Memoire Online - Couplage des sites distants pour la gestion d'un système d'information en temps réel: cas du FONER

Mémoire présenté et défendu en vue de l'obtention d'un titre de licencié en Informatique de Gestion,

« Car l'Eternel donne la sagesse ; de sa bouche sortent la connaissance et l'intelligence » Roi Salomon

Cet ouvrage paraît être l'endroit idéal pour exprimer mes vifs remerciements, car ceci ne peut être l'oeuvre d'une seule personne.

C'est pourquoi, nous remercions tout d'abord l'Eternel mon berger, qui m'a toujours fait du bien et qui a joué pleinement son rôle du berger tout au long de ma formation ; qu'à lui seul soient la gloire et l'honneur pour l'éternité...

Nous voudrions ensuite remercier tous ceux qui, pour leurs idées, leurs collaborations, leurs soutiens ou leurs relectures, ont participé de près ou de loin à la réalisation de cet ouvrage, en particulier mon Directeur, Monsieur le Professeur Docteur, Ingénier. JP. MBIKAYI MPANYA.

Nous exprimons aussi notre pleine gratitude au P.O M'VIBUDULU KALUYIT, au P.O Emmanuel KANGA MATONDO, aux Professeurs MIS Alphonse Christian IVINZA LEPAPA, MAKINDU, MAPHANA, KOLA, aux Chefs de Travaux I.r DISONAMA et Alex NKUSU. Nous attestons qu'ils ont constitué le socle même de notre formation académique en Licence.

A mon Chef, Madame la D.G.A, Georgine SELEMANI TULIA, à mes frères et collègues de service, Fred KAMPIKA et Mike MULUMBA pour leurs encouragements.

En fin, une mention particulière à ma très chère épouse Caroline LEMBE LINGONGO, à mes enfants chéries : Fidéldie VUAVU-MBUMBA LINGONGO, Béni-David VUAVU-PAMBU LINGONGO et...

Nous vous souhaitons beaucoup de plaisir et d'attention soutenue tout au long de la lecture de cet ouvrage.

LISTE DES FIGURES

Figure n°18 : Configuration du serveur; Étape 2

Figure n°19 : Configuration du serveur; Étape 3

Figure n°20 : Configuration du serveur; Étape 4

Figure n°21 : Configuration du serveur; Étape 5

Figure n°22 : Connexion au serveur; Étape 1

Figure n°23 : Connexion au serveur; Étape 2

Figure n°24 : Connexion au serveur; Étape 3

Figure n°25 : Connexion au serveur; Étape 4

Figure n°26 : Logiciel client VPN

Figure n°27 : Implémentation des protocoles IPsec

LISTE DES TABLEAUX

LISTE DES ABREVIATIONS

INTRODUCTION GENERALE

A l'heure actuelle, les entreprises doivent désormais faire face à un nombre croissant d'utilisateurs. Que ce soit des concessionnaires, télétravailleurs ou autres. Mais aussi à des sites distants tels les filiales qui ont besoin d'accéder à leurs informations. Où que résident celles-ci et quelle que soit la méthode pour les récupérer, les entreprises ont besoin d'un accès sécurisé, fiable et à un prix faible.

De plus, l'Internet est de plus en plus utilisé par les entreprises et véhicules donc des données sensibles. Contrôler strictement l'accès au site ne suffit plus, il est nécessaire de sécuriser les données en transit sur Internet, qu'elles soient à destination d'autres sites de l'intranet ou bien à destination de sites de l'extranet, afin d'empêcher qu'elles ne soient interceptées ou corrompues sur le réseau.

L'internet reste jusqu'aujourd'hui, la technologie qui nous permet d'être en contact informatique avec une masse d'utilisateurs globale et hétérogène. La gestion sécuritaire de cette technologie est devenue une préoccupation majeure pour les entreprises modernes. Ainsi, les entreprises qui utilisent l'internet pour le partage des informations continuent à rencontrer des difficultés quant à la sécurisation des données.

Quelles sont alors les technologies et méthodes qui doivent être utilisées par les entreprises pour la gestion sécuritaire des informations ?

Dans le cas d'une entreprise multi sites, comment peut-ont faire pour assurer la sécurité des données lors de la communication entre deux ou plusieurs sites ?

Lors de la mise en place d'une interconnexion entre deux ou plusieurs sites, quels sont les éléments à envisager pour arriver à la mise en place d'une interconnexion fiable et à faible coût ?

On ne peut interconnecter que des sites possédant des réseaux opérationnels. Toute fois, si ces sites ne disposent pas encore des réseaux ou si ces réseaux ne s'adaptent pas à l'évolution de la modernité et au niveau de la sollicitation, comment faudra-t-on procéder pour palier à ce problèmes ?

En ce qui concerne le Fonds National d'Entretien Routier, il a huit sites, don quelques un seulement procèdent des réseaux locaux avec accès à l'internet, la communication entre ces sites ne se fait que par la messagerie électronique. Pour des données sensibles, on utilise les méthodes traditionnelles de communication (documents saisies, téléphones,...) afin de sécuriser les informations. Ces méthodes non fiables, sont lentes, coûteuses et n'assurent pas aussi la sécurité comme on le pense ; mais plutôt occasionnent la perte ou la détérioration de l'information. C'est ainsi que le FONER reste encore jusqu'à ce jour, à la recherche d'une solution fiable pour la sécurisation des informations lorsque les échanges se font à travers l'internet.

Quel est l'intérêt que le Fonds National d'Entretien Routier trouve-t-il pour mettre en place un réseau opérationnel dans chaque site en cherchant à aboutir au déploiement d'une connexion VPN pour interconnecter ses sites en assurant la sécurisation des informations ?

Toutes ces questions posées sont à la base de notre recherche en nous proposant dans les parties qui suivent des pistes de solutions.

Nous essayons dans la mesure du possible d'envisager une politique optimale de partage des informations afin que l'échange des ressources ne pose plus de problème au sein du Fonds National d'Entretien Routier.

Dans le cadre de notre travail, nous avons jugé bon de joindre au système d'information existant au sein du FONER, les applicatifs de l'internet afin de lui permettre :

· Une bonne conservation et recherche aisée des informations en interne et externe ;

· Enfin, une rapidité dans le traitement de l'information avec toutes les mesures de sécurité garantie ;

En vue de remédier toujours aux inquiétudes soulevées au travers des questions posées dans les parties précédentes, nous allons mettre en place :

- Un moyen d'échange d'informations qui serait adapté à la gestion efficace et efficiente du FONER ;

- Une configuration de type client/serveur pour assurer l'accès sécurisé à l'information.

3. CHOIX ET INTERET DU SUJET

Tout travail d'un chercheur avéré doit avoir un caractère scientifique pour qu'il soit vérifié, accepté et justifié, à la portée de tout le monde. Notre choix est porté sur : « Couplage des sites distants pour la gestion d'un système d'information en temps réel cas du Fonds National d'Entretien Routier, FONER en sigle» afin de faire profiter à l'entreprise cette étude et au monde scientifique nos connaissances acquises durant notre parcours universitaire.

4. OBJECTIFS

L'objectif poursuivi dans le cadre de notre travail est de permettre au FONER d'interconnecter ses sites pour une gestion sécurisée et en temps réel des informations.

5. METHODOLOGIE

Pour atteindre nos objectifs, nous nous servirons d'un certain nombre de méthodes en l'occurrence : la méthode analytique qui permettra de décomposer les éléments du système dans le but d'arriver à dégager les problèmes et la méthode de conception. La phase d'analyse permet de lister les résultats attendus, en termes de fonctionnalités, de performance, de maintenance, de sécurité, d'extensibilité ; tandis que la phase de conception permet de décrire de manière non ambiguë, le plus souvent en utilisant un langage de modélisation, le fonctionnement futur du système, afin d'en faciliter la réalisation.

En clair, il s'agit des canevas que le chercheur aurait volontairement choisi de suivre.

Certes, l'approche que privilégie le chercheur dépend de la manière de voir et d'aborder les phénomènes qui reflètent ses croyances fondamentales quant à la nature du modèle choisi.^1(*)

Les techniques suivantes ont été utilisées pour arriver à un résultat fiable : les techniques documentaires pour recueillir des informations relatives à notre sujet, l'interview pour échanger avec les responsables des entreprises et ceux du FONER en particulier, la consultation des sites web afin de nous adapter à l'évolution technologique, la consultation des spécialistes pour des éventuels explications claires et précises, et nous, nous servirons aussi de notre expérience professionnelle dans ce domaine.

6. DELIMITATION DU SUJET

Il est affirmé qu'un travail scientifique, pour être bien précis, doit être délimité. Raison pour laquelle, nous n'allons pas aborder toutes les questions liées à la conception d'un réseau VPN, car elles paraissent une matière très complexe. Ainsi, nous avons pensé limiter notre étude par rapport au contenu, à l'espace et au temps.

Dans le temps, notre étude s'est fondée sur la situation du mode de fonctionnement du FONER de 2009 à 2013 et nous allons nous occuper que du système d'information existant.

Vu la grandeur du sujet que nous avons abordé, notre travail sera subdivisé en deux grandes parties et chaque partie est suivie des chapitres que nous allons développer dans les lignes ci-dessous.

Chapitre I : Généralités sur les réseaux informatiques.

CHAPITRE I :

Un réseau informatique permet à plusieurs machines (ordinateurs au sens large) de communiquer entre elles afin d'assurer des échanges d'informations: du transfert de fichiers, du partage de ressources (imprimantes et données), de la messagerie ou de l'exécution de programmes à distance.^2(*)

Du point de vue de l'utilisateur, le réseau doit être le plus transparent possible: ses applications doivent être capables de communiquer toutes seules avec le reste du réseau, sans intervention.

Comme pour le monde informatique, l'historique des développements technologiques successifs a favorisé l'émergence de toute une série de solutions, basées sur des principes souvent bien différents, même si toutes revendiquent le nom de standards.

I.1. DEFINITION

Un réseau informatique est un ensemble d'ordinateur et d'autres équipements reliés entre eux pour échanger des informations.^3(*)

I.2. TOPOLOGIES DES RESEAUX4(*)

Une topologie de réseau est en informatique une définition de l'architecture d'un réseau. Elle donne une certaine disposition des différents postes informatiques du réseau et une hiérarchie de ces postes ainsi que le mode d'échange d'informations.

I.2.1. Topologies physique

I.2.1.1. Topologie en anneau

La défaillance d'un noeud rompt la structure d'anneau si la communication est unidirectionnelle. Un réseau a une topologie en anneau quand toutes ses stations sont connectées en chaîne les unes aux autres par une liaison bipoint de la dernière à la première. (Chaque station joue le rôle de station intermédiaire.) Chaque station qui reçoit une trame, l'interprète et la ré-émet à la station suivante de la boucle si c'est nécessaire.

I.2.1.2. Topologie en arbre

Aussi connu sous le nom de topologie hiérarchique, le réseau est divisé en niveaux. Le sommet, le haut niveau, est connecté à plusieurs noeuds de niveau inférieur, dans la hiérarchie. Ces noeuds peuvent être eux-mêmes connectés à plusieurs noeuds de niveau inférieur.^5(*)

I.2.1.3. Topologie en bus

Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans une topologie en bus tous les ordinateurs sont reliés à une même ligne de transmission par l'intermédiaire de câble, généralement coaxial. Le mot « bus » désigne la ligne physique qui relie les machines du réseau.

Cette topologie a pour avantage d'être facile à mettre en oeuvre et de posséder un fonctionnement simple. En revanche, elle est extrêmement vulnérable étant donné que si l'une des connexions est défectueuse, l'ensemble du réseau en est affecté.

C'est la topologie la plus courante actuellement, elle est omniprésente, très souple en matière de gestion et dépannage de réseau : la panne d'un noeud ne perturbe pas le fonctionnement global du réseau.

En revanche, l'équipement central (un concentrateur (hub) et plus souvent sur les réseaux modernes, un commutateur (Switch)) qui relie tous les noeuds constitue un point unique de défaillance, une panne à ce niveau rend le réseau totalement inutilisable. Le réseau Ethernet est un exemple de topologie en étoile. L'inconvénient principal de cette topologie réside au niveau de nombre des câbles utilisés.

I.2.1.5. Topologie maillé

Cette topologie se fait dans les grands réseaux de distribution (Exemple : Internet). L'information peut parcourir le réseau suivant des itinéraires divers, sous le contrôle de puissants superviseurs de réseau, ou grâce à des méthodes de routage réparties.

Elle existe aussi dans le cas de couverture wifi. On parle alors bien souvent de topologie mesh, mais ne concerne que les routeurs wifi ; Ceux-ci relient les paquets grâce au protocole OLSR.

I.2.2. Topologies logiques

Une fois l'équipement connecté physiquement sur le réseau, il faut qu'il puisse recevoir et envoyer des informations aux autres noeuds du réseau. Chaque noeud accède au même câble; il s'agit donc d'un accès partagé qu'il faut réglementer. La topologie logique définit la façon avec laquelle les postes vont accéder aux supports.

Le problème est le suivant : supposons que plusieurs ordinateurs cherchent à accéder au canal de transmission, comment partager le canal entre les différentes entités?
Comment l'accès va-t-il être géré ?

I.3. CLASSIFICATIONS PHYSIQUES DES RESEAUX

Il n'existe pas de classification générale des réseaux, mais deux critères importants permettent de les caractériser, il s'agit de la technologie de transmission utilisée et leur taille.

Selon Tanenbaum Andrew, cité par Joseph Dimandja ; qui illustre d'une manière acceptable les différentes caractéristiques sur la classification des réseaux.^6(*)

La distance entre les processus et leur localisation a constitué notre critère de base pour la classification physique des réseaux^7(*).

Du point de vue général, nous distinguons deux types de technologies de transmission largement répandues :

Un réseau à diffusion dispose d'un seul canal de transmission qui est partagé par tous les équipements qui y sont connectés.

Sur un tel réseau, chaque message envoyé, appelé paquet dans certaines circonstances, est reçu par toutes les machines du réseau. Dans le paquet, un champ d'adresse permet d'identifier le destinataire réel.

