MINISTERE DE L'ENSEIGNEMENT SUPERIEUR ET UNIVERSITAIRE

UNIVERSITE DE KANANGA Faculté des Sciences Informatiques

« UNIKAN »

Discipline : Réseaux et Télécommunications

Par NTUMBA LUKUSA Gospel

Mémoire de fin d'études présenté et défendu en vue de l'obtention du grade de Licencié en Sciences Informatiques

Page - 0 - sur 109

Novembre 2022

Page I sur 109

EPIGRAPHE

« Notre peur la plus profonde n'est pas que nous ne soyons pas à la hauteur. Notre peur la plus profonde est que nous soyons puissants au-delà de toutes limites. C'est notre lumière et non nos ténèbres qui nous effrayent les plus. Nous nous demandons: Qui suis-je pour être brillant, magnifique, talentueux et fabuleux? En fait, qui es-tu pour ne pas l'être ? Tu es un enfant de Dieu. Te restreindre et voir petit, ne rend pas service au monde. Il n'y a rien de brillant à se diminuer afin que les autres ne puissent pas se sentir menacés autour de toi.

Nous sommes tous nés pour briller, comme des enfants le font. Nous sommes nés pour rendre manifeste la gloire de Dieu qui est en nous. Elle n'est pas seulement chez certains d'entre nous, elle est en chacun de nous. Alors que nous laissons notre propre lumière briller, inconsciemment nous donnons aux autres la permission d'en faire de même. Alors que nous nous libérons de notre propre peur, notre présence libère automatiquement les autres ».

Marianne Williamson

Page II sur 109

DEDICACE

L'eau coule à sa source, l'arbre pousse à ses racines.
A notre Dieu, le Père tout puissant, lui qui a fait toute chose.
A notre Seigneur et Sauveur Jésus Christ, pour la grâce et la sagesse qu'Il nous accorde afin
de parvenir à la fin des études du deuxième cycle de licence à l'Université.
A mes parents : Anny BUETU LUKUSA et Aufin LUKAMBA SHABANYI pour les
sacrifices déployés à mes égards, pour leur patience, leur amour et leur confiance en moi. Ils
ont tout fait pour mon bonheur et ma réussite. Qu'ils trouvent dans ce modeste travail, le
témoignage de ma profonde affection et de mon attachement indéfectible. Nulle dédicace ne
puisse exprimer ce que je vous dois. Que Dieu leur réserve la bonne santé et longue vie.
A mes très chères soeurs : Kelly KAYOWA, Blandine KAYEMBE et Marianne BAMBI.
En souvenir d'une enfance dont nous avons partagé les meilleurs et les plus agréables
moments. Et pour tous que vous avez faits pour moi et pour mes études. Ce travail est un
témoignage de mon attachement et de mon amour pour vous, que le Très Haut vous garde
et vous rembourse au centuple.
A ma grande famille : mes grands-parents, mes tantes, mes oncles ainsi que mes cousines et
mes cousins, que ce travail soit pour vous un défi à relever et que le Seigneur soit avec vous,
vous bénisse et vous protège au nom du Père, du Fils et du Saint Esprit.
A vous tous, je dédie ce travail.

NTUMBA LUKUSA Gospel

Page III sur 109

REMERCIEMENTS

La réalisation de ce travail a été possible grâce au concours de plusieurs personnes à qui nous voudrions témoigner toute notre gratitude.

En premier lieu, je remercie BATUBENGE MWAMBA NZAMBI Jean Didier, professeur à l'Université de Kinshasa. En tant que directeur de mémoire, il m'a guidé dans mon travail et m'a aidé à trouver des solutions pour avancer.

Je voudrais aussi adresser toute ma gratitude au codirecteur de ce mémoire, Simon NKONGOLO, assistant à l'Université de Kananga pour sa patience, sa disponibilité et surtout ses judicieux conseils, qui ont contribué à alimenter ma réflexion.

Nous souhaitons adresser nos remerciements les plus sincères au corps professoral et administratif de l`Université de Kananga, pour la richesse et la qualité de leur enseignement et qui déploient de grands efforts pour assurer à leurs étudiants une formation actualisée.

Je désire aussi remercier les professeurs de l`Université de Kananga, qui m'ont fourni les outils nécessaires à la réussite de mes études universitaires. Je tiens à remercier spécialement le Doctorant Raphael YENDE Grevisse, qui fut le premier à me faire découvrir en profondeur la sécurité des réseaux.

Je remercie également le CT Freddy KATAYI NTUMBA, secrétaire du DECANAT de la Faculté des sciences informatiques à l'UNIKAN, pour m'avoir apporté des précisions dans son domaine d'expertise.

Nous ne saurons oublier les assistants de notre Alma Mater : Anaclet MIANGALA, Célestin KABASELE, Jean-Jacques ODIA, Augustin KALALA et JC BUKASA, non seulement pour avoir assuré la partie théorique de celui-ci mais aussi pour avoir répondu à mes questions.

Un grand merci à ma mère et mon père, pour leur amour, leurs conseils ainsi que leur soutien inconditionnel, à la fois moral et économique, qui m'a permis de réaliser les études que je voulais et par conséquent ce mémoire.

J'exprime ma très profonde gratitude à ma grande famille: José TUENZELE LUKUSA, Nono MUBANGA, Salomon BASH, Valiance KABENA, Marianne BAMBI, Blandine KAYEMBE, Kelly KAYOWA, Gilbert TSHIBUABUA, Henry LUKAMBA, Lysette LUKAMBA, Bernisse KABENA, Plamedie KABENA, Billy BILONDA, pour m'avoir soutenu tout au long de mes études. Je reconnais les sacrifices que ces longues années ont représentés et je les remercie d'avoir appuyé mes choix et d'avoir toujours su m'encourager.

Je voudrais exprimer ma reconnaissance envers les collègues : TSHIBALABALA MUAMBA Laurent, Djedel LUKUSA KABASELE, KANKU BADIBANGA Angel, TSHIELA NSHIMBA Elliotte, NGALAMULUME NKAMBA Jeançy, KADIATA MBUYI Remy, ILUNGA MUTANDA Dan, KABASELE MUANZA Moro, qui m'ont apporté leur soutien moral et intellectuel tout au long de ma démarche. Un grand merci à TSHIBOLA KALONGA Berthe pour son soutien inestimable.

Je ne peux pas clore cette liste sans dire enfin, un grand merci aussi à mes amis et connaissances qui étaient là dans mes moments de doute : Guelord NKUATA, Mike TSHINDAYE, Désiré MUAMBA, Alpha NTUMBA, Albert TSHIPAMBA, Jérémie MUKAYA, Aimable KAPUKU, Georges KAPALA, Fiston TSHISHIMBI, Deborah BAKAJIKA, Mado NGALULA BASHIPAYAYI, pour leur relecture héroïque de l'ensemble

Page IV sur 109

et leur soutien moral et leur amitié pendant le temps que nous avons passé ensemble. En particulier à Thérèse KAMUANZA, Emilie MBULU et Berthe KAPINGA, qui m'ont aidé à la préparation de la célébration de ma soutenance.

Je n'oublierai jamais mes bros de la délégation estudiantine, qui étaient là dans les nobles causes des étudiants.

Et les autres dont les noms ne figurent pas ici, qu'ils trouvent sur ces lignes, les sentiments de notre sympathie envers eux.

NTUMBA LUKUSA Gospel

Page V sur 109

RESUME

Ce mémoire rentre dans le cadre de l'obtention du diplôme de licence en Réseaux et Télécommunications à l'UNIKAN.

Il étudiera et déploiera la technologie MPLS/VPN pour le partage des données dans une entreprise multi sites, cas de la BCC/DP de KGA.

L'idée de ce mémoire de recherche est venue du constat que les entreprises sont exposées aux menaces et souffrent dans la transmission des données.

Dans ce modeste travail, nous avons parlé du VPN-MPLS et le simuler sous GNS3. Le succès de MPLS est sans doute le résultat du réseau qui est intègre les différents types de traffic de haut de gamme comme le VOIP, le vidéo-conférence dans la couche 2.MPLS fusionne les réseaux Frame Relay et le VOIP en une infrastructure ce qui implique un énorme avantage au niveau du prix et aussi au niveau de qualité. Le couple MPLS-VPN est le plus populaire et le plus répandu par l'implémentation de la technologie MPLS. Il est la solution le plus mature et le plus stable au niveau du réseau en offrant plusieurs nouvelles caractéristiques.

Mots clés: MPLS, VPN, Traffic Engineering, QOS

ABSTRACT

This thesis is part of obtaining the license diploma in UNIKAN networks and telecommunications. He will study and deploy MPLS/VPN technology for data sharing in a multi -Site Company, case of the BCC/DP of KANANGA. The idea of this research thesis came from the observation that companies are exposed to threats and suffer in data transmission.

In this project, we have talked about VPN-MPLS using the simulator GNS3. The success of MPLS is undoubtedly a result of the fact that it enables the network to carry all kinds of traffic, ranging from IP traffic to Voice over IP (VoIP) traffic to Layer 2 traffic. MPLS can consolidate the ATM, Frame Relay, Voice, and IP networks into one unified network infrastructure, thereby generating a huge cost advantage. The couple MPLS VPN, or MPLS Virtual Private Networks, is the most popular and widespread implementation of MPLS technology. MPLS has matured among the and is a stable technology, seeing many new features.

Keywords : MPLS, VPN, Traffic Engineering, QOS

Page VI sur 109

SOMMAIRE

EPIGRAPHE I

DEDICACE II

REMERCIEMENTS III

RESUME V

ABSTRACT V

SOMMAIRE VI

LISTE DES FIGURES IX

LISTE DES TABLEAUX XI

LISTE DES SIGLES ET ABREVIATIONS XII

GLOSSAIRE XV

0.0. INTRODUCTION GENERALE 1

0.1. Annonce du sujet 2

0.2. Problématique 2

0.3. Hypothèses 3

0.4. Etat de la question 3

0.5. Choix et intérêt du sujet 4

0.6. La méthodologie du travail 4

0.6.2. Les techniques 5

0.7. Délimitation du sujet 6

0.8. Difficultés rencontrées 6

0.9. Présentation sommaire 6

CHAPITRE I : GENERALITES SUR LE RESEAU D'ENTREPRISE 8

0. Introduction [] 8

I. Comment fonctionne l'informatique en entreprise 8

I.1. Un réseau en entreprise, pour quoi faire ? 8

I.2. Réseau d'entreprise 8

I.3. Les rôles du serveur et du réseau d'entreprise 9

I.4. Accéder à votre Poste de Travail 11

I.5. Exemple d'utilisation d'agenda partagé 12

I.6. Les lecteurs réseau 12

I.7. Installation du réseau d'entreprise [] 13

I.8. Sécurité réseaux [] 15

I.9. Les types d'attaques 16

II.10. Les méthodes de protection 18

Page VII sur 109

I.11. Les algorithmes de chiffrement se divisent en deux catégories : 18

CHAPITRE II : NOTIONS FONDAMENTALES SUR LE RESEAU VPN/MPLS 22

II.0. Introduction 22

II.1. Mais alors pourquoi réseau virtuel privé ? 23

II.2. Propriétés d'un VPN 23

II.3. Objectif et caractéristiques des VPN 23

II.4. Connexion 25

II.5. LAN To LAN 26

II.6. Fonctionnement un VPN 26

II.8. Les différents types de VPN 27

II.9. Les différentes architectures de VPN 29

II.10. Le tunneling 31

II.11. Principe de fonctionnement de Tunneling 31

II.12. Les implémentations historiques de VPN 32

II.13. L'implémentation OpenVPN [] 48

II.14. Comparaison des différents protocoles de tunnelisation 49

II.15. Topologie de VPN 49

II.16. Les avantages d'un VPN 50

II.17. VPN et MPLS 51
CHAPITRE III : PRESENTATION DE LA BANQUE CENTRALE DU CONGO / DIRECTION

PROVINCIALE DE KANANGA ET ETUDE DE RESEAU INFORMATIQUE 54

III.0. Introduction 54

III.1. Présentation de la BCC/DP KGA 54

III.1.1. Historique de la BCC/DP KGA 54

III.1.2. Situation géographique 56

III.2. Etude du réseau informatique de la BCC/DP KGA 62

III.3. Mécanisme de sécurité 64

III.4. Réseau virtuel privé de la Banque Centrale du Congo 66

III.5. Critique de l'existant 66

CHAPITRE IV : DEPLOIEMENT D'UN RESEAU MPLS/VPN 71

IV.0. Introduction 71

Section I : Cadrage du projet 71

Section II : Conduite du projet 77

CONCLUSION GENERALE ET PERSPECTIVES 86

BIBLIOGRAPHIE 88

I.OUVRAGES 88

Page VIII sur 109

II.NOTES DE COURS 88

III.THESES, MEMOIRES ET RAPPORTS DE STAGES 88

IV.REVUES ET ARCHIVES 89

V.SITES INTERNET DE REFERENCE 89

ANNEXES : 90

ANNEXE 1 : EXPLICATIONS SUR LE MPLS 90

ANNEXE 2 : EXTRAIT CONFIGURATION VPN-MPLS GNS3 90

FICHE DE RENSEIGNEMENTS 93

Page IX sur 109

LISTE DES FIGURES

Numéros Figures Titres figures

Page X sur 109

Figure II.14.2.

Page XI sur 109

LISTE DES TABLEAUX

Page XII sur 109

LISTE DES SIGLES ET ABREVIATIONS

Page XIII sur 109

KPI

Page XIV sur 109

TTL

Page XV sur 109

GLOSSAIRE

Terme Définition

Page 1 sur 109

0.0. INTRODUCTION GENERALE

Les avancées remarquables de la technologie ont favorisé le développement des réseaux informatiques ou des entreprises de façon prodigieuse. En effet, ils prennent de plus en plus une place stratégique au sein des entreprises qui les utilisent pour partager des données, généralement selon le modèle client-serveur, dans lequel les stations de travail des employés accèdent à de puissants serveurs situés dans une salle informatique.

Alors que l'informatique est devenue pour l'entreprise, un outil incontournable de gestion, d'organisation, de production et de communication, les données mises en oeuvre par le système d'information ainsi que les échanges internes et externes et les données professionnelles stockées sont exposés aux actes de malveillance de différentes natures et dont la nature et la méthode d'intrusion sont sans cesse chargeantes.

La sécurité informatique en entreprise est une problématique importante car les effets sont de plus en plus lourds. Notamment avec le développement de l'utilisation d'internet, de nombreuses entreprises multi-sites connectent leurs réseaux, respectivement une partie du réseau, ce qui l'expose à une multitude de menaces potentielles qui sont de plus en plus ciblées et de plus en plus sophistiquées. Mais le réseau peut également être mis en péril par des menaces venant de l'intérieur de l'organisme.

Il est donc indispensable pour les entreprises de créer un tunnel crypté pourvu qu'on part d'un site vers un autre en transitant par Internet public afin de partager les données.

Parfois l'entreprise est située sur plusieurs sites géographiques. Par conséquent, l'interception ou l'altération des données sensibles qui transitent sur internet à destination de ses filiales représentent des risques non négligeables dans un contexte où les cyber-attaques sont de plus en plus nombreuses et sophistiquées. Par ailleurs, les nouvelles tendances de nomadique et de l'informatique « in the Cloud » permettent non seulement, aux utilisateurs d'avoir accès aux ressources. Mais, aussi de transporter une partie du système d'information en dehors de l'infrastructure sécurisée de l'entreprise. D'où la nécessité de mettre en place des démarches et des mesures pour évaluer les risques et définir les objectifs de sécurité à atteindre.

Pour pallier à ce problème de sécurité et d'interconnexion, il est primordial d'implémenter des mécanismes et des solutions sûres assurant la confidentialité et la sécurité du transfert entre deux ou plusieurs entités d'un réseau public.

Les réseaux maillés sans fil ont une topologie dynamique qui se caractérise par l'absence d'une infrastructure de sécurité et par l'utilisation de moyens de communication non protégés. Ceci les rend vulnérables aux attaques et difficiles à contrôler et à sécuriser.

Page 2 sur 109

Plusieurs mécanismes de sécurité ont été proposés pour pallier ces failles de sécurité. La technologie MPLS-VPN en fait partie (Muogilim, Loo et Comley, 2011).

Le VPN est une technologie qui permet d'établir des connexions privées et sécurisées entre deux entités. Il peut fournir un haut débit avec une grande sécurité sans influencer les performances du réseau. Son efficacité dépend de la technologie et des protocoles qui lui sont associés lors de son déploiement. Son utilisation avec d'autres technologies comme le MPLS apporte de la sécurité et de la performance aux réseaux. La technologie MPLS permet d'améliorer les performances du réseau VPN avec une plus grande diversité de services basés sur la politique de contrôle de gestion de réseau.

L'objectif de notre projet consiste donc à déployer une architecture qui va permettre de mettre en place le Protocole VPN/MPLS pour dynamiser le service VPN fournit. Utiliser le protocole MPLS pour optimiser le routage au sein du réseau de la BCC grâce à la commutation des labels au sein de la BCC afin de permettre le partage des données entre ses différents sites pour certains travailleurs d'une manière sécurisée, rapide et fiable et à moindre coût.

0.1. Annonce du sujet

Dans le cadre de notre travail, nous avons pris comme cas d'étude les réseaux coeurs de la BCC. Nous y avons ciblé un problème très récurrent que nous formulons de la manière suivante, « Etude et déploiement d'un réseau MPLS/VPN pour le partage des données dans une entreprise multi-sites, cas de la Banque Centrale du Congo / Kananga ».

0.2. Problématique

En effet, l'échange de flux, l'acheminement des paquets entre les composants réseaux déployés dans les différents sites distants d'une entreprise s'avère très impérieux au regard de l'accroissement fulgurant d'une part, des performances des équipements réseaux et de l'autre, des technologies et protocoles de routage implémentés en vue d'optimiser l'efficacité, la performance et la sécurité du réseau de manière générale et particulièrement des réseaux coeurs.

Au regard de la transmission des informations, l'utilisation de plusieurs infrastructures sans fil pose beaucoup de problème d'ordre Sécuritaires, Qualité de Services, Interférences, Disponibilités etc.

A cet effet, le choix de la technique de routage pouvant remédier à la problématique précitée devient très pertinent surtout quand il faut évaluer les paramètres du choix du meilleur chemin que doivent emprunter les paquets afin d'être acheminer à bon escient

Tenant compte de ce qui précède, nous pouvons soulever quelques questions qui feront l'objet de notre étude :

? Quelle infrastructure réseau mettre en place pour répondre au mieux aux préoccupations évoquées dans le paragraphe ci-haut énuméré ?

? Comment les succursales d'une entreprise d'envergure provinciale et nationale, comme la banque centrale du Congo, pourraient-elles être

Page 3 sur 109

interconnectées de manière plus sécurisée et communiquées rapidement entre sites ?

? Quel serait alors l'impact de cette nouvelle technologie?

? Quels protocoles et quelle configuration assurent-ils l'accès sécurisé à l'information à travers la technologie adoptée ?

? Comment apporter une amélioration sur le VPN fournit par la BCC ?

De toutes ces questions, il se dégage la problématique suivante : Comment dynamiser le routage dans le réseau coeur de la BCC tout en permettant une meilleure gestion de la bande passante, de la QOS et une amélioration dans le service VPN en place.

0.3. Hypothèses

L'hypothèse est une proposition des réponses aux questions que l'on se pose à propos de l'objet de la recherche [¹]. Bien formulée, l'hypothèse oriente l'ensemble de l'édifice pour faciliter le choix du dispositif méthodologique ou expérimental.

Ainsi, à la suite des questions que nous nous sommes posées précédemment, nous émettons les suppositions suivantes :

4. Nous pouvons envisager de mettre sur pied un coeur de réseau utilisant la technologie MPLS/VPN qui est le moyen le plus évident pour assurer le contrôle, la simplicité. Le réseau MPLS/VPN est une solution d'interconnexion sécurisée pour les entreprises permettant à des sites distants de faire transiter les données uniquement sur le réseau privé et jamais par l'internet public. Les applications et systèmes sont hébergés au niveau des serveurs VPN des Data Centers de Bleu afin d'interconnecter les sites entre elles sans modification sur le coeur de réseau ;

4. Ensuite, l'impact du nouveau système que nous pensons déployer sera sublime dans la mesure où il permettra à cette entreprise de migrer vers une infrastructure réseau innovante, sécurisée et fiable et optimisera la qualité de service de son réseau informatique face aux contraintes que posait le système existant ;

4. Enfin, accroître la vitesse du traitement des données dans l'ensemble des routeurs et de permettre la création d'un VPN avec toutes les mesures de sécurité garantie en utilisant le protocole MPLS pour optimiser le routage au sein du réseau de la BCC grâce à la commutation des labels

0.4. Etat de la question

L'état de la question s'engage dans une démarche à deux dimensions consistant d'une part, à prendre connaissances des travaux qui ont été réalisés sur le thème spécifique qui fait l'objet de sa recherche et d'autre part, à se forcer de mettre la main sur des ouvrages de synthèse qui font le point sur les grandes questions qui encadrent l'état de la question [²].

¹ P. RONGERE, Méthode des sciences, Ed. Dalloz, Paris, 1972, P.18.

² J.P. FRANGIER, Comment réussir un mémoire, Dunod, Paris, 1986, P.17.

Page 4 sur 109

Eu égard à ce qui précède, DENAGNON Franck [³] dans son mémoire de fin de cycle intitulé (( Mise en place d'un VPN (site-to-site) au sein d'une entreprise : CAS DE LA SOROUBAT - Société de routes et bâtiments. Après analyse, il avait conclu que ce projet lui avait permis de mieux appréhender les problèmes liés aux réseaux locaux dont ceux relatifs au déploiement d'un réseau VPN comprenant plusieurs sites distants tout en garantissant une qualité de service.

Mlle SLIMANOU Dehiat [⁴], qui a travaillé sur le thème : Mise en place d'une solution VPN sur pare-feu : Cas d'étude : (( Entreprise Tchin-Lait(Candia) », avait comme objectif dans son projet d'implémenter une solution de sécurité garantissant l'interconnexion de deux réseaux locaux de TCHIN-LAIT et d'offrir un accès distant aux ressources de l'entreprise pour certains travailleurs, et ceux d'une manière fiable et à moindre cout. Elle est arrivée à conclure que Le VPN poste à site sous le protocole SSL a permis de renforcer la sécurité d'un espace de travail à distance des télétravailleurs de Tchin-Lait en protégeant les données échangées entre l'employé distant et l'entreprise en créant un tunnel qui crypte et sécurise le trafic. De plus, cette technologie protège ses utilisateurs des pirates, très présents sur les spots Wifi publics.

Notre travail se démarque de ceux de nos prédécesseurs mais tout en apportant un plus du fait qu'il va étudier et déployer un réseau MLPS /VPN afin de permettre la rapidité dans le partage des données et de permettre la création d'un VPN amélioré dans une entreprise multi-sites : cas de la BCC/Kananga dont nous allons faire les amples détails dans les lignes qui suivent.

0.5. Choix et intérêt du sujet

Vu les missions et les données que la BCC regorge en sons sein, le but du présent travail est de la faire bénéficier des avantages qu'offre la technologie MPLS, dans la mesure où elle contribuera à la performance de ses réseaux IP afin d'accélérer la transmission des informations et de créer un réseau VPN garantissant la fiabilisation, l'optimisation de la qualité de service ainsi que la disponibilité de son réseau de transport, en vue de la rendre plus performant et sécurisé qu'avant et servira de même aux futurs chercheurs oeuvrant dans le domaine de réseaux coeurs de documentation adéquate en vue de parfaire leurs études.

0.6. La méthodologie du travail

Un travail qui se veut scientifique doit être mené conformément à une méthodologie appropriée qui garantisse l'objectivité des résultats.

³ DENAGNON Franck, Mise en place d'un VPN (site-to-site) au sein d'une entreprise : Cas de la Soroubat (société de routes et bâtiments), Mémoire inédit, Ecole Supérieure de Génie Informatique (ESGI-Paris). 2017-2018.

⁴ Mlle SLIMANOU Dehia, Mise en place d'une solution VPN sur pare-feu

Cas d'étude : Entreprise Tchin-Lait(Candia), Mémoire inédit, Université de Bejaïa. 2016-2017.

