-t-il des serveurs accessibles à distances, c’est-à-dire utilisés pour télécharger

des fichiers, des serveurs web (pour la DMZ)
4. Nombre d’interfaces requises est-il nécessaire de disposer de commutateurs

supplémentaires pour étendre les interfaces, gérer les points d’accès, etc.
5. Bande passante de connexion, à la fois en liaison montante et en liaison

descendante. S’agit-il d’une implémentation SD-WAN
Le tableau suivant nous montre les différentes réponses aux questions ci-dessus, dans le
cas de Innovant Technologie Sécurité :
Tableau 3 : Dimensionnement pour le choix du boitier FortiGate
Numéro correspondant à la Réponses

question
1 30
2 01 Serveurs (15 utilisateurs)
3 Non (en perspectives)
4 Non
5 Non

En conclusion :
 Innovante Technologie Sécurité a besoin d’un boitier pouvant gérer au moins 50

utilisateurs ;
 Innovante Technologie Sécurité utilisera probablement une DMZ, dans les années à
venir ;
 Innovante Technologie Sécurité n’a aucune implémentation SD-WAN.
En fonction des différentes réponses, nous avons choisi le boitier FortiGate 80E. Il permet
de gérer entre 40 et 80 utilisateurs et comporte un port pour la DMZ. (Pour plus
d’information sur les choix des boitiers et les caractéristiques de série 80E voire l’annexe).
16.Proposition des règles de sécurité
En fonction des problèmes liés à la sécurité que nous avons rencontrés, nous proposons les
règles des sécurités suivantes :
- Réaliser des critères et actions pare-feu (Filtrage) : Effectuer des règles

d’autorisation, à partir des adresses IP, des utilisateurs, ou des machines.
- Configurer l’authentification : Il est important ici d’ajouter un portail captif. Cela

nous permettra non seulement de renforcer la sécurité mais aussi de gérer la bande
passante.
- Configurer les loging et monitoring : permet de surveiller le trafic, et

diagnostiquer les problèmes. Chaque anomalie comme les spams, ou requêtes
indésirables ou non autorisées, seront enregistrés : on parle de journalisation ;
- Configurer le web filtering : Cela permettra d’interdire les sites inutiles.
- Configurer le contrôle applicatif : Dans notre cas, il consistera à bloquer les

applications Facebook, tiktok et autres. Aussi, il est possible ici de bloquer les
scanne du réseau.
- Configurer l’IPS et le DDOS
 IPS (Intrusion Detection System) est le système de détection d’intrusion

qui sert à détecter et prévenir les menaces identifiées.

 La configuration DDOS (Distruted Denial of Service) permet au pare-feu

de protéger le réseau contre les attaques par déni de service.
- Configuration de l’antivirus qui permettra une protection globale contre les virus.
- Configurer une solution de protection contre les attaques par messagerie
- Configuration du proxy : cela permettra de sécuriser et d’améliorer l’accès à

certaines pages web en stockant des copies (ou caches), en filtrant certains web et
logiciels malveillants tout en renforçant l’anonymat de ses utilisateurs.
17.Simulation
17.1 Présentation du LABS
Figure 29 : Lab d'expérimentation
17.2 Installation de FortiGate
Pour l’installation de FortiGate, nous avons utilisé une machine virtuelle VMWARE dans
laquelle nous avons créée :
- Une machine hote windows 10 ;
- Une machine windows 10 représentant notre poste de configuration qui sera

branché sur le port1 de notre FortiGate ;
- FortiGate- VM 64 FortiOS 7.0 ici qui représente notre appliance FortiGate 80E
Le processus de l’installation donne les images suivantes :

Figure 30 : Installation du boitier 80E de fortiGate
La configuration du port1 de configuration de notre FortiGate en interface ligne de

commande est effectuée dans l’ordre des commandes suivantes :
- Config system interface
- Edit port1
- Set mode static
- Set ip 192.168.1.250/24
- Set allowacces ping http https ssh
- End
Puis à partir du poste de configuration, nous lançon dans notre navigateur l’adresse fixée
192.168.1.250 ce qui affiche l’image d’accueil suivant.
Figure 31 : Interface d'accueil FortiGate 72