A la réception d'un paquet, une machine lit ce champ et procède au traitement du paquet si elle reconnaît son adresse ou l'ignore dans le cas contraire. Cette transmission est appelée multicast.

I.3.2. Les réseaux point-a-point

Par opposition au système précédent, le réseau point-à-point consiste en un grand nombre de connexions, chacune faisant intervenir deux machines. Pour aller de sa source à sa destination, un paquet peut transiter par plusieurs machines intermédiaires. Cette transmission est appelée unicast.

Le réseau local relie d'une manière générale des ordinateurs localisés dans une même salle, dans un immeuble ou encore dans un campus. Sa matérialisation peut s'effectuer en tenant compte des différentes topologies élaborées par l'IEEE (Institute Of Electrical and Electronics Engineer) sous forme des normes^8(*). Il s'agit de:

b) WAN (Wide Area Network)

Réseau étendu à longue distance constitué par l'interconnexion de plusieurs réseaux et qui se distingue des réseaux locaux et des réseaux métropolitains.

Il relie plusieurs ordinateurs notamment à travers une ville, un pays, un continent ou encore toute la planète.

Ici la communication s'effectue grâce aux réseaux privés et/ où aux réseaux publics.

I.4. LES SUPPORTS DE TRANSMISSION

1.4.1. Câble à paires torsadées9(*)

Un câble à paires torsadées décrit un modèle de câblage où une ligne de transmission est formée de deux conducteurs enroulés en hélice l'un autour de l'autre. Cette configuration a pour but de maintenir non seulement la distance entre les fils mais aussi et surtout de diminuer la diaphonie.

Le maintien de la distance entre fils de paire permet de définir une impédance caractéristique de la paire, afin de supprimer les réflexions de signaux aux raccords et en bout de ligne. Les contraintes géométriques (épaisseur de l'isolant/diamètre du fil) maintiennent cette impédance autour de 100 ohm :

Plus le nombre de torsades est important, plus la diaphonie est réduite. Le nombre de torsades moyen par mètre fait partie de la spécification du câble, mais chaque paire d'un câble est torsadée de manière légèrement différente pour éviter la diaphonie.

La paire torsadée non blindée (ou UTP pour Unshielded twisted pair) n'est pas entourée d'un blindage protecteur. C'est le type de câble souvent utilisé pour le téléphone et certains réseaux informatiques.

Foiled Twisted Pair (FTP) ou Screened Unshielded Twisted Pair- dénomination officielle (F/UTP).

Les paires torsadées ont un blindage général assuré par une feuille d'aluminium ; l'écran est disposé entre la gaine extérieure et les 4 paires torsadées. Elle est utilisée pour le téléphone et les réseaux informatiques.

Chaque paire torsadée blindée (ou STP pour Shielded twisted pairs) est entourée d'une couche conductrice de blindage, de façon similaire à un câble coaxial. Cela permet une meilleure protection contre les interférences. Elle est communément utilisée dans les réseaux token ring.

1.4.1.2. Les catégories de câbles

L'UTP est standardisé en diverses catégories d'intégrité du signal. Ces différentes catégories sont ratifiées régulièrement par les autorités de normalisation ANSI/TIA/EIA. Plusieurs d'entre elles ont des équivalents européens normalisés par la norme internationale ISO/CEI 11801 et la norme française NF/EN 50173-1 définissant le câblage structuré.

Catégorie 1

Cette catégorie de câble était destinée aux communications téléphoniques. Cette norme n'est plus d'actualité.

Catégorie 2

Cette catégorie de câble permettait la transmission de données à 4 Mbit/s avec une bande passante de 2 MHz, notamment pour les réseaux de type Token Ring.

Catégorie 3

La catégorie 3 est un type de câblage permettant une bande passante de 16 MHz, il est défini dans la norme ANSI/TIA/EIA-568B. Ce type de câble de nos jours ne sert principalement plus qu'à la téléphonie sur le marché commercial, aussi bien pour les lignes analogiques que numériques (systèmes téléphoniques, par exemple : Norstar, etc.). Il est également utilisé pour les réseaux Fast Ethernet (100 Mbps). Ce type de câblage est en cours d'abandon (en 2007) par les opérateurs au bénéfice de câbles de catégorie 5e ou supérieure, pour la transmission de la voix comme des données.

Catégorie 4

La catégorie 4 est un type de câblage permettant une bande passante de 20 MHz. Ce standard fut principalement utilisé pour les réseaux Token Ring à 16 Mbps ou les réseaux 10BASE-T. Il fut rapidement remplacé par les catégories 5 et 5e. Dans la norme actuelle ANSI/TIA/EIA-568B, seule la catégorie 3 est décrite.

La catégorie 5 est un type de câblage permettant une bande passante de 100 MHz. Ce standard permet l'utilisation du 100BASE-TX et du 1000BASE-T, ainsi que diverses applications de téléphonie ou de réseaux (Token ring, ATM). Il était décrit dans l'ancienne norme ANSI/TIA/EIA-568-A. Dans la norme actuelle, seules les catégories 5e et 6 restent décrites.

Catégorie 5e / classe D

La catégorie 5e (enhanced) est un type de câblage permettant une bande passante de 100 MHz (apparu dans la norme TIA/EIA-568A-5). La norme est une adaptation de la catégorie 5 (résistance < 9.38 ohm/100 m, capacité mutuelle < 5.6 nF/100 m, capacité à la masse < 330 pF pour une fréquence comprise entre 1 kHz et 1 GHz, impédance de la paire adaptée à 100 ohm +-15% pour une fréquence comprise entre 1 MHz et 1 GHz, temps de propagation < 5.7 ns/m, 10 MHz, le type de blindage et l'appairage en longueur ne sont pas spécifiés).

Catégorie 6 / classe E

La catégorie 6 est un type de câblage permettant une bande passante de 250 MHz et plus (norme ANSI/TIA/EIA-568-B.2-1 et ISO/CEI 11801).

Catégorie 6a / classe Ea

Actuellement à l'état de brouillon, la future norme 6a s'oriente vers une extension de la catégorie 6 pour une bande passante de 500 MHz (norme ANSI/TIA/EIA-568-B.2-10).Cette norme permettra d'étendre l'utilisation du 10GBASE-T à 100 mètres.

Catégorie 7 / classe F : Bande passante de 600 MHz.

Appelé aussi Le câble BNC, il est constitué de deux conducteurs concentriques maintenus à distance constante par un diélectrique. Le conducteur externe a pour rôle de protéger le conducteur interne des interférences.

1.4.2.1. Caractéristiques

· Le câble coaxial possède des caractéristiques électriques supérieures à celles de la paire torsadée. Il autorise des débits plus élevés et est peu sensible aux perturbations électromagnétiques extérieures ;

· Il est largement utilisé dans les réseaux locaux en transmission analogique ou numérique ;

· Il est utilisé pour réaliser des liaisons longues distances, on parle de coaxial large bande (bande plus large que 4 kHz) ;

· Il présente une bonne résistance aux parasites, mais il est cher et exigent en contraintes d'installation (problème de rayon de courbure...etc.). De ce fait, il n'est plus utilisé que dans des environnements perturbés.

Dans les réseaux locaux, il est remplacé par la paire torsadée et dans les liaisons longues distances par la fibre optique ;

· Son débit peut atteindre 10 Mb/s sur une distance de 1 km. Le débit peut être plus élevé sur une distance inférieure à 1km et moins élevé sur une distance supérieure à 10km.

1.4.2.2. Types de câble coaxial

Il existe quatre types de câbles coaxiaux. Chacun d'entre eux est utilisé dans un type particulier du réseau local.

· RG11 ou câble coaxial épais (thick), il est aussi appelé Ethernet ou le 10base5;

1.4.3. Fibre optique

Une fibre optique est un fil en verre ou en plastique très fin qui a la propriété de conduire la lumière et sert dans les transmissions terrestres et océaniques de données. Elle offre un débit d'informations nettement supérieur à celui des câbles coaxiaux et supporte un réseau large bande par lequel peuvent transiter aussi bien la télévision, la téléphonie, la visioconférence ou les données informatiques.

Le principe de la fibre optique a été développé dans les années 1970 dans les laboratoires de l'entreprise américaine Corning Glass Works.

Entourée d'une gaine protectrice, la fibre optique peut être utilisée pour conduire de la lumière entre deux lieux distants de plusieurs centaines, voire milliers, de kilomètres. Le signal lumineux codé par une variation d'intensité est capable de transmettre une grande quantité d'informations. En permettant les communications à très longue distance et à des débits jusqu'alors impossibles, les fibres optiques ont constitué l'un des éléments clé de la révolution des télécommunications optiques. Ses propriétés sont également exploitées dans le domaine des capteurs (température, pression, etc.) et dans l'imagerie.

Un nouveau type de fibres optiques, fibres à cristaux photoniques, a également été mis au point ces dernières années, permettant des gains significatifs de performances dans le domaine du traitement optique de l'information par des techniques non linéaires, dans l' amplification optique ou bien encore dans la génération de super continuums utilisables par exemple dans le diagnostic médical .

Dans les réseaux informatiques du type Ethernet, pour la relier à d'autres équipements, on peut utiliser un émetteur-récepteur.

1.4.4. Les support sans fil

La communication sans fil utilise un autre support de communication que les câbles. En réalité, les réseaux sans fil se connectent la plupart du temps à des réseaux câblés et constituent ainsi des réseaux mixtes ou hybrides.

La communication sans fil convient principalement dans deux cas ci-après:

La communication sans fil a besoin d'émetteurs et de récepteurs. Quand ces dispositifs de transmission appartiennent à une entreprise on parle de réseaux locaux ou de réseaux locaux étendus, quand ils appartiennent à une entreprise de télécommunication ou à un service public (AT&T, MCI ou SPRINT aux Etats Unis), on parle de l'informatique mobile.

Pour établir une connexion sans fil à un réseau câblé, il faut qu'un routeur du réseau câblé serve de point d'accès pour les stations sans fil. L'ordinateur qui sert de point d'accès et les ordinateurs mobiles doivent être équipés d'une carte réseau sans fil et d'un transceiver.

L'infrarouge est un faisceau de lumière. Les transmissions en infrarouge doivent être très intenses afin qu'il n'y ait pas de confusion avec les nombreuses sources de lumière qui existent dans une pièce (fenêtres, néons, télévision, ampoules,... ).

La lumière infrarouge possède une large bande passante, les débits sont relativement importants, mais la porté est faible :

Un réseau infrarouge est commode, rapide, mais sensible aux interférences lumineuses. Le faisceau ne doit jamais être coupé sinon la transmission est interrompue.

Le laser est une technologie semblable à l'infrarouge en ce sens qu'elle nécessite une visibilité directe. Le laser est aussi appelé « la lumière cohérente ».

I.5. ARCHITECTURES DES RESEAUX INFORMATIQUES10(*)

Pour que les données transmises de l'émetteur vers le récepteur arrivent correctement avec la qualité de service exigée, il faut une architecture logicielle.

I.5.1. L'architecture OSI

Au début des années 70, chaque constructeur a développé sa propre solution réseau autour d'architecture et de protocoles privés (SNA d'IBM, DEC net de DEC, DSA de Bull, TCP/IP du DoD,...) et il s'est vite avéré qu'il serait impossible d'interconnecter ces différents réseaux «propriétaires» si une norme internationale n'était pas établie. Cette norme établie par l'International Standard Organisation (ISO) est la norme Open System Interconnexion (OSI, interconnexion de systèmes ouverts).

Un système ouvert est un ordinateur, un terminal, un réseau, n'importe quel équipement respectant cette norme et donc apte à échanger des informations avec d'autres équipements hétérogènes et issus de constructeurs différents.

Le premier objectif de la norme OSI a été celui de définir un modèle de toute architecture de réseau basé sur un découpage en sept couches, chacune de ces couches correspondant à 15 une fonctionnalité particulière d'un réseau. Les couches 1, 2, 3 et 4 sont dites basses et les couches 5, 6 et 7 sont dites hautes.

Chaque couche est constituée d'éléments matériels et logiciels et offre un service à la couche située immédiatement au-dessus d'elle en lui épargnant les détails d'implémentation nécessaires.

Chaque couche d'une machine gère la communication avec la couche n d'une autre machine en suivant un protocole de niveau n qui est un ensemble de règles de communications pour le service de niveau n.

En fait, aucune donnée n'est transférée directement d'une couche n vers une autre couche n, mais elle l'est par étapes successives. Supposons un message à transmettre de l'émetteur A vers le récepteur B. Ce message, généré par une application de la machine A va franchir les couches successives de A via les interfaces qui existent entre chaque couche pour finalement atteindre le support physique.

Là, il va transiter via différents noeuds du réseau, chacun de ces noeuds traitant le message via ses couches basses. Puis, quand il arrive à destination, le message remonte les couches du récepteur B via les différentes interfaces et atteint l'application chargée de traiter le message reçu. Ce processus de communication est illustré dans la Figure suivante :

La couche physique fournit les moyens mécaniques (forme des connecteurs, de la topologie...), électriques (un bit 1 doit être représenté par une tension de 5 V, par exemple), fonctionnels et procéduraux nécessaires à l'activation, au maintien et à la désactivation des connexions physiques destinées à la transmission d'un train de bits entre les entités de liaison de données. La couche physique s'occupe de la transmission de bits de façon brute sur un canal de communication : cette couche doit garantir la parfaite transmission des données (un bit 1 envoyé doit bien être reçu comme bit valant 1).

Les normes et les standards de la couche physique définissent la nature des signaux transmis (Modulation, Conversion, Puissance, Portée,...), le type et les caractéristiques des supports de transmission (Câble, Fibre optique, WiFi, ...), la topologie de liaison des machines, le sens de transmission, etc...

Elle fractionne les données d'entrée de l'émetteur en trames, transmet ces trames en séquence et gère les trames d'acquittement renvoyées par le récepteur. Elle s'occupe de l'adressage physique, de la topologie du réseau, de l'accès au réseau, de la notification des erreurs, de la livraison ordonnée des trames et du contrôle de flux (pour éviter l'engorgement du récepteur).

