Dossier PPE 3

BTS SIO option SISR

Dossier PPE 3

(Projet Personnel Encadré)

Construit autour de La Maison Des

Ligues De Lorraines (M2L)

Adrien Le Rouic (Chef de Projet)

Aurélien BERT

Eric Blicharz

Professeurs référents : M. RIBA et Mme KANNOUI

1

Dossier PPE 3

SOMMAIRE Contexte M2L .................................................................................................................................... 4

Mission 1 : Mise en place d’un outil de gestion de parc ...................................................................... 5

Les fonctionnalités de OCS / GLPI : ................................................................................................. 6

Installation de OCS et GLPI ............................................................................................................. 6

Utilisation de GLPI (fonctionnalités) ............................................................................................. 10

Ajouter un ordinateur : ............................................................................................................ 10

Les types de tickets .................................................................................................................. 11

Les statuts : .............................................................................................................................. 11

L'ordonnancement des tickets : ................................................................................................ 12

Créer un ticket : ....................................................................................................................... 12

Les suivis d'un ticket : ............................................................................................................... 13

La solution d'un ticket : ............................................................................................................ 13

La validation d'un ticket : ......................................................................................................... 15

Ajouter un fournisseur : ........................................................................................................... 15

Administrer les utilisateurs : ..................................................................................................... 16

Ajouter un utilisateur : ............................................................................................................. 17

Supprimer un utilisateur :......................................................................................................... 18

Ajouter un groupe : .................................................................................................................. 19

Supprimer un groupe : ............................................................................................................. 19

Administrer les profils d'utilisateurs : ....................................................................................... 19

Mission 2 : NetConnect .................................................................................................................... 21

Service de haute disponibilité ...................................................................................................... 21

Le Spanning tree ...................................................................................................................... 21

Redondance des routeurs ........................................................................................................ 21

Le Protocole HSRP ........................................................................................................................ 21

Le protocole GLBP ........................................................................................................................ 22

Pare-feu – ACL ............................................................................................................................. 23

Administration à distance sécurisé ............................................................................................... 25

Mission 3 : CostInvest ...................................................................................................................... 25

Mission 4 : JuriConseil ...................................................................................................................... 26

Qualification juridique de la M2L ................................................................................................. 26

Le statut de la M2L ................................................................................................................... 26

Financement de la M2L ............................................................................................................ 26

2

Dossier PPE 3

Protection des données ............................................................................................................... 26

Risques auxquelles sont exposés les données des ligues........................................................... 26

Lutter contre les risques auxquelles les données sont exposées ............................................... 26

Responsabilités Juridiques de la M2L ....................................................................................... 27

Cadre juridique des administrateurs réseaux ............................................................................ 28

ANNEXES ......................................................................................................................................... 29

Clause de confidentialité .............................................................................................................. 31

Charte informatique de l’utilisateur ............................................................................................. 32

3

Dossier PPE 3

Contexte M2L

La Maison des Ligues de Lorraine (M2L) a pour mission de fournir des espaces et des services aux différentes ligues sportives régionales et à d’autres structures hébergées. La M2L est une structure financée par le Conseil Régional de Lorraine dont l'administration est déléguée au Comité Régional Olympique et Sportif de Lorraine (CROSL).

L’association M2L exploite l’infrastructure informatique et réseau pour l’association elle-même et aussi pour ses clients les ligues.

Les projets personnels encadrés précédents (1.1 ; 1.2 et 2) avaient pour but la remise à niveau du parc informatique de la maison des ligues de lorraine (M2L), la mise en place d’une solution de stockage pour la M2L et les ligues qu’elle hébergen ainsi que l’étude et la mise en place de l’infrastructure système et réseau de la M2L.