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN
Par défaut Username = admin et Password = admin
17.3 Configuration de base de FortiGate
Pour effectuer la configuration, nous nous sommes loggés selon les paramètres
d’identifiant et mot de passe que nous avons enregistré avant la configuration du port1 en
ligne de commande. Ce qui nous conduit à l’accès du tableau de bord selon la figure
suivante :
Figure 32 : Tableau de bord de FortiGate
17.3.1Configuration des interfaces
Dans le but de pouvoir appliquer les règles de bases qui nous permettrons d’expérimenter
les critères de sécurité de notre FORTIGATE, nous devons configurer des interfaces.
Ainsi pour rester en phase avec les éléments de notre lab, nous avons configuré en plus
port1, le port2 et le port3 cette fois sur la partie graphique de notre FORTIGATE en
suivant l’étape interfaces>port2 pour appliquer les permissions administratives du port, son
rôle et éventuellement le renommer pour identifier les machines sur ce port. Dans notre cas
nous l’avons appelé IT Sécurité.

Figure 33: Image de la configuration de l’interface du port 2
C’est aussi le cas du port3 qui constitue dans notre cas notre réseau WAN
selon la figure suivante :
Figure 34 : Image de configuration du port 3

17.4 Expérimentation d’un critère de sécurité
Pour la première configuration, nous avons choisi de présenter l’expérience de la règle de

sécurité selon, laquelle, la connexion n’est acceptée que pour un ensemble de machine (ou
une machine) donnée.
Dans le cas de Innovante Technologie Sécurité, nous proposons d’autoriser uniquement

pour un certain nombre d’adresse IP, correspondant à celle des collaborateurs. Cela a pour
avantage d’optimiser la bande passante, et de sécuriser le réseau.
Dans l’expérimentation qui suit, nous allons mettre en place une règle qui autorise puis une
autre qui interdit l’accès au service web.
 Autorisation du service Web
Pour effectuer cette règle, nous sommes allés sur Policy & Objects > Firewall Policy. On
a obtenu l’interface suivante :
Figure 35:Interface de la liste des règles de sécurité
Nous avons ensuite cliqué sur Create New et avons obtenu l’interface suivante :

Figure 36:Interface de configurations des règles et actions de sécurités
Ensuite, nous avons indiqué que toutes les requêtes (services web) venant du port2 (LAN)
allant au port3 (WAN) doivent être acceptées. Soit la figure suivante nous illustrant cela :
Figure 37 : Configurations de la règle d’accès au Service Web
Après avoir configuré la règle, on clique sur OK, et on obtient l’interface sur
la figure suivante :
Figure 38 : Figure : Liste des règles et actions
Nous sommes ensuite passés au test. Soit la figure suivante :

Figure 39 : Résultat d’accès de l’hôte au service Web
 Interdiction du service
De la même manière que pour l’autorisation, nous allons interdire l’accès à l’hôte, au
service Web. Ici, l’action a activé sera DENY. Soit la figure suivante :
Figure 40 : Configuration de la règle d’interdiction au Service Web
Nous avons ensuite vérifié la configuration sur la machine d’hôte. Soit la figure suivante :

Figure 41 : Résultat d’interdiction de l’hôte au Service Web
18.Nouvelle architecture
Les solutions proposées jusqu’ici, nous permettent déjà de présenter la

nouvelle architecture du réseau. Soit la figure suivante.
Figure 48 : Architecture finale
19.Conclusion
De ce qui précède, nous avons pu expérimenter la configuration de notre solution et nous

avons également effectué des tests dur les fonctionnalités essentielles de notre FortiGate.
L’étude de la mise en place de la solution nous a surtout permis de pouvoir dégager un
planning pour sa mise en œuvre d’un budget estimatif pour sa mise en place effective.
Conclusion générale
Tout au long de ces trois (03) mois de stage au sien de Innovant Technologie Sécurité, nous
avons été guidés, accompagnés et encouragés, par l’ensemble du personnel, cela nous a
permis de nous intégrer facilement, de comprendre très rapidement et d’avoir plus de
confiance en nous et en nos compétences. Aussi, nous avons pu effectuer avec aisance,
notre travail portant sur : <<La sécurisation du réseau informatique de Innovant
Technologie Sécurité avec FortiGate>>. En effet, nous avons pu déceler des problèmes
cruciaux, lesquels nous ont conduit à proposer des solutions adaptées avec un planning
d’exécution des travaux, et une estimation du cout de l’implémentation des solutions.
La réalisation de ce rapport de stage, nous a permis de mieux comprendre la sécurisation