La couche réseau est une couche complexe qui assure la connectivité et la sélection du chemin entre deux systèmes hôtes pouvant être situés sur des réseaux géographiquement éloignés. Ainsi, la couche réseau, par le biais de systèmes intermédiaires (Passerelle, Routeur,...), assure toutes les fonctionnalités de relais.

Les principales fonctions de la couche réseaux sont : Le routage des paquets, l'adressage logique des paquets, le contrôle de flux, le contrôle de la congestion, l'hétérogénéité (problèmes d'adressage dans l'interconnexion de réseaux hétérogènes) et le traitement des erreurs non prises en charge par la couche liaison de données.

La couche transport assure un transfert de données de bout en bout. Elle remplit le rôle de charnière entre les couches basses (Couche 1, 2 et 3) et les couches hautes (Couche 5, 6 et 7). Ainsi, elle tente de fournir un service de transport des données qui protègent les couches supérieures des détails d'implémentation du transport.

Elle prend en charge, de manière partielle ou totale, le contrôle de flux, la fragmentation et le réassemblage, le contrôle d'erreurs et le séquencement des messages. La qualité du service transport est répartie en cinq classes, numérotés de 0 à 4. Chaque classe est adaptée à un service réseau de qualité donnée.

En fournissant un service de communication, la couche transport établit, connecte et supprime les circuits virtuels, en plus d'en assurer la gestion. Pour assurer la fiabilité du service, elle effectue des contrôles de détection des erreurs, de reprise sur incident et de gestion des flux d'information.

TCP est un protocole de la couche transport orienté connexion. UDP est aussi un protocole de la couche transport, mais il est en mode sans connexion.

L'unité d'information de la couche transport est le message (de même pour les couches supérieures).

Comme son nom l'indique, elle établie des sessions de communication. Elle ouvre, gère et ferme les sessions entre deux systèmes (applications) communiquant. Elle s'occupe aussi de la sécurité, des authentifications. En outre, la couche session fournit aux entités coopérants les moyens nécessaires pour synchroniser leurs dialogues, les interrompre ou les reprendre tout en assurant la cohérence des données échangées.

Cette couche s'intéresse à la syntaxe et à la sémantique des données transmises : c'est elle qui traite l'information de manière à la rendre compatible entre tâches communicantes. Elle va assurer l'indépendance entre l'utilisateur et le transport de l'information. Typiquement, cette couche peut convertir les données, les reformater, les crypter et les compresser.

La couche application est la couche OSI la plus prés de l'utilisateur. Elle constitue le point de contact entre l'utilisateur et le réseau. C'est donc elle qui va apporter à l'utilisateur les services de base offerts par le réseau, en l'occurrence : le transfert de fichier, la messagerie...

Le processus émetteur remet les données à envoyer au processus récepteur à la couche application qui leur ajoute un en-tête application AH (éventuellement nul). Le résultat est alors transmis à la couche présentation.

La couche présentation transforme alors ce message et lui ajoute (ou non) un nouvel en-tête (éventuellement nul). La couche présentation ne connaît et ne doit pas connaître l'existence éventuelle de AH ; pour la couche présentation, AH fait en fait partie des données utilisateur. Une fois le traitement terminé, la couche présentation envoie le nouveau "message" à la couche session et le même processus recommence. Les données atteignent alors la couche physique qui va effectivement transmettre les données au destinataire.

A la réception, le message va remonter les couches. Quant aux en-têtes, ces derniers sont progressivement retirés jusqu'à atteindre le processus récepteur.

Le concept important est le suivant : il faut considérer que chaque couche est programmée comme si elle était vraiment horizontale, c'est à dire qu'elle dialoguait directement avec sa couche paire réceptrice. Au moment de dialoguer avec sa couche paire, chaque couche rajoute un en-tête et l'envoie (virtuellement, grâce à la couche sous-jacente) à sa couche paire.

Le modèle TCP/IP, inspiré du modèle OSI, reprend l'approche modulaire (utilisation de modules ou couches), mais en contient uniquement quatre :

Comme on peut le remarquer, les couches du modèle TCP/IP ont des tâches beaucoup plus diverses que les couches du modèle OSI, étant donné que certaines couches du modèle TCP/IP correspondent à plusieurs couches du modèle OSI.

Les rôles des différentes couches sont les suivants :

Elle spécifie la forme sous laquelle les données doivent être acheminées quel que soit le type de réseau utilisé

Elle assure l'acheminement des données, ainsi que les mécanismes permettant de connaître l'état de la transmission.

A. Commutation des paquets12(*)

La commutation de paquets, aussi appelée commutation d'étiquettes, est une technique de commutation utilisée dans le transfert de données dans les réseaux informatiques, une autre technique étant la commutation de circuits.

Cette technique de commutation est fondée sur le découpage des données afin d'en accélérer le transfert. Chaque paquet est composé d'un en-tête contenant des informations sur son contenu et sa destination, qui permet au commutateur d'aiguiller le paquet sur le réseau vers son point final.

La décision de commutation repose donc sur un des champs de la PDU (Protocol Data Unit, terme générique d'origine ISO désignant une trame, une cellule, un paquet, un datagramme, un segment, etc.), appelé étiquette, à acheminer : le commutateur qui reçoit une PDU extrait l'étiquette et va rechercher dans sa table de commutation l'entrée qui correspond à l'interface sur laquelle il a reçu la PDU et à la valeur de l'étiquette. Ceci permet au commutateur de trouver le numéro de l'interface sur laquelle il va transmettre la PDU et, éventuellement, la nouvelle valeur de l'étiquette :

· dans un routeur, l'étiquette en question est l'adresse de destination contenue dans l'en-tête IP, et elle ne change pas en cours de route. Il en va de même dans un commutateur ethernet où l'étiquette est l' adresse MAC de destination ;

· dans un commutateur X.25, FR, ATM, IPSEC, il s'agit de mode connecté et l'étiquette correspond à une connexion, mais sa valeur change à chaque traversée de commutateur.

La commutation de circuits est un mode d'établissement de liaisons de télécommunication. Il correspond au branchement matériel de lignes joignant des terminaux. Les informations échangées parcourent toujours le même chemin au sein du réseau durant le temps de la session. Sa simplicité conceptuelle et de mise en oeuvre a fait son succès et son emploi dans les premiers réseaux de communication comme le téléphone puis dans les réseaux informatiques balbutiants des années 1950.

Ä Principe de fonctionnement

Un chemin physique ou logique (via Multiplexage temporel) est établi et verrouillé entre deux équipements pour toute la durée de la session de communication. Le transfert de données ne peut être effectué qu'après l'établissement de la totalité de la ligne entre l'émetteur et le récepteur.

Dans la commutation par circuit, il y a un risque de sous-utilisassions du support en cas de « silence » pendant la communication ; ce type de commutation commence donc à être remplacé par les systèmes de commutation de paquets qui même pour des applications synchrones comme le téléphone ont de bons résultats de qualité de service.

I.6. INTERCONNEXION DES RESEAUX

I.6.1. Définition14(*)

L'interconnexion des réseaux locaux est l'ensemble des solutions permettant de relier les ordinateurs, quelque soit la distance ou les différences entre eux.

Un réseau local sert à interconnecter les ordinateurs d'une organisation, toutefois une organisation comporte généralement plusieurs réseaux locaux, il est donc parfois indispensable de les relier entre eux. Dans ce cas, des équipements spécifiques sont nécessaires.

Lorsqu'il s'agit de deux réseaux de même type, il suffit de faire passer les trames de l'un sur l'autre. Dans le cas contraire, c'est-à-dire lorsque les deux réseaux utilisent des protocoles différents, il est indispensable de procéder à une conversion de protocole avant de transférer les trames. Ainsi, les équipements à mettre en oeuvre sont différents selon la configuration face à laquelle on se trouve.

1.6.2. Les équipements d'interconnexion

Les principaux équipements matériels mis en place dans les réseaux locaux sont :

Ø Les concentrateurs (hubs), ce n'est pratiquement qu'un répétiteur (c'est son nom en Français). Il amplifie le signal réseau pour pouvoir le renvoyer vers tous PC connectés. Toutes les informations arrivant sur l'appareil sont donc renvoyées sur toutes les lignes;^15(*)

Ø Les ponts (bridges), permettant de relier des réseaux locaux de même type ;

Ø Les commutateurs (switches) permettent de réduire les collisions sur le câblage réseau. Lorsqu'un périphérique souhaite communiquer, il envoie un message sur le câblage. Si un autre périphérique communique déjà, deux messages se retrouvent en même temps sur le réseau provoquant une collision. Le premier reprend son message au début et le deuxième attend pour réessayer quelques millisecondes plus tard ;^16(*)

Ø Les passerelles (gateways), permettant de relier des réseaux locaux de types différents ;

Ø Les routeurs, permettant de relier de nombreux réseaux locaux de telles façons à permettre la circulation de données d'un réseau à un autre de la façon optimale ;

Ø Les B-routeurs (en anglais b-routeur, pour bridge-routeur) est un élément hybride associant les fonctionnalités d'un routeur et celles d'un pont. Ainsi, ce type de matériel permet de transférer d'un réseau à un autre les protocoles non routables et de router les autres. Plus exactement, le B-routeur agit en priorité comme un pont et route les paquets si cela n'est pas possible.

Un B-routeur peut donc dans certaines architectures être plus économique et plus compact qu'un routeur et un pont.

I.6.3. Les différents types de réseau d'interconnexion17(*)

1.6.3.1. Réseau Filaire

Comme son nom l'indique, le réseau filaire consiste à relier les ordinateurs par un câble. C'est la technologie la plus utilisée encore aujourd'hui. Le système de câblage Ethernet a été conçu par Xerox à la fin des années 1970. À l'origine, la transmission était effectuée sur des câbles coaxiaux épais à un débit de 3 mégabits par seconde (Mbit/s).

1.6.3.2. Réseau sans fil (Wifi)

C'est à l'inverse du réseau filaire, un réseau sans fil, fonctionnant par ondes radios. La technologie du réseau Wifi est récente et tend à être de plus en plus utilisée chez les particuliers comme dans les entreprises.

I.7. ADRESSAGE IP

La notion de classe d'adresse IP a été utilisée sur Internet pour distribuer des plages d'adresses IPv4 à des utilisateurs finaux. Avec cette méthode, le masque de réseau pouvait être déduit de l'adresse IP et les protocoles de routage comme Border Gateway Protocol (jusqu'à la version 3), RIPv1 et IGRP sont dits classful, car ils font usage d'un masque réseau implicite lié à l'adresse.

La notion de classe est obsolète depuis le milieu des années 1990. Les assignations d'adresses du protocole IPv4 (et de son successeur IPv6) ne tiennent plus compte de la classe d'adresse et les protocoles de routage modernes indiquent explicitement le masque réseau de chaque préfixe routé.

I.7.1. Définition

Une adresse IP (Internet Protocol) est une identification unique pour un hôte sur un réseau IP. Une adresse IP est un nombre d'une valeur de 32 bits représentée par 4 valeurs décimales pointées ; chacune a un poids de 8 bits (1 octet) prenant des valeurs décimales de 0 à 255 séparées par des points.^18(*)

1.7.2. Classe d'adressage

Il existe cinq classes d'adresses IP. Chaque classe est identifiée par une lettre allant de A à E.

Ces différentes classes ont chacune leurs spécificités en termes de répartition du nombre d'octet servant à identifier le réseau ou les ordinateurs connectés à ce réseau :

- Une adresse IP de classe A dispose d'une partie net id comportant uniquement un seul octet.

- Une adresse IP de classe B dispose d'une partie net id comportant deux octets.

- Une adresse IP de classe C dispose d'une partie net id comportant trois octets.

Les adresses IP de classes D et E correspondent à des adresses IP particulières. Afin d'identifier à quelle classe appartient une adresse IP, il faut examiner les premiers bits de l'adresse.

1.7.3. Classe A

Une adresse IP de classe A dispose d'un seul octet pour identifier le réseau et de trois octets pour identifier les machines sur ce réseau. Un réseau de classe A peut comporter jusqu'à 2^3×8-2 postes, soit 2²⁴-2, soit plus de 16 millions de terminaux. Le premier octet d'une adresse IP de classe A commence toujours par le bit 0, il est donc compris entre 0 et 127, certaines valeurs étant réservées à des usages particuliers. Un exemple d'adresse IP de classe A est : 10.50.49.13.

1.7.4. Classe B

Une adresse IP de classe B dispose de deux octets pour identifier le réseau et de deux octets pour identifier les machines sur ce réseau. Un réseau de classe B peut comporter jusqu'à2^2×8-2 postes, soit 2¹⁶-2, soit 65 534 terminaux. Le premier octet d'une adresse IP de classe B commence toujours par la séquence de bits 10, il est donc compris entre 128 et 191. Un exemple d'adresse IP de classe B est : 172.16.1.23.

1.7.5. Classe C :

Une adresse IP de classe C dispose de trois octets pour identifier le réseau et d'un seul octet pour identifier les machines sur ce réseau. Un réseau de classe C peut comporter jusqu'à 2⁸-2postes, soit 254 terminaux. Le premier octet d'une adresse IP de classe C commence toujours par la séquence de bits 110, il est donc compris entre 192 et 223. Un exemple d'adresse IP de classe C est : 192.168.1.34.

1.7.6. Classe D

Les adresses de classe D sont utilisées pour les communications multicast. Le premier octet d'une adresse IP de classe D commence toujours par la séquence de bits 1110, il est donc compris entre 224 et 239. Un exemple d'adresse IP de classe D est : 224.0.0.1.

1.7.7. Classe E

Les adresses de classe E sont réservées par IANA à un usage non déterminé. Les adresses de classe E commencent toujours par la séquence de bits 1111, ils débutent donc en 240.0.0.0 et se terminent en 255.255.255.255.

I.7.2. Masque de sous réseau

Le masque de sous-réseau permet de déterminer le nombre des bits affectés à l'identification de réseau et ceux affectés à identifier l'ordinateur dans le réseau. Tous les bits de la partie masque de sous-réseau correspondant à l'identification de l'ordinateur connecté, ne contiennent que des bits à 0.