Page 5 sur 109

Ainsi, la méthodologie se comprend comme un ensemble des méthodes (démarches, techniques, procédés) qu'utilisent les scientifiques pour produire des connaissances [⁵]

Pour la réalisation de ce travail, nous avons eu à recourir aux méthodes appuyées par les techniques pour la récolte des données.

0.6.1. Les méthodes

Roger PINTO et Madeleine Grawitz définissent la méthode comme un ensemble concret d'opérations mises au point pour atteindre un ou plusieurs objectifs.[⁶]

0.6.1.1. La méthode historique

Elle est celle qui consiste pour le chercheur à retracer l'évolution des faits ou des phénomènes sociaux de l'origine à la situation actuelle. Elle nous a été utile pour la présentation de la BCC/ DP Kananga et d'autres points ou éléments qui l'ont nécessitée.

0.6.1.2. La méthode analytique et statistique

Ces méthodes nous ont permis d'analyser scientifiquement et d'une façon systématique toutes les informations et données que nous avons eu à récolter à la BCC/ DP Kananga, mais également de présenter les données chiffrées dans des tableaux pour une meilleure interprétation et synthèse.

0.6.1.3. Méthode descriptive

Par cette méthode, certains principes et concepts ont été décrits tout simplement sans commentaire.

0.6.2. Les techniques

D'après LACOSTE DU JARDIN cité par MWILO MWIHI, la technique est une démarche suivie par un chercheur pour exprimer les résultats de sa recherche.[⁷] 0.6.2.1. La technique documentaire

Elle est celle qui consiste en la consultation des documents écrits et numériques tels que : les ouvrages, publications, travaux antérieurs,...

Elle nous permettra de recueillir certaines informations contenues dans diverses sources se rapportant à notre sujet.

0.6.2.2. La technique d'interview

Madeleine Grawitz présente l'interview comme un procédé d'investigation utilisant un processus de communication verbale ou écrite pour recueillir les informations en relation avec le but fixé. [⁸]

⁵ R. QUIVY et L.V CAMPENHOUNDT, manuel de recherche en sciences sociales, 2^è édition, Dunod, Paris, 1988, P.90

⁶ R. PINTO et M. Grawitz, Lexique des sciences sociales, éd. Dalloz, Paris, 1971, P.289

⁷ MWILO MWIHI, cours de méthodes de recherche en sciences sociales, FSEG, UOB, 2010-2011

⁸ R. PINTO et M. Grawitz, Lexique des sciences sociales, éd. Dalloz, Paris, 1971, P.289

Page 6 sur 109

Il s'agit des entretiens que nous avons eu à effectuer auprès des gestionnaires de la BCC/DP de Kananga et à ses clients pour certains points auxquels cette technique en valait la peine.

0.6.2.3. Technique d'Observation directe

Cette technique de premier ordre dans les recherches méthodologiques, nous a permis d'entrer en contact avec le milieu d'étude afin d'y recueillir les données nécessaires à l'enquête.

0.7. Délimitation du sujet

Du point de vue spatial, notre travail a porté sur la BCC/DP de

Kananga.

Dans le temps, notre recherche s'est étalée sur une période d'un an c'est-à-dire de la période allant de 2021 à 2022.

0.8. Difficultés rencontrées

Comme nous le savons tous, nul ne réussit un travail scientifique sans affronter les difficultés et les risques se rapportant à ce travail.

Partons même de l'adage des éminents psychologues qui dit « l'activité automatique appelée habitude est d'office acquise par apprentissages, erreurs et répétitions ». C'est-à-dire qu'en fait des nombreuses difficultés que nous appelons même blocage, nous ont secoués tout au long de la réalisation de ce travail.

Des difficultés n'ont pas manqué, on peut citer entre autres :

? La disponibilité des agents qui prennent les décisions dans le service technique pour la réalisation d'interview. Cette dernière situation nous a obligé à nous contenter des entretiens informels que nous avons pu avoir avec quelques spécialistes ;

? La carence des données fiables et actuelles dans certains documents, accentuée par la réticence de certains agents qui hésitaient de nous livrer le secret de l'entreprise, le chercheur étant considéré comme un espion ;

? Le non parcours de certains ouvrages qui devraient nous aider suite au problème de temps ;

? La recherche non suffisant et quelquefois difficile car étant tout d'abord obligé de participer aux cours programmés et examens ;

? Le problème d'ordre financier dans l'élaboration de ce travail, car il a été coûteux comme d'aucun peut le croire.

0.9. Présentation sommaire

Hormis l'introduction générale et la conclusion, notre travail s'articule autour de quatre (4) chapitres :

Le premier est théorique, il est subdivisé en deux parties dont nous donnons sommairement le contenu ci-dessous :

La première partie est dédiée aux généralités sur le réseau d'Entreprise. Puis dans la seconde nous nous intéressons à la Sécurité Informatique.

Page 7 sur 109

Le deuxième chapitre est destiné aux notions fondamentales sur le réseau VPN/MPLS.

Le troisième consiste à présenter le lieu d'étude et à étudier les moyens existants de son réseau informatique et ceux que nous avons choisi de mettre en oeuvre pour la concrétisation de la solution proposée.

Le quatrième et le dernier, comme la théorie n'étant jamais suffisante à elle seule pour convaincre, il sera consacré au déploiement d'un réseau VPN suivi d'une évaluation financière du projet.

Enfin, notre mémoire s'achève avec une conclusion générale résumant les connaissances acquises durant la réalisation du projet ainsi que les perspectives.

Page 8 sur 109

CHAPITRE I : GENERALITES SUR LE RESEAU D'ENTREPRISE ET
SECURITE INFORMATIQUE

0. Introduction [9j

Le réseau informatique est la colonne vertébrale des échanges de données informatiques d'une entreprise. En effet, les données d'entreprise doivent circuler entre les utilisateurs et les lieux de stockage. Les lieux de stockages sont notamment : les serveurs locaux, les serveurs Cloud..., tout en restant en sécurité à l'abri des menaces.

I.1.

I. Comment fonctionne l'informatique en entreprise

I.1. Un réseau en entreprise, pour quoi faire ?

Figure I.1 : Un réseau d'entreprise

Réseau d'entreprise

I.2.1. Définition

Le réseau d'entreprise permet de relier chaque ordinateur entre eux via un serveur qui va gérer l'accès à l'Internet, les e-mails, les droits d'accès aux documents partagés et le travail collaboratif.

Chaque utilisateur du réseau se connecte avec un nom d'utilisateur et un mot de passe et est authentifié par le serveur.

L'utilisateur peut accéder à ses données et au partage de fichiers.

Le réseau en entreprise permet à l'entreprise de centraliser ses données, les sécuriser et de travailler en équipe de manière productive. Dans ce chapitre nous voulons présenter le schéma type d'un réseau d'entreprise et ses différents rôles.

I.2.2. Schéma type d'un réseau d'entreprise

Dans une entreprise, il existe une hiérarchie au niveau des employés. C'est la même chose au niveau des ordinateurs : l'un des ordinateurs va jouer le rôle du patron, on l'appelle le serveur d'entreprise. C'est une machine plus puissante que les autres et qui a beaucoup de responsabilités. Ce serveur est généré pour le service des systèmes d'information (SSI) ou service informatique. La personne en charge de ce serveur est l'administrateur et il est le seul à avoir accès à la salle des serveurs.

⁹Tirée de https://cours-inforlatique-gratuit.fr/cours/réseau-informatique-en-entreprise/ Consulté le 27 Mai 2022 à 13H 04'

Page 9 sur 109

Figure I.2.2 : Le schéma type d'un réseau d'entreprise

Le serveur est au centre de la configuration d'un réseau d'entreprise. Tous les ordinateurs de l'entreprise y sont reliés. Les baies de stockage permettent la sauvegarde des données informatiques et sont gérées par le serveur.

Souvent le serveur est présent en double : le deuxième prend le relai si le premier venait à lâcher. Ils sont stockés dans une pièce climatisée car ils génèrent beaucoup de chaleur.

Les petites structures n'ont pas forcément de serveur car cela représentent un coût non négligeable en matériel et maintenance. Mais certaines petites entreprises ont tout de même au moins un système de sauvegarde de données.

I.3. Les rôles du serveur et du réseau d'entreprise

I.3.0. Serveur

I.3.1. Définition

Le serveur en entreprise est un ordinateur plus puissant qui va s'occuper du partage des fichiers, de faire des sauvegardes des données régulièrement, d'autoriser ou non l'accès à un ordinateur au réseau d'entreprise, gérer les e-mails, la connexion Internet et la sécurité informatique. Les serveurs sont souvent stockés dans une pièce dédiée et ventilée, dont l'accès est restreint à l'administrateur. On peut considérer le serveur comme le patron des ordinateurs de l'entreprise.

Comme nous l'avons constaté et compris, le serveur a un rôle essentiel dans le réseau d'entreprise, que ce soit pour le partage, la communication, le partage, la sécurité et la productivité.

Nous allons faire voir quels sont les rôles que peut jouer un serveur en entreprise.

I.3.2. Rôle de sécurité

La sécurité est très importante parce que les données d'une entreprise sont privées et ne doivent pas tomber à la portée de tous, le serveur doit protéger l'entreprise des intrusions extérieures via Internet. Il ne laisse pas n'importe qui accéder au réseau, seules les personnes autorisées peuvent le faire. Le serveur est équipé d'un pare-feu qui repousse les intrusions et d'un antivirus qui permet de se prémunir contre les attaques venant d'Internet.

Page 10 sur 109

I.3.3. Rôle de protection des données et sauvegardes

Le serveur, a pour rôle de sauvegarder en continu les données générées par l'entreprise. Si un employé efface par erreur un document, ou qu'il y a un dysfonctionnement d'un ordinateur, le serveur est en mesure de rétablir le fichier perdu.

Les documents sont parfois sauvegardés en plusieurs exemplaires et à plusieurs dates ce qui permet de récupérer un document datant de plusieurs jours en arrière en cas de besoin.

I.3.4. Gestion de la connexion à Internet et filtrage des sites

Le serveur reçoit et gère la connexion à Internet, qu'il distribue aux employés selon leurs autorisations. Le serveur peut également filtrer les sites afin que les employés n'aillent pas visiter n'importe lequel pendant les heures de travail.

I.3.5. Gestion des utilisateurs et autorisation d'accès au réseau

Chaque employé possède un compte sur mon ordinateur sécurisé par un mot de passe (les identificateurs leurs sont communiqués à leur arrivée dans l'entreprise par le service technique ou informatique). Lorsque l'ordinateur s'allume le nom d'utilisateur et le mot de passe sont demandés par le serveur.

C'est lui qui s'occupe d'authentifier l'utilisateur et lui autoriser l'accès à son poste de travail. Nous allons voir ceci en détails dans le prochain point.

Figure I.3.5. : Le serveur gère les utilisateurs du réseau et contrôle leur connexion I.3.6. Gestion des mails, des agendas partagés, des contacts partagés

Le serveur gère également l'arrivée et l'envoi d'e-mails. Il possède un filtre anti-spam lui permettant de filtrer le courrier indésirable. Dans certains cas le serveur gère aussi les agendas de chaque employé, les agendas communs (ce qui permet de caler une réunion facilement à toute son équipe) et avoir un carnet d'adresses complet de l'entreprise.

I.3.7. Partage de ressources, documents et amélioration de la productivité.

Le serveur va également mettre à disposition des employés des dossiers partagés, accessibles à certains et pas à d'autres, selon le poste de l'employé.

Par exemple le service comptabilité pourra mettre en commun les résultats financiers, tableaux de calculs et documents sur lesquels plusieurs personnes travaillent en collaboration.

Ce dossier sera accessible seulement par le service comptabilité et la direction par exemple mais pas les autres, par mesure de confidentialité.

Page 11 sur 109

Chaque service pourra avoir son propre dossier partagé. Le secrétariat pourra avoir un dossier partagé avec tous les employés pour mettre à leur disposition des documents types, notes de frais

Le serveur peut également installer des logiciels sur les ordinateurs du réseau et gérer les licences d'utilisation.

I.3.8. Assistance à distance

Lorsqu'un employé a un problème informatique, il prend contact avec le service des systèmes d'information.

Une personne va prendre le contrôle de l'ordinateur à distance afin de le dépanner, lui épargnant un déplacement.

Figure I.3.8. : Le service informatique peut vous assister à distance !

Lorsque ça arrivera, votre souris commencera à bouger toute seule. Ne vous inquiétez pas !

I.4. Accéder à votre Poste de Travail

I.4.1. Ouverture d'une session utilisateur

Lorsque vous allumez votre ordinateur, il vous faudra indiquer votre nom d'utilisateur et votre mot de passe, afin de vous authentifier auprès du serveur et ainsi accéder à vos données et logiciels.

Prenons par exemple Mr Jean Dupont qui arrive dans une nouvelle entreprise (BCC). Le service des systèmes d'information (service technique pour la BCC) lui donne son accès :

? Nom d'utilisateur : jdupont ;

? Mot de passe : 4321azerty.

Il entre ces informations lorsque Windows lui les demande au démarrage, elles sont alors envoyées au serveur qui vérifie leur validité et donne l'accès à ce monsieur à son bureau Windows pour lui permettre de travailler (ouvrir son logiciel de messagerie, écrire des documents et autres).

D'ailleurs dans beaucoup de cas, les données ne sont pas stockées sur l'ordinateur mais directement sur le serveur, elles deviennent accessibles lorsque vous êtes connecté.

L'avantage est qu'en cas de vol de l'ordinateur, les données ne se trouvent pas dessus et sont donc inaccessibles à une personne malveillante.

I.4.2. Verrouillage de la saison

Au bout certain moment d'activité, l'ordinateur passe automatiquement en veille (représente souvent par un écran de veille animé).

Lorsque vous bougez votre souris, l'ordinateur sort de sa veille et par sécurité demande à nouveau de taper le mot de passe.

Page 12 sur 109

En entreprise vous êtes responsable les données que vous traitez, prenez bien l'habitude de verrouiller votre session.

I.5. Attention

Cela évite à quelqu'un d'indésirable ou à un collègue d'accéder à votre compte pendant votre absence.

Lorsque vous prenez une pause ou que vous partez en réunion, il est préférable de verrouiller manuellement votre session utilisateur.

Exemple d'utilisation d'agenda partagé

Le réseau d'entreprise vous permet de travailler de manière collaborative avec vos collègues : étudier des documents en même temps, partager des ressources et vos agendas.

Dans l'agenda d'entreprise partagé, vous pouvez d'un d'oeil comparer les plannings de collègues et leur proposer une réunion dans un créneau libre, le logiciel vous aidant à trouver le meilleur emplacement possible. Cela permet de gagner du temps et éviter des maux de têtes à organiser une réunion dans des plannings toujours chargés.

Vos collègues pourront soit accepter la réunion, soit proposer un nouveau créneau. Pratique non ?

Signalant qu'il y a beaucoup d'autres applications de ce genre offertes par un réseau d'entreprise.

I.6. Les lecteurs réseau

I.6.1. Lecteur réseau

Une fois connecté à votre session, le serveur vous donne accès à vos dossiers de travail en plus d'accéder votre bureau Windows.

Dans une majorité de cas, le serveur vous connecte à un (ou plusieurs) lecteur réseau, disponible depuis l'icône Ordinateur (Poste de Travail sur Windows XP).

I.6.2. Définition

Le lecteur réseau est une icône située dans le dossier Ordinateur et qui permet d'accéder à un dossier du serveur en entreprise. Généralement un lecteur, enregistrées et sauvegardées sur le serveur et d'autres lecteurs sont configurés pour partager des documents en fonction de vos droits.

Chaque entreprise fonctionne à sa manière avec les lecteurs réseau, nous allons donner un exemple.

I.6.3. Rappel de l'icône ordinateur-Ce PC (anciennement Poste de Travail

Pour rappel, l'icône Ordinateur va afficher les différents disques durs, lecteurs CD/DVD, carte mémoire... En entreprise il affiche également les lecteurs réseaux, chaque lecteur proposera sa propre lettre (par exemple J :).

Accédez à l'icône Ordinateur en double-cliquant, ou alors choisissez « Ordinateur » dans le menu démarrer.

Depuis Windows 10 il faudra cliquer sur l'explorateur de fichiers dans la barre des tâches :

I.6.4. Exemple pratique

Un lecteur réseau vous permet donc d'accéder à un emplacement du serveur. Imaginons une grande entreprise comme la BCC (comptabilité, technique, secrétariat, opérations bancaires, analyse et supervision...).

Page 13 sur 109

Par exemple le lecteur Z : sera votre dossier privé sur le serveur, contenant tous vos documents de travail. Chaque employé authentifié a son ordinateur un Z : mais pour chacun il mène à ses propres données.

Astuce

Dans le cas sous examen on stocke tous les documents directement dans Z : et pas sur le bureau ou dans le dossier Mes documents.

Un lecteur Y : sera utilisé par exemple pour partager les documents avec toute la société.

Un lecteur Y : sera utilisé seulement par le service technique (et donc si vous êtes au service technique vous et vos collègues seulement y auront accès).

Pour un employé du secrétariat le lecteur Z : sera son propre dossier personnel et elle ne verra pas le lecteur X : mais lecteur X : mais le lecteur W : « secrétariat » par exemple.

I.7. Installation du réseau d'entreprise [10] I.7.1. Conseils

Figure I.7.1. : Installation du réseau d'entreprise

L'installation d'un réseau d'entreprise informatique doit répondre à un

besoin défini en amont en fonction des contraintes suivantes :

y' Nombre d'utilisateurs ;

y' Volume des données à échanger ;

y' Besoin de mobilité des utilisateurs ;

y' Lieu de stockage des données ;

y' Fonctionnement des applications métiers ;

y' Besoin en termes de sécurité ;

y' L'implantation des locaux.

En fonction de ces contraintes, votre prestataire devra s'adapter au

mieux et répondre à vos besoins.

I.7.2. Eléments importants à prendre en compte dans l'installation d'un réseau

informatique

1. Le coeur du réseau

Le coeur du réseau est formé d'éléments matériels appelés Switchs ou

commutateurs.

¹⁰ Tirée de https://www.misco.fr/blog/installer-son-reseau-d-entreprise/ Consulté le 27 Juin 2022 à 13H 00'

Page 14 sur 109

Le Switch permet de relier les différents composants du réseau informatique entre eux, sur la norme Ethernet. Le standard est actuellement la version gigabit, permettant de faire passer un milliard de bits par seconde par port.

Cependant dès aujourd'hui, la version 10 gigabit tend à se démocratiser, notamment pour les serveurs. Cette augmentation des bits permet de répondre aux besoins croissants liés aux nouveaux usages : Visio, échanges d'images, de vidéos, etc...

Ces Switchs permettent d'obtenir des hauts niveaux de service grâce à des matériels redondants, ou « stackés », évitant ainsi les coupures de production.

Ils permettent également de segmenter en réseaux virtuels (ou VLANs) le réseau d'entreprise pour des questions de sécurité.

1. Le pare-feu

Un pare-feu ou firewall en anglas, est un système permettant de protéger des intrusions un ordinateur ou un réseau d'ordinateurs. Ce système de sécurité, placé en coupure du réseau, filtre les paquets de données échangés entre la partie interne et la partie externe du réseau d'entreprise et donc critique dans la gestion de la sécurité du réseau d'entreprise.

En effet chaque ordinateur connecté à internet est susceptible d'être victime d'une attaque informatique. Il est donc nécessaire pour les entreprises possédant un réseau informatique connecté à Internet de se protéger des intrusions réseau, en installant un dispositif de protection, un pare-feu.

Le choix du pare-feu doit se faire sur plusieurs critères :

? Nombre d'utilisateurs sur le réseau interne ;

? Volume des flux devant transiter vers et depuis Internet ;

? Qualité de la protection du réseau interne fournie ;

? Rapport qualité-prix de la solution ;

? Pérennité de la solution.

2. Le Wifi

Il s'agit d'une technologie de transmission Haut-Débit sans fil qui utilise les ondes radio, selon la norme IEEE 802.11, qui est le standard international décrivant les caractéristiques d'un réseau local sans fil (WLAN). L'intérêt de cette technologie est de permettre un accès en mobilité au sein de l'entreprise : pour des terminaux mobiles, des ordinateurs portables, etc...

Afin de générer un réseau sans fil d'entreprise, la mise en place de bornes wifi est nécessaire et les équipements sans fil. Pour améliorer l'administration et faciliter le déploiement de ce type de solution, le recours à une console d'administration est à privilégier : soit via une console web, soit via un contrôleur wifi, présent au sein d'une société.

Une fois mis en place, il est nécessaire de sécurisé le réseau sans fil d'entreprise et notamment par des mécanismes d'authentification, mais également de chiffrement et de supervision.

En ce jour, les matériels permettent d'atteindre des débits théoriques de 450 Mbits/s.

3. L'accès à Internet

Aujourd'hui, aucune entreprise ne peut plus se passer d'un accès à Internet et la performance de ce lien devient primordiale pour les entreprises, autant que sa pérennité.

Page 15 sur 109

En effet les usages liés au web ont explosé ces dernières années : de la classique

navigation web, une entreprise peut également effectuer de la visiophonie,

héberger ses données dans le Cloud ou encore réaliser ses sauvegardes à l'extérieur.

Le choix du ou des liens Internet d'une entreprise doit se faire en

fonction de plusieurs critères :

? Volume e données à échanger ;

? Besoin de redondance ;

? Localisation des données de l'Entreprise (Interne-Cloud) ;

? Rapport qualité-prix ;

? Temps de rétablissement garanti.

D'où l'importance du choix du lien Internet pour les entreprises.

I.8. Sécurité réseaux [11]

I.8.0. Introduction

De nos jours, l'utilisation de l'internet n'est plus sûre. Souvent les transmissions de données ainsi que les sites web ne sont pas protégés et sont vulnérables aux attaques des cybers criminels. La sécurité d'un réseau est un niveau de garantie pour que l'ensemble des machines fonctionnent d'une façon optimale.

Dans ce chapitre, nous allons présenter les attaques les plus fréquentes et les notions de sécurité informatique.

I.8.1. Définition & contexte d'études

La sécurité informatique c'est l'ensemble des moyens mis en oeuvre pour réduire la vulnérabilité d'un système contre les menaces accidentelles ou intentionnelles. L'objectif de la sécurité informatique est d'assurer que les ressources matérielles et/ou logiciels d'un parc informatique sont uniquement utilisées dans le cadre prévu et par des personnes autorisées.

Il convient d'identifier les exigences fondamentales en sécurité informatique, qui caractérisent ce à quoi s'attendent les utilisateurs de systèmes informatiques au regard de la sécurité :

? La confidentialité : seules les personnes habilitées doivent avoir accès aux données. Toute interception ne doit pas être en mesure d'aboutir, les données doivent être cryptées, seuls les acteurs de la transaction possèdent la clé de compréhension ;

? La disponibilité : il faut s'assurer du bon fonctionnement du système, de l'accès à un service et aux ressources à n'importe quel moment. La disponibilité d'un équipement se mesure en divisant la durée durant laquelle cet équipement est opérationnel par la durée durant laquelle il aurait dû être opérationnel ;

? La non-répudiation : une transaction ne peut être niée par aucun des correspondants. La non-répudiation de l'origine et de la réception des données prouve que les données ont bien été reçues. Cela se fait par le biais de certificats numériques grâce à une clé privée ;

¹¹ Prof. Dr. JEAN PEPE BUANGA, Notes de Cours de Sécurité Informatique, L1 Informatique, UNIKAN, 2021-2022

Page 16 sur 109

? L'authentification : elle limite l'accès aux personnes autorisées. Il faut s'assurer de l'identité d'un utilisateur avant l'échange de données.

Bref, on assure la sécurité d'un système entier à la sécurité du maillon le plus faible. Ainsi, si tout un système est sécurisé techniquement mais que le facteur humain, souvent mis en cause, est défaillant, c'est toute la sécurité du système qui est remise en cause.

I.8.2. Les techniques d'attaques

? Attaque contre la communication

Est un type d'attaque contre la confidentialité, qui consiste à accéder aux informations transmises ou stockées, l'information n'est pas altérées par celui qui en prélève une copie. Ces attaques sont donc indétectables par le système et peuvent seulement être réparées par des mesures préventives.

? Interposition

Ce type consiste à tromper les mécanismes d'authentification pour ce faire passer pour un utilisateur (personne disposant des droits dont on a besoin) pour compromettre la confidentialité, l'intégrité ou la disponibilité (l'IP Spoofing qui est un vol d'adresse IP).