d’un réseau informatique et d’approfondir mes connaissances sur la sécurité informatique
et le réseau informatique de façon générale. Ainsi les journées de stage à Innovant
Technologie Sécurité ont été riches en découverte et en apprentissage. Nous avons appris
tant sur le plan relationnel que sur le plan technique, car l’expérience vécu chaque jour en
observant ou en faisant parti de certaines situations était unique. Nous envisageons pour la
suite de notre carrière, de continuer à apprendre dans le domaine de la sécurité, en suivant
des formations (Python, Ruby, Ethical hacking, …), et en cherchant des certifications
comme la certification CCNA, les certifications de Fortinet, la certification Ethical hacking
(ou CEH), …) Par la suite, un Master nous permettant de découvrir et d’apprendre de
nouvelles choses dans le domaine de la sécurité, pourrait nous intéresser.
Les solutions proposées à l’entreprise augmentent considérablement le niveau de fiabilité

du réseau de Innovant Technologie Sécurité. La réalisation de ces solutions coute une
somme de 2 502 900 FCFA. (Deux million cinq deux mille neuf cent Francs CFA)
La réalisation de ce projet, a permis de rendre plus sur le niveau de sécurité du réseau

informatique de Innovant Technologie Sécurité, mais pas à 100%. Il est toujours important
de chercher à améliorer son système de protection. Par exemple, dans notre cas, la
disponibilité des données pourrait probablement être renforcée en exploitant la solution
<<Cloud>>, ajouté à cela, un renforcement de la protection des accès au niveau des locaux
de l’entreprise et une optimisation du réseau informatique. Innovant Technologie Sécurité
pourrait insérer la veille technologique dans son entrepris

Bibliographie
[B1] Rapport de fin de cycle de BASSINGA Bagnomo Dawonègnè Marc
[B2] Rapport de fin de stage de OUEYIGA Abouga Gilbert
ETUDE D’UN SYSTEME DE SUPERVISION RESEAU AVEC EYESOFNETWORK
Webographie
https://www.fortinet.com; le 28 mai 2023 ; 09h
https://www.paloaltonetworks.com/products/secure-the-network/next-generationfirwall/
par-220;
https://vmvare.com; le 03 juin 2023 ; 14h
https://www.kali.org le 10 juin 2023 ; 10h
https://www.cisco.com le 10 juin 2023 ; 20h
https://www.juniper.net;le 11 juin 2023 ; 16h
https://www.checkpoint.com; le 20 juin 2023 ; 13h
http://www.editions-eni.com; le 08 juillet 2023 ; 14h
Tableau 4 : Glossaire
Appliance Solution matérielle plus logiciel développé par un constructeur

Blackhat Hackers mal intentionnés sur le net
Blowfish Algorithme de chiffrement symétrique par bloc conçus par Bruce Schneider

Bug Défaut de conception d’un programme informatique a l’origine d’un

dysfonctionnement
Cloud L’informatique en nuage, correspond à l’accès à un service informatique via internet à
partir d’un fournisseur
Forkbomb Une forme d’attaque par déni de service contre un système informatique utilisant la
fonction fork
Login Procédure que doit exécuter un utilisateur pour accéder à un ordinateur ou à un
système informatique
Openstack Ensemble de logiciel open source permettant de déployer des infrastructures de cloud
computing
Probe C’est une sonde utiliser pour collecter des données à partir de périphériques SNMP,
envoyer des commandes à des dispositifs, et de communiquer avec le serveur
principal
Sniffer Dispositif qui capture les données qui transitent sur le réseau informatique
Vmware Technologie qui permet la création d’une ou plusieurs machines virtuelles au sein
d’un même système d’exploitation
Spoofing Consiste à envoyer des paquets IP depuis une adresse IP source qui n’a pas été
attribué à l’ordinateur qui les émet
Worm Un ver en Français. C’est un logiciel malveillant qui se reproduit sur plusieurs
ordinateurs en utilisant un réseau informatique comme internet
Zero day Dernières vulnérabilités de sécurité détectées que les cybercriminels peuvent utiliser
pour attaquer les systèmes

ANNEXE
- Annexe 1 : Planning d’exécution des travaux et estimation financière
- Annexe 2 : Images des principales topologies pour les réseaux filaires

- Annexe 3 : Images des techniques de parade aux attaques
- Annexe 4 : Spécification technique du pare-feu FortiGate 80E