Lorsqu'on se connecte à une machine distante, on ne peut pas connaître le masque de sous-réseau du système de destination. Il est possible de connaître l'identificateur de son propre réseau, mais pas d'extraire celui de la machine cible.

Pour les trois classes d'adresses IP, les plus utilisées, les masques de sous-réseau se présente de la manière suivante, dans le tableau ci-dessous :

CHAPITRE II : ETUDE DE LA SECURITE INFORMATIQUE

Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet.^19(*)

Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au système d'information à partir de n'importe quel endroit, les personnels sont amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise.

La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité (en anglais «vulnerability », appelée parfois faille ou brèche) représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.

Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies.

Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions.

II.1. CRITÈRES DE SÉCURITÉ ET FONCTIONS ASSOCIÉES20(*)

Les solutions de sécurité qui seront mises en place doivent contribuer à satisfaire les critères suivants :

À ces trois critères s'ajoutent ceux qui permettent de prouver l'identité des entités (notion d'authentification) et ceux qui indiquent que des actions ou événements ont bien eu lieu (notions de non-répudiation, d'imputabilité voire de traçabilité).

II.1.1. Disponibilité

Pour un utilisateur, la disponibilité d'une ressource est la probabilité de pouvoir mener correctement à terme une session de travail.

La disponibilité d'une ressource est indissociable de son accessibilité: il ne suffit pas qu'elle soit disponible, elle doit être utilisable avec des temps de réponse acceptables.

Elle est mesurée sur la période de temps pendant laquelle le service offert est opérationnel. Le volume potentiel de travail susceptible d'être pris en charge durant la période de disponibilité d'un service, détermine la capacité d'une ressource (serveur ou réseau par exemple).

- Par une gestion opérationnelle efficace des infrastructures, ressources et services.

Dans le cas d'un réseau grande distance de topologie maillée par exemple, la disponibilité des ressources réseau sera réalisée à condition que l'ensemble des liaisons ait été correctement dimensionné et que les politiques de routage et de gestion soient satisfaisantes.

Dans un contexte de système d'information d'entreprise, des tests de montée en charge sont généralement effectués pour évaluer le comportement des systèmes sous certaines conditions extrêmes et contribuer ainsi à mieux définir leur dimensionnement.

Un service nominal doit être assuré avec le minimum d'interruption, il doit respecter les clauses de l'engagement de service établi sur des indicateurs dédiés à la mesure de la continuité de service.

Des pertes de données, donc une indisponibilité de celles-ci, sont possibles si les procédures d'enregistrement et les supports de mémorisation ne sont pas gérés correctement. Ce risque majeur est souvent mal connu des utilisateurs. Leur sensibilisation à cet aspect de la sécurité est importante mais ne peut constituer un palliatif à une indispensable mise en place de procédures centralisées de sauvegarde effectuées par les services compétents en charge des systèmes d'information de l'entreprise.

De nombreux outils permettent de sauvegarder périodiquement et de façon automatisée les données, cependant, une définition correcte des procédures de restitution des données devra être établie afin que les utilisateurs sachent ce qu'ils ont à faire s'ils rencontrent un problème de perte de données.

Une politique de sauvegarde ainsi qu'un arbitrage entre le coût de la sauvegarde et celui du risque d'indisponibilité supportable par l'organisation seront établis afin que la mise en oeuvre des mesures techniques soit efficace et pertinente.

II.1.2. Intégrité

Le critère d'intégrité est relatif au fait que des ressources, données, traitements, transactions ou services n'ont pas été modifiés, altérés ou détruits tant de façon intentionnelle qu'accidentelle. Il convient de se prémunir contre l'altération des données en ayant la certitude qu'elles n'ont pas été modifiées lors de leur stockage, de leur traitement ou de leur transfert.

Les critères de disponibilité et d'intégrité sont à satisfaire par des mesures appropriées afin de pouvoir atteindre un certain niveau de confiance dans le fonctionnement des infrastructures informatiques et télécoms et notamment dans l'application critique.

Si en télécommunication, l'intégrité des données relève essentiellement de problématiques liées au transfert de données, elle dépend également des aspects purement informatiques de traitement de l'information (logiciels, systèmes d'exploitation, environnements d'exécution, procédures de sauvegarde, de reprise et de restauration des données).

Rappelons que lors de leur transfert, les données ne devraient pas être altérées par les protocoles de communication qui les véhiculent. Ces derniers interviennent uniquement sur les données de contrôle du protocole et non directement sur les données à transférer: un protocole ne modifie pas le corps des données qu'il véhicule.

Par contre, l'intégrité des données ne sera garantie que si elles sont protégées des écoutes actives qui peuvent modifier les données interceptées.

II.1.3. Confidentialité

La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction. La confidentialité est la protection des données contre divulgation non autorisée maintien de secret des informations.^21(*)

Il existe deux types d'actions complémentaires permettant d'assurer la confidentialité des données :

- Limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à les modifier puissent le faire ;

- Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont pas autorisées à les obtenir ou qui ne possèdent pas les moyens de les déchiffrer ne puissent les utiliser.

II.1.4. Identification et authentification

Identifier l'auteur présumé d'un tableau signé est une chose, s'assurer que le tableau est authentique en est une autre. Il en est de même en informatique où des procédures d'identification et d'authentification peuvent être mises en oeuvre pour contribuer à réaliser des procédures de contrôle d'accès et des mesures de sécurité assurant:

- La confidentialité et l'intégrité des données: seuls les ayants droit identifiés et authentifiés peuvent accéder aux ressources (contrôle d'accès) et les modifier s'ils sont habilités à le faire;

- La non-répudiation et l'imputabilité: seules les entités identifiées et authentifiées ont pu réaliser une certaine action (preuve de l'origine d'un message ou d'une transaction, preuve de la destination d'un message...).

Un nom associé à des caractéristiques identifie une entité: individu, ordinateur, programme, document, etc. L'identification est la reconnaissance de cette entité.

L'authentification permet de vérifier l'identité annoncée et de s'assurer du non usurpation de l'identité d'une entité. Pour cela, l'entité devra produire une information spécifique telle que par exemple un mot de passe (un code, un mot de passe, une empreinte biométrique. Tous les mécanismes de contrôle d'accès logique aux ressources informatiques nécessitent de gérer l'identification et l'authentification des entités.

II.1.5. Non-répudiation

La non-répudiation est le fait de ne pouvoir nier ou rejeter qu'un événement (action, transaction) a eu lieu. À ce critère de sécurité sont associées les notions d'imputabilité, de traçabilité et éventuellement d'auditabilité.

L'imputabilité se définit par l'attribution d'une action (un événement) à une entité déterminée (ressource, personne). L'imputabilité est liée à la notion de responsabilité. Elle peut être réalisée par un ensemble de mesures garantissant l'enregistrement fiable d'informations pertinentes par rapport à une entité et à un événement.

II.2. MISE EN PLACE DE LA SECURITE

Aucun réseau informatique n'est à l'abri d'une attaque (volontaire ou non) à sa sécurité (Orange book). Installer uniquement un logiciel de sécurité, souvent nommé firewall ou pare-feu, qui a pour objectif de protéger notre réseau de l'extérieur n'est pas suffisant. Les statistiques montrent que 60 % des incidents d'attaques et d'intrusions viennent de l'intérieur du réseau (dont 20 % non volontaires et 40 % volontaires) et 40 % de l'extérieur.

Cela dit, la protection contre les attaques informatiques doit englober la totalité du réseau. L'objectif à ce point, n'est pas de proposer une nouvelle solution de sécurité, mais plutôt de nous soumettre à une étude sur les principaux éléments à prendre en compte lors de la mise en place d'une politique de sécurité contre les intrusions informatiques. Nous s'articulons notre étude autours de 3 axes principaux :

· L'identification des enjeux, des risques et des techniques de piratage utilisées ;

· Les mesures de sécurité dans un réseau : pour pouvoir se défendre contre les dangers omniprésents. L'authentification des utilisateurs, leurs droits d'accès, les ports et les services, les outils de sécurité, les audits et les sauvegardes seront abordés ;

II.2.1.Les enjeux et les risques

Pour se protéger des pirates, il faut connaître les possibilités d'attaques. Aussi, pour se défendre d'elles, il faut commencer par accepter le danger. La mise en place d'une politique (ou plan) de sécurité consiste en :

L'identification des éléments à protéger (matériels, logiciels, données, personnes, etc.).

· La dégradation qui consiste à perturber le réseau informatique via une panoplie de programmes parasites tels que les virus, les chevaux de Troie, les vers (WORM), les bombes, les bactéries, etc.

· L'altération des données qui s'effectue soit pendant la transmission des données sur un réseau, soit avant leur émission, soit pendant le passage sur un noeud du réseau.

· L'écoute qui consiste à surveiller et à intercepter des données soit sur un poste (cheval de Troie), soit sur une ligne de communication (sniffer et probe).

Le choix d'une approche de sécurité : détermine si la sécurité du réseau nécessite de : ne rien autoriser, n'autoriser que, autoriser tout sauf, ou tout autoriser.

Le choix des moyens nécessaires pour pallier aux défaillances de sécurité : il s'agit d'acheter le matériel et les logiciels appropriés aux besoins et à la politique adoptée.

II.2.2.Les mesures de sécurité

La politique de sécurité doit englober l'ensemble du réseau informatique. La plupart des tentatives d'intrusions peuvent provenir (volontairement ou non) des utilisateurs autorisés. Pour cela, les mesures de sécurité doivent prendre en considération le réseau local, appelé LAN (Local Area Network), et le réseau externe connu sous le nom WAN (Wide Area Network).

Le premier niveau de sécurité à prendre en compte dans un LAN est l'utilisateur. Pour accéder aux ressources locales et réseaux, il devra s'identifier grâce à un nom d'utilisateur et à un mot de passe. Chaque utilisateur doit être unique dans son contexte et appartenir à au moins un groupe d'utilisateurs. Certaines règles sont à respecter :

Le nom d'utilisateur (Login) doit être significatif pour pouvoir identifier toutes les personnes. Plusieurs méthodes d'identification sont possibles. L'une d'entre elles consiste à associer la première lettre du prénom au nom complet de la personne. Par exemple, le nom d'utilisateur "Diling" est utilisé par l'utilisateur Didier LINGONGO.

Par ailleurs, chaque système d'exploitation propose des comptes administrateurs (admin sous Novell, root sous Unix, et administrator sous Windows) capable de gérer les utilisateurs (création, attribution des droits et des fichiers, etc.).

Le mot de passe (Password) doit être personnel et incessible. Certaines consignes peuvent rendre difficiles voire inefficaces les tentatives de connexion des pirates :

· le cryptage des données pour rendre l'interception et la surveillance moins efficaces ;

· la déconnexion et le blocage du système après un certain nombre de tentatives de connexion ;

· l'interdiction de se connecter avec des comptes administrateurs sur des postes non sécurisés.

Afin de rendre votre politique de sécurité plus efficace, il faut établir convenablement les droits d'accès des utilisateurs et des groupes. L'installation standard des systèmes d'exploitation (Unix, Windows NT, Novell, etc.) n'est pas sécurisée en soi. Elle nécessite certaines manipulations. Quelques points fondamentaux cités ci-dessous peuvent apporter un niveau minimal de sécurité :

Sécurité des fichiers contenant les mots de passe : sous les systèmes Unix, deux fichiers sont à prendre en compte : le fichier des utilisateurs et leurs mots de passe : "/etc/passwd", et celui des groupes : "/etc/groups".

Les deux fichiers cryptés sont accessibles à tous les utilisateurs, même "guest" ou "anonyme", sans quoi ces derniers ne pourraient pas se connecter. Ce qui les rend, malgré le cryptage, faciles à pirater.

En effet, certains outils permettent de les décrypter. Pour remédier à cela, l'administrateur peut exécuter la commande "shadow" permettant de transférer le contenu de ces deux fichiers dans un autre fichier inaccessible aux utilisateurs.

D'autre part, sous Windows, la base de registre contenant les paramètres cryptés du système (system.dat) et des utilisateurs (user.dat) doit être protégée. Microsoft propose deux outils : "poledit" et "regedit" qui permettent de manipuler et de personnaliser entièrement le système. A l'aide de ces deux outils, vous pouvez minimiser les risques d'intrusions :

1. En interdisant l'exécution de l'Explorateur Windows, des commandes MS-DOS et les outils de la base de registre (Poledit et regedit).

2. En autorisant l'exécution d'une liste d'applications comme Winword, Excel, etc.

3. En interdisant les modifications des paramètres de configuration (panneau de configuration, imprimante, etc.).

Attribution convenable des droits d'accès : Dans un LAN, chaque utilisateur doit pouvoir créer et gérer des fichiers et des répertoires dans son espace de travail. Les autorisations d'accès (lecture, écriture, listage, exécution, etc.) aux fichiers et programmes doivent être parfaitement étudiées et installées. Dans une politique standard de sécurité, un simple utilisateur possède, d'une part, son répertoire de travail où il a tous les droits d'accès, et, d'autre part, des répertoires plus restreints appropriés à son activité. Il faut en principe éviter de donner le droit d'installation des programmes, de sauvegarde des fichiers système, de création de compte, d'ouverture des sessions sur le terminal du serveur, aux utilisateurs non autorisés.

Les ports utilisés par un ordinateur sont aussi des portes ouvertes aux pirates (LAN et WAN). Un port sur un serveur est un point d'entrée logique permettant à un client d'utiliser une application (ou un service). Par exemple, pour afficher la page d'accueil du site "TF1" sur un navigateur WEB, l'utilisateur se met en contact avec le port 80 du serveur. D'autres ports existent tels que le port 21 pour le service ftp, 23 pour le service Telnet, 25 pour le SMTP, 53 pour le DNS, 80 pour le HTTP, 110 pour le POP3, etc. Les pirates peuvent entrer en contact avec les applications qui "écoutent" les ports associés à chaque service. Les techniques actuelles de piratage utilisées sont multiples :

Plantage du serveur : en exécutant des applications non prévues (Telnet sur le service Ftp), ou en exécutant un nombre de demandes qui dépassent la capacité du serveur.