L’infrastructure de la M2L était présente mais vieillissante, les équipements du parc

informatique étaient, pour une grande partie, arrivés en fin de vie et il était nécessaire de les

renouveler. Nous devions donc réaliser une proposition de solution de renouvellement de

l’infrastructure, après analyse de leur cahier des charges, tout en le respectant (contraintes de

matériels, mais aussi de coûts) Nous avons réalisés une proposition qui a été acceptée par la M2L.

Le PPE 3 s’attèle quant à lui à l’étude et la mise en place d’un outil de gestion de parc, ainsi qu’à l’étude de solutions de haute disponibilités (HSRP) et la sécurisation du réseaux M2L (SSH, Pare-feu).

4

Dossier PPE 3

Mission 1 : Mise en place d’un outil de gestion de parc

Il existe différents logiciels pour la gestion de ticket et pour la gestion d’un parc informatique :

-OCS (Open Computer and Software Inventory) est une application open source permettant de réaliser un inventaire de la configuration matérielle du réseau et des logiciels installés. OCS est simple d'utilisation grâce à son interface web (gratuit).

-Landpark Manager : Landpark Manager permet le suivi des opérations de gestion et gère les interventions. Il permet de réaliser efficacement la gestion sur l'ensemble du parc matériel et réseau ainsi que sur l'intégralité des logiciels (payant).

-EasyVista : EasyVista est une solution de ticketing (gestion d’incidents et de demandes de services), mais également de gestion d’inventaire et d’annuaire d’employés. Ses processus reposent sur la norme ITIL, il s’agit cependant d’une solution payante.

-Pytheas Service Desk : PYTHEAS Service Desk se positionne comme une console pré-paramétrée ITIL et prête à l'emploi. La solution couvre l'ensemble des modules ITIL (Incidents, Demandes, Catalogue de services, Changements, CMDB...), la gestion de

Parc informatique et matériel, l'inventaire automatique et intègre des modules d'administration (Télédistribution,multi-sites, audit des logiciels, masterisation...) (payant).

-GLPI (Gestionnaire Libre de Parc Informatique) est un logiciel qui permet la gestion des parcs informatiques et des services d’assistances à travers une interface graphique, il est complémentaire à OCS. GLPI est plutôt axé services d’assistances, et permet donc une gestion plus approfondie des tickets et un traitement plus efficace des problèmes remontés par les utilisateurs.

Il est compatible avec tous les systèmes d'exploitation, il est donc possible d’inventorier toutes les machines du parc que ce soit macOS, windows ou linux (gratuit).

Nous avons retenu les solutions open source, OCS et GLPI pour la gestion du parc informatique de la M2L. Ce sont les solutions les plus utilisées dans les entreprises, elles sont simples à déployer, complètes et gratuites.

5

Dossier PPE 3

Les fonctionnalités de OCS / GLPI :

-L’inventaire des ordinateurs, périphériques, réseau, imprimantes et consommables associés.

-Gestion des licences (acquises, à acquérir, sites, oem...) et des dates d’expiration.

-Gestion des états de matériel.

-Gestion des demandes d’intervention pour tous les types de matériel de l’inventaire.

-Interface pour permettre à l'utilisateur final de déposer une demande d’intervention.

-Gestion des entreprises, contrats, documents liés aux éléments d’inventaires...

-Gestion d’un système de base de connaissances hiérarchique (FAQ) , gestion d’une FAQ publique.

-Génération de rapports sur le matériel, de rapports réseau, de rapports sur les interventions.

Afin de déployer OCS, il est nécessaire d’avoir un serveur sur lequel sera installé OCS Inventory NG Server.

Pour la partie client, un administrateur réseau doit mettre en place sur chaque machine, un outil nommé OCS Inventory NG Agent qui va remonter les informations demandées (ordinateurs, imprimante, écran, logiciels etc.…) sur le serveur OCS.

Un plug-in « OCSNG » sera utilisé sur GLPI pour créer leur liaison et synchroniser les inventaires GLPI et OCS.

Pour faire fonctionner les serveurs OCS et GLPI, on va avoir besoin de XAMPP, il va nous

Permettre d’avoir accès à MySql, afin de gérer la base de données MySql « ocsweb ».