? Coupure

Est un accès avec modification des informations transmises sur des communications, il s'agit donc d'une attaque contre l'intégrité.

I.9. Les types d'attaques

1) Les attaques logicielles

? Les virus

Les Virus informatiques (appelés véritablement « CPA ou Code Parasite « autopropageable » sont des codes qui ont la particularité : de s'auto reproduire, d'infecter (contaminer), d'activer et d'altérer ou même détruire le fonctionnement du système ou de l'information stockée.

? Les vers

Un ver est un programme indépendant, qui se copie d'un ordinateur en un autre ordinateur.

La différence entre un ver et un virus est que le ver ne peut pas se greffer à un autre programme donc l'infecter.

Il va simplement se copier via un réseau ou internet, ordinateur en ordinateur. Ce type de réplication peut donc non seulement affecter un ordinateur, aussi dégrader les performances du réseau dans une entreprise.

? Le cheval de Troie

Un cheval de Troie ou trojen n'est ni un ver ni un virus, par ce qu'il ne se reproduit pas. Un trojen s'introduit sur une machine dans le but de détruire ou de récupérer des informations confidentielles sur celle-ci. Généralement il est utilisé pour créer une porte dérobée sur l'hôte infecté afin de mettre à disposition d'un pirate un accès à la machine depuis internet.

Les opérations suivantes peuvent être effectuées par intermédiaire d'un cheval de Troie :

? Récupération des mots de passe grâce à keylogger ;

? Administration illégale à distance d'un ordinateur ;

Page 17 sur 109

? Relais utilisé par les pirates pour effectuer des attaques ;

? Serveur de spam (envoi en masse des e-mails) ;

? L'écoute du réseau (sniffing).

Grâce à un logiciel appelé `sniffer', il est possible d'intercepter toutes les trames que notre carte reçoit et qui ne nous sont pas destinées.

Si quelqu'un se connecte par internet par exemple à ce moment-là, son mot de passe transitant en clair sur le net .il sera aisé de lire et c'est facile de savoir à tout moment quelles pages web regardent les personnes connectées au réseau.

2) Autres attaques

? Attaque par déni de service (dos dinial of service)

Est un type d'attaque visant à rendre indispensable pendant un temps indéterminé les services aux ressources d'une organisation. Il s'agit la plupart de temps d'attaques à l'encontre des serveurs d'une entreprise, afin qu'il ne puisse être utilisés et consultés.

Le principe de ces attaques consiste à envoyer des paquets IP ou des données de grande taille afin de provoquer une saturation ou un état instable des machines victimes et de les empêcher ainsi d'assurer les services réseau qu'elles proposent.

? Attaque de l'homme de milieu

Consiste à faire passer les échanges réseaux entre deux systèmes par le biais d'un troisième, sous contrôle d'un pirate. Ce dernier peut transformer à sa façon les données volées, tout en masquant à chaque acteur de l'échange la réalité de son interlocuteur.

? Balayage de port

C'est une technique servant à chercher les ports ouverts sur un serveur de réseau. Elle est utilisée par les administrateurs des systèmes informatiques pour contrôler la sécurité des serveurs de leurs réseaux .la même technique aussi utilisée par les pirates pour trouver les failles dans les systèmes informatiques. Un balayage de port effectué sur un système tiers est généralement considéré comme une tentative d'intrusion.

? Usurpation d'adresse IP (IP Spoofing)

C'est une technique qui consiste à envoyer des paquets IP en utilisant une adresse IP qui n'a pas été attribuée à l'expéditeur, cette technique permet au pirate d'envoyer des paquets anonymement.

? Le craquage de mot de passe

Cette technique consiste à essayer plusieurs mots de passe afin de trouver le bon. Elle peut s'effectuer à l'aide d'une liste des mots de passe les plus courants (et de leur variantes), ou par la méthode de brute force (toutes les combinaisons sont essayées jusqu'à trouver la bonne), cette technique longue, souvent peut utiliser à moins de bénéficier de l'appui d'un très grand nombre de machines.

Pour remédier à cela une sécurité a été établée afin de protéger les données, les informations circulant sur le réseau.

? La sécurité est l'ensemble des moyens mis en oeuvre pour réduire la vulnérabilité d'un système informatique contre les menaces accidentelles ou intentionnelles auxquelles il peut être confronté. En d'autres mots, c'est l'ensemble des techniques qui assurent que les

Page 18 sur 109

ressources du système d'information (matérielles ou logicielles) d'une organisation sont utilisées uniquement dans le cadre où il est prévu qu'elles le soient.

Les exigences fondamentales de la sécurité Informatiques se résument

à assurer :

> La disponibilité : L'information sur le système doit être toujours disponible aux personnes autorisées.

> La confidentialité : L'information sur le système ne doit être diffusée qu'aux personnes autorisées.

> L'Intégrité : L'information sur le système ne doit pouvoir être modifiée que par les personnes autorisées.

II.10. Les méthodes de protection

? Antivirus :

Logiciel permettant de détecter et de supprimer les virus informatique sur n'importe quels types de stockage (disque dur, disquette, CD-ROM...). Pour être efficace ce type de logiciel demande une mise à jour très fréquente au cours desquelles il mémorise les nouvelles formes de virus de circulation.

? La cryptographie

Est un ensemble de technique permettant de transformer les données dans le but de cacher leur contenu, empêcher leur modification ou leur utilisation illégale. Ceci permet d'obtenir un texte, en effectuant des transformations inverse (ou encre des algorithmes de déchiffrement).

Désormais, elle sert non seulement à préserver la confidentialité des données mais aussi à garantir leur intégrité et leur authenticité.

La taille des clés de chiffrement dépend de la sensibilité des données à protéger. Plus ces clés sont longues plus le nombre de possibilités de les déchiffrer important, par conséquent il sera difficile de devenir la clé.

I.11. Les algorithmes de chiffrement se divisent en deux catégories :

> Chiffrement symétrique :

Dans ce cas de chiffrement l'émetteur et le récepteur utilisent la même clé secrète qu'ils appliquent à un algorithme donné pour chiffrer ou déchiffrer un texte.

Ce cryptage à un inconvénient puisqu'il faut que les deux parties possèdent la clé secrète, il faut donc la transmettre d'un bout à l'autre, ce qui risque sur un réseau non fiable comme internet car la clé peut ainsi être interceptée.

> Chiffrement asymétrique

Ces systèmes se caractérisent par la présence d'une entité pour chaque interlocuteur désirant communiquer des données. Chaque interlocuteur possède une bi-clé ou couple de clés calculées l'une en fonction de l'autre.

Une première clé, visible appelée clé publique est utilisée pour chiffrer un texte en clair.

Une deuxième clé, secrète appelée clé privée est connu seulement par le destinataire, qui est utilisé pour déchiffrer un texte.

Page 19 sur 109

? Le pare -feu (firewall)

C'est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (internet).

Le pare feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante :

? Une interface pour le réseau à protéger (réseau interne)

? Une interface pour le réseau externe

Figure I.11. : Pare-feu

Le système firewall est un système logiciel ou matériel, constituant un intermédiaire entre le réseau local (ou la machine local) et un ou plusieurs réseaux externes. Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que : La machine soit suffisamment puissante pour traiter le trafic, Le système soit sécurisé, Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.

? Le fonctionnement de pare-feu :

Un système pare-feu contient un ensemble de règles permettant : D'autoriser la connexion (allow), de bloquer la connexion (deny), de rejeter la demande de connexion sans avertir l'émetteur (drop).

L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant : Soit d'autoriser uniquement la communication ayant explicitement autorisées, soit d'empêcher les échanges qui ont été explicitement interdites.

La première méthode est plus sure, mais elle impose toutes fois une définition précise et contraignante des besoins en communication.

? Les VLAN (virtual Area Network)

Un VLAN permet de créer des domaines de diffusion (domaine de broadcaste) gérer par les commutateurs indépendamment d'emplacement où se situent les noeuds, ce sont des domaines de diffusion gérer logiquement.

? Le NAT (Network Address Translation)

Dans les entreprises de grandes tailles, différent réseaux interconnecté peuvent utiliser les même adresse IP. Pour que la communication soit possible entre noeuds des deux côtés, il est nécessaire de modifier les références de l'émetteur de paquets afin qu'il n'y ait pas de conflits et que la transmission soit fiable.

Page 20 sur 109

Des équipements de translation d'adresse NAT (Network Address Tranlation) sont chargés d'adopter cette fonctionnalité. Ils permettent le changement d'une adresse IP par une autre

Trois types d'adresse sont possibles :

? La translation de port PAT (Port Address Traslation), joue sur une allocation dynamique des ports TCP ou UDP, en conservant l'adresse IP d'origine.

? La conversion dynamique d'adresses (NAT dynamique) change à la volée d'adresse IP par rapport à une externe disponible dans une liste.

? La conversion statique d'adresse (NAT statique), effectue également un changement d'adresse IP, mais une table est maintenue, permettant à une adresse IP interne de toujours être remplacée par la même adresse IP externe.

> Les ACL (Acces control list)

Les listes de contrôle d'accès ont pour objectif de disposer d'une fonction de filtrage prenant en compte l'historique des connexions en cours, afin de ne pas accepter du trafic qui n'aurait pas été demandé à partir d'une zone précise du réseau.

Les ACL sembles avoir toujours existé sur les routeurs et rares sont les configurations ou elles n'apparaissent pas. Elles servent principalement au filtrage des paquets sur les interfaces physiques.

? Pfsens est un routeur/pare-feu open source basé sur le système d'exploitation Free

BSD, qui peut être installé sur un simple ordinateur personnel comme sur

un serveur.

Il a pour particularité de gérer nativement les VLAN et dispose de très nombreuses fonctionnalités tels que faire un VPN ou portail captif.

Voici l'architecture avec laquelle peut être utilisé le pfsens :

? Les principes de fonctionnement de Pfsense

Pfsense offre une multitude de fonctionnalités intéressantes comme par

exemple :

> Pare-feu (sa fonction primaire) qui est basé sur le paquet filtré il permet donc : > Le filtrage par adresse IP source et de destination, par protocole IP et par port.

> Limitation de connexions simultanées.

> La possibilité de router les paquets sur les passerelles spécifiques selon les règles.

> Table d'état : qui contient des informations sur les connexions réseaux.

> Traduction d'adresses réseaux (NAT) ce qui permet de joindre une machine située sur le LAN à partir de l'extérieur.

> VPN pour sécuriser les données transitant sur le réseau.

> Serveur DHCP qui permet de distribuer automatiquement une configuration IP aux équipements présents sur le réseau.

> Serveur DNS (statique ou dynamique) qui permet de communiquer avec les autres périphériques présents sur le réseau grâce à leurs adresses IP.

> Serveur PPPOE (point-to-point Protocol Over Ethernet) un protocole d'encapsulation sur PPP et Ethernet.

Page 21 sur 109

? Une base de données locale peut être utilisée pour l'authentification.

? Avantage d'utilisation de pfsense : Simplicité d'installation et d'administration, la mise à jour du système sans le réinstaller, package téléchargeable depuis le web, solution riche et performante (basé sur un logiciel libre).

Conclusion partielle

Au cours de ce chapitre, nous avons parcouru les notions générales sur le réseau d'entreprise : comment cela fonctionne, à quoi ça sert, comment gêner ce réseau et améliorer sa productivité. Ensuite, on a montré maintenant quelques bases d'utilisation de l'ordinateur en entreprise. Outre ça, on a donné quelques conseils pour bien installer son réseau d'entreprise pour que les données circulent entre les utilisateurs et les lieux de stockage de ces données, tout en restant en sécurité à l'abri des menaces. Enfin, après cette longue excursion nous avons présentés une introduction générale sur la sécurité informatique. Ainsi nous pouvons sitôt approuver l'hypothèse selon laquelle la sécurité à 100% n'existe pas et que les risques 0 est chimérique. En effet, ce que nous devons faire ; c'est de défendre l'habilement les ressources informatiques à notre disposition, car le principe réacteur d'une entreprise, et sa sécurité vaut son pesant d'or. C'est ainsi que pour sécuriser, il faut deux éléments dont : ce qu'il faut protéger et comment le protéger.

CHAPITRE II : NOTIONS FONDAMENTALES SUR LE RESEAU

VPN/MPLS

II.0. Introduction

Les réseaux locaux TYPE LAN permettent de faire communiquer les ordinateurs d'un site d'une entreprise ensemble. Ces réseaux sont relativement sûr car ils sont quasiment toujours derrière une série de pare-feu ou coupés d'Internet et que le chemin emprunté par les données ne quitte pas l'entreprise et est connu.

Sur internet, on ne sait pas où passent les données car les chemins changent. Ces données peuvent donc être écoutées ou interceptées. Il n'est donc pas envisageable de faire connecter deux LAN entre eux par Internet sans moyen de sécuriser le cheminement des données échangées.

Cependant, ces types de réseaux sont non seulement non sécurisés mais aussi peu performants. Ainsi, les VPN ont été instaurés pour y remédier en connectant une machine distante ou tout un réseau local au réseau de l'entreprise comme s'ils étaient locaux

Il existe alors deux solutions :

? Relier les deux sites par une ligne spécialisée mais hors de prix ;

? Créer un réseau privé virtuel sécurisé autrement dit VPN. On encapsule (en anglais tunneling) les données dans un tunnel crypté.

Ce chapitre relate les différentes façons de déployer les VPNs, il décrit aussi les technologies et algorithmes qui sont associés aux VPNs pour une mise en oeuvre d'une sécurité fiable et rentable sur les réseaux.

Voici comment peut se schématiser un VPN :

Figure II.0. : Réseau VPN [¹²]

Page 22 sur 109

¹²Tirée de Deal (2008)

II.1. Page 23 sur 109

Mais alors pourquoi réseau virtuel privé ?

Virtuel simplement parce que le VPN relie deux réseaux physiques LAN par une liaison qui n'est pas tellement sûre et surtout pas dédiée à cet usage. Et privé parce que les données sont encryptées et que seuls les deux réseaux se voient mais ne sont pas vus de l'extérieur.

Pour résumé le VPN permet de mettre deux sites en relation de façon sécurisée à très faible coût par une simple connexion Internet. Mais cela se fait au détriment des performances car le passage par Internet est plus lent sur une liaison dédiée.

II.2. Propriétés d'un VPN

Un réseau VPN repose sur un protocole appelé « protocole de tunneling ». Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise.

Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme Internet. [¹³]

II.3. Objectif et caractéristiques des VPN

? Etanchéité du trafic entre les différents réseaux privés virtuels ;

? Sécurisé des communications :

? Confidentialité (chiffrement des données) ;

? Authentification (utilisateurs ou DATA).

? Notion de qualité de service

? Type best effort dans le cas de simples tunnels crées par l'utilisateur ;

? QOS bien meilleur dans le cadre d'une offre VPN d'opérateur.

? Coût

? Permet de réduire les coûts liés à l'infrastructure réseau des entreprises

par la mise en place d'une liaison VPN.

II.3.1. Caractéristiques fondamentales d'un VPN (après les types de VPN)

Le principe d'un VPN est d'être transparent pour les utilisateurs et pour

les applications y ayant accès. Il doit être capable de mettre en oeuvre les

caractéristiques suivantes :

.. Authentification ;

.. Cryptage des données ;

.. Adressage ;

.. Filtrage de paquet ;

.. Gestion des clés ;

.. Support Multi protocole.

a) Authentification

Seuls les utilisateurs autorisés à la connexion VPN doivent pouvoir

s'identifier sur le réseau virtuel.

¹³C. Tettamanti, « Tutorial VPN », TCOM, 2000.

·

Page 24 sur 109

Authentification au niveau utilisateur :

o Protocole PPTP (niveau 2) ;

o Basée sur le schéma d'authentification de PPP (PAP, MS-CHAP-v1&v2).

· Authentification au niveau paquet :

o Protocole IP sec (niveau 3) ;

o Identification de la source des données transmises, non-répudiation, etc.

o Basées sur les signatures numériques ajoutées aux paquets.

· Authentification de type EAP :

o EAP-TLS (RFC 2716) est une méthode d'authentification forte basée sur des certificats à clés publique.

b) Cryptage de données

· Nécessité de cryptage efficace pour protéger les données échangées entre le serveur VPN :

o Le cryptage des données pour les tunnels PPTP (implémentation Microsoft) utilise le protocole MPPE (Microsoft Point-To-Point Encryptions) ;

o Utilise l'algorithme RSA/RC4 pour créer une clé de cryptage sur le mot de passe client.

c) Adressage

· Attribuer au client VPN une adresse IP privée lors de la connexion au réseau distant et garantir que cette adresse reste confidentielle :

o Les protocoles de tunneling niveau 2 supportent une assignation dynamique d'une adresse à un client, grâce au protocole NCP (Network Control Protocol) ;

o Les protocoles de tunneling niveau 3 Layer 3 tunneling assument une assignation statique d'une adresse aux extrémités du tunnel avant que celle-ci soit établie.

d) Filtrage de paquets

· Mise en place de filtres sur l'interface correspond à la connexion à Internet du serveur VPN :

o Autoriser seulement le trafic d'utilisateur authentifiés ;

o Empêche le serveur VPN de recevoir du trafic en dehors du trafic VPN ;

o Assurer que seuls les données cryptées autorisées pénètrent au sortent du LAN privé.

e) Gestion des clés

Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.

f) Support Multi-protocole

· La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en particulier IP ;

· Les protocoles de tunneling niveau 2 peuvent supporter plusieurs protocoles de liaisons de données (Ethernet, PPP, FR, MPLS, etc.) ;

·

Page 25 sur 109

Les protocoles de tunneling niveau 3, tels que IPSec, supportent uniquement les couches cibles utilisant le protocole IP. [¹⁴]

II.3.2. Définition

Un réseau privé virtuel, ou VPN, est une connexion cryptée sur Internet d'un appareil à un réseau. La connexion cryptée permet de garantir la sécurité du réseau. Elle va garantir que les données sensibles sont transmises en toute sécurité et empêche les personnes non autorisées d'écouter le trafic et permet à l'utilisateur de travailler à distance. La technologie VPN est largement utilisée dans les entreprises.

C'est un système permettant de créer un lien direct entre des ordinateurs distants, lien qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunications publics¹⁵] (Wikipédia).

Pour une entreprise multi sites, on va utiliser pour l'interconnexion des sites. Un utilisateur nomade ou en travail pourra aussi utiliser pour accéder au coeur de réseau de son entreprise.

> Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce VPN peuvent y accéder ;

> Les données transitent dans un tunnel après avoir été chiffrées ;

> Tout se passe comme si la connexion se faisant en dehors d'infrastructure d'accès partagé comme Internet.

> Virtual : pas de liaison physique dédiée

> Private: authentification, cryptage, sécurisation des échanges

> Network : accès à un site ou un hôte distant

En bref : il s'agit d'un LAN étendu [ 16]

II.4. Connexion

Un VPN est "seulement" un PRINCIPE :

? Isolation de trafic

? Sécurité

Protocoles d'établissement d'une connexion VPN

? Niveau 2

Figure II.4. : VPN Niveau 2

> PPTP > L2TP

¹⁴ Tirée de https://fr.scrib.com/document/430938747/CM3-VPN Consulté le 27 Juillet 2022 à 13H 04'

¹⁵ Tirée de https://fr.m.wikipedia.org/wiki/R%C3%A9seau_priv%C3A9_virtuel Consulté le 27 Juillet 2022 à 12H 55'

¹⁶ Tirée de http://www.frameip.com/VPN Consulté le 28 Juillet 2022 à 14H 5'

Page 26 sur 109

? Niveau 3

Figure II.4. : VPN Niveau 3

> IPSEC > MPLS

II.5. LAN To LAN

Figure II.5. : VPN LAN TO LAN

II.5.1. Host LAN

Figure II.5.1. : VPN HOST LAN

II.5. 2. Intérêts du VPN

> Confidentialité et intégrité des échanges ;

> Authentification des équipements ;

> Authentification des utilisateurs ;

> Protection du client ;

> Qualité de service ;

> Protection contre les pannes.

II.6. Fonctionnement un VPN

Le VPN repose sur le protocole de tunnelisation qui est un protocole permettant de chiffrer les données par un algorithme cryptographique entre les deux réseaux.

Le VPN n'est qu'un concept, ce n'est pas une implémentation. Il se caractérise par les obligations suivantes :

> Authentification des entités communautaires : le serveur VPN doit pouvoir être sûr de parler au vrai client VPN et vice-versa ;

> Authentification des utilisateurs : seuls les bonnes personnes doivent pouvoir se connecter au réseau virtuel. On doit aussi pouvoir conserver les logs de connexions ;

> Gestion des adresses : tous les utilisateurs doivent avoir une adresse privée et les niveaux clients vont obtenir une facilement ;

> Cryptage du tunnel : les données échangées sur Internet doivent être dûment cryptées entre le client VPN et le serveur VPN et vice-versa ;

> Les clés de cryptage doivent être régénérées souvent (automatiquement) ;

> Le VPN peut supporter tous les protocoles afin de réaliser un vrai tunnel comme s'il y avait réellement un câble entre les deux réseaux.

En outre, un VPN fonctionne en faisant transiter votre trafic Internet par un serveur privé mis à votre disposition par le fournisseur de service. De sorte que lorsque vous envoyez ou recevez des paquets de données, celles-ci sont acheminées vers la destination depuis le serveur distant et non votre ordinateur ou smartphone. Le VPN se comporte ainsi comme un intermédiaire. L'autre caractéristique importante d'un VPN, c'est le volet chiffrement qui permet de crypter vos communications.

Ces données sont ainsi chiffrées avant de sortir de votre appareil et même votre FAI ne peut y accéder. Si ces informations venaient à être sont interceptées par des tiers, elles seront illisibles. En termes plus accessibles, lorsque vous utilisez un client VPN, vos requêtes sont cryptées avant d'être transmises au serveur. Ce dernier les décrypte avant de les envoyer sur Internet. Au retour, les données sont de nouveau chiffrées par le serveur puis renvoyées vers votre terminal pour être décodées par le client VPN.

Figure II.6. Fonctionnement un VPN

II.8. Les différents types de VPN

Suivant les besoins, on référence 3 types de VPN : à savoir :

> Le VPN d'accès ;

> Intranet VPN ;

> Extranet VPN.

a) Le VPN d'accès :

Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants

d'accéder au privé.

L'utilisateur se sent d'une connexion internet pour établir la connexion

Page 27 sur 109

VPN.

Il existe deux cas :

> L'utilisateur demande au fournisseur d'accès de lui établir une connexion crypte vers le serveur distant : il communique avec le NAS du fournisseur d'accès et c'est le NAS qui établit la connexion cryptée ;

> L'utilisateur possède son propre logiciel client pour le VPN auquel cas établit directement la communication de manière cryptée vers le réseau de l'entreprise.

Les deux méthodes possèdent chacune leurs avantages et leurs Inconvénients :

> La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un NAS compatible avec la solution VPN n'est pas cryptée de ce qui peut poser des problèmes de sécurité ;

> Sur la deuxième méthode ce problème disparaît puisque l'intégralité des informations sera cryptée de l'établissement de la connexion. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée. Quelle que soit la méthode de connexion choisie, ce type d'utilisation montre bien l'importance dans le VPN d'avoir une authentification des utilisateurs.

Figure II.8.a) VPN d'accès

Page 28 sur 109

b) L'Intranet VPN

Dans une entreprise l'Intranet met à la disposition des employés des

documents divers (texte, vidéo, image...), ce qui permet d'avoir un accès centralisé

et cohérent aux informations de l'entreprise.

L'Intranet peut remplir plusieurs fonctions :

> Mise à disposition de documents techniques ;

> Mise à disposition d'informations sur l'entreprise ;

> Forums de discussion, listes de diffusion, chat en direct ;

> Gestion de projets, agenda, aide à la décision ;

> Un échange de données entre collaborateurs ;

> Portail vers Internet ;

> Messagerie électronique ;

> Annuaire du personnel ;

> Visioconférence.

Page 29 sur 109

Figure : II.8.b) L'Intranet VPN

c) L'extranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cas, il est ne nécessaire d'avoir une authentification forte des utilisateurs, ainsi qu'une trace des différents accès. De plus, seul une partie des ressources sera partagée, ce qui nécessite une gestion rigoureuse des espaces d'échanges. [¹⁷]

Figure : II.8.c) : Extranet VPN

II.9. Les différentes architectures de VPN

a) De Poste à Poste

C'est le cas d'utilisateur le plus simple. Il s'agit de mettre en relation deux serveurs.