Accès indirect : en se servant de la faiblesse de certains protocoles. Par exemple, le protocole réseau NetBios sous Windows permet d'accéder au disque local de la machine. En effet, cela s'avère dangereux puisque l'accès à la base de registre est ouverte.

Contourner les applications : en exécutant des applications non prévues, ou en accédant aux privilèges (droits) administrateurs nécessaires pour faire tourner tel service.

· attribution des privilèges appropriés aux services (pour éviter qu'ils fonctionnent avec des privilèges d'administrateur ou d'invité).

II.3. SECURITE LOGIQUE22(*)

La sécurité logique fait référence à la réalisation de mécanismes de sécurité par logiciel contribuant au bon fonctionnement des programmes et des services offerts.

Elle s'appuie généralement sur une mise en oeuvre adéquate de la cryptographie, de procédures de contrôle d'accès logique, d'authentification, de détection de logiciels malveillants, de détection d'intrusions et d'incidents, mais aussi sur des procédures de sauvegarde et de restitution des informations sensibles sur des supports fiables spécialement protégés et conservés dans des lieux sécurisés.

ü La sécurité des progiciels (choix des fournisseurs, interfaces sécurité) ;

II.4. SECURITE PHYSIQUE23(*)

La sécurité physique et environnementale concerne tous les aspects liés à la maitrise des systèmes et de l'environnement dans lesquels ils se situent.

ü La protection des sources énergétiques et de la climatisation (alimentation électrique, refroidissement, etc.) ;

ü La protection de l'environnement (mesure ad hoc notamment pour faire face aux risqué d'incendie, d'inondation, etc.) ;

ü Des mesures de gestion et de contrôle des accès physiques aux locaux, équipements et infrastructures (avec entre autres la traçabilité des entrées et une gestion rigoureuse des clés d'accès aux locaux) ;

II.5. EQUIPEMENTS DE SECURITE INFORMATIQUE

L'achat des moyens de sécurité dépend de la politique de sécurité envisagée. Il peut s'agir, d'une part, de l'achat de matériel pour l'interconnexion de réseaux (LAN et WAN) comme les routeurs, les passerelles et les ponts.

Il peut s'agir également de l'achat de logiciels de différents types tels que les relais de connexion, les relais d'applications, les firewalls, etc.

II.6. Les LOGICIELS24(*)

Un pare-feu (Firewall, en anglais) est un dispositif matériel et/ou logiciel qui implémente la fonction de sécurité de contrôle d'accès. Un pare-feu est donc un dispositif pour filtrer les accès, les paquets IP, les flux entrant et sortant d'un système. Un pare-feu est installé en coupure sur un réseau lorsqu'il sert de passerelle filtrante pour un domaine a la frontière d'un périmètre fermé. Un pare feu est un système permettant de filtrer les paquets de données échangés avec le réseau.

Un pare-feu met en vigueur une politique de sécurité qui laisse passer, ou arrête les trames ou les paquets d'information selon cette politique. Il peut donc autoriser ou empêcher des communications selon leur origine, leur destination ou leur contenu.

Dans la pratique, un pare-feu lit et analyse chacun des paquets qui arrivent. Après analyse, il décide du passage ou de l'arrêt selon l'adresse IP de l'émetteur, du récepteur, selon le type de transport (TCP ou UDP) et le numéro de port, en relation avec le type d'application réseau. Quand la politique de sécurité ne concerne que les couches basses, la seule analyse du paquet permet d'autoriser, de rejeter ou d'ignorer le paquet. Quand la politique décrit des règles de sécurité qui mettent en jeu le transport fiable, les sessions ou les applications, le pare feu doit connaître l'état momentané de la connexion et doit garder en mémoire de nombreux paquets pendant un certain temps de façon qu'il puisse décider de l'autorisation ou du rejet des paquets.

Les pare-feu ont des limitations : ils doivent être très puissants en termes de ressources pour ne pas ralentir le trafic, dans un sens ou dans un autre, puisqu'ils ont en coupure sur le réseau. Ils ne doivent pas être court-circuités par d'autres passerelles ou des modems connectés directement à l'extérieur. Ils sont des « Bastions », c'est-à-dire des cibles pour les attaquants qui peuvent les assaillir pour saturer leur ressource.

Un pare-feu doit posséder un système de journalisation sophistiqué a posteriori tous les faits importants qui jalonnent la vie de cette passerelle filtrante : tentatives d'intrusion, événements anormaux, attaques par saturation, par balayage.

Un pare feu est en général architecturé de telle manière que l'on puisse distinguer physiquement les communications avec l'extérieur, celles avec le réseau a protéger et enfin celles qui sont déviées vers une zone tampon de parking, souvent appelée zone démilitarisée (DMZ en anglais), c'est dans cette zone qu'on place le site web, ouvert a l'Internet, a l'abri d'un pare-feu, mais nettement séparé du réseau interne à protéger.

Il convient d'ailleurs de dire ici qu'il n'existe aucun système de sécurité qui soit infaillible à 100%. Tout logiciel, qu'il soit de type firewall ou de type chiffrement d'information peut être « Cassé ». Mais il suffit que les besoins financiers à mettre en oeuvre pour ce faire soient supérieurs a la valeur marchande estimée des informations en notre possession pour que le système soit considéré comme fiable.

CHAPITRE III : ETUDE PREALABLE

III.1. PRESENTATION DU FONER25(*)

III.1.1. Aperçu historique du FONER

Né du souci des Pouvoirs publics congolais de doter la République Démocratique du Congo des ressources pouvant lui permettre de faire face à l'état de délabrement avancé des infrastructures routières rendant malaisée la circulation des personnes et des biens à travers le pays et ce, à des coûts excessifs.

III.1.2. Cadre Légal du FONER

· La loi n°08/006-A du 07 juillet 2008 portant création d'un Fonds National d'Entretien Routier « FONER » ;

· Le Décret n°08/27 du 24 décembre 2008 portant création de l'Etablissement Public chargé de la gestion de ce fonds dénommé Fonds National d'Entretien Routier, FONER en sigle ;

· L'Arrêté Interministériel n° 09/CAB/MIN-ITPR/002/KM/2009 du 06 mars 2009, n°CAB/MIN/FINANCES/DTS/2009 du 06 mars 2009, n°001/CAB/MIN/ECONAT & COM/2009 du 06 mars 2009 portant fixation des taux, montants et modalités de perception des ressources du Fonds National d'Entretien Routier ;

· L'Arrêté Interministériel N°CAB/MIN-ITPR/005/RM/JM/2011 du 30 juin 2012, N°CAB/MIN/FINACES/148/2011 du 03 juin 2011, N°CAB/MIN/TVC/001/2011 du 03 juin et N°CAB/COMPME/018/2011 du 03 juin 2011 portant mesures de protection du patrimoine routier national.

III.1.3. Mission

Le FONER a pour mission de collecter et d'administrer les fonds destinés à l'entretien et à la gestion des réseaux routiers du territoire national quels qu'en soient les Maîtres d'Ouvrages, à l'exception des ouvrages dont la construction et l'exploitation sont concédées.

Les fonds sont utilisés pour financer les travaux et les actions relatifs à l'entretien et à la protection du patrimoine routier national. Il s'agit, notamment de :

- l'exécution des études de toute nature et plus particulièrement, les études techniques, économiques et environnementales préalables à l'établissement d'un programme d'entretien routier ;

- l'exécution des travaux d'entretien courant et d'entretien périodique du réseau routier prioritaire national, urbain et rural y compris les bacs, les ouvrages d'arts routiers ainsi que les autres infrastructures s'y rapportant dont les voiries et l'assainissement ;

- la construction, le fonctionnement et la maintenance des stations de pesage et des postes de péage, des barrières de pluie et de tous autres dispositifs de contrôle pour le bon usage du patrimoine routier ;

- l'exécution des actions des Maîtres d'oeuvres commis à l'entretien et à la protection du patrimoine routier, notamment :

V. la promotion des opérations destinées à améliorer l'entretien et la conservation du patri

III.1.4. Structure organiques

Le Conseil d'administration est composé de cinq (5) membres représentés comme suit :

2. Deux représentants du secteur public responsable de la politique sectorielle ;

3. Deux représentants du secteur privé issus des organisations et des entreprises des usagers de la route.

Le Conseil d'administration est l'organe de conception, d'orientation et de décision du FONER. A ce titre, il a, entre autres, les prérogatives ci-après :

· approuver, sur proposition du Directeur Général, après avis de recrutement public, la nomination et, le cas échéant, le licenciement des cadres de direction et de commandement du FONER ;

· adopter le budget annuel de fonctionnement et d'investissement du FONER présenté par le Directeur Général sur base des programmes d'entretien routier et des ressources prévisionnelles ;

· approuver les états financiers accompagnés de l'avis du Collège des Commissaires aux comptes à transmettre aux autorités de tutelle et, le cas échéant, faire des recommandations qu'il juge utiles à ces dernières et au Directeur Général du FONER ;

· veiller au strict respect de l'application des manuels de procédures du FONER ;

· approuver, sur proposition du Directeur Général, après avis de recrutement public, la nomination et, le cas échéant, le licenciement des cadres de direction et de commandement du FONER ;

· adopter le budget annuel de fonctionnement et d'investissement du FONER présenté par le Directeur Général sur base des programmes d'entretien routier et des ressources prévisionnelles ;

· veiller au strict respect de l'application des manuels de procédures du FONER ;

· donner, dans la limite des programmes d'entretien approuvés, son accord préalable sur le financement des conventions - programmes passés avec les Maîtres d'OEuvre Délégués.

· mettre en oeuvre la politique général e du FONER définie par le Conseil d'administration ;

· assurer la représentation du FONER en justice pour toutes les actions introduites tant en demande qu'en défense ;

· proposer et soumettre au Conseil d'administration, les axes stratégiques de développement des activités du FONER à moyen et à long terme, notamment dans le domaine de l'entretien des réseaux repris dans l'article 3 du présent Décret et dans les matières connexes pour le renforcement des capacités des entreprises du secteur routier ;

· soumettre au Conseil d'administration les structures organiques détaillées ainsi que les éventuelles modifications liées à l'évolution et à l'exécution des objectifs du FONER sur le terrain ;

· proposer au Conseil d'administration, après avis de recrutement public, la nomination et, le cas échéant, le licenciement des cadres de commandement du FONER ;

· procéder au recrutement, à la promotion et, le cas échéant, au licenciement du personnel du FONER à l'exception de ceux repris dans l'article 9 alinéa 2 litera 2 du présent Décret ;

· exécuter le budget, préparer les états financiers et diriger l'ensemble des directions et services du FONER ;

· élaborer et soumettre, pour approbation au Conseil d'administration, les Manuels de procédures ;

· diligenter des audits techniques et financiers des Maîtres d'oeuvres dans le cadre des travaux financés ou cofinancés par le FONER ;

· fournir des informations et documents nécessaires pour la bonne tenue des sessions du Conseil d'administration.

La Direction Générale du FONER comprend un Directeur Général assisté d'un Directeur Général Adjoint qui le remplace en cas d'absence ou d'empêchement.

La surveillance des opérations financières du FONER est assurée par un Collège des Commissaires aux comptes composé de deux membres issus des structures professionnelles différentes, nommés, pour un mandat de cinq ans non renouvelable par Décret du Premier Ministre délibéré en conseil des Ministres sur proposition des Ministres ayant respectivement les Travaux Publics et les Finances dans leurs attributions.

Les Commissaires aux comptes ont, en collège ou séparément, un droit de surveillance et de contrôle sur toutes les opérations financières du FONER.

· contrôler la régularité et la sincérité des inventaires et des états financiers ainsi que l'exactitude des informations données sur le compte du FONER dans les rapports soumis au Conseil d'administration et transmis aux autorités de tutelle ;

· prendre connaissance, sans les déplacer, des livres, de la correspondance, des procès-verbaux et généralement de toutes les écritures comptables du FONER.

Le FONER est placé sous la tutelle administrative du Ministère ayant les Finances dans ses attributions et sous tutelle technique des Ministères ayant respectivement les Travaux Public et les Transports dans leurs attributions.

Les Autorités de tutelle exercent leurs pouvoirs sous la coordination du Ministère ayant les Travaux Public dans ses attributions (Art.41 du décret sus-évoqué)

La coordination des tutelles est assurée par le Ministre ayant les Travaux Public dans ses attributions.

III.1.6. Ressources

Le dispositif de financement du «Foner» est fondé sur les principales sources suivantes:

· Les redevances prélevées sur les lubrifiants et les carburants terrestres, notamment l'essence, le gazole et le gaz de pétrole liquéfiés, à l'exception du fuel-oil et des biocarburants produits en République Démocratique du Congo ;

· Les droits de péage sur le réseau routier d'intérêt national, à l'exclusion des ouvrages dont la construction et l'exploitation sont concédées ;

· Les redevances sur les charges à l'essieu ainsi que les pénalités diverses liées à l'usage abusif de la voie publique, de son emprise ou de ses équipements ainsi qu'au pesage, telles que définies par la Loi;

III.1.7. Mécanisme d'intervention du FONER

Au terme du Décret n° 08/27 du 24 décembre 2008, le FONER ne finance que les projets d'entretien présentés par les Organismes bénéficiaires suivants : l'office de Routes, l'Office des Voiries et Drainage, la Direction des Voies de Desserte Agricole ainsi que les Provinces (Rétrocession pour les travaux d'entretien des routes et voiries d'intérêt provincial et local) et ce, après leur approbation par le Ministère des Infrastructures Travaux Publics et Reconstruction.

Toute fois, dans le cadre du partenariat public-privé prôné par la Loi n°08/006-A du 07 juillet 2008, le FONER recourt au secteur privé tant dans la mobilisation de ses ressources que dans la réalisation des travaux d'entretien.

· Pour la mobilisation des ressources, le FONER travaille avec les acteurs du secteur public (Direction Générale des Douanes et Accises), d'économie mixe (SEP-CONGO) que privé (pétroliers privés organisés et indépendants).