Tableau 5 : Planning d'exécution des travaux
ACTIVITE (S) DUREE

(En jour)
Présentation du projet 1
Validation provisoire de l’architecture globale, de la méthodologie de 5
déploiement de la solution
Présentation de la méthodologie de déploiement et des solutions et 1
validation définitive
Réception des équipement informatiques 30
Aménagement des locaux techniques A et B 8
Installation et configuration des switchs d’accès et de distributions 8
Installation et configuration du pare-feu 8
Refonte du système de repérage 7
Vérification de toute l’installation 3
TOTAL 71
Tableau 6 : Estimation financière
DESIGNATION Prix unitaire Nombre Prix total

FortiGate 80E Licence (3 ans) 1 400 000 1 1 500 000
Cable Ethernet de 1 m 3000/m 2 6 000
Main d’œuvre - - 1 250 000
TOTAL 2 756 000
Ce devis estimatif tient compte des équipements d’interconnexion qui sont déjà disponible
au niveau de Innovant Technologie Sécurité. Pour le cas d’une autre entreprise voulant
mettre en place la solution, cette présente estimation peut être revue à la hausse.

Annexe 2
Images des principales topologies pour les réseaux filaires
Figure : Topologie en bus
Figure : Topologie en étoile
Figure : Topologie en anneau

Annexe 3
Images des techniques de parade aux attaques
Figure : Principe de fonctionnement d’un proxy
Figure : Principe de fonctionnement du NAT
Figure : Principe de fonctionnement du reverse-proxy
Figure : Principe de fonctionnement d’un VPN

Annexe 4
Spécification technique du pare-feu fortiGate 80E

Table des matières
Dédicace.................................................................................................................................1
Remerciement........................................................................................................................ 2
Liste des tableaux...................................................................................................................3
SOMMAIRE.......................................................................................................................... 7
Introduction générale............................................................................................................. 9
PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE........................................... 10
Chapitre 1 : Présentation de la structure de formation et de la structure d’accueil..............11
1. INTRODUCTION PARTIELLE...................................................................................11
Présentation de Sup ’Management Burkina......................................................................... 11
Historique et filières de formation........................................................................................11
Sup’ management Burkina offre deux pôles de formation à savoir :................................... 12
2. Présentation de Innovante Technologie Sécurité.......................................................... 13
3. Fiche d’identification et ressources.............................................................................. 13
3.1 Ressources.............................................................................................................14
3.2 Prestations..............................................................................................................14
3.3 Services..................................................................................................................14
4. Conclusion partielle...................................................................................................... 14
Chapitre 2 : Généralité et étude de la sécurité du réseau de Innovant Technologie Sécurité
..............................................................................................................................................15
1.1 Définition des concepts réseaux informatiques et sécurité informatique..............15
1.2 Généralité sur les réseaux informatiques...............................................................16
1.2.1 Réseaux sans files.......................................................................................... 16
1.2.2 Réseaux filaires.............................................................................................. 17
1.2.3 Topologie réseaux.......................................................................................... 18
1.2.4 Protocoles réseaux..........................................................................................19
1.2.5 Faiblesses des réseaux....................................................................................20
1.3 Généralité sur la sécurité informatique..................................................................20
1.3.1 Critères de sécurité.........................................................................................21
1.3.2 Principales attaques........................................................................................22
1.3.2.1 Attaques des réseaux.................................................................................. 22
1.3.2.1.1 Man in the middle.................................................................................22
1.3.2.1.2 Balayage par port..................................................................................22
1.3.2.1.3 Attaque par rebond................................................................................22