Le cas d'utilisateur peut être le besoin de synchronisation de base de données entre deux serveurs d'une entreprise disposant de chaque côté d'un accès internet. L'accès complet n'est pas indispensable dans ce genre de situation.

¹⁷ R. Corvalan, E. Corvalan et Y.L. Corvic, « Les VPN : Principes, conception et Déploiement des Réseaux Privés Virtuels », Dunod, 2005.

b)

Figure II.9. a) : VPN poste à poste

De poste à site

Un Utilisateur distant a simplement besoin d'une clique vers installé sur son PC pour se connecter au site de l'entreprise via sa connexion internet. Le développement de l'ADSL favorise ce genre d'utilisation. Toutefois à interdire l'accès Internet depuis le poste « localement ». Pour une question de sécurité, la navigation devra se faire via le réseau de l'entreprise.

Ce point est important et rejoint la réflexion la plus large de la sécurité des sites mis en relation avec VPN. Lorsque les niveaux de la sécurité sont différents, lorsque les deux sites sont reliés, le nouveau de sécurité le plus bas est applicable aux deux, s'il existe une faille de sécurité sur un site (ou sur poste normale, celle-ci peut être exploitée.

Figure II.9. b) : Poste à Site

c) De Site à Site

Elle correspond à un type d'infrastructure de réseau étendu, c'est-à-dire que l'interconnexion entre les VPN remplace et améliore les réseaux privés existant. Elle est utilisée pour relier un site avec les filiales à moindre coût et en toute sécurité.

Figure II.9. c) : Site à Site

Page 30 sur 109

II.10. Le tunneling

Un tunnel de réseau privé est une technologie qui vous permet d'envoyer des données cryptées sur Internet. 18

> Le VPN est basé sur la technique du tunneling : Processus d'encapsulation, de transmission et de décapsulation, consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire, la source chiffre les données et les achemine en empruntant ce chemin virtuel.

> Les données à transmettre peuvent appartenir à un protocole différent d'IP.

> Le protocole de tunneling encapsule les données en rajoutant un entête permettant le routage des trames dans le tunnel.

II.10.1. Caractéristiques de Tunneling

Un tunnel sert à transporter les données d'un point A vers un point B, au sens où les données qui « entrent » dans le tunnel en A « ressortent » nécessairement en B.

II.10.2. Exemples :

Figure II.10.2. a) : Tunnel entre deux équipements réseau
Figure II.10.2. b) : Tunnel à partir d'un poste utilisateur

II.11. Principe de fonctionnement de Tunneling

> Le transport de données se fait par encapsulation :

( Extrémité du tunnel : données à transporter insérées dans un paquet de protocole de « tunnelisation », puis dans un paquet du protocole de transport de données ;

( L'autre extrémité du tunnel : données extraites du protocole de « tunnelisation » et poursuivent leur chemin sous leur forme initiale.

Page 31 sur 109

Figure II.11. : Principe de fonctionnement de Tunneling

¹⁸ Tirée de https://www.websiteratinf.com Consulté le 29 Juillet 2022 à 14H 7'

> Un tunnel est créé entre R1et R2 :

y' Configuré dans les routeurs d'entrée t de sortie ;

> Le paquet IP privé (avec adresses IP privées) est encapsulé dans un paquet

IP public :

y' Les adresses de R1 et R2 sont des adresses publiques.

> Tunnel IP dans IP :

y' Le protocole GRE permet d'encapsuler les paquets IP dans IP ;

y' L'entête GRE permet d'annoncer le type de paquet encapsulé (IPv4).

II.12. Les implémentations historiques de VPN

Les protocoles utilisés dans le cadre d'un VPN sont de 2 types, suivant le niveau de la couche OSI auquel il travaille :

> Les protocoles de niveau 2 comme PPTP (Point-to-Point Tunneling Protocol) ou L2TP

(Layer 2 Tunneling Protocol) ;

> Les protocoles de niveau 3 comme IPSec (Internet Protocol Security) ou MPLS (Multi-Protocol Label Switch ING).

II.12.1. Le protocole PPTP

PPTP est un protocole qui utilise une connexion PPP à travers un réseau IP en créant un réseau privé virtuel (VPN). Microsoft a implémenté ses propres algorithmes afin de l'intégrer dans ses versions de Windows. Ainsi, PPTP est une solution très employée dans les produits VPN commerciaux à cause de son intégration au sein des systèmes d'exploitation Windows. PPTP est un protocole de niveau 2 qui permet l'encryptage des données ainsi que leur compression.

L'authentification se fait grâce au protocole MS-CHAP de Microsoft. La partie chiffrement des données s'effectue grâce au protocole MPPE (Microsoft Point-to-Point Encryption).

Le principe du protocole PPTP est de créer des paquets sous le protocole PPP et de les encapsuler dans des datagrammes IP. PPTP crée ainsi un tunnel de niveau 3 défini par le protocole GRE (GenericRouting Encapsulation). Le tunnel PPTP se caractérise par une initialisation du client, une connexion de contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le serveur. Lors de l'établissement de la connexion, le client effectue d'abord une connexion avec son fournisseur d'accès Internet. Cette première connexion établie une connexion de type PPP et permet de faire circuler des données sur Internet. Par la suite, une deuxième connexion dial-up est établie.

Elle permet d'encapsuler les paquets PPP dans des datagrammes IP. C'est cette deuxième connexion qui forme le tunnel PPTP. Tout trafic client conçu pour Internet emprunte la connexion physique normale, alors que le trafic conçu pour le réseau privé distant, passe par la connexion virtuelle de PPTP.

Figure II.12.1. : Comparaison des trames TCP/IP, PPTP et PPP

Page 32 sur 109

Page 33 sur 109

Plusieurs protocoles peuvent être associés à PPTP afin de sécuriser les données ou de les compresser. Il y a les protocoles développés par Microsoft et cités précédemment. Ainsi, pour le processus d'identification, il est possible d'utiliser les protocoles :

? PAP (Password Authentification Protocol) ou MS-CHAP ;

? MPPE (Microsoft Point to Point Encryptions) pour l'encryptage des données ;

? MPPC (Microsoft Point to Point Compression) pour une compression de bout en bout.

Ces divers protocoles permettent de réaliser une connexion VPN complète, mais L2TP permet un niveau de performance et de fiabilité bien meilleur.

II.12.2. Protocole L2TP

L2TP est issu de l'exploitation des points forts des protocoles PPTP et L2F. Il est actuellement développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres acteurs clés du marché des réseaux. Il permet l'encapsulation des paquets PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP). Lorsqu'il est configuré pour transporter les données sur IP, L2TP peut être utilisé pour faire du tunneling. L2TP repose sur deux concepts : les concentrateurs d'accès L2TP (LAC : L2TP Access Concentrator) et les serveurs réseau L2TP

(LNS : L2TP Network Server). L2TP n'intègre pas directement de protocole pour le chiffrement des données. C'est pourquoi L'IETF préconise l'utilisation conjointe d'IPSec et L2TP. [¹⁹]

Figure II.12.2. : Tunnel L2TP

II.12.3. Le protocole IPSec

i. Mode de transport

IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole

IP afin de garantir la confidentialité, l'intégrité et l'authentification des

échanges.

Il existe deux modes pour IPSec :

? Le mode transport permet de protéger principalement les protocoles de niveaux supérieurs :

? IPSec récupère les données venant de la couche 4 (TCP/transport), les signes et les cryptes puis les envoie à la couche 3 (IP/réseau). Cela permet d'être transparent entre la couche.

TCP et la couche IP et du coup d'être relativement facile à mettre en

place.

Il y a cependant plusieurs inconvénients :

¹⁹ G. Florin, « Sécurité des niveaux liaison et réseau VPN », 2011.

Page 34 sur 109

> L'entête IP est produit par la couche IP et donc IPSec ne peut pas la contrôler dans ce cas ;

> Il ne peut donc pas masquer les adresses pour faire croire à un réseau LAN virtuel entre les deux LAN reliés ;

> Cela ne garantit donc pas non plus de ne pas utiliser des options Ips non voulues ;

Figure II.12.3.i. Mode de transport 1

> Le mode tunnel permet d'encapsuler des datagrammes IP dans des datagrammes IP.

Les paquets descendent dans la pile jusqu'à la couche IP et c'est la couche IP qui passe ses données à la couche IPSec. Il y a donc une entête IP encapsulée dans les données IPSec et une entête IP réelle pour le transport sur Internet (on pourrait imaginer que ce transport se fasse sur de l'IPX ou NetBIOS puisqu'il n'y a pas de contrainte dans ce mode)

Cela a beaucoup d'avantages :

> L'entête IP réelle est produit par la couche IPSec. Cela permet d'encapsuler une entête IP avec des adresses relatives au réseau virtuel et en plus de les crypter de façon à être sûr qu'elles ne sont pas modifiées ;

> On a donc des adresses IP virtuelles donc tirant partie au mieux du concept de VPN ;

> On a le contrôle total sur l'entête IP produite par IPSec pour encapsuler ses données et son entête IPSec.

Figure II.12.3.i. Mode de transport 2

ii. Les composantes d'IPSec

Le protocole IPSec est basé sur quatre modules :

> IP Authentication Header (AH) gère;

> L'intégrité : on s'assure que les champs invariants pendant la transmission,

dans l'entête IP qui précède l'entête AH et les données.

L'authentification pour s'assurer que l'émetteur est bien celui qu'il dit

être.

Page 35 sur 109

La protection contre le rejet : un paquet intercepté par un pirate ne

peut pas être renvoyé :

> Il ne gère pas la confidentialité : les données sont signées mais pas cryptées ;

> Encapsulating Security Payload(ESP) ;

> En mode transport, il assure ;

> Confidentialité : les données du datagramme IP encapsulé sont cryptées ;

> Authentification : on s'assure que les paquets viennent bien de l'hôte avec

lequel on communique (qui doit connaître la clé associée à la

communication ESP pour s'authentifier).

L'unicité optionnelle contre le rejet des paquets :

> L'intégrité des données transmises ;

> En mode tunnel, c'est l'ensemble du datagramme IP encapsulé dans ESP qui

est crypté et subit les vérifications suivantes. On peut donc se passer d'AH.

> Security Assocation (SA) définit l'échange des clés et des paramètres de

sécurité. Il existe une SA part sens de communication. Les paramètres de

sécurité sont les suivants :

> Protocole AH et/ou ESP ;

> Mode tunnel ou transport ;

> Les algorithmes de sécurité utiliser pour encrypter, vérifier l'intégrité ;

> Les clés utilisées.

La SAD (Security Association Database) stocke les SA afin de savoir

comment traiter les paquets arrivant ou partant. Elles sont identifiées par des triplets :

> Adresse de destination des paquets ;

> Identifiant du protocole AH ou ESP utilisé ;

> Un index des paramètres de sécurité (Security Parameter Index) qui est un

champ de 32bits envoyé en clair dans les paquets ;

> La SPD (Security Policy Database) est la base de configuration d'IPSec. Elle

permet de dire au noyau quels paquets il doit traiter. C'est à sa charge de

savoir avec quel SA il fait le traitement.

En résumé, le SPD indique quels paquets il faut traiter et le SAD indique

comment il faut traiter un paquet sélectionné.

Figure II.12.3. ii. Les composantes d'IPSec

iii. L'échange des clés

L'échange des clés nécessaires au cryptage des données dans IPSec

peut se faire de trois façons différentes :

> À la main : pas très pratique ;

> IKE (Internet Key Exchange) : c'est un protocole développé pour IPSec.

ISAKMP (Internet.

Page 36 sur 109

Security Association and Key Management Protocol) en est la base et a pour rôle la création (négociation et mise en place), la modification et la suppression des SA. Elle se compose de deux phases :

? La première permet de créer un canal sécurisé (par Diffie-Hellman) et authentifié à travers duquel on échange un secret pour dériver les clés utilisées dans la phase 2.

La seconde permet de mettre en place IPSec avec ses paramètres et une SA part sens de communication. Les données échangées sont protégées par le canal mis en place dans la phase 1.

A l'issue de ces deux phases, le canal IPSec est mis en place.

II.12.4. Le protocole MPLS [²⁰]

Figure II.12.4. : Le Protocole MPLS

MPLS (Multi-Protocol Label Switching) est une technique réseau en cours de normalisation à l'IETF dont le rôle principal est de combiner les concepts du routage IP de niveau 3, et les mécanismes de la commutation de niveau 2 telles que implémentée dans ATM ou Frame Relay. Le protocole MPLS doit permettre d'améliorer le rapport performance/prix des équipements de routage, d'améliorer l'efficacité du routage (en particulier pour les grands réseaux) et d'enrichir les services de routage (les nouveaux services étant transparents pour les mécanismes de commutation de label, ils peuvent être déployés sans modification sur le coeur du réseau).

Les efforts de l'IETF portent aujourd'hui sur Ipv4. Cependant, la technique MPLS peut être étendue à de multiples protocoles (IPv6, IPX, AppleTalk, etc.). MPLS n'est en aucune façon restreint à une couche 2 spécifique et peut fonctionner sur tous les types de support permettant l'acheminement de paquets de niveau 3.

MPLS traite la commutation en mode connecté (basé sur les labels); les tables de commutation étant calculées à partir d'informations provenant des protocoles de routage IP ainsi que de protocoles de contrôle. MPLS peut être considéré comme une interface apportant à IP le mode connecté et qui utilise les services de niveau 2 (PPP, ATM, Ethernet, ATM, Frame Relay, SDH ...).

La technique MPLS a été voulue par l'IETF relativement simple mais très modulaire et très efficace. Certains points clé sont maintenant mis en avant par l'IETF et par certains grands constructeurs dominés par Cisco, ainsi que par les fournisseurs

²⁰ Tirée de https://www.frameip.com/mpls/#92-8211-routage-et-qos Consulté le 28 Juillet 2022 à 15H 10'

Page 37 sur 109

de services aux premiers desquels se trouvent les opérateurs de réseaux. Un grand effort pour aboutir à une normalisation a été consenti par les différents acteurs, ce qui semble mener à une révolution des réseaux IP.

II.12.4.1. Définition de MPLS

Le MPLS ou Multiprotocol Label Switching est une technique de routage dans le secteur des réseaux de télécommunication. Il achemine les données d'un noeud à un autre en se basant sur des labels (ou étiquettes) via un chemin court plutôt que sur de longues adresses réseau ; évitant ainsi les recherches complexes dans une table de routage et accélérant les flux de trafic

Ainsi, les labels identifient des liens virtuels (chemins) entre des noeuds distants plutôt que des points d'extrémité. Le Multiprotocol Label Switching peut encapsuler des paquets de divers protocoles réseau, d'où la référence « multi-protocole » figurant dans son nom. Le MPLS prend en charge toute une gamme de technologies d'accès, notamment T1 / E1, ATM, Frame Relay et DSL.

Il existe trois types de VPN MPLS déployés dans les réseaux aujourd'hui : Point à point (Pseudowire) Couche 2 (VPLS) et Couche 3 (VPRN).

II.12.4.2. Architecture physique du réseau MPLS

Ci-dessous, nous présentons l'architecture physique du réseau MPLS.

Figure II.12.4.2. Architecture physique du réseau MPLS [²¹]

II.12.4.3. Architecture logique du MPLS

L'architecture logique MPLS est composée de deux plans principaux pour la commutation dans le réseau backbone :

? Plan de contrôle : Il permet de créer et de distribuer les routes et les labels. Ainsi, il contrôle des informations de routage, de commutation et de distribution des labels entre les périphériques adjacents ;

? Plan de données : Il est connu également sous le nom de « Forwarding Plane » et permet de contrôler la transmission des données en se basant sur la commutation des labels

Les différents composants MPLS sont dans la figure ci-dessous :

²¹ J. Ndwo, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

Page 38 sur 109

Figure II.12.4.4. Architecture logique du réseau MPLS [²²] II.12.5. Protocole MPLS : Objectifs et Missions

L'un des objectifs initiaux était d'accroître la vitesse du traitement des datagrammes dans l'ensemble des équipements intermédiaires. Cette volonté, avec l'introduction des giga routeurs, est désormais passée au second plan. Depuis, l'aspect « fonctionnalité » a largement pris le dessus sur l'aspect « performance », avec notamment les motivations suivantes :

? Intégration IP/ATM ;

? Création de VPN ;

? Flexibilité : possibilité d'utiliser plusieurs types de media (ATM, FR, Ethernet, PPP, SDH) ;

? Differential Services (DiffServ) ;

? Routage multicast.

MPLS pourra assurer une transition facile vers l'Internet optique. MPLS n'étant pas lié à une technique de niveau 2 particulière, il peut être déployé sur des infrastructures hétérogènes (Ethernet, ATM, SDH, etc.). Avec la prise en charge de la gestion de contraintes molles et dures sur la qualité de service (DiffServ, Cisco Guaranteed Bandwidth). Avec la possibilité d'utiliser simultanément plusieurs protocoles de contrôle, MPLS peut faciliter l'utilisation de réseaux optiques en fonctionnant directement sur WDM.

Trafic Engineering permettant de définir des chemins de routage explicites dans les réseaux IP (avec RSVP ou CR-LDP). L'ingénierie des flux est la faculté de pouvoir gérer les flux de données transportés au-dessus d'une infrastructure réseau. Aujourd'hui, cette ingénierie des flux est essentiellement faite à l'aide d'ATM, avec comme conséquence une grande complexité de gestion (en effet IP et ATM sont deux techniques réseaux totalement différentes, avec parfois des contraintes non compatibles). Avec l'intégration de cette fonctionnalité, MPLS va permettre une simplification radicale des réseaux.

Les labels peuvent être associés à un chemin, une destination, une source, une application, un critère de qualité de service, etc. ou une combinaison de ces différents éléments. Autrement dit, le routage IP est considérablement enrichi sans pour autant voir ses performances dégradées (à partir du moment où un datagramme est encapsulé, il est acheminé en utilisant les mécanismes de

²² J. Vallet : Optimisation dynamique de réseaux IP/MPLS ; Thèse en informatique, Faculté des Sciences/ UNITOU-PS, 2015

Page 39 sur 109

commutation de niveau 2). On peut imaginer qu'un des services les plus importants sera la possibilité de créer des réseaux privés virtuels (VPN) de niveau 3. Ainsi, des services de voix sur IP, de multicast ou d'hébergement de serveurs web pourront coexister sur une même infrastructure. La modularité de MPLS et la granularité des labels permettent tous les niveaux d'abstraction envisageables.

II.12.6. Importance de la technologie réseau MPLS

Le MPLS est évolutif et indépendant du protocole. Dans un réseau MPLS, les labels sont attribués aux paquets de données. Les décisions de transfert de paquet sont prises uniquement sur le contenu de cette étiquette ; sans qu'il soit nécessaire d'examiner le paquet lui-même.

Cela permet de créer des circuits de bout en bout sur tout type de support de transport ; en utilisant n'importe quel protocole de bout en bout.

Ainsi, le principal avantage est d'éliminer la dépendance vis-à-vis d'une technologie particulière de couche de liaison de données (couche 2). Je pense par exemple au mode de transfert asynchrone (ATM), le relais de trame, la mise en réseau optique synchrone (SONET) ou Ethernet, et d'éliminer le besoin de recourir à plusieurs couches. 2 réseaux pour satisfaire différents types de trafic. La commutation d'étiquettes multiprotocole appartient à la famille des réseaux à commutation de paquets.

Aussi, le label MPLS fonctionne au niveau d'une couche généralement comprise entre les définitions traditionnelles de la couche 2 de l'OSI (couche liaison de données) et de la couche 3 (couche réseau).

Il est donc souvent appelé protocole de couche 2.5. Le MPLS a été conçu pour fournir un service unifié de transport de données à la fois aux clients basés sur des circuits et aux clients à commutation de paquets fournissant un modèle de service de datagramme. Il peut être utilisé pour transporter de nombreux types de trafic, y compris des paquets IP, ainsi que des trames ATM, SONET et Ethernet natives.

II.12.7. Plan de contrôle

Il est composé d'un ensemble des protocoles de routage classique et de signalisation. Il est chargé de la construction, du maintien et de la distribution des tables de routage et de commutation. Pour ce faire, le plan de contrôle utilise des protocoles de routage classique tels qu'IS-IS ou OSPF afin de créer la topologie des noeuds du réseau MPLS et des protocoles de signalisation spécialement développés pour le réseau MPLS comme LDP, MP-BGP (utilisé par MPLS-VPN) ou RSVP (utilisé par MPLS-TE).

Dans un réseau MPLS, il existe deux méthodes pour créer et distribuer les labels : « Implicitrouting » et « Explicit routing ». Ces deux méthodes sont celles utilisées pour définir les chemins LSP dans le réseau MPLS.

II.12.7.1. La méthode « ImplicitRouting »

Cette méthode est un modèle orienté-contrôle fondé sur la topologie du réseau où les labels sont créés à l'issue de l'exécution des protocoles de routage classique. Il existe également la distribution implicite des labels aux routeurs LSR.

Cette distribution est réalisée grâce au protocole LDP où les labels sont spécifiés selon le chemin « Hop By Hop » défini par le protocole de routage interne classique IGP dans le réseau. Chaque routeur LSR doit donc mettre en oeuvre un

Page 40 sur 109

protocole de routage interne de niveau 3 et les décisions de routage sont prises indépendamment les unes des autres comme l'illustre la figure ci-dessous :

Figure II.12.7.1.: Routage implicite des labels [²³]

II.12.7.2. La méthode « Explicit Routing »

La méthode explicite est fondée sur les requêtes (REQUEST-BASED) et consiste à ne construire une route que lorsqu'un flux de données est susceptible de l'utiliser. Avec cette méthode, le routeur Ingress ELSR choisit le chemin de bout en bout au sein du réseau MPLS. Dans ce cas, la création des labels est déclenchée lors de l'exécution d'une requête de signalisation comme RSVP par exemple. Comme illustré dans la figure ci-dessous. Cette méthode est utilisée pour CR-LDP (CR-LDP=LDP+TE) et RSVP-TE. Et, le LSP n'est plus déterminé à chaque bond contrairement au routage implicite.

Ce qui permet MPLS de faire du « Trafic Engineering » afin d'utiliser efficacement les ressources du réseau et d'éviter les points de forte congestion en répartissant le trafic sur l'ensemble du réseau. Ainsi, des routes, autres que le plus court chemin, peuvent être utilisées tel que décrit dans la figure ci-dessous :

Figure II.12.7.2.: Routage explicite des labels [²⁴]

II.12.7.3. Protocole de distribution des labels

LDP est un ensemble de procédures par lesquelles un routeur LSR en informe un autre des affectations faites des labels. Ce protocole LDP est bidirectionnel utilisé dans l'épine dorsale MPLS. Les routeurs LSR se basent sur l'information de label pour commuter les paquets labellisés et l'utilisent pour déterminer l'interface et le label de sortie. Il définit de même un ensemble de

²³J. Ndwo, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

²⁴J. Ndwo, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

Page 41 sur 109

procédures et de messages permettant l'échange des labels et la découverte dynamique des noeuds adjacents grâce aux messages échangés par UDP tel qu'illustré dans la figure ci-dessous :

Figure II.12.7.3.: Principe de fonctionnement d'un LDP [²⁵]

II.12.8. Plan de données

Le plan de données permet de transporter les paquets labélisés à travers le réseau MPLS en se basant sur les tables de commutations. Il correspond à l'acheminement des données en accolant l'en-tête SHIM aux paquets arrivant dans le domaine MPLS. Il est indépendant des algorithmes de routages et d'échanges des labels et utilise une table de commutation appelée LFIB pour transférer les paquets labélisés avec les bons labels.

Cette table est remplie par les protocoles d'échange de label comme le protocole LDP. A partir des informations de labels apprises par LDP, les routeurs LSR construisent deux tables la LIB et la LFIB. La première contient tous les labels appris des voisins LSR et la seconde est utilisée pour la commutation proprement dite des paquets labélisés ainsi, la table LFIB est un sous ensemble de la base LIB.

II.12.7.1. Table LIB (Label Information Base)

Elle est la première table construire par le routeur MPLS, elle contient pour chaque sous-réseau IP la liste des labels affectés par les LSR voisins. Il est de même possible de connaitre les labels affectés à un sous-réseau par chaque LSR voisin et donc elle contient tous les chemins possibles pour atteindre la destination. II.12.7.2. Table FIB (Forwarding Information Base)

Cette table est la base de données utilisée pour acheminer les paquets non labélisés.