· Pour la réalisation des travaux d'entretien, le FONER finance les travaux exécutés par les brigades de l'Office des Routes, l'Office des Voiries et Drainage, de la Direction des Voies de Desserte Agricole, des PMEs et des ONGD.

III.1.8.Siège social

Le FONER a son siège social établi à Kinshasa et peut exercer ses activités sur toute l'étendue du territoire national.

Il est sitiué sur l'Avenue Kwango n°6, dans la Commune de la Gombe ;
Réf. : A coté de l'Institut National des Arts « INA »

Le FONER comprend 3 Directions centrales au siège et sept Directions provinciales.

Sous la supervision du Directeur Général, la Direction Administrative et Financière gère les activités administratives, comptables et financières du FONER telles que la comptabilité, le budget, la trésorerie, le recouvrement, la gestion du personnel, les services généraux et intendance, etc.

Sous la supervision du Directeur Général, la Direction Technique est chargée de la gestion de différentes opérations techniques notamment le suivi et le contrôle des travaux effectués par les agences routières, les études techniques et la passation des marchés, etc.

Sous la supervision du Directeur Général, la Direction d'Audit interne est chargé de la surveillance générale de l'ensemble des processus et mécanismes concourant à la réalisation de l'objet social du FONER et de formuler des recommandations pour la meilleure maitrise des activités.

Sous la supervision du Directeur Général, les Directions provinciales assurent la mobilisation des ressources, le suivi des travaux financés par le FONER et la représentation du FONER sur toute l'entendue du pays. Elles sont subdivisées en Agences, Services et points focaux.

III.7. ANALYSE DE L'EXISTANT

Une meilleure compréhension de l'environnement informatique aide à déterminer la portée du projet et de la solution à implémenter. Il est indispensable de disposer d'informations précises sur l'infrastructure réseau et les problèmes qui on une incidence le fonctionnement du réseau. En effet ces informations vont affecter une grande partie des décisions que nous allons prendre dans le choix de la solution et de son déploiement.

III.7.1. Description des réseaux informatiques existants

En effet, ces informations vont affecter une grande partie des décisions que nous allons prendre dans le choix de la solution et de son déploiement.

Le réseau du FONER, est un réseau Ethernet commuté à 100Mbit/s, essentiellement basé sur une topologie en étoile. La norme de câblage réseau utilisée est T568A au détriment de T568B.

III.7.2. Architecture du réseau existant

III.7.3 Matériels et logiciels utilisé

III.7.4. Matériels

Le parc informatique du FONER compte environ une quarantaine d'ordinateurs de type Pentium(r) dual-core cpu e5300 @ 2.60 ghz (2CPUs), 1.99 Go de mémoire RAM, 97.6 - 250 Go de capacité des disques dure ; tous les ordinateurs, ont la même caractéristique.

III.7.5. Logiciel

Les systèmes d'exploitation installés sur les postes clients sont de la plate-forme Microsoft, plus précisément Windows XP Professionnel et Windows7.

III.8. CRITIQUES DE L'EXISTANT

Une analyse du réseau du FONER nous a permis de définir un nombre de contraintes pouvant réduire ses performances voir sa dégradation ; et de plus certains de ces contraintes peuvent être un obstacle à la réalisation de la mission du FONER :

- Ce système n'est pas du tout centralisé, ce qui le rend très difficile à administrer ;

III.9. PROPOSITION DES SOLUTIONS RETENUES

Nous avons opté pour la solution VPN site-à-site qui consiste à mettre en place une liaison permanente, distante et sécurisée entre deux ou plusieurs sites du FONER; afin de résoudre au mieux aux différentes préoccupations manifestées. Pour y arriver, nous allons organiser sur chaque site, un réseau local dans le but de faciliter l'interconnexion.

Suite à la critique de l'existant, quelques besoins ont été relevés afin de pallier aux contraintes précédemment mentionnées.

Les besoins fonctionnels expriment une action qui doit être menée sur l'infrastructure à définir en réponse à une demande. C'est le besoin exprimé par le client; ce besoin peut être exprimé de manière fonctionnelle mettant en évidence les fonctions de services pour répondre à la question : «A quoi ça sert ?» et les fonctions techniques « comment cela peut marcher ? ».

Dans ce cadre, nous allons déployer une architecture client/serveur avec services suivants :

Ø Déployer un serveur DHCP dans le but de centraliser la gestion de l'adressage et d'éviter des conflits d'adresses IP ;

Ø Déployer un serveur DNS qui permettra la résolution de nom dans le réseau local ;

Ø Déployer un serveur Web pour une haute disponibilité en cas de rupture du lien avec le réseau public ;

Ø Déployer un serveur de fichiers à fin de mieux gérer les droits d'accès aux informations du FONER.

Les besoins non fonctionnels représentent les exigences implicites auquel le système doit répondre. Ainsi hormis les besoins fondamentaux, notre système doit répondre aux critères suivants :

Ø La sécurité des accès (local, mot de passe : longueur, caractères spéciaux, politique de réutilisation) ;

Ø La fiabilité (moyenne de temps de bon fonctionnement, Le temps moyen de Rétablissement) ;

CHAPITRE IV :

IV.1. DEFINITION26(*)

Cette phase rappelle sa genèse et son utilité en répondant à la question : pourquoi ? Le ou les client(s) sont identifiés. Bien comprendre le fondement du besoin est indispensable pour fixer des objectifs cohérents et donner ainsi toutes les chances de réussite au projet. Justement préciser les objectifs est le deuxième point de la phase de cadrage. Par la suite il convient de décrire le projet sous 2 horizons : temporel et budgétaire. Pour le premier, fixer la date de fin attendue et pour le second évaluer une enveloppe globale.

Le but n'est pas de rentrer dans le détail comme pour un cahier des charges, mais fixer les grandes lignes pour obtenir une vision d'ensemble. Une autre précision se révèle utile : quels sont les types d'acteurs impliqués. C'est-à-dire mentionner globalement les services et profils impliqués dans le projet sans nommer précisément de collaborateurs. Le chef de projet étant en général déjà choisi.

Cette réflexion aboutit sur une note de cadrage. Elle est généralement issue de la rencontre des demandeurs et du chef de projet. Elle permet de communiquer en interne et d'être utilisée comme premier référentiel avant d'aller plus loin. L'étape suivante étant la rédaction du cahier des charges.

IV.2. CAHIER DES CHARGES

Par définition, le cahier des charges est un document qui contient la liste des besoins, des exigences et des contraintes qu'il faut respecter lors de la réalisation d'un projet.^27(*)

Ce chapitre nous permet de faire une étude de fonds en comble du projet qui a été soumis à notre étude.

Nous ne pouvons bien évidement pas revenir sur les détails de l'étude complète d'un projet, mais nous travaillerons sur les parties fondamentales faisant ressortir les points saillants du travail qui nous a été confié.

L'infrastructure VPN/IPSEC est de nos jours très peu répandu pourtant, elle apporte une nouvelle approche dans la méthode de transfert des données, elle revêt ainsi un caractère novateur pour les entreprises qui ont opté pour un partage optimal et sécurisé de leur information.

Partant du fait que le nombre de personnes et le budget alloués à ce projet sont très bas, il sera considéré comme un petit projet malgré le fait que sa durée soit relativement élevée.

IV.2. IDENTIFICATION DU PROJET

IV.2.1.Intitulé du projet

« Couplage des sites distant pour la gestion d'un système d'information en temps réel ». Cas du Fonds National d'Entretien Routier, FONER en sigle.

IV.2.2.Définition

Il est question ici de proposer un moyen sécurisé et sûr d'échange de données entre plusieurs sites distants du FONER.

IV.2.3.Caractéristiques :

- Un ordinateur faisant office de serveur accueillera deux services, l'un pour l'authentification et le transfert sécurisé des données et l'autre pour la gestion du temps de connexion à internet.

Motif : L'engouement qu'engendre l'architecture VPN/IPSEC se fait de plus en plus présent dans les entreprises de la place et surtout chez celles qui ont ce besoin naturel de fidéliser leur clientèle en leur proposant un service toujours disponible et de meilleures qualités.

Il est nécessaire de noter ici que la solution IPSEC ou plus précisément le protocole IPSEC sera implémenter aux extrémités de chaque réseau sur le routeur servant de passerelle entre l'intranet et internet.

IV.4. OBJECTIF

Implémentation d'un réseau des sites distants au sein du Fond National d'Entretien Routier.

IV.5. DIFFERENTES METHODES DE CONDUITE DE PROJET28(*)

Nous signalons également que, de nos jours un grand nombre de logiciels offrent une aide indispensable à la planification des projets, néanmoins, ont fait toujours appel aux théories des graphes telles que le PERT, le MPM et le GANTT.

En ce qui nous concerne, nous avons opté pour la méthode PERT (Program Evaluation and Review Technique) qui utilise une représentation en graphe pour déterminer la durée minimum d'un projet connaissant la durée de chaque tâche et les contraintes d'enchaînement.

IV.6. IDENTIFICATION ET DENOMBREMENT DES TACHES

IV.6.1. TABLEAU D'IDENTIFICATION DES TACHES DU PROJET

N°	TACHE	DESIGNATION TACHE	DUREE (JOURS)	PREDECESSEUR
1	A	Prise de contact	1	-
2	B	Analyse de l'existant	12	A
3	C	Critique de l'existant	7	B
4	D	Proposition des solutions	7	C
5	E	Etude de faisabilité	7	D
6	F	Elaboration du cahier des charges	7	E
7	G	Appel d'offre	10	E, F
8	H	Dépouillement des offers	2	G
9	I	Acquisition des matériels	35	G, H
10	J	Mise en place de la solution proposée	11	I
11	K	Mise au point et test	3	J
12	L	Lancement de système	1	K
13	M	Formation du personnel	25	L

IV.7.1. Tableau de calcul des niveaux du graphe

Tâches

Antécédentes

N10

N11

N12

E, F

G, H

Tâchesretenues

IV.8. DICTIONNAIRE DES TACHES PRÉCÉDENTES ET SUIVANTES

TACHE	DESIGNATION	PREDECESSEUR	SUCCESSEUR
A	Prise de contact	-	B
B	Analyse de l'existant	A	C
C	Critique de l'existant	B	D
D	Proposition des solutions	C	E
E	Etude de faisabilité	D	F, G
F	Elaboration du cahier des charges	E	G
G	Appel d'offre	E, F	H, I
H	Dépouillement des offers	G	I
I	Acquisition des matériels	G, H	J
J	Mise en place de la solution proposée	I	K
K	Mise au point et test	J	L
L	Lancement de système	K	M
M	Formation du personnel	L	-

I V.9. PLANIFICATION ET PRÉSENTATION DU GRAPHE

Il est important à tout ingénieur dans le domaine de réseau, de planifier les différentes tâches qui doivent être réalisées, afin de déterminer la date à laquelle le projet doit se réaliser, son délai d'exécution et par conséquent en connaitre le coût.^29(*)

L'étape initiale du projet débute au jour 0. C'est à partir de cette étape que l'on commence à cumuler les durées de chaque tâche afin de définir les dates de fin au plus tôt amont. La date de fin au plus tôt est la somme de la fin au plus tôt de l'étape aval et de la durée de la tâche.

TACHE	DUREE (J)	DFTO	DATE RETENUE
A	1	0	0
B	12	0+1=1	1
C	7	1+12=13	13
D	7	13+7=20	20
E	7	20+7=27	27
F	7	27+7=34	34
G	10	34+7=41 34+7=41	41
H	2	41+10=51	51
I	35	51+2=53 41+10=51	53
J	11	53+35=88	88
K	3	88+11=99	99
L	1	99+3=102	102
M	25	102+1=103	103
Z	0	103+25=128	128

Pour la dernière étape, la date de fin au plus tôt est la même que la date de fin au plus tard. Dans notre exemple, le projet se termine à j+15. C'est à partir de l'étape de fin du projet que l'on retranche les durées de chaque tâche pour définir la date de début au plus tard de l'étape aval. La date de fin au plus tard est la différence entre la fin au plus tard de l'étape amont et de la durée de la tâche.

TACHE	DUREE (J)	DFTA	DATE RETENUE
A	1	1-1=0	0
B	12	13-12=1	1
C	7	20-7=13	13
D	7	27-7=20	20
E	7	34-7=27 41-7=34	27
F	7	41-7=34	34
G	10	53-10=43 51-10=41	41
H	2	53-2=51	51
I	35	88-35=53	53
J	11	99-11=88	88
K	3	102-3=99	99
L	1	103-1=102	102
M	25	128-25=103	103
Z	0	128	128

I V.11. DETERMINATION DES MARGES LIBRES ET TOTALES

Les tâche à marge sont des tâches disposant d'un battement possible dans le temps (date au plus tôt < date de fin au plus tard).

§ La marge totale : Retard maximum que l'on peut prendre pour débuter une tâche sans remettre en cause les dates au plus tard des tâches suivantes.

Elle se calcule en faisant la différence entre la DFTA et la DFTO de la tâche considérée.

§ La marge libre : Retard maximum que l'on peut prendre pour débuter une tâche sans remettre en cause les dates au plus tôt des tâches suivantes.

Soit Ti la DFTO de la tâche proprement dite, Tj la DFTO de la tâche qui suit la tâche proprement dite et T la durée d'exécution de la tâche proprement dite.

I V.12. TABLEAU DE SYNTHESE DES DATES ET MARGES

TACHE	DESIGNATION TACHE	DUREE (J)	DFTO	DFTA	MARGE TOTALE	MARGE LIBRE
A	Prise de contact	1	0	0	0	0
B	Analyse de l'existant	12	1	1	0	0
C	Critique de l'existant	7	13	13	0	0
D	Proposition des solutions	7	20	20	0	0
E	Etude de faisabilité	7	27	27	0	0
F	Elaboration du cahier des charges	7	34	34	0	0
G	Appeld'offre	10	41	41	0	0
H	Dépouillement des offers	2	51	51	0	0
I	Acquisition des matériels	35	53	53	0	0
J	Mise en place de la solution proposée	11	88	88	0	0
K	Mise au point et test	3	99	99	0	0
L	Lancement de système	1	102	102	0	0
M	Formation du personnel	25	103	103	0	0
Z	Fin du projet	0	128	128

Tableau n°10: tableau de synthèse des dates et marges

I V.13. DETERMINATION DU CHEMIN CRITIQUE

Le chemin critique du projet est une suite des tâches du réseau ne comportant aucune marge (date au plus tôt = date au plus tard). La durée totale des tâches critiques donne la durée minimale de réalisation du projet. Le moindre retard au démarrage de l'une de ces tâches entraîne un retard équivalent sur la date de fin du projet^30(*).