1.3.2.1.4 Déni de service (DOS)..........................................................................23

1.3.2.1.5 Usurpation d’adresse IP........................................................................24
1.3.2.2 Attaques des réseaux sans fils.................................................................... 24
1.3.2.2.1 Le Snifing............................................................................................. 24
1.3.2.2.2 Le brouillage radio................................................................................25
1.3.2.2.3 L’interception des données....................................................................25
1.3.2.2.4 Le wardriving........................................................................................25
1.3.2.3 Attaques du système d’exploitation............................................................26
1.3.2.4 Attaques applicatives..................................................................................26
1.3.2.4.1 Exploit...................................................................................................27
1.3.2.4.2 Dépassement de Tampon...................................................................... 27
1.3.2.4.3 Un ShellCode........................................................................................28
1.3.3 Techniques de parade aux attaques................................................................ 28
1.3.3.1 Cryptographie.............................................................................................28
1.3.3.1.1 Cryptographie symétrique.....................................................................28
1.3.3.1.2 Cryptographie asymétrique...................................................................29
1.3.3.2 Suite de sécurité IPsec................................................................................29
1.3.3.3 Serveur proxy............................................................................................. 30
1.3.3.4 Traduction d’adresse (NAT)....................................................................... 30
1.3.3.5 Reverse proxy.............................................................................................30
1.3.3.6 Réseaux privés virtuels (VPN)................................................................... 31
1.3.3.7 Sécurité physique des équipements............................................................31
1.3.3.8 Intrusion Detection System (IDS).............................................................. 32
1.3.3.9 Intrusion prévention Systèmes (IPS)..........................................................32
1.3.3.10 Pare-feu...................................................................................................32
1.3.4 Enjeux et risques de la sécurité informatique................................................ 33
1.3.5 Politique de sécurisation d’un réseau informatique....................................... 33
1.3.5.1 Objectifs de la politique de sécurité........................................................... 33
1.3.5.2 Type de la politique de sécurité..................................................................33
1.3.6 Outils de sécurité............................................................................................33
1.3.7 Mesure d’accompagnement de la politique de sécurité................................. 34
1.3.7.1 Audits......................................................................................................... 34
1.3.7.2 Sauvegarde................................................................................................. 34
2. Réseau de Innovant Technologie Sécurité.................................................................... 34
2.1 Présentation du réseau........................................................................................... 34
2.2 Parc informatique et logiciel................................................................................. 35
2.2.1 Environnement client..................................................................................... 36
I

2.2.2 Environnement serveur.................................................................................. 36

2.2.3 Logiciels utilisés.............................................................................................36
2.3 Architecture du réseau...........................................................................................36
2.4 Analyse et Critique de l’existant........................................................................... 37
2.4.1 Etat des lieux de l’existant............................................................................. 37
2.4.2 Résumé de l’état de l’existant........................................................................ 43
3. Etude du thème............................................................................................................. 45
3.1 Problématique........................................................................................................45
3.2 Objectifs................................................................................................................ 45
3.3 Résultats attendus.................................................................................................. 46
3.4 Périmètre de l’étude...............................................................................................46
3.5 Méthodologie du travail........................................................................................ 46
DEUXIEME PARTIE : ELABORATION ET MISE EN PLACE DE LA SOLUTION......48
Chapitre 1 : Pare-feu (Firewall)........................................................................................... 49
Introduction partielle............................................................................................................49
1. Définition......................................................................................................................49
2. Fonctions d’un pare-feu................................................................................................49
3. LES 4 PRINCIPALES TOPOLOGIES DES FIREWALLS......................................... 49
3.1 Le filtrage de paquets par routeur..........................................................................49
3.2 Le pseudo-serveur d'accueil.................................................................................. 50
3.3 Le Dual-Homed Bastion Host............................................................................... 51
3.4 La zone démilitarisée.............................................................................................51
4. Avantages et inconvénients d'une DMZ....................................................................... 52
4.1 Les avantages :...................................................................................................... 52
4.2 Les inconvénients.................................................................................................. 52
4.3 Pare-feu UTM/NGFW...........................................................................................53
4.4 Pare-feu classique..................................................................................................54
5. Types de pare-feu..........................................................................................................54
5.1 Pare-feu bridges.....................................................................................................54
5.2 Pares-feux matériels.............................................................................................. 55
5.3 Pares-feux logiciels............................................................................................... 56
5.3.1 Pares-feux personnels.....................................................................................56
5.3.2 Pare-feu plus...................................................................................................56
6. Différents types de filtrage............................................................................................56
6.1 Filtrage simple de paquet.......................................................................................56
6.2 Filtrage dynamique de paquet............................................................................... 56
J

6.3 Filtrage applicatif...................................................................................................57