II.12.7.3. Table LFIB (Label Forwarding Information Base)

La table LFIB est construite à partir de la table LIB et de la table de routage IP du réseau interne au Backbone par chaque routeur LSR afin d'être utilisée afin de commuter les paquets labélisés. C'est ainsi que dans le réseau MPLS, chaque sous-réseau IPest appris par un protocole IGP qui détermine le prochain saut (NextHop) pour atteindre le sous-réseau.

²⁵ J. Vallet : Optimisation dynamique de réseaux IP/MPLS ; Thèse en informatique, Faculté des Sciences/ UNITOU-PS, 2015

Page 42 sur 109

II.12.9. Un peu de vocabulaire

Figure II.12.9.: Vocabulaire MPLS

Pour pouvoir comprendre le fonctionnement du MPLS que nous présenterons par la suite, il convient de prendre tout d'abord connaissance avec le vocabulaire MPLS que nous avons consigné dans le tableau ci-dessous :

Tableau II.12.9.: Tableau très résumé du vocable MPLS

II.12.10. MPLS Dans le modèle OSI

Page 43 sur 109

II.12.11. Principes

Multi Protocol Label Switching

Combine les principes du routage (IP) avec les principes de la commutation (ATM, Frame Relay)

Le principe de base de MPLS est la commutation des labels qui rend le concept de commutation générique car il peut fonctionner sur tout type de protocole de niveau 2 comme illustré dans la figure ci-dessous :

Figure II.12.11. a) MPLS au niveau des couches [²⁶]

Les routeurs MPLS, à l'intérieur de coeur du réseau, permutent les labels tout au long du réseau jusqu'à destination sans consultation de l'en-tête IP et la table de routage. La commutation MPLS est une technique orientée connexion. Une transmission des données s'effectue sur un chemin LSP et chaque routeur MPLS, LSR possède une table de commutation associant un label d'entrée à un label de sortie. La table de commutation est rapide à parcourir dans le but d'accroître la rapidité de commutation sur label par rapport à la table de routage du réseau IP.

Le résumé du mécanisme se présente comme suit : le « Ingress ELSR » reçoit les paquets IP, réalise une classification des paquets dans un FEC en fonction du réseau de destination, y assigne un label VPN et un label MPLS puis transmet les paquets labélisés au réseau MPLS. En se basant uniquement sur les labels, les routeurs LSR du réseau MPLS commutent les paquets labélisés jusqu'au routeur de sortie « Egress LSR » qui supprime les labels et remet les paquets à leur destination finale comme l'illustre la figure ci-dessous :

Figure II.12.11. b): Flux MPLS [²⁷]

Page 44 sur 109

II.12.11.1. Label

Les labels sont des simples nombres entiers de 4 octets (32 bits) insérés entre les en-têtes des couches 2 et 3 du modèle OSI. Un label a une signification locale entre deux routeurs LSR adjacents et mappe le flux de trafic entre le LSR amont et le LSR aval. A chaque bond, le long du chemin LSP, un label est utilisé pour chercher les informations de routage (Next Hop, interface de sortie). Les actions à

²⁶ [16] J. NDWO, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

²⁷ [17] J. Vallet : Optimisation dynamique de réseaux IP/MPLS ; Thèse en informatique, Faculté des Sciences/ UNITOU-PS, 2015

réaliser sur le label sont les suivantes : insérer, permuter et retirer. Un label MPLS se présente sous la forme telle qu'illustrée dans la figure ci-dessous :

Page 45 sur 109

FIGURE II.12.11.1.a): Détails d'un label MPLS [²⁸]

La signification des différents champs est donnée comme suit :

· Label (20 bits) : Valeur du label.

· Exp (3 bits) : Classe du service du paquet.

· BS (1 bit) : Indicateur de fin de pile (égal à 1 s'il s'agit du dernier label).

· TTL (8 bits) : Durée de vie du paquet (évite les doublons).

Un label peut être mis en oeuvre dans les différentes technologies ATM, Frame Relay, PPP et Ethernet (Encapsulation). Pour les réseaux Ethernet, un nouveau champ appelé « SHIM » a été introduit entre les couches 2 et 3 comme l'indique la figure ci-dessous :

Figure II.12.11.1. b): Encapsulation pour ATM, Frame Relay [²⁹]

La technologie MPLS repose sur la technique de la commutation de label, chaque paquet qui traverse le réseau doit donc être capable de transporter un label. A cet effet, Il existe deux façons de réaliser le transport des labels dans un réseau MPLS :

? La première solution de transport de labels est celle appliquée aux protocoles de la couche 2 qui, transporte des labels à l'intérieur même de leur en-tête (ATM, Frame Relay). Dans le cas du protocole ATM, le label sera transporté

²⁸ [16] J. NDWO, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017.

²⁹ [16] J. Ndwo, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017

Page 46 sur 109

dans le champ « VPI/VCI » de l'en-tête et dans le cas du Frame Relay, c'est le champ « DLCI » qui sera affecté à cette tâche ;

? Pour la seconde solution, le label sera transporté dans le champ « SHIM » qui sera inséré entre l'en-tête de la couche liaison et l'en-tête de la couche réseau. Cette technique permet de supporter la technique de commutation de label sur n'importe quel protocole de la couche de liaison de données.

II.12.11.2. Fonctionnement du MPLS

Le Multiprotocol Label Switching fonctionne en préfixant les paquets avec un en-tête MPLS ; contenant une ou plusieurs étiquettes. Ceci s'appelle une pile d'étiquettes.

Ainsi, chaque entrée de la pile d'étiquettes contient quatre champs :

? Une valeur d'étiquette de 20 bits. Une étiquette avec la valeur 1 représente l'étiquette d'alerte du routeur.

? Un champ de classe de trafic de 3 bits pour la priorité QoS (quality of service) et ECN (notification d'encombrement explicite). Avant 2009, ce champ s'appelait EXP.

? Un indicateur de bas de pile de 1 bit. Si cette option est définie, cela signifie que l'étiquette actuelle est la dernière de la pile.

? Un champ TTL (temps de vie) 8 bits.

Ces paquets étiquetés MPLS sont commutés après une recherche / commutation d'étiquettes au lieu d'une recherche dans la table IP. Comme mentionné ci-dessus, lorsque MPLS a été conçu, la recherche et la commutation d'étiquettes étaient plus rapides qu'une table de routage ou une recherche RIB (Routing Information Base) car elles pouvaient avoir lieu directement dans la matrice commutée et éviter d'utiliser le système d'exploitation.

Aussi, la présence d'une telle étiquette doit cependant être signalée au routeur / commutateur. Dans le cas des trames Ethernet, cela se fait via l'utilisation des valeurs EtherType 0x8847 et 0x8848, respectivement pour les connexions unicast et multicast.

II.12.11.3. QOS et VPN MPLS

Définition QoS

La qualité de service (QoS) se réfère à « l'effet collectif de l'exécution de service qui détermine le degré de satisfaction d'un utilisateur du service » [³⁰]. Elle consiste alors à assurer les performances désirées pour un trafic donné dans le réseau.

Figure II.12.11.3.: VPN MPLS

Cela permet au réseau MPLS de traiter de manière cohérente les paquets présentant des caractéristiques particulières ; comme ceux provenant de

³⁰ Recommendation E.800, « Terms and definitions related to quality of service and network performance including dependability », August 1994.

Page 47 sur 109

ports particuliers ou transportant le trafic de types d'applications particuliers. Idéal pour gérer la QOS (Quality Of Service) correctement.

Les paquets transportant du trafic en temps réel, comme la voix ou la vidéo, peuvent facilement être mis en correspondance avec des itinéraires à faible latence sur le réseau ; ce qui constitue un défi pour le routage classique.

Le point clé de l'architecture de tout cela est que les étiquettes permettent d'attacher des informations supplémentaires à chaque paquet. Des informations qui vont au-delà de ce que les routeurs avaient auparavant.

II.12.11.3. Le pop dans MPLS

Le Penultimate Hop Popping (PHP) est une fonction exécutée par certains routeurs dans un réseau MPLS. Il s'agit du processus par lequel l'étiquette la plus externe d'un paquet étiqueté MPLS est retirée par un routeur de commutation d'étiquettes (LSR). Ceci avant que le paquet ne soit transmis à un routeur de bord d'étiquette (LER) adjacent.

II.12.11.5. Configuration du routeur MPLS

Un routeur MPLS qui effectue un routage basé uniquement sur l'étiquette est appelé un routeur de commutation d'étiquettes (LSR) ; ou un routeur de transit. Il s'agit d'un type de routeur situé au milieu d'un réseau MPLS. Il est responsable de la commutation des étiquettes utilisées pour router les paquets.

Ainsi, lorsqu'un LSR reçoit un paquet, il utilise l'étiquette incluse dans l'en-tête du paquet comme index pour déterminer le saut suivant sur le chemin à commutation d'étiquettes (LSP) ; ainsi qu'une étiquette correspondante pour le paquet à partir d'une table de correspondance. L'ancienne étiquette est ensuite retirée de l'en-tête et remplacée par la nouvelle étiquette avant que le paquet ne soit acheminé.

Le routeur Edge LSR ou routeur LER

Un routeur Edge LSR ou routeur LER est un routeur qui fonctionne au bord d'un réseau MPLS. Aussi, il agit comme point d'entrée et de sortie du réseau. Les LER apposent une étiquette MPLS sur un paquet entrant et la retirent d'un paquet sortant. Sinon, cette fonction peut être exécutée par le LSR directement connecté au LER sous l'avant-dernier saut.

Lors du transfert d'un datagramme IP dans le domaine MPLS, un routeur LER utilise les informations de routage pour déterminer l'étiquette appropriée à apposer, étiquette le paquet en conséquence ; puis transmet le paquet étiqueté au domaine MPLS. De même, à la réception d'un paquet étiqueté destiné à sortir du domaine MPLS. Le LER enlève l'étiquette et transmet le paquet IP résultant à l'aide de règles de transfert réseaux IP normales.

II.12.11.6. Routeur du fournisseur de service

Dans le contexte spécifique d'un réseau privé virtuel (VPN) basé sur le MPLS, les LER qui fonctionnent en tant que routeurs d'entrée et/ou de sortie vers le VPN MPLS sont souvent appelés routeurs PE (Provider Edge). Les périphériques qui fonctionnent uniquement en tant que routeurs de transit sont appelés de manière similaire routeurs P (fournisseurs). Le travail d'un routeur P est beaucoup plus facile que celui d'un routeur PE. Ils peuvent donc être moins complexes et plus fiables à cause de cela. .

Page 48 sur 109

II.12.12. Besoin d'une entreprise pour le service VPN MPLS

Pour gérer les schémas de trafic des applications convergentes dynamiques d'aujourd'hui, les entreprises doivent déployer un réseau MPLS/VPN dans leur coeur de réseau. La question est la suivante : l'internet public est déjà très rapide et a une portée mondiale, mais pourquoi les entreprises ont-elles encore besoin de la mise en place de réseaux privés virtuels basés sur MPLS ?

II.12.12.1. Interconnexion fibre MPLS

La réponse appropriée à cette question est le réseau public se concentre uniquement sur le transport de paquets de données ; sans tenir compte de la qualité de service (QoS), de la garantie de temps de fonctionnement. Enfin, il offre des capacités limitées pour une entreprise. Bien que, ces dernières années, l'internet public ait bien fonctionné pour le courrier électronique et les transferts de fichiers, il est nécessaire de disposer d'un protocole avancé. Un protocole qui puisse prendre en charge les applications convergentes et le trafic multimédia.

Une autre raison est que la vidéo est l'application qui connaît la croissance la plus rapide de nos jours ; générant un immense trafic. Une seule connexion à l'internet présente souvent des limites de capacité. Cette connexion n'a pas une capacité suffisante pour prendre en charge diverses applications et le trafic multimédia ; ou celui du standard téléphonique.

Ainsi, si les entreprises achètent et gèrent plusieurs connexions pour atteindre la capacité souhaitée aux heures de pointe, elles finiront par ajouter des coûts et de la complexité à l'équation. Elles doivent également obtenir la faible latence nécessaire au bon fonctionnement des communications en temps réel de bout en bout.

II.12.12.2. Lien MPLS ou VPN IPsec ?

MPLS offre une confidentialité intégrée avec des accords de niveau de service (SLA) complets qui incluent des garanties de latence, de gigue et de temps de fonctionnement. Les VPN IPSec sont plus rapides à déployer, offrent une capacité SD WAN avec une plus grande flexibilité pour accéder aux services de Cloud public et aux applications SaaS. [³¹j

II.13. L'implémentation OpenVPN [32j

OpenVPN est une solution qui se base sur SSL. Cela permet d'assurer

deux choses à la fois, sans avoir besoin de beaucoup de logiciel côté client :

? L'authentification du client et du serveur ;

? La sécurisation du canal de transmission

Il permet par exemple de résoudre les problèmes de NAT en offrant la

même protection qu'IPSec mais sans les contraintes.

³¹ Tirée de https://www.fibre-pro.fr/vpn-mpls Consultée le 28 Juillet 2022 à 16H 00'

³² Tirée de https://openvpn.net/ Consultée le 28 Juillet 2022 à 17H 05'

II.14. Page 49 sur 109

Comparaison des différents protocoles de tunnelisation

Tableau II.14 : Comparaison des différents protocoles de tunnelisation

Protocoles Avantages Inconvénients

II.15. Topologie de VPN

La technologie VPN utilise deux topologies entre autres : en étoile et en

maillée.

II.14.1. Topologie en étoile

Dans cette topologie, toutes les ressources sont centralisées dans un

même endroit, et c'est à ce nouveau qu'on retrouve le serveur d'accès distant (ou serveur VPN).

Dans ce cas, tout employés du réseau doit s'identifier, s'authentifier au

serveur et peuvent alors accéder aux ressources qui se situent sur le réseau intranet.

Figure II.14.1. Topologie en étoile.

II.15.2. Topologie maillée

Dans cette topologie, les routeurs ou passerelles présents aux extrémités de chaque site relié sont considérés comme étant des serveurs d'accès distant. Ces ressources à ce niveau sont décentralisées sur chacun des sites soit les employés ne pourrons qu'accéder aux informations présentes sur l'ensemble du réseau.

Figure II.14.2. Topologie maillée

II.16. Les avantages d'un VPN

La mise en place d'un VPN permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local, grâce à des liaisons virtuelles qui s'appuient sur une infrastructure de communication sous-jacente.

L'infrastructure sous-jacente peut être un réseau international à accès publique ou une partie d'un réseau dédié. [³³I

Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles :

? Accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades ; Partage de fichiers sécurisés ; Jeu en réseau local avec des machines distantes.

II.16.1. Les principaux avantages de l'utilisation d'un VPN sont : ? Sécurisé ; Simple ; Economique ; Mobile.

Page 50 sur 109

Figure II.15. : Les principaux avantages de l'utilisation d'un VPN

II.16.1.1. Sécurisé

L'administration de la sécurité est centralisée, basée sur des politiques. Les protocoles de tunneling permettent de faire circuler les informations de façon cryptée de bout à l'autre du tunnel.

Ainsi, les échanges entre utilisateurs authentifiés se font comme s'ils étaient connectés directement sur un même réseau local sans que les autres utilisateurs non authentifiés puissent intercepter. Pour garantir la confidentialité, le réseau privé est coupé logiquement du réseau internet. En général, les machines se

³³ R. Bidou, « Introduction aux VPN », Multi-System & Internet Security Cookbook, Décembre 2003.

Page 51 sur 109

trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder au réseau internet.

II.16.1.2. Simple

Les VPN utilisent les circuits de communication classiques. La gestion des infrastructures se trouve ainsi simplifié. On peut alors améliorer la capacité à déployer de nouvelles applications sans avoir à se préoccuper de sécurité.

II.16.1.3. Economique

Les VPN utilisent Internet en tant que media principal de transport. Ce qui diminue les couts car on a plus besoin d'une ligne dédiée. De plus, l'infrastructure est partagée.

II.16.1.4. Mobile

Le système de VPN rend un service d'interconnexion à grande distance de qualité similaire à un réseau local. Sécurité accélérée jusqu'à 12 Gbps de bande passante, Prise en charge de la plupart des protocoles existants.

II.15.2. Les inconvénients des VPN

Bien qu'ils soient utiles, voire indispensables dans bien des cas, les VPN ne sont pas toujours parfaits. Leur premier inconvénient, c'est qu'ils sont susceptibles de ralentir votre connexion Internet puisqu'ils font transiter votre trafic par des serveurs intermédiaires. Tout dépend de la qualité du service proposé et elle est différente d'un fournisseur à un autre. Les meilleurs VPN payants offrent tout de même un débit suffisant pour couvrir les besoins les plus courants du quotidien.

L'autre inconvénient a déjà été abordé plus haut. Un VPN n'est pas une assurance tout risque pour la protection de votre vie privée. Le fournisseur VPN a les moyens d'en savoir beaucoup sur ce que vous faites en ligne. Le registre de vos activités passe ainsi des mains de votre FAI à ceux de votre fournisseur de service. D'où l'importance d'opter pour un fournisseur de confiance.

Certains services ne voient pas les VPN d'un bon oeil. Vous risquez d'avoir des difficultés à y accéder si vous les utilisez. C'est le cas de Netflix qui mène une guerre farouche contre les VPN en bloquant les adresses IP identifiées comme provenant de leurs serveurs. Les fournisseurs et le géant du streaming jouent constamment au jeu du chat et de la souris.

C'est pareil pour les pays qui n'accueillent pas favorablement les VPN et qui utilisent les mêmes techniques pour bloquer les connexions provenant de ce genre de service.

II.17. VPN et MPLS

Le VPN MPLS est un VPN maîtrisé par un opérateur qui fait passer les flux par des serveurs, commutateur et routeur qui lui appartiennent et qui sont privés. Il permet met à disposition le QoS ou Quality of Service qui permet de donner la priorité sur certains flux. L'un des applications les plus importantes du protocole MPLS est de pouvoir créer des réseaux privés virtuels.

Les VPN s'appuyant sur le protocole MPLS, sont différents de l'image classique du VPN, à savoir un tunnel crypté établi à couche 3. Par défauts, les tunnels VPN bâtis sur MPLS ne sont pas cryptés et s'apparente plutôt à des PVCs comme avec ATM ou Frame Relay plutôt qu'à des PVCs établis avec IPsec ou Point to point tunneling protocol. Ils s'appuient sur la séparation des paquets sur la valeur

de leurs labels et n'utilisent pas de méthode de cryptage ou d'encapsulation. La valeur de ce label n'est lue que par les LSR qui appartiennent à des LSP précis.

MPLS VPN permet d'isoler le trafic entres sites n'appartenant pas au même VPN, et étant totalement transparent pour ces sites entre eux. Il permet d'utiliser un adressage privé sans utilisation de fonctionnalité NAT et d'avoir un recouvrement d'adresses entre différents VPNs. [³⁴]

II.17.1. Mode de réalisation des VPN MPLS

On distingue deux modes de réalisation des VPN MPLS, le modèle « overlay » et le modèle « peer » dit encore modèle « homologue ».

II.17.1.1. Le modèle « overlay »

Réaliser un VPN overlay consiste à relier les sites clients par des circuits virtuels permanents. L'interconnexion des sites clients est réalisée par la définition d'un ensemble de circuits virtuels. Les relations sont du type point à point.

L'inconvénient avec ce modèle c'est qu'à cause de nombreuse mailles qui existe entre les sites clients, le résultat de la connexion n'est pas optimal. N sites requièrent N (N-1)/2 circuits.

Page 52 sur 109

Figure II.17.1.1. Le modèle « overlay »

II.17.1.2. Le modèle « peer »

Le modèle peer-to-peer est fut développé pour pallier le problème avec le modèle «Overlay».

Dans le modèle peer, les VPN sont ignorés du coeur de réseau, les données échangées entre les clients d'un même VPN sont acheminées dans le réseau comme des données ordinaires. Les informations relatives aux VPN sont échangées entre le routeur client (CE, Customer Edge) et le routeur de périphérie (PE, Provider Edge). Seuls les routeurs de périphérie du réseau ont connaissance des VPN, le routage des données est réalisé dans les réseaux dans l'ignorance de l'appartenance à un VPN ; seul le PE de sortie tiendra compte de cette appartenance. Les routeurs de réseau (P Router, Provider router) n'ont plus de nombreux circuits virtuels à gérer et l'ajout d'un client n'a aucun impact sur le coeur de réseau, de ce fait, l'évolution des VPN peer est aisée.

³⁴ B. Benduduh J.M. Fourcade, « Mpls », www.frameip.com/mpls/, février 2017.

Figure II.17.1.2. Le modèle « peer »

II.17.1.3. Fonctionnement d'un VPN MPLS [³⁵]

Les VPN MPLS fournissent typiquement plusieurs classes de services via DiffServ utilisé principalement pour éviter la congestion du réseau dans le cas de services temps-réels. Ils peuvent utiliser les mécanismes traditionnels d'accès au réseau tel Frame Relay en s'appuyant sur BGP ou des routes statiques pour router les paquets à travers le réseau du provider. Ceci implique qu'ils requièrent une plus grande coordination entre le client et le provider que l'approche VPN au niveau de la couche 2. Ces VPN sont établis à partir dès CE du client et le LER du réseau MPLS. Les CE sont considérées comme étant directement connectés aux LER. Pour établir entre deux sites connectés chacun à une CE, un LSP est établi (dynamiquement ou statiquement) entre le LER d'entrée et le LER de destination du réseau MPLS permettant de connecter les deux CE.

II.17.1.4. Avantages de la technique VPN MPLS

VPN MPLS utilise évidemment le réseau MPLS. Donc tout service et performance disponible pour MPLS est disponible aussi pour le VPN MPLS : Sécurité : les données ne transitent pas via Internet (Connexion directe via le réseau opérateur). Comparable à la sécurité offerte par les réseaux ATM et Frame Relay existants, performance : optimisation du réseau (Traffic Engineering), qualité de service (QoS) : Intégration facile de services IP (VoIP, vidéo, etc.) et de donner la priorité aux flux métier.

Conclusion partielle

Au cours de ce chapitre, nous avons effectué une étude présentative, descriptive, analytique et fonctionnelle sur les notions fondamentales de la technologie VPN en général et MPLS/VPN en particulier.

Page 53 sur 109

³⁵ B. Benduduh J.M. Fourcade, « Mpls », www.frameip.com/mpls/, février 2017.

Page 54 sur 109

CHAPITRE III : PRESENTATION DE LA BANQUE CENTRALE DU CONGO / DIRECTION PROVINCIALE DE KANANGA ET ETUDE DE SON RESEAU INFORMATIQUE

III.0. Introduction

Le troisième chapitre de notre travail porte sur la présentation de la BCC et l'étude de son réseau informatique. Il sera notre miroir dans le sens qu'il nous aidera à avoir une vision d'ensemble sur la BCC pouvant être appréhendé comme le centre d'intérêt de nos investigations. Cependant, cette étude est envisageable dans l'optique de recueillir des informations nécessaires et relatives à la structuration, au fonctionnement et à l'organisation d'une entreprise spécifique.

A cet effet, l'objet de ladite étude est surtout de nous permettre de faire une analyse fine, émettre des critiques objectives et suggérer quelques recommandations et propositions adéquates dans le but de maximiser la qualité de service et de réduire des failles dans les mécanismes de sécurité au sein de l'entreprise.

Nous ne pouvons pas commencer avec tous ces détails sans vous signifier d'où est venu le mot « BCC/DP KGA» ; en effet, BCC signifie : Banque Centrale du Congo/Direction Provinciale de Kananga.

III.1. Présentation de la BCC/DP KANANGA

Figure III.1. Présentation de la BCC/DP KGA

III.1.1. Historique de la BCC/DP KANANGA

La banque centrale du Congo, « BCC », est une institution de droit public dotée d'une autonomie de gestion, et elle a pour objet essentiel la mise au point l'application de la politique monétaire de la république démocratique du Congo. De la se dégagent d'autres aspects non moins importants qui sont : maintenir la stabilité monétaire, mettre au point une politique de crédit et du change favorable au développement équilibré de l'économie, etc. [³⁶]

Son action s'inscrit dans le cadre de la politique du gouvernement. La BCC exerce toutes les fonctions d'une banque centrale et bénéficie des droits et prérogatives qui y sont généralement attachées. Elle a, en particulier, tout pouvoir pour :

³⁶Revue de la banque centrale du Congo, Kinshasa, IFASIC, 2000, p26

Page 55 sur 109

Emettre la monnaie ; caissier de l'Etat et à ce titre ; Contrôler le flux monétaire en circulation, assurer la distribution et le contrôle des crédits financiers, matériels et immobiliers.