I V.14. PRESENTATION DU CHEMIN CRITIQUE

IV.15. CALENDRIER DE REALISATION DU PROJET

CHAPITRE V:

Le terme planning est basé sur l'horizon à court, moyen et long terme ainsi que des objectifs.

Le Fonds National d'Entretien Routier avec ses Direction dans toutes les provinces du pays possède des réseaux opérationnels, mais qui nécessitent une meilleure planification afin que les différents Directions puissent posséder des réseaux fonctionnant suivant les normes et arriver à les interconnecter.

Pour ce faire, il est très nécessaire de définir les applications que le réseau va fournir, le débit et les supports de transmission adapté. Ainsi, pour chaque site, ces éléments seront répertoriés pour arriver à définir le mode de fonctionnement réel du réseau sur chaque site.

Après avoir mis en place des réseaux locaux opérationnels dans tous les sites distants du FONER, il s'avère nécessaire de les interconnecter pour faciliter la communication et s'adapter aux principes des Nouvelles Technologies en assurant la sécurisation des informations.

V.I. BESOIN EN EQUIPEMENT

Pour le siège à Kinshasa, les équipements pour fonctionner le réseaux sont :

V.II. ESTIMATION DE COUT DES EQUIPEMENTS

Pour arriver à la mise en place du système dont cette étude à essayer de détailler le mode de fonctionnement et les différentes architectures sans oublier l'aspect sécuritaire, il nous est utile d'arriver à la mise en place d'un cahier de charge permettant aux responsables de l'entreprise de penser au coût des équipements, pour que ceux qui auront à mettre en place un avant-projet puissent s'en servir.

Ainsi, le tableau ci-dessous explique le cahier de charge en décrivant les équipements nécessaires et leur prix actuels sur le marché.

Le coût des équipements que nous venons de décrire dans le tableau ci-haut n'inclut pas les équipements fournis par le FAI et l'abonnement. En dehors de cela, le coût d'installation, certains accessoires et la formation des utilisateurs sont aussi à prendre en compte lors de la mise en place d'un avant-projet ou du projet.

CHAPITRE VI:

VI.1. DEFINITION

L'implémentation d'un réseau est la mise en place sur un ordinateur d'un système d'exploitation ou d'un logiciel adapté aux besoins et à la configuration informatique de l'utilisateur.^31(*)

En ce qui nous concerne notre travail, nous implémentons un réseau des sites distant via la technologie VPN, en anglais Virtual Private Network qui veut dire réseau privé virtuel.^32(*)

VI.2. CHOIX DE LA TECHNOLOGIE

En définitive, nous avons choisi la solution VPN car elle s'appuie sur Internet, ce qui permet un réseau mondial, première exigence des dirigeants.

De plus, nous avons souhaitait que la solution choisie soit facile d'accès, ce que permet également le VPN.

Pour prendre la décision qui semblait la plus adaptée au FONER, nous avons regardé autant le coût d'achat de matériel, que celui de la mise en place, et de l'exploitation.

La solution VPN permet des économies importantes, par rapport à d'autres solutions.

VI.3. DESCRIPTION DE LA TECHNOLOGIE VPN

VI.3.1. Routeur VPN multi-WAN Cisco RV01633(*)

Le routeur VPN Mutli-WAN Cisco RV016 relie le réseau de l'entreprise à Internet, aux autres bureaux et aux employés travaillant à distance grâce à une connectivité haute performances, fiable et sécurisée. Ce routeur éprouvé fournit les performances et la sécurité dont nous avons besoin pour optimisation et la productivité des employés du FONER.

Jusqu'à 7 des 16 ports du routeur Cisco RV016 peuvent être configurés pour l'équilibrage de la charge afin d'améliorer les performances. Ils peuvent également être utilisés pour se connecter à différents prestataires de services, pour assurer la continuité des activités.

Les fonctionnalités VPN (réseau privé virtuel) de capacité élevée permettent à plusieurs bureaux et employés d'accéder aux informations dont ils ont besoin, où qu'ils se trouvent, de manière aussi sécurisée qu'au bureau central.

Pour renforcer la protection du réseau et des données, le routeur Cisco RV016 comprend des fonctionnalités de sécurité professionnelles et une fonction facultative de filtrage Web basée sur le cloud. La configuration est un jeu d'enfant grâce au gestionnaire d'appareils intuitif basé sur navigateur et aux assistants de configuration.

VI.3.2.Protocoles utilisés et sécurité des VPN

- IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.

- L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems, Nortel et Shiva. Il est désormais quasi-obsolète.

- L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l' IETF ( RFC 3931) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.

- SSL/TLS offre une très bonne solution de tunnelisation. L'avantage de cette solution est de permettre l'utilisation d'un navigateur Web comme client VPN.

- SSH, initialement connu comme remplacement sécurisé de telnet, offre la possibilité de tunneliser des connexions de type TCP, permettant d'accéder ainsi de façon sûre à des services offerts sur un réseau protégé, sans créer un réseau privé virtuel au sens plein. Toutefois, depuis sa version 4.3, le logiciel OpenSSH permet de créer des tunnels entre deux interfaces réseau virtuelles au niveau 3 (routage du seul trafic IP, interfaces TUN) ou au niveau 2 (tout le trafic Ethernet, interfaces TAP). Toutefois, OpenSSH ne gère que la création de ces tunnels, la gestion (routage, adressage, pontage, etc ...), c'est-à-dire la création du VPN utilisant ces tunnels, restant à la charge de l'utilisateur.

- VPN-Q (de Winfrasoft) : La mise en quarantaine des connexions permet d'isoler un utilisateur authentifié et d'inspecter sa configuration pour voir s'il ne présente aucun risque (le cas échéant de le mettre en conformité - correctifs, antivirus, pare-feu...). Ensuite et seulement s'il est conforme, il aura accès au réseau interne de l'entreprise. L'ajout de l'inspection du poste permet de réduire considérablement le risque des attaques contre le VPN.

VI.3.4. Installation de VPN sous Windows 2003 serveur34(*)

VI.3.4.1.Configuration du serveur :

Étape 1 : On se dirige tout d'abord vers le Panneau de configuration via le menu Démarrer puis sélectionnez Outils d'administration. Double cliquez alors sur Services.

Étape 2 : Par défaut, le service Routage et accès distant est désactivé. Il nous faut l'activer automatiquement à chaque démarrage de l'ordinateur. Pour cela, effectuez un clic droit dessus puis allez dans Propriétés. Choisissez le Type de démarrage Automatique, appliquez puis Démarrer le service.

Étape 3 : rendez vous alors dans le Centre réseau et partage via le Panneau de configuration du menu Démarrer. Cliquez sur Modifier les paramètres de la carte dans le volet de gauche puis actualisez les connexions réseau à l'aide du menu contextuel. Connexions entrantes doit apparaître.

Étape 4 : Faites un clic-droit sur cette nouvelle connexion et sélectionnez Propriétés. Cochez ensuite la case autorisant la connexion en Réseau privé virtuel (VPN) à votre ordinateur dans l'onglet Général.

Étape 5 : Choisissez dans l'onglet Utilisateurs les comptes utilisateurs autorisés à se connecter au VPN. Un nouveau compte peut être créé en cliquant sur Nouveau et en entrant un identifiant puis un mot de passe.

L'onglet Gestion de réseau n'est utile que dans certains cas. Si l'ordinateur serveur est placé derrière un routeur, vous devez définir vous-même les adresses IP qui seront accessibles via votre réseau VPN. Ces adresses doivent être différentes de celles utilisées par le routeur. Par exemple, si votre ordinateur fait partie d'un réseau local avec des adresses du type 192.168.0.x, choisissez pour votre réseau VPN des IP allant de 10.0.0.1 à 10.0.0.x, x représentant le nombre d'ordinateurs pouvant se trouver simultanément sur votre réseau virtuel.

VI.3.4.2.Connexion au serveur :

Étape 1 : Dirigez-vous vers le Panneau de configuration puis sélectionnez le Centre Réseau et partage. Au menu Modifiez vos paramètres réseau, sélectionnez Configurer une nouvelle connexion ou un nouveau réseau.

Figure n°21: Connexion au serveur; Étape 1

Étape 2 : Choisissez l'option Connexion à votre espace de travail pour configurer une connexion d'accès à distance ou VPN à votre espace de travail.

Figure n°22: Connexion au serveur; Étape 1

Étape 3 : À la question Comment voulez-vous vous connecter ?, cliquez sur Utiliser ma connexion Internet (VPN). Pour ce qui est de l'adresse Internet, indiquez l'adresse du serveur auquel vous désirez vous connecter et entrez un nom de destination. Ne cochez pas les cases en dessous et cliquez sur Suivant. Pour connaître l'adresse du serveur, demandez-la à son administrateur qui pourra se rendre ici afin de l'identifier facilement.

Figure n°23: Connexion au serveur; Étape 1

Étape 4 : Entrez votre nom d'utilisateur et votre mot de passe puis cliquez sur Connecter.

Figure n°24: Connexion au serveur; Étape 1

VI.3.4.3. Logiciel client VPN3000

Figure n°25 : Logiciel client VPN

Il peut être installé sur plusieurs systèmes d'exploitation, en effet il est adapté à WindowsXP, Windows Vista ainsi que MacOS X. Il est disponible en version d'évaluation sur le site de BeWan. Il permet de connecter les postes distants et nomades sur le site central au travers d'un tunnel VPNIPSec.

Ce client intègre une solution de pare-feu local sur le poste nomade, afin d'éviter que les ressources informatiques du site central ne soient attaquées. En effet, la fonction dite de "Split Tunneling" sur le VPN permet d'autoriser simultanément un tunnel VPN et du "surf" sur des sites Internet en direct.

La configuration du client VPN peut faire très facilement via un simple fichier comportant la configuration cliente souhaitée. De plus contrairement aux clients IPSec de Microsoft, l'installation et la configuration "manuelle" du client VPN de BeWan est très simple et nécessite très peu de temps.

VI.5. IMPLEMENTATION DES PROTOCOLES IPSec

Il existe deux types d'implémentation de ce protocole, suivant le niveau de sécurité et les besoins que l'on a, on en choisira un en dépits de l'autre...

Ø Une première implémentation consiste à utiliser IP pour faire du transport : IPSec génère un paquet et le transmet à IP, ce dernier considèrera alors le contenu de la couche supérieure comme sécurisé et fera acheminer directement le paquet sans le modifier. Entendez par là que les en-têtes des couches supérieures ne seront pas cryptés (notamment l'adresse IP source et l'adresse IP de destination), et donc transmis en clair sur le réseau.

Ø Une autre implémentation : plus sécurisée, consiste à faire crypter par IPSec les en-têtes du paquet. Deux associations de sécurité sont créées, une pour chaque extrémité du tunnel. Leur rôle sera à la fois d'établir la connexion entre les deux points, et de garantir l'intégrité de la communication et sa sécurité.

Figure n°26 : Illustration d'Implémentation des protocoles IPsec

VI.5.1. Mise en oeuvre de IPsec35(*)

Trois architectures de mise en oeuvre différentes sont définies pour IPsec dans la RFC 2401. Lequel nous utilisons dépend de divers facteurs, y compris la version d'IP utilisée (v4 contre v6), les exigences de la demande et d'autres facteurs. Ceux-ci restent dans la tour d'une décision de mise en oeuvre primaire: si IPsec doit être programmé dans tous les hôtes sur un réseau, ou tout simplement dans certains routeurs ou d'autres dispositifs "intermédiaires".

Cette décision de mise en oeuvre est celle qui doit être fondée sur les besoins du réseau. Il ya deux options: mettre en oeuvre IPsec en fin hôtes, ou dans les routeurs.

Mettre IPsec dans tous les dispositifs d'accueil offre le plus de flexibilité et de sécurité. Il permet la sécurité "end-to-end" entre deux périphériques sur le réseau. Cependant, il existe de nombreux hôtes sur un réseau typique, donc cela signifie beaucoup plus de travail que de la mise en oeuvre IPsec dans les routeurs.

Cette option est beaucoup moins de travail parce que cela signifie que nous ne faisons que des modifications à quelques routeurs au lieu de centaines ou de milliers de clients. Il ne fournit une protection entre les paires de routeurs qui mettent en oeuvre IPsec, mais cela peut être suffisant pour certaines applications telles que les réseaux privés virtuels (VPN). Les routeurs peuvent être utilisés pour fournir une protection uniquement pour la partie de la route que les datagrammes suivent à l'extérieur de l'organisation, laissant les connexions entre les routeurs et les hôtes locaux non sécurisés (ou éventuellement, garantis par d'autres moyens).

C'est une application qui configure automatiquement et simplifie la gestion de connexions VPN. Alternez librement entre les emplacements serveur ou changez de protocoles VPN d'un simple clic. Il permet :

§ Protection de la vie privée et contre la surveillance de votre FAI, des connexions sans fil, ou de votre voisinage ;

Hotspot Shield VPN est la solution de sécurité Internet ultime qui sécurise votre session de navigation, détecte et bloque les logiciels malveillants, protège votre vie privée et vous permet d'accéder à des sites bloqués.^37(*)

§ Mon VPN permet de surfer sur le Net sans laisser aucune trace de vos activités, mots de passe, IP, infos bancaires ;

§ assure la protection lorsque vous naviguez sur le web. Vos informations sont cryptées et protégées ;

§ permet de contourner les par-feux et les restrictions géographiques, accéder à tous les contenus en toute confidentialité sans censure.