Installation de OCS et GLPI

On va mettre en place OCS et GLPI sur un OS Debian. Le paramétrage se fera directement sur l’interface Web de ces deux logiciels.

On va commencer par installer les modules MySql et Apache sur notre serveur Debian, cela est nécessaire car GLPI fonctionne avec une base de données MySql.

Nous allons créer une base de données qu’on va nommer « ocsweb » et qui sera utilisé par GLPI, nous allons également créer un utilisateur avec un mot de passe et avec tous les privilèges.

Nous devons maintenant installer GLPI ; on télécharge le fichier glpi-0.84.7.tar.gz et on le décompresse dans le dossier « www ».

6

Dossier PPE 3

*OCS

Ensuite nous allons télécharger OCS inventory NG, il faut choisir une version compatible avec GLPI, ici en l’occurrence OCS inventory server 2.1.2, on décompresse le fichier puis on lance l’installation. Une fois l’installation finis on redémarre le serveur.

*GLPI

On peut désormais se rendre sur le lien : localhost/glpi pour démarrer la procédure d’installation de

GLPI. Dans cette procédure il y a plusieurs étapes comme la vérification de la compatibilité de notre

environnement avec l’exécution de GLPI, la configuration de la connexion à la base de données et

pour finir un test de connexion à la base de données. Une fois toutes ces étapes validées, notre

interface GLPI est fonctionnel, on peut désormais se connecter grâce à nos identifiant par défaut «

glpi/glpi ». Il faudra bien évidemment les changés.

7

Dossier PPE 3

*OCS

Sur un poste Windows on se rend sur http://localhost/ocsreports et on se connecte.

A la première ouverture deux messages d’erreurs s’affiche, il faut modifier les mots de passe des utilisateurs par défaut et supprimer le fichier d’installation « install.php ».

Pour récupérer les informations des postes clients on va devoir installer OCS inventory agent car pour l’instant aucune machine ne possède l’agent.

Télécharger sur le site d’OCS l’archive contenant l’agent. Faites attention à bien prendre l’agent dont la version est la même que le serveur 2.1.2 en l’occurrence car notre serveur est sur Debian.

On renseigne l’adresse de notre serveur : ici on est en localhost.

8

Dossier PPE 3

On coche la case « Immedialty lauch inventory » pour lancer immédiatement l’inventaire.

Maintenant on va se rendre sur le lien http://localhost/ocsreport pour vérifier si les informations de

l’inventaire sont bien remontées.

On peut voir que les informations sont remontées correctement.

9

Dossier PPE 3

Maintenant nous allons jumeler OCS et GLPI pour la synchronisation du parc informatique. Pour cela

on va aller sur glpi, dans l’onglet « configuration » puis « plugin » puis on active le plugin « OCS

Inventory NG ». On configure ensuite la connexion à la base de données et on se connecte à l’aide de l’onglet « Serveur OCSNG ». Maintenant que la connexion au serveur est faite, les informations

remontées par OCS seront synchronisées avec GLPI.

Utilisation de GLPI (fonctionnalités)

Ajouter un ordinateur : Ajouter un ordinateur dans l'inventaire

1. Se connecter à GLPI ; 2. Aller dans le menu Parc > Ordinateurs ; 3. Cliquer sur le "+" situé dans le menu horizontal 4. Compléter les différents champs de la fiche vierge 5. Ajouter

Affichage de la fiche créée

10

Dossier PPE 3

Pour les autres onglets : Moniteurs, Logiciels, Réseaux, Périphériques, Imprimantes, Cartouche, Consommables et Téléphone la procédure est la même.

Il y a également une fonctionnalité sur chaque page munit d’un formulaire qui permet d’ajouter différents éléments tel qu’un groupe, un utilisateur, un domaine, un fabricant sans avoir à quitter le formulaire.