La banque est une institution d'émission qui organise la circulation fiduciaire. Sa création remonte à l'époque de la monnaie fiduciaire.au Congo comme en Afrique, la banque d'un Etat ne traite plus qu'avec les autres banques des Etats.

On est donc parti des coquillages(Nzimbu), des tissus et bien d'autres matériaux disparates et non unifiés.

A la conférence de Berlin de 19885 qui occasionna le dépeçage de l'Afrique par les grandes puissances, le Congo fut érigé en Etat indépendant puis et cédé comme propriété privée au roi LEOPOLD II de Belgique.

Le 27 juillet, le monarque décrète alors la création du franc congolais qui avait la même valeur que le franc Belge et qui devait circuler et faciliter les échanges dans le nouvel Etat.

Le franc était défini comme la 3100ème parie d'un kilogramme d'or titre de 9/10.En 1886, la monnaie fut introduite dans l'Etat indépendant du Congo par son initiateur le roi Léopold II. Les MITOKOS qui étaient alors en usage furent dotés d'une valeur de 15centimes

En 1908, l'E.I.C est cédé à la Belgique et devient une colonie belge sur la dénomination, Congo belge. Cette annexion ouvrit la nouvelle colonie à toute sorte des courants commerciaux et lui fera jouir grâce à la charte coloniale, d'une autonomie financière.

Le développement des échanges commerciaux pousse le colonisateur à créer la banque du Congo belge le11janvier 1909, elle sera chargée, entre autres, d'organiser la circulation fiduciaire dans la colonie.

La BCCBRU, entant que Banque Centrale publique, devait travailler dans le sens de la politique économique de la colonie (développement économique, pleinement, stabilité monétaire de l'étalon...).

Le 15 novembre 1960, une convention de liquidation de la BCCBRU est signée à New York, en marge du contentieux belgo congolais consécutif à l'accession à la souveraineté internationale le 30 juin 1960, du reste précédé par la création, le 03 octobre 1960, du conseil monétaire chargé de préparer la structure de la future Banque Nationale du Congo.

Le 23 février 1961, la Banque Nationale du Congo(BNC) est créée mais elle n'ouvrira son guichet que le 22 juin 1964 compte tenu de nombreux problèmes sociopolitiques. Le 22 juin 1967 : modification des statuts de banquier de l'Etat : Banque des banques ; protecteur de l'épargne publique ; gestionnaire des réserves de change et réserves en or de la République. En raison du changement intervenu le 27 octobre 1971 dans la dénomination du Pays, la BNC fut rebaptisé Banque Nationale du Zaïre [³⁷].

Le changement de régime politique survenu le 17mai 1997 entraîna en même temps le changement du nom du pays de la République du Zaïre en

³⁷Revue, Op Cit,

Page 56 sur 109

République Démocratique du Congo ainsi que la transformation de la Banque Centrale du Congo(BCC).

III.1.2. Situation géographique

La Banque Centrale du Congo/Direction Provinciale de Kananga se trouve dans la République Démocratique du Congo, précisément dans la province du Kasaï-Central, et plus précisément dans la ville de Kananga Chef-lieu de la province, dans la Commune de Kananga. Cette institution est situé au N° 618, de l'Avenue TSHIBUNGU, Quartier MALANDJI.

Elle délimitée :

? Au Nord par la Cour d'Appel de Kananga ;

? Au Sud par le terrain de l'INSS, loué comme dépôt par les humanitaires de Nations Unies ;

? A l'Ouest par l'Hôtel de Ville de Kananga ;

? A l'Est par les parcelles privées sur l'Avenue LIKASI et le Collège SOLA GRATIA. III.1.3. Subdivision et attributions

a) La Direction Provinciale

Planifie, oriente, coordonne et contrôle l'ensemble des activités de la Direction Provinciale. La Direction est dirigée par un Directeur et son Adjoint.

b) Le secrétariat

Assure la gestion du courrier, de la documentation et des archives. Il gère l'agenda du Directeur provincial et de son Adjoint.

c) Le service administratif

Assure à l'ensemble des organes de la Direction provinciale les services administratifs et logistiques en ce qui concerne notamment : la gestion du personnel et de leurs mouvements pendant la carrière. La gestion de clients et fournisseurs, la gestion du budget et de son exécution, la sécurité et le protocole, la gestion de soins de santé et toutes les autres tâches administratives.

d) Le service technique

Veille au bon fonctionnement du matériel informatique, de télécommunication et de fourniture de l'énergie électrique ; assiste les utilisateurs dans leurs tâches informatiques, assure l'entretien et la maintenance des immeubles, des équipements et autres, gère le charroi automobile.

e) Le service des opérations bancaires

Assure la comptabilité des opérations et la tenue des comptes ouverts dans les livres de la Direction Provinciale, exécute les opérations de change et de crédits autorisés ; contrôle et comptabilise les opérations en chambre de compensation.

f) Le service de trésorerie

Assure les opérations d'encaissement et de décaissement des fonds, trie les billets de banque et détruits les BIC et titres échus, gère les encaisses, les titres et les colis.

g) Le service Analyse Economique, Statistiques et Surveillance des intermédiaires financiers

Collecte, traite les statistiques à caractère économique et financier, même les analyses socio-économiques et financières sur les statistiques, surveille les intermédiaires financiers agrées.

Page 57 sur 109

III.1.4. Missions de la Banque centrale du Congo

Les missions de la banque centrale du Congo sont les suivantes :

? Détenir et gérer les réserves officielles de l'Etat ;

? Promouvoir le bon fonctionnement des systèmes de compensation et de

paiement ;

? Elaborer la réglementation et contrôler les établissements de crédit, les

institutions de micro finance et les autres intermédiaires financières ;

? Editer les normes et règlements concernant les opérations sur les devises

étrangères ;

? Participer à la négociation de tout accord international comportant des

modalités de paiement et en assurer l'exécution ;

? Promouvoir le développement des marchés monétaires des capitaux ;

? Elaborer le rapport mensuel de gestion d'activité ;

? Elaborer le rapport annuel de la Direction Provinciale.

La banque centrale du Congo est seule habilitée, sur le territoire

nationale, à émettre des billets et pièces ayant cours légale.

III.1.5.Organisation et fonctionnement

La banque centrale du Congo a en son sein deux organes ; statutaires

et organique.

III.1.5.1. Organes statutaires

La loi n° 005/2002 du 07 mai 2002 relative à la constitution, à

l'organisation et au fonctionnement de la BCC, met en place trois organes

statutaires ; le conseil de la Banque, organe suprême d'administration ; le

gouverneur, organe de gestion ; le collège des commissaires aux comptes, organe

de contrôle.

III.1.5.2.Organes administratifs

Les organes administratifs de la banque centrale du Congo sont les

suivants ; les directions du siège, les directions provinciales (DP) et les agences

autonomes (AA), le bureau de représentation de Bruxelles et les commissions

spécialisées

III.1.5.2. Caractéristiques du système financier congolais

Actuellement, le système financier congolais est composé de :

? 21banques

? 127copératives d'épargnes et de crédits ;

? 19institutions de micro finances ;

? 1societé financière(SOFIDE) ;

? 1caisse d'épargne(CADECO) ;

? 38messageries financières ;

? 15bureaux de changes enregistrés.

Les causes de la sous bancarisation sont légions. On les divise en deux ;

du côté de la demande :

? Faible revenu du pouvoir d'achat(PIB) ;

? Faible niveau d'alphabétisation et d'éducation ;

? Coûts élevés des frais bancaires ;

? Faible expérience avec les produits formels ;

Page 58 sur 109

? Perte de confiance due notamment à l'instabilité macroéconomique et à la

désarticulation du système financier national ;

? Manque d'information.

Du côté de l'offre :

? Exclusion automatique des pauvres en raison de leurs exigences d'ouverture

de compte ;

? Refus des banques à effectuer des transactions des petits montants ;

? Absence des institutions financières dans les zones reculées ;

? Eloignement du siège ou de la succursale bancaire par rapport à la clientèle;

? Couts élevés des services bancaires par rapport aux revenus des clients;

? Produits et méthodes de distributions peu adaptées ;

? Gammes des produits offerts limitées.

Le système financier congolais est caractérisé par un faible taux de

bancarisation résultant des défis relevés du côté de l'offre et de la demande.la

solution pour renverser la tendance notamment par la modernisation du système

national des paiements dont le mobile est une composante.

La téléphonie mobile est une solution puisqu'une grande partie de la

population congolaise dispose d'un téléphone portable.

III.1.6. Considération sur le Système Financier et Bancaire de la RDC

III.1.6.1. Notions Générales

Le système financier et bancaire est un ensemble de institution financière et monétaire chargé de collecter les dépôts auprès de public et les redistribuent sous forme des crédits.

Elles comprennent les banques commerciales ou de dépôt, les banques de financement et de développement; les Banques Commerciales prennent les engagements à vue. Par contre les banques de financement prennent les engagements à terme, les Banques Centrales dites Banques sont celles qui accordent, gèrent et contrôlent le système monétaire et financière imposant ainsi aux Banques Commerciales et des financements de la politique monétaire et de crédit.

Les banques commerciales créent la monnaie les Banques des financements créent les monnaies au sens large (dépôt à terme). La banque centrale crée la monnaie fiduciaire [³⁸].

III.1.6.2. Organisation du secteur du crédit au Congo

III.1.6.2.1. Historique

Les établissements dont le rôle de finance désinvestissements à moyen et à long terme comptent déjà quelque siècle, mais tel qu'ils existent sous leur forme moderne, ils datent de la seconde guerre mondiale.

En 1945 a été créé la banque internationale pour la reconstruction et développement, BIRD en sigle. Son objectif initial était de financer la reconstruction de pays dévastés par la guerre mondiale. Quelques années plus tard, ceux-ci ont établi leur économie recouvrée leur force.

La banque se consacre alors plus spécialement à l'aide aux pays en voie de développement qui manquent des capitaux, du sens des affaires et de la capacité de la gestion.

³⁸Revue de la banque, op cit,

Page 59 sur 109

III.1.6.2.2. Mission et spécialisation

La principale mission d'une banque est de concourir au

développement économique du pays [³⁹].

> Promouvoir toute activité productrice

> Servir d'instrument d'exécution de la politique du gouvernement en matière

d'investissement ;

> Promouvoir une classe d'affaires locales.

Les institutions financières non bancaires peuvent généralement se

distinguer par :

> Une spécialisation sectorielle tenant au secteur d'activités bien déterminées

comme le financement de projet agricoles ou des immobiliers ;

> Une spécialisation en fonction de la dimension des opérations économiques

de la clientèle comme les petites et moyennes entreprises ;

> Une spécialisation géographique par la création des sociétés de

développement régional.

III.1.6.2.3. Classification

Les institutions financières peuvent se classifier aussi selon la destination

des crédits en caisse d'épargne, société hypothécaire, société de financement,

banque de développement, banque agricoles...

Enfin, elles peuvent être classées selon leur appartenance au secteur privé public et

semi-public [⁴⁰].

III.1.6.2.4. Ressources

La banque de développement comme d'autres institutions, on comme

ressources les fonds propres, les emprunts obligatoires, les emprunts à long terme

auprès des institutions financières internationales ou la dotation étatique.

III.1.6.3. Système financiers congolais

? Loi bancaire

C'est l'ordonnance loi n° 72/00 du 14 janvier 1972relative à la protection

de l'épargne et au contrôle des interventions financières qui définit le cadre

institutionnel dans lequel l'ensemble des intermédiaires financiers bancaires et non

bancaires exercent leur activité en RD.

Congo.

Elle donne à la banque tout pouvoir d'orientation et de contrôle sur les

intermédiaires financiers.

La loi bancaire précise que seules les Banques peuvent recevoir des

dépôts à vue ou à terme d'un an ou plus. Elles sont en revanche en concurrence

avec les institutions financières pour la collecte des dépôts à un change plus lointain.

? Structure

1. Banque centrale du Congo

Elle a pour attributions :

> Règlement et contrôle le crédit ;

> Le privilège d'émission des billets et de la frappe des pièces ;

> Remplir les fonctions de caissier et de banque de l'état ;

> Remplir la fonction de banque des banques ;

³⁹Revue de la banque, Op Cit,
⁴⁰Revue de la banque, Op Cit,

Page 60 sur 109

? Financer les banques dans la limite de la politique monétaire ; elle effectue les opérations des Banques énumérées par les statuts.

2. Banque des dépôts

Elles sont appelées banques commerciales. Elles sont définies par l'article 1ER, alinéa 1ER de l'ordonnance loin° 72-004 du 14 janvier 1972, comme des entreprises qui font profession habituellement de recevoir du public sous forme de dépôt ou autrement, des fonds remboursables à vue, à terme fixe ou avec préavis.

La R.D. Congo a plus d'une dizaine des banques de dépôts, lesquelles sont regroupées dans l'Association Congolaise des Banques, ACB en sigle, qui est le syndicat professionnel au Congo.

GUICHET PUBLIC

SURVEILLANCE DES INTERM FINANCIERS

CHAMBRE DE

COMPENSATION

COMTES COURANTS & TRANSFERT

TRESORERIE INTER & BUDGET

GUICHET

PROFESSIONNEL

COMPTABILITE

FOURNISSEURS ET CLIENTS

SECURITE

ANALYSES ECONOMIQUES & STATATISTIQUES

APPROVISIONNEMENT & STOCKS

GESTION DU PERSONNEL & COUCOURIER

SURVEILLANCE

INFORMATIQUE

S O IN T S DE SANTE

LOGISTIQUE

DIRECTION PROVINCIALE

SECRETAIRE

SCE

TRESORERIE

SCE

OPERATION BANCAIRE

SCE ANALYSES
ECON.STAT. &
SURV.INTERM.

SCE

TECHNIQUE

SCE

ADMINISTRATION

Page 61 sur 109

III.1.7. Organigramme-type Direction Provinciale⁴¹

⁴¹Service administratif de la BCC Direction Provinciale de Kananga

Page 62 sur 109

Page 62 sur 109

III.2. Etude du réseau informatique de la BCC/DP KGA

III.2.0. Analyse de l'existant

III.2.1. But et objectif

L'analyse de l'existant permet de comprendre la nature du système actuel, décrit la solution présente du domaine d'étude au terme d'organisation [⁴²].

Le but de l'analyse de l'existant est la recherche des points forts et des faibles du système existant ? Ainsi, l'analyse de l'existant fait l'état de lieux du système actuel.

III.2.2. Réseaux informatiques et interconnexion

La croissance des systèmes d'information, l'acquisition des applications fiables de transmission de données, la gestion des multiservices et le partage de ressources s'avèrent indispensables pour une entreprise en vue d'optimiser la qualité de ses services. Soucieuse de répondre à ces exigences, la BCC a mis sur pied un réseau d'entreprise étendue (WAN) afin d'assurer le traitement, l'échange et partage de ses ressources ; et pour ce qui est de l'interopérabilité entre son siège principal avec toutes ses représentations sur l'étendue du pays et à l'étranger, elle se fait aux moyens des liens VSAT afin de garantir à ses utilisateurs l'accès sécurisé, le partage et échange de ressources ainsi que la traçabilité de fonds, moyens matériels et logistiques leurs alloués. Le système d'information de la BCC est constituée d'un réseau informatique appelé BANCONET constitué de plus de 80 serveurs et de #177, 2000 postes de travail.

III.2.3. Moyens de traitement des informations.

III.2.3.1. Moyens matériels

Pour le déploiement de son architecture réseau, le Banque Centrale a disposé des matériels énumérés dans le tableau ci-dessous :

Tableau III.2.3.1. : Moyens matériels

III.2.3.2. Moyens humains

Le département d'informatique est composé de :

? Un chef de département.

? Un administrateur réseau et système.

? Un administrateur des bases de données.

⁴² MVIBUDULU-KALUYIT, Note de cours de Méthodes d'Analyse Informatique, G3 Info/Jour ISC-GOMBE, inédit 2011-2012.

Page 63 sur 109

Page 63 sur 109

> Un ingénieur support.

> Un ingénieur réseau et système [⁴³].

III.2.3.3. Moyens logiciels

> Navision pour effectuer les opérations bancaires ;

> Système d'exploitation : Windows serveur 2008 R2,

> SQL Serveur pour la gestion de base de données ;

> Microsoft Word 2007 ; 2010 et 2003 pour les éventuelles saisies ;

> Excel pour faires des calculs ;

> Cristal Report pour faciliter l'impression des rapports ; ...

> Comme protocole coeur, la Banque Centrale du Congo utilise le PBB-TE

(Provider Backbone Bridge - Traffic Engineering) afin de rendre plus fiable,

extensible et déterministe son réseau de grande dimension.

> La Banque centrale du Congo utilise la technologie NAP (Network Access

Protection) qui permet de contrôler l'accès réseau hôte à partir de la

conformité du système hôte en question.

III.2.3.3.1. Topologie

L'architecture réseau de la BCC utilise une topologie étoilée qui relie le

point central qui est son siège, aux directions provinciales et centre hospitalier.

III.2.3.3.2. Architecture réseau de la BCC

L'architecture réseau de la BCC est démontrée dans la figure suivante :

Figure III.2.3.3.2. : Architecture Réseau de la B.C.C [25]

III.2.3.3.3. Le Backbone de la Banque

La Banque Centrale utilise les protocoles de routage dynamique intra-domaine OSPF afin d'acheminer paisiblement les informations au sein de son système et BGP pour l'échange d'informations entre les différents sites. Il s'appuie sur la qualité et les performances du média de communication tout en employant une base de données distribuée permettant de garder en mémoire l'état des liaisons. En outre, elle présente aussi quelques failles contraignantes d'une part, par la complexité de sa configuration au cas où il est segmenté en aires, et de l'autre, il est sensible au phénomène de bagottèrent ou lapping.

Ci-dessous, nous illustrons l'architecture Backbone de la Banque Centrale du Congo.

⁴³ "Le document interne de BCC".

Page 64 sur 109

Page 64 sur 109

Figure III.2.3.3.3.: Architecture Backbone de la BCC [15]

III.3. Mécanisme de sécurité

Les mécanismes de sécurité s'avèrent indispensables pour toute entreprise de manière globale et bancaire de manière particulière, car la sauvegarde des informations vitales, la restriction des accès malveillants aux ressources matérielles ou logicielles et la perte des infrastructures déployées dans une entreprise demeure une préoccupation majeure. Au vue de ce qui précède, la Banque Centrale du Congo a mis sur pied une politique de sécurité physique et logicielle afin de sécuriser au maximum ses infrastructures réseaux et maintenir ainsi, la qualité de service en son sein.

III.3.1. La politique de sécurité physique

Elle consiste essentiellement à se protéger contre les vols, fuites d'eau, incendies, coupures d'électricité, etc. Les règles génériques à considérer sont les suivantes :

> Une salle contenant des équipements réseau ne doit pas être vue de

l'extérieur afin de ne pas attirer ou susciter des idées de vol ou de vandalisme > Des périmètres de sécurité physique à accès restreint doivent être définis, et

équipés de caméras de surveillance

> Des procédures doivent autoriser et révoquer l'accès aux périmètres de sécurité.

> Des équipements de protection contre le feu, l'eau, l'humidité, les pannes de courant, le survoltage, etc., doivent être installés.

> Des procédures de supervision des éléments de protection doivent être mises en place.

> Les ressources critiques doivent être placées dans le périmètre le plus sécurisé. III.3.2. La politique de sécurité administrative et logique

Les contrôles d'accès constitués de filtrages de paquets(pare-feu) et de relais applicatifs (proxy) est l'un de mécanismes de sécurité appliqué à la Banque Centrale du Congo afin d'autoriser un certain nombre de flux réseau sortants (HTTP, FTP, SMTP, etc.) appliqués à l'ensemble du réseau interne ou à certaines adresses. Elles interdisent tout trafic non autorisé vers le réseau interne. Les contrôles d'accès s'accompagnent d'une politique définissant les règles suivantes à respecter :

> Obligation est faite d'installer et de mettre à jour le logiciel antivirus choisi par l'entreprise.

> Interdiction d'utiliser tout outil permettant d'obtenir des informations sur un autre système de l'entreprise.

Page 65 sur 109

Page 65 sur 109

? Concernant les communications entre le réseau de l'entreprise et un autre réseau, une politique spécifique de contrôle d'accès précise les points suivants :

III.3.3. Définition des services réseau accessibles sur Internet.

? Définition des contrôles associés aux flux autorisés à transiter par le périmètre

de sécurité pour vérifier, par exemple, que les flux SMTP, HTTP et FTP ne véhiculent pas de virus. Ces contrôles peuvent aussi concerner des solutions de filtrage d'URL pour empêcher les employés de visiter des sites non autorisés par l'entreprise, réprimés par la loi, ou simplement choquants (pédophiles, pornographiques, de distribution de logiciels ou de morceaux de musique piratés, etc.).

? Définition des mécanismes de surveillance qui doivent être appliqués au

périmètre de sécurité. Ces mécanismes concernent la collecte et le stockage des traces (logs), les solutions d'analyse d'attaque, comme les sondes d'intrusion, ou IDS (Intrusion Detection System), et les solutions d'analyse de trafic ou de prévention d'intrusion IPS (Intrusion Preventing System).

Les contrôles d'authentification des utilisateurs s'effectuent à plusieurs passages, au niveau de la sortie Internet, où chaque utilisateur doit s'authentifier pour avoir accès à Internet, mais aussi au niveau de chaque serveur pour accéder au réseau interne (serveurs de fichiers, serveurs d'impression, etc.).

Chaque fois qu'un utilisateur s'authentifie, un ticket est créé sur un système chargé de stocker les traces (logs) afin que le parcours de l'utilisateur soit connu à tout moment de manière précise.

Cette logique peut être généralisée et entraîne la création d'une trace pour chaque action de l'utilisateur sur chaque serveur (création, consultation, modification, destruction de fichier, impression de document, URL visitée par l'utilisateur, etc.).

III.3.4. Le mécanisme de Contrôle de l'accès au réseau

Il permet de vérifier un certain nombre de points de sécurité avant d'autoriser un système à se connecter au réseau local. L'objectif est ainsi de contrôler les accès au plus près de leurs sources.

Dans ce stade, le système qui désire se connecter et le commutateur (ou le routeur) attaché au LAN doivent intégrer la fonctionnalité NAC. Du point de vue de la sécurité, il est toujours recommandé de choisir la fonctionnalité NAC intégrée dans un commutateur mettant en oeuvre les mécanismes de sécurité de VLAN (Virtual Local Area Network), de contrôle des adresses MAC (Media Access Control), etc., qui sont moins permissifs que ceux d'un routeur, qui ne voit passer que des trames IP.

Avant de se connecter au réseau, un dialogue s'établit entre le système et le commutateur (ou routeur) d'accès au réseau. Le commutateur (ou routeur) communique alors avec un serveur de politiques de sécurité pour valider ou refuser la demande d'accès du système au réseau. Et au cas où l'un de ces contrôles n'est pas validé, le système n'est pas autorisé à se connecter au réseau.

Page 66 sur 109

Page 66 sur 109

III.4. Réseau virtuel privé de la Banque Centrale du Congo

La Banque Centrale du Congo dispose bel et bien d'une infrastructure réseau mais l'utilise uniquement pour inter opérer avec l'Interpol (Organisation Internationale de Police Criminelle) pour prévenir tout acte criminel pouvant être entrepris en son sein. Partant par l'identification, la localisation des individus recherchés sur la base de n'importe quel contrôle pour des fins d'extractions.

III.4.1. Architecture VPN de la BCC

L'architecture VPN de la BCC est celle d'un VPN Extranet le reliant à l'Interpol qui est un des partenaires stratégiques de la Banque par le moyen de l'Internet Public comme l'illustre la figure ci-dessous :

Figure III.4.1. : Architecture VPN de la B.C.C [25]

III.4.2. Topologie VPN

Le VPN de la BCC utilise une topologie étoilée dont la caractéristique fondamentale est l'existence d'un point central qui se comporte comme un hub concentrateur du trafic réseau et dans le cas qui nous concerne, c'est le réseau Internet Public.