CHAPITRE VII :

Ce chapitre nous permet de faire une étude de fonds en comble du projet qui a été soumis à notre étude. Nous ne pouvons bien évidement pas revenir sur les détails de l'étude complète d'un projet, mais nous travaillerons sur les parties fondamentales faisant ressortir les points saillants du travail qui nous a été confié.

L'infrastructure VPN site-à-site est de nos jours très peu répandu pourtant elle apporte une nouvelle approche dans la méthode de transfert des données, elle revêt ainsi un caractère novateur pour les entreprises qui ont opté pour un partage optimal et sécurisé de leur information.

Partant du fait que le nombre de personnes et le budget alloués à ce projet sont très bas, il sera considéré comme un petit projet malgré le fait que sa durée soit relativement élevée.

VII.I. ADRESSAGE ET CONFIGURATION

Pour comprendre comment fonctionnent les VPN, nous devons comprendre comment l'adressage et le routage sont affectés par la création de VPN accès distant et de VPN routeur à routeur. Une connexion VPN crée une interface virtuelle qui doit avoir une adresse IP propre et des routes doivent être changées ou ajoutées pour assurer que le bon trafic est envoyé dans la connexion VPN sécurisée au lieu de l'inter-réseau partagé ou privé^39(*).

Routage et accès à distance est un routeur logiciel à fonctionnalités complètes et une plateforme ouverte pour le routage et la mise en réseau. Il fournit des services de routage aux entreprises dans des environnements de réseau local (LAN) et de réseau étendu (WAN) ou sur Internet au moyen de connexions VPN sécurisées. Le routage est utilisé pour les services de routage multi-protocole de réseau local à réseau local, réseau local à réseau étendu, VPN, et traduction d'adresses réseau.

b) Tableau d'adressage

C) Configuration d'un réseau privé virtuel (VPN) multi-sites connecté à plusieurs bureaux en toute sécurité via Internet40(*)

Comment configurer un réseau privé virtuel (VPN) multi-sites connecté à plusieurs bureaux en toute sécurité via Internet ?

Dans le cas ou ont dispose d'aucun routeur ou de configuration VPN, ont procède de la manière suivante :

Etape 1

Choisissez un routeur adapté.
Les facteurs à prendre en compte sont :
·     le coût
·     Service disponible
·     Fiabilité
·     Couverture géographique attendue

Etape 2

Décidez du niveau de services adapté à l'environnement professionnel.
- Mettre en place une réglementation du trafic là où IPsec pourrait être

bloqué.

Etape 3

Sélectionnez un fournisseur de services Internet adapté.

- Pour l'infrastructure WAN et l'adressage IP, nous utilisons un adressage

IP statique.
- Définissez l'adresse de passerelle pour chaque réseau et attribuez

une adresse IP à chacun de ces réseaux.
- Accédez à la configuration de la page du routeur de

l'interface utilisateur graphique à l'aide de l'IP 192.168.1.1
- Modifiez l'adresse IP de votre réseau local et reconnectez-le au sous-

réseau 192.168.10.1

Figure n°27 : Configuration réseau privé virtuel (VPN) multi-sites connecté à plusieurs bureaux en toute sécurité via Internet; Étape 3

Procédure pour votre infrastructure de réseau local et l'adressage IP
· Définissez l'espace unique de l'adresse IP privée pour chaque site.
· Sélectionnez l'onglet DHCP. Le réseau de base est ajusté au réseau

déterminé à l'étape précédente.
· Activez le serveur DHCP pour distribuer les adresses IP aux

périphériques dans le réseau local Intranet.

Figure n°28: Configuration réseau privé virtuel (VPN) multi-sites connecté à plusieurs bureaux en toute sécurité via Internet; Étape 4

Le client IP qui se connecte au routeur obtiendra une adresse DHCP.
Vous pouvez vérifier ces renseignements sous l'onglet DHCP, puis vous référer à l'onglet Etat, comme indiqué sur l'illustration ci-dessous.

Figure n°29: Configuration réseau privé virtuel (VPN) multi-sites connecté à plusieurs bureaux en toute sécurité via Internet; Étape 5

- Le nombre total de périphériques utilisateur détermine le type de routeur que vous devez sélectionner.

L'illustration ci-dessous indique le nombre de tunnels nécessaires pour le réseau maillé, qui correspond à 2 à 5 sites.

Figure n°30 Configuration réseau privé virtuel (VPN) multi-sites connecté à plusieurs bureaux en toute sécurité via Internet; Étape 7

Laissez les paramètres par défaut sur la page VPN Sur la page de configuration IPSec, les paramètres recommandés correspondront au mode de clé pré-partagée (PSK)

· Rendez-vous dans l'onglet VPN.
· Cliquez sur l'onglet Gateway to Gateway (Modem routeur vers

modem routeur).
· Configurez votre tunnel de routeur Site 1 RV042 sur Site 2 et vice

versa, comme indiqué sur l'illustration ci-dessous.
· Appliquez cette méthode aux 4 tunnels

- Veuillez le définir sur DPD (dead peer detection) et Keep Alive timers (Durée de maintien de la connexion) Si votre routeur ne dispose pas de la configuration DPD, définissez-le sur Keep Alive (Maintenir la connexion) pour les deux côtés du tunnel.

Pour éviter toute incohérence, ne définissez pas 2 types différents de configuration sur chaque tunnel.

Figure n°32 : Configuration réseau privé virtuel (VPN) multi-sites connecté

A des fins de confidentialité, les données transportées sur e VPN doivent être cryptées.

La configuration IP-Sec pour le cryptage et l'authentification s'applique à 5 sites, le VPN multi-sites est présenté sur l'illustration ci-dessous.

Etape 12

Sélectionnez les mêmes paramètres de cryptage et d'authentification pour tous les tunnels, mais utilisez une clé différente pour chaque paire de routeurs ;

La configuration doit être définie comme sur l'affichage d'état des 3 captures d'écran suivantes pour les Site 1, Site 3 et Site 4.

Etape 13

- La sélection du routeur en fonction de ses performances est cruciale.
- Lorsqu'il est question de débit, la vitesse de l'interface WAN et

tendance à diminuer. La fonction Sécurité du pare-feu et autre routeur offrant à la fois le VPN et des services de sécurité diminueront les performances de votre système.

Etape 14
- Sur la page de votre routeur, rendez-vous dans l'onglet Firewall (Pare-

feu).
- Sélectionnez le sous-lien General (Général) de l'onglet Firewall (Pare-

Sur la page de votre routeur, rendez-vous dans l'onglet Firewall (Pare-feu). Sélectionnez le sous-lien Access Rules (Règles d'accès) de l'onglet Firewall (Pare-feu). Modifiez les paramètres de votre page pour qu'ils correspondent à la configuration fournie sur la capture d'écran suivante

Sur la page de votre routeur, rendez-vous dans l'onglet Firewall (Pare-feu). Sélectionnez le sous-lien Content Filter(Filtre de contenu) de l'onglet Firewall (Pare-feu). Modifiez les paramètres de votre page pour qu'ils correspondent à la configuration fournie sur la capture d'écran suivante.

Le routeur peut prendre en charge un système de prévention avancé contre les intrusions (IPS).
Cette fonction permet d'aider l'utilisateur à rester à jour des dernières actualités, à détecter les trafics dommageables et à les arrêter à temps.

Rendez-vous sur la page de votre routeur Linksys.
- Sélectionnez l'onglet IPS.
- Sélectionnez le sous-lien P2P MI.
- Cochez le bouton radio pour bloquer ou débloquer les applications

i. Mauvaise configuration
ii. Routeur VPN
iii. Connexion WAN au(x) fournisseur(s) de services

- configuration WAN1 comme indiqué sur l'illustration suivante.
- configurez un seul tunnel entre deux sites de la topologie.
- Créez une sauvegarde WAN de chaque côté.

Utilisez l'interface utilisateur graphique de configuration du routeur pour définir le second WAN avec sa propre adresse IP.

Rendez-vous sur la page de votre routeur Linksys. Sélectionnez l'onglet Setup (configuration). Choisissez le sous-lienNetwork (Réseau).
configurez vos paramètres de telle sorte qu'ils correspondent à la capture d'écran suivante concernant la configuration d'un Dual WAN avec sauvegarde IPSec (WAN1)

Etape 20

Rendez-vous dans l'onglet System Management (Gestion de système). Définissez le second port Wan comme port d'équilibre de charge en cochant l'option Load Balance (Equilibre de charge).

- Sur l'onglet VPN, sous le sous-lien Summary system (Récapitulatif système), WAN port (Port WAN) s'affiche.

- Sélectionnez l'onglet Avanced (Avancé) pour le tunnel principal.
Complétez les champs dans l'interface utilisateur graphique à l'aide des adresses IP de sauvegarde

Etape 22

Sélectionnez l'onglet Avanced (Avancé). Accédez à l'interface utilisateur graphique et indiquez qu'il s'agit d'une sauvegarde du tunnel. Effectuez cette opération de chaque côté du tunnel.

Une fois votre tunnel connecté, vérifiez votre état sur l'onglet VPN sous le sous-lien Summary (Récapitulatif) dans l'interface utilisateur graphique.

Même si vous déconnectez le WAN 1, la page d'état Summary (Récapitulatif) continuera d'indiquer que le tunnel de sauvegarde est actif.

VII.I. ILLUSTRATION DE LA NOUVELLE ARCHITECTURE

CONCLUSION GENERALE

Les entreprises se servent des réseaux privés pour communiquer avec des sites distants ou d'autres entreprises. Ces réseaux privés sont composés de lignes louées aux opérateurs de télécommunications, qui sont de type point à point et les bit qui y circulent sont isolés des autres trafics parce que les lignes louées créent un circuit réel entre les sites qui communiquent. Malheureusement, ces réseaux ont un inconvénient majeur, c'est leur coût.

L'arrivée des accès rapides à l'internet ainsi que la baisse globale de leurs coûts à permis un avantage aux entreprises confrontées aux problèmes de distribution et de collecte d'informations. Etant donnée que sur Internet toutes sortes de trafics circulent, les entreprises se tournent vers des solutions VPN ou Réseaux Privé Virtuel qui leur offrent des avantages des réseaux privés, mais à moindre coût.

En effet, pour qu'une entreprise arrive à mettre en place cette solution, elle doit disposer des réseaux locaux opérationnels dans chaque site. Cela étant, l'opportunité et le besoin d'interconnexion se sentira en cherchant une solution fiable et moins couteuse, tel est le cas de VPN.

Par ailleurs, nous avons présenté un travail divisé en deux parties, à savoir l'approche théorique qui était subdivisé en trois chapitres dont le premier a porté sur les généralités sur les réseaux informatiques ; le second a porté sur l'étude de la sécurité informatique et le troisième a porté sur étude préalable ; en suite la deuxième partie intitulée : planification et déploiement du système d'interconnexion qui était subdivisé en quatre chapitres à savoir, cadrage de projet du nouveau système d'information, le second a porté sur la planification de réseau par site, le troisième a porté sur l'implémentation du réseau et la réalisation du projet.

En effet, la mise en place de VPN site-à-site permet aux réseaux privés de s'étendre et de se relier entre eux au travers d'internet. Cette solution mise en place est une politique de réduction des couts liés à l'infrastructure réseau des entreprises. Il en ressort que la technologie VPN basé sur le protocole IPSec est l'un des facteurs clés de succès qui évolue et ne doit pas aller en marge des infrastructures réseaux sécurisés et du système d'information qui progressent de façon exponentielle.

En tout état de cause, dans le cadre d'un accès restreint et plus sécurisé à l'internet, nous pourrons nous retourner sur le VPN ou le cryptage du réseau.

En définitive, comme tout travail scientifique, nous n'avons pas la prétention de réaliser un travail sans critique et suggestion de la part de tout lecteur afin de le rendre plus meilleur.

BIBLIOGRAPHIE

1. P.O Alphonse MVIBUDULU KALUYITUKAKO : théorie des graphes, L2 informatique de gestion, ISC/KIN, 2012-2013

3. IVINZA LEPAPA, Télématique II, L2 informatique de gestion, ISC-KIN, 2012 - 2013

4. INVIZA LEPAPA, Introduction aux réseaux TCP/IP, L2 informatique de gestion, ISC-KIN, 2012 - 2013

IV. MEMOIRES CONSULTES

2. Bahati Eric, Mise en place d'un réseau VPN au sein d'une entreprise, ISC/KIN, 2011-2012

3. Ofodia Dieudonné, Etude de dimensionnement et de déploiement d'une connexion VPN pour la sécurisation d'un réseau Intranet d'entreprise, I.S.T.A, 2010-2011

V. AUTRES DOCUMENTS

BIBLIOGRAPHIE......................................................................................120

OUVRAGES............................................................................................120

NOTES DE COURS...................................................................................120

WEBOGRAPHIE.......................................................................................120

MEMOIRES CONSULTES............................................................................121

AUTRES DOCUMENTS...............................................................................121

* ¹ A. P. ONTANDIPOULOS et al, Savoir préparer une recherche, Ed. P.U.M., Montréal, 1990, P. 57

* ⁶ Dimandja Joseph, Mémoire, Conception et implémentation d'un intranet, ULK, 2006-2007, Page 7

* ⁸ IVINZA LEPAPA, Notes de cours de Télématique, L2 info, ISC-GOMBE, 2012 - 2013

* ¹⁴ http://www.commentcamarche.net/contents/606-reseaux-locaux-les-systemes-d-interconnexion

* ²⁰ INVIZA LEPAPA, Introduction aux réseaux TCP/IP. Support de cours, Ed. 2013/99, Page 5.

* ²¹ Ghernaouti-Hélie S., Sécurité informatique et réseaux, 3^emeédition, DUNOD, Page 4

* ²² Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 8

* ²⁸ P.O Alphonse MVIBUDULU KALUYITUKAKO, Note de cours : théorie des graphes, L2 informatique ISC/KIN, 2012-2013

* ²⁹ Prof. MBIKAYI Jeampy, Cours: Modèle Conceptuel de Projet, L2 informatique ISS/KIN, 2011-2012

Couplage des sites distants pour la gestion d'un système d'information en temps réel: cas du FONER

« I.S.C. »