7. Les limites de protection des pares-feux.......................................................................57
7.1 Conseil pour le déploiement d’un pare-feu en entreprise......................................57
7.2 Présentation des principales technologies de pare-feu sur le marché....................58
7.2.1 Comparaison des principales Technologies................................................... 59
7.3 Choix de la technologie FortiGate.........................................................................65
Chapitre 2 : Mise en place de la solution FortiGate.............................................................66
2. Présentation de FortiGate..............................................................................................66
2.1 Aperçu des fonctionnalités de FortiGate............................................................... 67
2.2 Choix du modèle de FortiGate.............................................................................. 68
3. Proposition des règles de sécurité.................................................................................69
4. Simulation.....................................................................................................................70
4.1 Présentation du LABS...........................................................................................70
4.2 Installation de FortiGate........................................................................................70
4.3 Configuration de base de FortiGate.......................................................................72
4.3.1 Configuration des interfaces.......................................................................... 72
4.4 Expérimentation d’un critère de sécurité...............................................................73
5. Nouvelle architecture....................................................................................................77
6. Conclusion.................................................................................................................... 77
Conclusion générale.............................................................................................................78
Bibliographie.........................................................................................................................A
Webographie..........................................................................................................................A
ANNEXE...............................................................................................................................C
Table des matières................................................................................................................. H

Rapport de Stage - 5

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport de Stage - 5

Transféré par

Droits d'auteur :

Formats disponibles

BURKINA-FASO

MINISTERE DE L’ENSEIGNEMENT SUPERIEUR Unité-Progrès-Justice

Rapport de stage de fin de cycle

ETUDE ET SECURISATION D’UN RESEAU INFORMATIQUE

Stage effectué a Innovant Technologie Sécurité du 03 Mai au 04 Aout 2021

Professeur de suivi : Maitre de stage :

Année Académique 2022-2023

A mes frères et sœurs,

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 1

Je remercier M. KONVELBO W-I Elisée le responsable de Innovante Technologie

Merci à mon professeur de suivi Mr SEBEOGO Raga pour sa simplicité, et les

Enfin, je remercie l’ensemble du personnel de Innovante Technologie Sécurité

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 2

Liste des tableaux

Tableau 1: Fiche d'identification de Innovante Technologie Sécurité.........................................4

Tableau 2:Fonctionnalité des principaux technologies leaders du marché...............................57

Tableau 3:Dimensionnement pour le choix du boitier FortiGate..................................................62

Tableau 5:Planning d'exécution des travaux................................................................................D

Tableau 6:Estimation financière....................................................................................................D

Tableau 7:Taches effectuées............................................................................................................E

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 3

Liste des figures

Figure 1:Man in middle................................................................................................................14

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 4

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 5

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 6

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 7

1.3.7 Mesure d’accompagnement de la politique de sécurité.................................36

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 8

5.3.1 Pares-feux personnels.....................................................................................58

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 9

Dans le cadre de l’obtention du diplôme d’ingénieur des travaux en ingénierie des

Comment sécuriser les données du réseau informatique de Innovante Technologie Sécurité

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 10

PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 11

Chapitre 1 : Présentation de la structure de formation et de la structure

Nos études de fin du premier cycle demandent la réalisation d’un stage en

Présentation de Sup ’Management Burkina

Sup’ management Burkina est une école supérieure de management, de commerce et

Sup’ management Burkina, école supérieure de renommée internationale, a pour

Sup’ management assume pleinement sa dimension internationale par l’organisation d’un

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 12

Sup’ management Burkina offre deux pôles de formation à savoir :

❖ Finance Management ❖ Ingénierie Financière

❖ Management International ❖ Ingénierie Commerciale

❖ Marketing – Communication ❖ Management des Projets

❖ Management des Projets ❖ Management des Ressources

❖ Management des Ressources ❖ Banque et Microfinance

❖ Banque et Microfinance ❖ Management des opérations logistiques

❖ Droit des Affaires & Fiscales ❖ Eco-Management Environnemental

❖ Management Touristique & Hôtelier ❖ Management de la Communication

des entreprises et des institutions

2ème pôle : Ecole d’ingénierie (School of Engineering)

❖ Ingénierie des Systèmes d’Information ❖ Ingénierie des Systèmes d’Information

❖ Ingénierie des Systèmes et Réseaux ❖ Ingénierie des Systèmes et Réseaux

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 13

2. Présentation de Innovante Technologie Sécurité

Dans le but de participer au développement des systèmes d’information, d’intégrer les

3. Fiche d’identification et ressources

Le tableau ci-dessous nous présente la fiche d’identification de la structure d’accueil.

Tableau 1 : Fiche d'identification de Innovante Technologie Sécurité

RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 14