III.4.3. Protocole VPN

Au niveau protocolaire, le réseau privé virtuel de la BCC utilise principale le protocole IPsec (Internet Protocol Security) afin de sécuriser les communications par Internet sur un réseau IP par le moyen d'un tunnel déployé pour permettre à l'Interpol d'accéder à son intranet. Il sécurise de même le protocole communication Internet et vérifie chaque session avec un cryptage individuel des paquets de données pendant toute la connexion.

III.5. Critique de l'existant

Le but du critique de l'existant est de recenser les points forts et faibles (performances et failles qui handicapent le bon déroulement et fonctionnement du système en cours. Dans ce cas, l'analyste procède à une critique objective du système en cours en vue de proposer un autre plus fiable et rationnel que le système existant [⁴⁴]. Ainsi donc, La période de stage professionnel en troisième Graduat et deuxième Licence effectuée à la BCC nous a permis de faire le point sur quelques performances et quelques failles de sécurité :

⁴⁴ XAVIER CASTELLAN, Méthode générale d'analyse d'une application informatique, Tome 1, Edition MASSON Paris 1983

Page 67 sur 109

Page 67 sur 109

III.5.1. Les points forts du système existant :

· Du point de vue organisation : la Direction Provinciale de la BCC montre comment elle est organisée au travers de son organigramme mais aussi par ses liens hiérarchiques ;

· Des points de vue moyens humains : les ressources humaines étant au coeur de tout système, elles nécessitent qu'elles soient de hautes factures pour une entreprise généralement et en particulier sur celle axée dans le domaine bancaire d'envergure nationale. A cet effet, le service de réseau de la BCC dispose bel et bien d'un personnel qualifié, laborieux, expérimenté et ingénieux à la hauteur des missions lui conférées ;

· Du point de vue documents et du système d'information : nous avons constaté que cette entreprise dispose d'une bibliothèque au standard international. Il est utile de préciser également que cela est encourageant de constater qu'au sein de cette direction, les postes de travail sont opérationnels et occupés par un personnel formé, apte à effectuer le travail au poste auquel il est affecté. On a noté enfin que les moyens matériels sont indispensables pour toute entreprise qui désire utiliser les nouvelles technologies de l'information et de la télécommunication de manière générale et de manière particulière les technologies de réseau. Ainsi, la BCC utilise principalement les matériels réseaux CISCO et Microsoft Concernant l'état de matériels, ceux déployés en son siège sont en bon état dans l'ensemble.

III.5.2. Les points faibles du système existant :

· Cependant, cette entité devra être restructurée au vue de la couverture du réseau, les équipements réseaux déployés en son siège principal et dans toutes les succursales, nécessitant parfois des déplacements physiques des agents commis à ce service dans les différents coins du pays. Ainsi, compte tenu de la multitude des matériels, d'utilisateurs et la couverture réseau mise à leur disposition, les contraintes précitées sont plausibles de porter préjudice au bon fonctionnement de l'entreprise.

· La lenteur dans la transmission de données ;

· Insuffisance des informaticiens dans les Directions Provinciales et Agences Autonomes ;

· Les Directions Provinciales sont dans un état préoccupant en raison des moyens logistiques, de maintenabilité permanente et quelques contraintes qui s'imposent pendant la migration des systèmes existants vers d'autres ;

· Dépendance à la Direction Nationale en cas des pannes logiques et matérielles d'une grande envergure.

III.5.3. Propositions de solution et recommandation

Nous présentons premièrement quelques propositions de solution pouvant servir comme cahier de charge aux décideurs afin qu'ils participent à l'évolution technologique et architecturale de l'entreprise et ensuite nous formulerons quelques recommandations.

III.5.3.1. Proposition de solution

Page 68 sur 109

Page 68 sur 109

L'entreprise étant un système complexe dans lequel transitent de très

nombreux flux d'information, sans un dispositif de maîtrise de ces flux, elle peut très vite être dépassée et ne plus fonctionner avec une qualité de service satisfaisante. De ce fait, pour apporter la lumière aux anomalies du système existant, nous pouvons proposer quelques solutions nécessaires, dans le but d'améliorer la performance du réseau de la Banque Centrale du Congo.

III.5.3.2. Propositions pour l'évolution du réseau

Pour préparer une bonne évolution du réseau, nous proposons dans un

premier temps la création d'une épine dorsale IP/MPLS permettant aux équipements réseau distants de dialoguer entre eux. Ce Backbone IP sera un réseau convergent capable de transporter tout type de trafic. Il sied de préciser que le réseau IP traditionnel n'incorpore pas de fonctionnalités de qualité de service en natif. Il fonctionne sur le principe du « best-effort » et ne peut garantir la fourniture de services à fortes contraintes comme les applications temps réel, parmi lesquelles la voix.

· A ce titre, nous proposons que pour maximiser les mécanismes de la qualité de service de réseau, il est impérieux d'utiliser le protocole MPLS qui est le mieux adaptable ;

· Mise en place d'un dorsal IP avec la qualité de service (QdS) requise ;

· Dans un réseau qui tend vers « TOUT IP », la qualité de service est vraiment requise, d'où la mise en place d'un dorsal IP/MPLS est la solution idéale. L'intérêt de MPLS n'est pas seulement pour des fins de rapidité mais plutôt l'offre de services qu'il permet, avec notamment les réseaux privés virtuels (VPN) et le Trafic Engineering (TE), qui ne sont pas réalisables sur des infrastructures IP traditionnelles. Avec ce type de dorsal, la Banque Centrale du Congo pourra promptement basculer tous ses utilisateurs LS sur le dorsal IP/MPLS en leur offrant plus de débit et d'autres services ;

· Proposition d'une topologie Backbone IP/MPLS

· Selon la localisation des sites abritant les équipements du coeur réseau, nous proposons une topologie du réseau IP/MPLS avec les différents points de présences (PoP) arbitraires. Les routeurs utilisés sur un Backbone IP/MPLS sont en général des routeurs modulaires compatibles avec l'IP/MPLS avec des routeurs CISCO séries 7609 et 7200 ainsi des Switchs CISCO Catalys séries 6500/3560.

· Installation d'un centre de supervision du Core network

Dans le cadre de bien entretenir l'ensemble du réseau particulièrement les coeurs de réseaux, il est nécessaire de mettre en oeuvre une ingénierie de trafic efficace afin de suivre en temps utile le fonctionnement des équipements du réseau. Comme la plupart des opérateurs téléphoniques respectent l'approche de la gestion de réseaux (RGT) préconisée et normalisée par l'ISO, nous recommandons également la création d'un centre (une grande salle équipée des moniteurs) réservé uniquement pour la supervision des équipements réseau afin de pouvoir, non seulement intervenir dans l'urgence en cas de problème, mais aussi anticiper l'évolution du réseau, planifier l'introduction de nouvelles applications et améliorer les performances pour les utilisateurs.

Page 69 sur 109

Page 69 sur 109

· La mise en place d'un VPN/MPLS

La mise sur pied d'un VPN/MPLS permettra à la Banque Centrale du Congo qui s'étend sur l'ensemble d'interconnecter l'ensemble de ses sites distants de manière plus sécurisée et rapide parce qu'il garantit des communications privées et à grande vitesse contrairement au réseau IPsec et les données seront acheminées entre les différents sites de l'entreprise au travers d'une connexion directe via un réseau opérateur.

· Faire un monitoring des flux de données et une gestion des priorités doit s'adapter aux différents usages et aux remontées des utilisateurs ; la gestion de la bande passante et des équipements ; mettre en place un mécanisme de surveillance et de détection de connexion suspecte qui s'établie sur un lien MPLS/VPN.

· Nous avons opté pour la solution VPN site-à-site qui consiste à mettre en place une liaison permanente, distante et sécurisée entre deux ou plusieurs sites de la BCC ; afin de résoudre au mieux aux différentes préoccupations manifestées par les responsables informatiques de la Banque et aussi pour pallier aux différents problèmes relevés au niveau de la critique de l'existant.

· La solution VPN site-à-site permet de mettre à niveau, à moindre coût, les architectures multipoints utilisant le réseau commuté limité en bande passante et généralement obsolètes, employée par la BCC.

· Mettre en avant le nombre d'utilisateurs potentiels du lien VPN, les applications concernées et le débit maximum à consommer.

· Il est néanmoins important de préciser que la solution retenue garantie la confidentialité, la sécurité et l'intégrité des données sur des canaux privés. Cette solution VPN site-à-site permet d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux.

III.5.4. Recommandation

· Notre recommandation s'articule en deux volets. Le premier s'adresse principalement aux décideurs de la Banque Centrale du Congo et le second au manager en charge du service de réseau et télécommunication (service technique) de ladite entreprise.

· Aux décideurs de la Banque Centrale du Congo, nous leur recommandons de mettre leurs expertises en place afin d'amorcer le processus de recrutement des nouveaux ingénieurs et experts en la matière, non seulement pour accroître la main d'oeuvre au sein dudit service, mais également la qualité de service de l'entreprise. Cependant, nous les exhortons en plus de disponibiliser les moyens financiers et logistiques pour que ces ingénieurs et experts participent à des formations et ateliers pertinents afin d'étudier profondément les propositions leur suggérées et conduisent à bon escient la migration vers réseau plus dynamique.

· Au responsable dudit service, nous lui recommandons de mettre sur pied une structure engineering et de planification des réseaux (réseau). Celle-ci devra être composée des experts aguerris dans leurs spécialités respectives et permettre ainsi aux planificateurs des réseaux de dimensionner les capacités, les noeuds et des liens existants pour la prise des décisions judicieuses sur les caractéristiques des nouveaux équipements réseaux à acheter. Ils assureront

Page 70 sur 109

Page 70 sur 109

également la prévision du trafic qui consiste à identifier les caractéristiques du trafic et les besoins en bande passante des différentes applications qui devront être supportées par les réseaux multiservices. Il s'agit d'estimer le trafic de départ et d'arrivée pour chaque catégorie d'abonnés et les indicateurs clés pour la performance (KPI) devraient à cet effet, être le centre d'intérêt des études engineering que devra effectuer cette structure, car ce sont des paramètres clé qu'un administrateur ou gestionnaire du trafic utilise pour prévenir à une éventuelle extension du système ou dimensionner les composants du réseau.

Conclusion partielle

Dans ce chapitre nous avons présenté l'organisme d'accueil, puis nous nous sommes intéressés à son réseau ou nous avons spécifié ses besoins et faiblesses en termes de sécurité.

Par la suite, nous avons proposé certaines solutions afin de pallier aux failles diagnostiquées dans l'étude de l'existant. Solutions qui seront développées dans le chapitre suivant.

Page 71 sur 109

Page 71 sur 109

CHAPITRE IV : DEPLOIEMENT D'UN RESEAU MPLS/VPN

IV.0. Introduction

Ce chapitre nous permet de faire une étude de fonds en comble du projet sous étude. Nous ne pouvons bien évidement pas revenir sur les détails de l'étude complète d'un projet, mais nous travaillerons sur les parties fondamentales faisant ressortir les points saillants du travail.

L'infrastructure de ce travail fournit la configuration d'un VPN de Multiprotocol Label Switching (MPLS) quand le Border Gateway Protocol (BGP) ou le Routing Information Protocol (RIP) est présent sur le site du client.

Une fois utilisée avec le MPLS, la fonctionnalité VPN permet à plusieurs sites d'être interconnectés d'une manière transparente à travers un réseau de fournisseur de service. Un réseau du fournisseur de service peut prendre en charge plusieurs VPN d'IP différents. Chacun de ces derniers apparaît à ses utilisateurs en tant que réseau privé, séparé de tous les autres réseaux. Dans un VPN, chaque site peut envoyer des paquets IP à n'importe quel autre site dans le même VPN.

Chaque VPN est associé avec un ou plusieurs VPN de routage ou instances de transmission (VRF). UN VRF se compose d'une table de routage IP, d'une table dérivée de Cisco Express Forwarding (CEF) et d'un ensemble d'interfaces qui utilisent cette table de réacheminement.

Le routeur conserve un routage distinct et la table CEF pour chaque VRF. Ceci empêche l'information d'être envoyée en dehors du VPN et permet au même sous-réseau d'être utilisé dans plusieurs VPN sans causer de problèmes d'adresse IP en double.

Le routeur utilisant le multiprotocole BGP (MP-BGP) distribue les informations de routage de VPN utilisant les communautés étendues MP-BGP.

Section I : Cadrage du projet IV.I.1. Cadre général

IV.I.1.0. Introduction

Il est difficile de parler d'un projet avant d'avoir fait une analyse détaillée du travail à faire.

Il est cependant nécessaire d'effectuer une première estimation générale pour pouvoir « cadrer le projet »

Dans ce chapitre nous allons mettre l'accent sur l'aspect du cadrage du projet et faire une étude détaillée du projet.

IV.I.1.1. Intitulé du projet

Etude et déploiement d'un réseau MPLS/VPN pour le partage des données dans une entreprise multi-sites. Cas de la BCC Direction Provinciale de Kananga.

IV.I.1.2. Définition :

Il est question ici de proposer un moyen sécurisé et sûr d'échange de données entre deux hôtes différents avec la possibilité de gérer l'accès de connexion à l'internet des utilisateurs.

IVI.1.3. La définition du projet

Un projet est un processus unique, qui consiste en un ensemble d'activités coordonnées et maitrisées comportant des dates de début et de fin,

Page 72 sur 109

Page 72 sur 109

entreprises dans le but d'attendre un objectif conforme à des exigences spécifiques telles que des contraintes des délais, de couts et de ressources.⁴⁵

IV.I.1.4. But

Ce projet a pour but de mettre en place un plan de communication afin d'acquérir une nouvelle clientèle et d'améliorer le paiement des assurances. IV.I.1.5. Les objectifs du projet

Un projet repose sur trois objectifs principaux, à savoir :

? Objectifs techniques : les résultats attendus et du projet

? Objectif de délai : date de fin du projet les dates intermédiaires

? Objectifs du cout : le cout raisonnable pour réaliser ce projet.

IV.I.1.6. Déroulement du projet

L'inventaire des besoins intégrant des fonctions particulières qui est conduit comme un véritable projet. Il se fait d'une manière précise, structurée et globale, en essayant de se protéger dans les 5 à 10 ans à venir, à partir d'un dossier type, et donne lieu à la rédaction d'un "projet d'usage". Ce projet d'usage est défini par le personnel de l'entité puis validé par le Maitre d'Ouvrage. Il sert de base à l'élaboration d'une solution technique adaptée et propre au site concerné.

Généralement, la solution technique découlant du projet d'usage, est

définie en plusieurs étapes :

4. D'abord la phase de l'étude technique détaillée. Cette étude est menée par un Bureau d'Etudes qui jouera le rôle de Maître d'oeuvre et qui aura à sa charge la réalisation du projet. Pour ce faire, il devra produire différents documents. Pour définir sa solution, le Maître d'oeuvre s'appuiera donc sur le programme fourni par le Maître d'Ouvrage. L'étude technique devra aboutir à un cahier des charges techniques (CCT) suffisamment précis pour ne laisse aucune ambiguïté au niveau de la réalisation.

4. Ensuite vient la phase de configuration, qui donne lieu à un audit détaillé du réseau, et qui va répertorier l'existant en matière de connectivite ; partant de cet existant, il va déterminer ce qui est à conserver ou à supprimer. La phase va ensuite déterminer la densité précise des prises (informatiques, téléphoniques) dans chacun des lieux des bâtiments, puis va proposer l'architecture générale.

En phase de réalisation des travaux, le Maître d'oeuvre devra porter une attention particulière sur les prestations intellectuelles que doivent réaliser les entreprises titulaires des marchés.

En fin de chantier, le Maître d'oeuvre doit effectuer l'assistance à la réception des travaux.

IV.I.1.7. Contraintes du projet (triangle de triple contrainte)

Il y a trois contraintes qui sont liée au projet à savoir :

? Contrainte du cout (budget) : tout le monde doit être satisfait, si un geste commercial est envisagé, il ne doit surtout pas impacter le nombre de jours

⁴⁵ BANZADIO : Cours de projet informatique G3 UWB, 2014-2015

Page 73 sur 109

Page 73 sur 109

estimé et donc le planning. Outre le geste commercial, la simplification du cahier des charges (souvent très vaste) peut être envisagée : moins de développement, moins de test, moins de suivi donc forcément un coût moins élevé.

? Contrainte des temps (début et fin) : dans le cadre d'un projet conséquent, le découpage en lots ainsi que les méthodologies agiles peuvent permettre de respecter les délais. De plus, il ne faut pas se tirer une balle dans le pied en avant-vente, les clients sont comme les enfants, ils sont impatients de voir leur nouveau joujou au plus vite, mais rien n'empêche d'entamer une discussion et de gagner quelques semaines quitte à livrer une première version simplifiée.

? Contrainte techniques (qualité du résultat) : il faut être transparent avec le client, optimiser les processus de production et mettre en place une réelle phase de recette en prévoyant également une période de garantie et de TMA (Tierce Maintenance Applicative). :

IV.I.1.8. Cahier de charges

Définit comme un acte, le cahier de charge est un document de référence qui permet à un dirigeant d'entreprise, d'une organisation de préciser les conditions ou les exigences d'un projet à accomplir ou une tâche à exécuter par un consultant en vue de résoudre un problème spécifique ou améliorer une situation donnée tout en déterminant les résultats.

IV.I.1.8.1. Motif :

L'engouement qu'engendre l'architecture VPN/IPSec se fait de plus en plus présent dans les entreprises de la place et surtout chez celles qui ont ce besoin naturel de fidéliser leur clientèle en leur proposant un service toujours disponible et de meilleures qualités.

Il est nécessaire de noter ici que la solution VPN/IPSec l'avantage de la solution MPLS/VPN est de pouvoir faire du label-switching entre PE sans que les routeurs du milieu du nuage, les P, n'aient à avoir connaissance des préfixes de destination dans leurs tables de routage respectives. Cela nous permet de maintenir une architecture plus facilement et d'augmenter également la scalabilité de celle-ci.

IV.I.1.8.2. Objectifs de MPLS

Dans l'objectif d'améliorer les performances réseaux de le BCC, nous devons implémenter un Backbone MPLS au sein de leur réseaux. Les objectifs de notre travail sont :

? Augmenter la vitesse de transfert

? Combiner les protocoles de la couche 2 et les protocoles de la couche 3

? Ingénierie trafic : contrôler la bande passante, réserver les routes, gérer le trafic, appliques les politiques de sécurité etc.

? La flexibilité.

La réalisation du projet soumis à notre étude s'échelonne sur une période 8 mois à compter du 01/02/2022 Date de début : 15 Octobre 2022 et date de fin au plus tard : 26 Octobre 2022.

Page 74 sur 109

Page 74 sur 109

IV.I.2. Caractéristiques maximales et minimales pour le déploiement de notre architecture MPLS

IV.I.2.1. Les matériels, logiciels et moyens

Le présent tableau apporte un résumé des dépenses effectuées en termes de matériels et logiciels :

Tableau IV.I.2.1. : Les matériels, logiciels et moyens

Outils Quantité Performance Prix total/$

Coût total matériels : 10 8O5 $ USD

1. Coût total logiciels : 7,5 $ USD

2. Coût total formation : 2500 $ USD

3. Total = 10 805 $ USD + 7.5 $ USD + 2500 $ USD = 10 807,5 $ USD

4. Imprévu 10 % du montant total = 10 807,7 $ USD

5. Total général = 2 088,25 $ USD

Le montant total en lettre : Septante neuf mille neuf cent quarante-huit dollars américains.

Rappelons que ce coût est dérisoire, car il ne prend pas en compte le coût de l'élaboration d'un cahier de charges de façon complète et professionnelle ainsi que celui du travail technique effectué. En effet, il s'agit ici d'un projet qui s'inscrit dans le cadre de la rédaction d'un mémoire académique de fin d'étude. IV.I.2.3. La technique

Pour réaliser ce projet, nous nous sommes appuyés non seulement sur les expériences acquises au cours de notre formation, de quelques personnes ressources, sur internet, mais aussi sur les forums ou la plupart de nos difficultés ont été étayés.

IV.I.3. Planification

Le diagramme de Gantt est la technique de représentation graphique permettant de renseigne et situer dans le temps les phases, activités, tâches et ressources du projet.

En ligne, on liste les tâches et en colonne les jours, semaine ou mois. Les tâches sont représentées par des barres dont la longueur est proportionnelle à la durée estimée.

Page 75 sur 109

Page 75 sur 109

Les tâches peuvent se succéder ou se réaliser en parallèle entièrement ou particulièrement

Ce diagramme a été conçu par un certain Henry L. GANTT (en 1917) et est encore aujourd'hui la représentation la plus utilisée.

Nous avons utilisé GANTT pour notre planification, mais bien avant nous avons nommé les différentes tâches, leurs durées ainsi que leurs précédences. Le tableau ci-après illustre les dites tâches, il est suivi du tableau de niveaux ainsi que de celui de la répartition des ressources.

Tableau IV.I.3.: Planification

Tâches Désignations Précédences Durées /Jrs

Ce planning donne une décomposition purement statique, il ne tient pas compte du temps et par conséquent ne s'attache pas à l'ordonnancement des activités. Il permet une présentation analytique, le projet est décomposé jusqu'à obtention des activités bien définies et faciles à gérer.

IV.I.3.1. Planning provisionnel de la réalisation du projet

Il est important à tout ingénieur dans le domaine de réseau, de planifier les différentes tâches qui doivent être réalisées, afin de déterminer la date à laquelle le projet doit se réaliser, son délai d'exécution et par conséquent en connaitre le cout⁴⁶.

IV.I.3.2. Ordonnancement

Pour mener à bon port notre travail, nous avons opté pour l'ordonnancement qui est un outil de la recherche opérationnelle nous permettant

⁴⁶ Prof. MBIKAYI Jeampy, Cours Inédit Modèle Conceptuel de Projet, L2 informatique ISS/KIN, 2011-2012

Page 76 sur 109

Page 76 sur 109

dans ce cas d'élaborer le planning, de déterminer l'intériorité des tâches, de définir la durée de chaque tâche⁴⁷.

A ce niveau, l'objectif est la minimisation de la durée de réalisation du projet, ceci aurait un avantage significatif en gain de temps et du coût. Pour ce faire, nous nous sommes servis de la méthode GANTT.

IV.I.3.3. Calendrier de réalisation du projet

Tableau IV.I.3.3Calendrier de réalisation du projet

Date début Désignation Date fin

IV.I.3.4. Le diagramme de GANTT

Le diagramme de Gantt est la technique de représentation graphique permettant de renseigne et situer dans le temps les phases, activités, tâches et ressources du projet.

En ligne, on liste les tâches et en colonne les jours, semaine ou mois. Les tâches sont représentées par des barres dont la longueur est proportionnelle à la durée estimée.

Les tâches peuvent se succéder ou se réaliser en parallèle entièrement ou particulièrement

Ce diagramme a été conçu par un certain Henry L. GANTT (en 1917) et est encore aujourd'hui la représentation la plus utilisée.

⁴⁷ P.O. Mvibudulu A., Méthodes de conduite de projet, ISC- Kinshasa, année 2011-2012

Page 77 sur 109

Page 77 sur 109

Figure IV.I.3.4. Calendrier de réalisation du projet

Section II : Conduite du projet

IV.II.1. Contexte et Problématique

La BCC dispose d'un réseau volumineux et de multiples services entre autres transférer les fonds, créditer les fonds, débuter les fonds,... utilise une convergence totale vers le protocole IP pour pouvoir desservir sa clientèle. Ce dernier est limité à certain niveau, ainsi le protocole IP est un protocole de niveau 3 fonctionnant en mode non connecté. La décision de routage d'un paquet est faite localement par chaque noeud et imaginons le grand réseau de BCC cela n'entrainera pas la rapidité au niveau de la commutation des paquets.

De ce fait, l'émetteur d'un paquet ne pourra pas prévoir le chemin qui sera emprunté par ce dernier. Alors pour une optimisation de la QOS au niveau des clients de BCC, nous voyons quelques faiblesses pour le bon fonctionnement des services à travers le protocole IP au le sein du coeur du réseau de la BCC.

Cependant, vu que dans ce type de réseau, l'évolution matérielle est indéniable, il est nécessaire de trouver les voies et moyens afin de mettre sur pied, une infrastructure réseau devant assurer l'interconnexion absolue, rapide et sécurisée entre plusieurs sites distants.

IV.II.2. Méthodologie

Il est important pour nous ici de définir succinctement les différentes

étapes à suivre pour atteindre les objectifs visés par notre travail.

1ère étape : Etude et choix des solutions VPN/MPLS

2ème étape : Mise en place de la solution VPN/MPLS choisie :

Dans cette partie nous allons rapporter les étapes et les commandes

nécessaires pour configurer MPLS.VPN sur GNS3, Virtual box et les IOS CISCO utilisées

pour la virtualisation, à savoir :

? Configuration basic de MPLS

? Mise en place du protocole de routage intra-nuage OSPF ;

Page 78 sur 109

? Mise en place du protocole MP-BGP

? Mise en place des VRS et des interfaces

? Mise en place du protocole de routage CE_PE (RIPv2)

? Gestion de la redistribution des préfixes

Bien que d'après nos recherches il y'a plusieurs protocoles pour la

configuration, nous avons préféré cela à cause de la présence des notions vues et

en cours et tout de même on a personnalisé le travail.

3ème étape : Quelques tests de fonctionnement de la solution implémentée

IV.II.3. Déploiement de la solution MPLS/VPN

La réalisation de la solution étant une phase très capitale, sera axée sur trois (3) points essentiels entre autres, la Maquette MPLS Opérations du coeur de notre réseau MPLS/VPN, le Schéma physique VPN/MPLS, Schéma MPLS Configurations du coeur MPLS/VPN.

IV.II.3.1. Présentation de la maquette de notre déploiement

Le schéma physique du coeur réseau de la maquette MPLS/VPN de notre déploiement est illustré dans la figure ci-après :

Page 78 sur 109

Figure IV.II.3.1: Maquette MPLS Opérations IV.II.3.2. Schéma fonctionnel du coeur MPLS/VPN

Le schéma ci-dessous, nous présentons le schéma fonctionnel du coeur de réseau MPLS/VPN.

Page 79 sur 109

Page 79 sur 109

Figure IV.II.3.2. : Le MPLS Configurations coeur MPLS/VPN

IV.II.3. Plan d'adressage

Un plan d'adressage sert à déterminer l'adresse IP du réseau, du sous-réseau et donc des équipements (ordinateur, imprimante, etc..) qui composent le réseau d'entreprise afin de réduire les possibilités de connexion.

A cet effet, le tableau qui suit montre la répartition des adresses IP de notre réseau :

Tableau IV.II.3. : Plan d'adressage

Routeurs Interfaces Adresse IP Adresse Loopback

Ici nous précisons que le choix d'adressage a été fait avec des adresses publiques tout au coeur du réseau MPLS vu que c'est notre réseau opérateur et nous avons utilisé les adresses privées pour les machines et routeurs du client qui sont hors du coeur du réseau.

Page 80 sur 109

Page 80 sur 109

IV.II.4. Méthodologie d'approche

Dans cette partie nous allons rapporter les étapes et les commandes

nécessaires pour configurer MPLS/VPN sur GNS3, à savoir :

4. Configuration des interfaces sur chaque routeur

4. la mise en place du protocole de routage intra-nuage OSPF

4. Configuration MPLS

4. Configuration des VRF

4. Mise en place du protocole EIGRP

4. Configuration du protocole BGP

4. Gestion de la redistribution respective des préfixes

4. Configuration de la QOS

IV.II.5. Résultat et vérification

IV.II.5.1. configuration des interfaces et la mise en place du protocole de routage intra-nuage OSPF

Cette configuration sera appliquée sur chaque interface des routeurs respectivement comme dans cette architecture de manière à respecter le choix d'adressage et de pouvoir s'assurer que l'adressage a été bien fait et que les noms des routeurs ont été bien mis en place pour un repérage facile de ces derniers.

En plus, nous avons l'adresse réseau et le masque générique pour pouvoir déclarer les réseaux qui participeront au processus ospf donc on fera pareil pour tous les différents sous réseaux que nous devons appliquer le protocole OSPF au sein du coeur du réseau).

Donc on appliquera le protocole OSPF au sein des interfaces respectives se trouvant au Coeur du réseau à savoir PE1, PE2, PE3, P1, P2, P3, CEA, CEB et CEC. Le protocole de routage interne au Backbone sera actif sur les LER et LSR du Backbone IP partagé. Il permettra d'abord d'assurer la connectivité IP entre les routeurs du Backbone puis l'établissement de session TDP (Tag Distribution Protocol) issu de Cisco ou LDP.

? Test :

- PING from PE1 to PE2/PE3

# ping 20.20.20.20

Figure IV.II.5.1. : Test Basic Configuration 1

# ping 30.30.30.30

Figure IV.II.5.1. : Test Basic Configuration 2

Avant de passer à autres choses on doit pinger pour tester les diagnostics pour que l'on corrige en cas d'erreurs.

Page 81 sur 109

- Routing Table :

# show ip route ospf | begin Gateway

Figure IVII.5.1. : Routing table:

Jusque-là la table de routage fonctionne normalement.

IV.II.6.2. Mise en place du protocole LDP :

? Test :

#do show mpls interfaces

Figure IV.II.5.2. : Test MPLS interfaces

A ce niveau après le test on trouve que les interfaces sont bien configurées y compris les adresses IP même si les tunnels ne sont pas encore là et les BGP mais tout de même les MPLS sont opérationnels.

#do show mpls ldp neighbor

Page 81 sur 109

Figure IV.II.5.2.: Test MPLS LDP Neighbor

Page 82 sur 109

Page 82 sur 109

Ici on voit une autre commande pour savoir les voisins de votre routeur, on voit même les clefs d'identifiant et toutes les informations sans oublier les paquets envoyées et reçues etc.

#do traceroute 20.20.20.20

Figure IV.II.5.2. : Test trace route:

On vérifie encore si la route est opérationnelle vers les autres routeurs et oui on a remarqué que faisable en voyant même le timing.

IV.II.5.3. Mise en place du protocole MP-BGP :

A ce niveau on utilise ce protocole pour créer les tunnels entre les PE pour éviter tout simplement d'échanger les adresses IP du Backbone avec ceux des clients et la solution est de configurer le MP-BGP de la manière que voici : PE, PE2 et PE1 :

A savoir si l'interface entre PE1 et P1 tombe en panne on va perdre

tous.

? Test :

#do show bgp vpnv4 unicast all summary

Figure IV.II.5.3 : Test BGP

Alors on vérifie le test comme après chaque configuration, comme on nous l'avons remarqué ils s'échangent des messages donc tout est bien jusque-là ! si jamais cette table était vite donc là on a un problème de configuration.

IV.II.5.4. Mise en place des VRS et des interfaces :

Ici on vérifie les tables de routage mais il est possible de configurer si on a des clients par exemple CE1, CEB et CEC de notre configuration et il est possible de les affecter les mêmes adresses IP ce qui est une erreur affichée par le routeur c'est-à-dire les conflits des adresses. Alors avec le VRF on va créer plusieurs tables de routage dans le même routeur mais il est possible de créer les instances de routage. - PE1, PE2 et PE3 :

Page 83 sur 109

Page 83 sur 109

#do show run interface FastEthernet 1/0

Figure IV.II.5.4 Run interface F1/0

Voilà on voit que cette interface est déjà configurée.

IV.II.5.4. Mise en place du protocole de routage CE_PE (RIPv2):

IV.II.5.5. Gestion de la redistribution des préfixes entre OSPF 1000 et BGP 1 :

- PE1 & PE2 & PE3 :

? Test :

# do show ip route

Figure IV.II.5.6 : IP Route 1

Avec cette image, on a vérifié les itinéraires statistiques dans la table routage en utilisant la commande show IP route, en spécifiant l'adresse réseau, le masque de sous-réseau et l'adresse IP du routeur du prochain saut ou de l'interface de sortie. Et ça fonctionner !

# ping CE_B / CE_C

Après avoir configuré ces interfaces, on constate que les CEA, CEB et CEC peuvent pinger et communiquer sans problème !

Figure IV.II.5.6 Test Ping CEB et CEC 2

Page 84 sur 109

Page 84 sur 109

# do show mpls forwarding-table

Figure IV.II.5.6 : Mpls forwarding-table 3

A noter qu'une table de transfert MPLS détermine la manière dont MPLS traite les paquets MPLS reçus. Lorsqu'un paquet MPLS arrive sur une interface principale MPLS, MPLS recherche l'étiquette ou label MPLS la plus externe du paquet reçu de la table de transfert MPLS approprié.

Enfin, étant sur une interface du routeur coeur du réseau à savoir PE ou un routeur d'extrémité PE nous pouvons visualiser la table de MPLS ou nous pouvons observer le label qui le leur est assigné, les interfaces de sortie et autres. Ceci grâce à une commande show mpls forwarding-table.

IV.II.5.7. Configuration de la QOS

? Test :

#show class-map

La QoS ici a été géré avec la création des class-map pour chaque service que l'on souhaite contrôler le flux à travers les classes au niveau du champ dscp. La configuration est utilisée pour placer le plus prioritaire au trafic du port TCP auquel il correspond et les autres avec leur priorité respective de manière à pouvoir assurer un service de qualité pour les utilisateurs.

Figure IV.II.5.7 : Résultat concernant la QOS

IV.II.5.7.1. La création de la class-map

Une Access Control List permet de filtrer les paquets IP, c'est à dire les paquets du niveau 3. Elle permet de définir les actions possibles des utilisateurs du réseau.

Page 85 sur 109

Page 85 sur 109

IV.II.5.7.2. Création des access list

Pour une bonne implémentation de notre QoS nous avons fait des tests avec notre serveur Debian 6.01 contenant les services EMAIL, SMTP, VOIP, HTTP et VOICE et avons essayé de charger le serveur avec le Ping de la mort de manière à imaginer qu'un gros téléchargement était effectué puis nous avons effectué un appel entre les plusieurs sites pour tester la liaison ceci en imaginant plusieurs clients VPN qui se transmettaient les informations. Ainsi avec la notion de classe appliquée à chaque flux nous avons eu une stabilité du service malgré la perturbation que nous avons fait subir au flux.

Conclusion partielle

MPLS apporte au protocole IP, non orienté connexion, les avantages du mode connecté tout en conservant la souplesse du routage, en outre il permet : la modification du temps de transit dans les réseaux, concurrence aujourd'hui par les giga (voir Téra) routeurs ; l'ingénierie de trafic, qui autorise dans un réseau IP une haute disponibilité et la prévention de la cogestion ; la mise en oeuvre de la Qos qui a autorisé un service voix de qualité sur un réseau IP et une gestion souple de VPN.

Page 86 sur 109

Page 86 sur 109

CONCLUSION GENERALE ET PERSPECTIVES

Nous voici à l'oméga de notre étude qui consistait à mettre en place un coeur de réseau basé sur la technologie MPLS/VPN pour le partage des données dans l'objectif d'améliorer la performance du réseau de la BCC. Nous pouvons en effet grâce à cette nouvelle technologie permettre aux employés de partager de façon sécurisée et rapide leurs données via certains protocoles qui sont les principaux outils permettant d'implémenter le MPLS/VPN, ce partage était possible en interne pour les utilisateurs du réseau local de l'entreprise, mais aussi en externe pour les utilisateurs dit « distants » situés en dehors du réseau local. C'est ainsi que nous avons eu à implémenter un Backbone MPLS au sein de leur réseau afin d'augmenter la vitesse de transfert, combiner les protocoles de la couche 2 et les protocoles de la couche 3, Ingénierie trafic et la flexibilité.

En effet, notre travail s'articulait autour de quatre (4) chapitres : le premier était théorique, il était subdivisé en deux parties dont nous avons eu sommairement le contenu ci-après : la première partie était dédiée aux généralités sur le réseau d'entreprise, puis dans la seconde nous nous sommes intéressés à la sécurité des réseaux.

Le deuxième chapitre était destiné aux notions fondamentales sur le réseau VPN. Au cours de ce chapitre, nous avons eu à effectuer une étude présentative, descriptive, analytique et fonctionnelle sur les notions fondamentales de la technologie MPLS/VPN.

Le troisième consistait à présenter le lieu d'étude et à étudier les moyens existants de son réseau informatique et ceux que nous avons eus à choisir comme solution à mettre en oeuvre pour résoudre les problèmes relevés dans le système actuel. Dans ce chapitre nous avons eu à présenter l'organisme d'accueil, puis nous nous sommes intéressés au réseau où nous avons spécifié ses besoins et faiblesses en termes de sécurité et rapidité. Par la suite, nous avons proposé certaines solutions afin de pallier aux failles diagnostiquées dans l'étude de l'existant, qui ont été développées dans le quatrième chapitre.

Le quatrième et le dernier, comme la théorie n'étant jamais suffisante à elle seule pour convaincre, il était consacré au déploiement d'un réseau MPLS/VPN suivi d'une évaluation financière du projet.

Pour y parvenir, nous avons eu à rapporter les étapes et les commandes nécessaires pour configurer MPLS/VPN sur GNS3, qui est un simulateur de réseau graphique vu la carence des matériels, Virtual box et les images IOS CISCO utilisées pour la virtualisation. En outre, nous avons eu à utiliser Edraw Max 8.0 comme logiciel de visualisation afin de concevoir nos différentes architectures réseaux informatiques. Il nous a permis de structurer et de simuler le fonctionnement de notre coeur de réseau qui a constitué le nouveau système que nous avons proposé afin de répondre aux différentes préoccupations que nous nous sommes posées dans la problématique. Cela était accentué par les tests pour vérifier la configuration.

Ce travail nous a permis d'acquérir et d'enrichir nos connaissances et nos compétences dans de nombreux domaines, il nous a initié au monde de la recherche sur les réseaux surtout ce qui concerne leur sécurisation et leur rapidité.

Page 87 sur 109

Page 87 sur 109

Nous nous sommes initiés à la virtualisation ainsi que la mise en place de la technologie MPLS/VPN et la configuration de ses protocoles.

MPLS pourra-il vraiment assurer une transition facile vers l'Internet optique. Pour un approfondissement sur le MPLS il faudra se pencher sur les équipements réels en physique pour pouvoir pousser haut ce déploiement.

Cependant, nous tenons à signaler que ce travail constitue une première et passionnante expérience dans notre option de formation, à savoir les Réseaux et Télécoms. Nous croyons donc modestement avoir apporté une solution informatique aux besoins des utilisateurs de cette technologie, tout de même quelques améliorations sont en cours à pour assurer une interaction entre le routage multicast MPLS et le routage multicast IP. Les fonctions avancées de hiérarchie MPLS P2MP et de connectivité MPLS MP2MP sont aussi en face de consolidation. Pour un approfondissement sur le MPLS il faudra se pencher sur les équipements réels en physique pour pouvoir pousser haut ce déploiement. Et restons toujours ouverts aux éventuelles critiques constructives, discutions utiles, questions et suggestions dans le seul but d'améliorer cette oeuvre intellectuelle.

Page 88 sur 109

Page 88 sur 109

BIBLIOGRAPHIE

I. OUVRAGES

1. C. Tettamanti, « Tutorial VPN », TCOM, 2000. Décembre 2003.

2. Dunod, Paris, 1988, P.90

3. G. Florin, « Sécurité des niveaux liaison et réseau VPN », 2011.

4. J.P. FRANGIER, Comment réussir un mémoire, Dunod, Paris, 1986, P.17.

5. P. RONGERE, Méthode des sciences, Ed. Dalloz, Paris, 1972, P.18.

6. R. Bidou, « Introduction aux VPN », Multi-System & Internet Security Cookbook, Décembre 2003.

7. R. Corvalan, E. Corvalan et Y.L. Corvic, « Les VPN : Principes, conception et Déploiement des Réseaux Privés Virtuels », Dunod, 2005.

8. R. PINTO et M. Grawitz, Lexique des sciences sociales, éd. Dalloz, Paris, 1971, P.289

9. R. QUIVY et L.V CAMPENHOUNDT, manuel de recherche en sciences sociales, 2è édition, Dunod, Paris, 1988, P.90

10. Recommandation E.800, « Terms and definitions related to quality of service and network performance including dependability », August 1994.

11. XAVIER CASTELLAN, Méthode générale d'analyse d'une application informatique, Tome 1, Edition MASSON Paris 1983

II. NOTES DE COURS

1. BANZADIO : Cours de projet informatique G3 UWB, 2014-2015 ;

2. BIKAYI Jeampy, Cours de Modèle Conceptuel de Projet, L2 informatique ISS/KIN, 2011-2012, Inédit ;

3. J.P. FRANGIER, Comment réussir un mémoire, Dunod, Paris, 1986, P.17 ;

4. JEAN PEPE BUANGA, Notes de Cours de Sécurité Informatique, L1 Informatique, UNIKAN, 2021-2022 ;

5. MVIBUDULU KALUYITUKULA, Méthodes de conduite de projet, ISC- Kinshasa, année 2011-2012 ;

6. MVIBUDULU-KALUYIT, Notes de cours de Méthodes d'Analyse Informatique, G3 Info/Jour ISC-NGOMBE, 2011-2012 ;

7. MWILO MWIHI, cours de méthodes de recherche en sciences sociales, FSEG, UOB, 2010-2011;

III. THESES, MEMOIRES ET RAPPORTS DE STAGES

1. DENAGNON Franck, Mise en place d'un VPN (site-to-site) au sein d'une entreprise : Cas de la Soroubat (société de routes et bâtiments), Mémoire inédit, Ecole Supérieure de Génie Informatique (ESGI-Paris). 2017-2018 ;

2. J. Ndwo, Rapport de stage réalisé à la Banque Centrale du Congo ; Stage, BCC, L2 Génie info, 2017 ;

3. J. Vallet : Optimisation dynamique de réseaux IP/MPLS ; Thèse en informatique, Faculté des Sciences/ UNITOU-PS, 2015 ;

4. Mlle SLIMANOU Dehia, Mise en place d'une solution VPN sur pare-feu : Cas d'étude : Entreprise Tchin-Lait(Candia), Mémoire inédit, Université de Bejaïa. 2016-2017.

Page 89 sur 109

Page 89 sur 109

IV. REVUES ET ARCHIVES

1. "Le document interne de BCC".

2. Archive du Service administratif de la BCC Direction Provinciale de Kananga

3. Revue de la banque centrale du Congo, Kinshasa, IFASIC, 2000, p26

V. SITES INTERNET DE REFERENCE

1. http://www.frameip.com/VPN ,

2. https://cours-inforlatique-gratuit.fr/cours/réseau-informatique-en-entreprise/

3. https://fr.m.wikipedia.org/wiki/R%C3%A9seau priv%C3A9 virtuel

4. https://fr.scrib.com/document/430938747/CM3-VPN

5. https://openvpn.net/

6. https://www.fibre-pro.fr/vpn-mpls

7. https://www.frameip.com/mpls/#92-8211-routage-et-qos

8. https://www.frameip.com/mpls/

9. https://www.misco.fr/blog/installer-son-reseau-d-entreprise/

10. https://www.websiteratinf.com

Page 90 sur 109

ANNEXES :

ANNEXE 1 : EXPLICATIONS SUR LE MPLS
·
·
· MPLS :

·
· Introduction :

· MPLS = WAN Technology

· MPLS = Multi Protocol Label Switching

· Extend to multiple protocols : Layer 2 protocols (HDLC, PPP, ...) and Layer 3 protocols (IPv4, IPv6, ...)

· Based on the label switching

· Label is a tag or integer associated with the packets in the MPLS network. The MPLS use it to make a routing decisions.

·
· MPLS Objectives :

· Increase the transfer speed

· Combine the layer 2 protocols and layer 3 protocols

· Traffic engineering

· Flexibility

·
· MPLS Packet : L2 Header + MPLS Header + L3 Header + DATA
·
· MPLS Header : Label + EXP + S + TTL

· Label = 20 bits : Integer to be used for the routing decisions

· EXP = 3 bits : For the QOS

· S = 1 bit : To support the hierarchical label

· TTL = 8 bits : To avoid the loops

·
· MPLS Operations : See the Picture 1

·
· MPLS Configuration : See the Picture 2

ANNEXE 2 : EXTRAIT CONFIGURATION VPN-MPLS GNS3

· Basic Configuration :

- Hostname

- Addressing (Backbone interfaces)

- Routing (Backbone zone) : OSPF 1

area 0

· Test :

- PING from PE1 to PE2/PE3

# ping 20.20.20.20 # ping 30.30.30.30

- Routing Table :

# show ip route ospf | begin Gateway

· LDP Configuration :

- LDP = Label Distributed Protocol

- LDP = MPLS

#router ospf 1

#mpls ldp autoconfig

#exit

· Test :

#do show mpls interfaces

Page 90 sur 109

#do show mpls ldp neighbor #do traceroute 20.20.20.20

· MP-BGP :

- PE1 :

router bgp 1

neighbor 20.20.20.20 remote-as 1

neighbor 30.30.30.30 remote-as 1

neighbor 20.20.20.20 update-source lo

0

neighbor 30.30.30.30 update-source lo

0

no auto-summary

address-family vpnv4 unicast

neighbor 20.20.20.20 activate

neighbor 30.30.30.30 activate

exit

exit

- PE2 :

router bgp 1

neighbor 10.10.10.10 remote-as 1

Page 91 sur 109

neighbor 30.30.30.30 remote-as 1

neighbor 10.10.10.10 update-source lo

0

neighbor 30.30.30.30 update-source lo

0

no auto-summary

address-family vpnv4 unicast

neighbor 10.10.10.10 activate

neighbor 30.30.30.30 activate

exit

exit

- PE1 :

router bgp 1

neighbor 20.20.20.20 remote-as 1

neighbor 10.10.10.10 remote-as 1

neighbor 20.20.20.20 update-source lo

0

neighbor 10.10.10.10 update-source lo

0

no auto-summary

address-family vpnv4 unicast

neighbor 20.20.20.20 activate

neighbor 10.10.10.10 activate

exit

exit

· Test :

do show bgp vpnv4 unicast all summary

· VRF Configuration :

- VRF = Virtual Routing Forwarder

- VRF = Allows to create a multiple

instances of a Routing table on the

same router

- PE1 :

ip vrf UITS

rd 1:1

route-target both 1:1

exit

interface GigabitEthernet0/1

no sh

ip vrf forwarding UITS

ip address 11.0.0.1 255.255.255.0

exit

router ospf 1000 vrf UITS

network 11.0.0.0 0.0.0.255 area 1

Page 91 sur 109

exit - PE2 :

ip vrf UITS

rd 1:1

route-target both 1:1

exit

interface GigabitEthernet0/1

no sh

ip vrf forwarding UITS

ip address 18.0.0.1 255.255.255.0

exit

router ospf 1000 vrf UITS

network 18.0.0.0 0.0.0.255 area 1

exit

- PE3 :

ip vrf UITS

rd 1:1

route-target both 1:1

exit

interface GigabitEthernet0/1

no sh

ip vrf forwarding UITS

ip address 19.0.0.1 255.255.255.0

exit

router ospf 1000 vrf UITS

network 19.0.0.0 0.0.0.255 area 1

exit

· RD & RT :

- RD = Route Distniguisher = VPN Route Distniguisher = Keep all the prefixes of the BGP Table

- RT = Route Target = Transfer the routes between VRF and VPN

· Test :

#do show run interface
gigabitEthernet 0/1

· CE Configuration :

- Hostname

- Addressing

- Routing : OSPF 1000 area 1

· Redistribution between OSPF 1000

and BGP 1 :

- PE1 & PE2 & PE3 :

router bgp 1

address-family ipv4 vrf UITS

redistribute ospf 1000 vrf UITS

exit

Page 92 sur 109

Page 92 sur 109

exit

router ospf 1000 vrf UITS

redistribute bgp 1 subnets

exit

do copy run start

· Test :

# do show ip route

# ping CE_B@ / CE_C@

# do show mpls forwarding-ta

Page 93 sur 109

Page 93 sur 109

Titre du mémoire :

ETUDE ET DEPLOIEMENT D'UN RESEAU MPLS/VPN POUR LE PARTAGE DES DONNEES

DANS UNE ENTREPRISE MULTI-SITES.

CAS DE LA BCC/KANANGA

Nombres de pages : 109

Nombres de tableaux : 7

Nombre de figures : 58

Directeur de mémoire :

Nom et prénoms : BATUBENGA MWAMBA NZAMBI Jean Didier

Téléphone : +243 999 956 315

Codirecteur de mémoire : Simon NKONGOLO

E-mail : simonkongolo@gmail.com

Téléphone : +243 976 913 022