Exemple : pour ajouter un groupe qui n’est pas encore existant, on appuie sur la clé à molette verte a cote de la case « groupe », et on va pouvoir ajouter directement un groupe sans avoir a chercher l’onglet groupe.

Cycle de vie d'un ticket :

Les types de tickets

Les tickets dans GLPI sont soit des incidents, soit des demandes. Ce champ type va permettre d'exécuter certaines actions et de personnaliser la liste des catégories disponibles.

Les statuts : ITIL définit le cycle de vie des statuts d'un ticket. Ce cycle de vie est implémenté comme suit dans GLPI :

• Nouveau • En attente

11

Dossier PPE 3

• En cours • Résolu • Clos

Ces statuts ne sont ni paramétrables ni modifiables.

L'ordonnancement des tickets : L'ordonnancement des tickets se fait en fonction des renseignements fournis par le demandeur et le technicien :

• Le demandeur définit l'urgence • Le technicien apprécie l'impact

Créer un ticket :

1. Se connecter à GLPI 2. Aller dans le menu Assistance > Tickets

3. Cliquer sur l'icône + située dans le menu horizontal 4. Compléter les différents champs de la fiche vierge 5. Ajouter.

Affichage de la fiche créée.

Un message s’affiche alors, pour confirmer que notre ticket a bien été enregistré.

12

Dossier PPE 3

On peut voir que le ticket « problème avec word » a été ajouté.

Les suivis d'un ticket :

Suivi est l'onglet par défaut lors de la consultation d'un ticket, sauf si celui-ci est en attente d'approbation de solution.

Il permet l'ajout d'informations à un ticket existant, par exemple signaler que le demandeur a rappelé, que le ticket est en attente de la disponibilité du demandeur... C'est l'élément permettant les échanges entre le demandeur et les personnes en charge de son ticket.

Pour ajouter un suivi : saisir une description et cliquer sur Ajouter.

Si un ticket est clos, le formulaire de création n'est pas présent, vous avez à sa place un bouton Réouvrir le ticket.

La solution d'un ticket :

13

Dossier PPE 3

L'onglet solution d'un ticket permet la résolution du ticket par un technicien et l'approbation de la solution par le demandeur ou le rédacteur.

• Résolution du ticket :

Le technicien doit choisir le Type de solution

Une fois la solution saisie, le ticket prend le statut Résolu, jusqu'à approbation de la solution.

Après validation de la solution, la page de création de l'élément est proposée. Il suffit alors de compléter le formulaire et de valider.

• Approbation de la solution :

La solution d'un ticket doit être approuvée pour que le statut du ticket soit clos.

Elle peut être approuvée par un des demandeurs ou le rédacteur du ticket (personne qui a saisi le ticket, par exemple un technicien de hot-line).

Si le suivi par courriel été activé, le demandeur peut recevoir un courriel contenant le lien vers le ticket afin de l'approuver.

Sinon il faut utiliser l'interface :

• Interface simplifiée :

Pour approuver une solution, aller dans le menu Tickets, cliquer sur le ticket à approuver, puis approuver ou rejeter la solution. Il est possible de saisir une description si besoin, celle-ci est obligatoire en cas de rejet.

Une fois la solution approuvée, le ticket prend le statut Clos.

Si ce délai est nul, le ticket est automatiquement clos.

14

Dossier PPE 3

La validation d'un ticket :

Un ticket peut nécessiter une validation, par exemple pour une demande d'évolution matériel, comme un changement d'ordinateur ou de moniteur.

Après avoir cliqué sur Envoyer une demande de validation, il faut saisir l'utilisateur ou les membres d'un groupe qui doit valider, ainsi qu'un commentaire si besoin. Le ticket prend alors le statut En attente de validation dans son champ Validation.

Pour valider la demande, le valideur peut cliquer sur le ticket dans l'accueil de GLPI (onglet Vue personnelle, partie Vos tickets à valider), ou aller dans le menu Assistance > Ticket et cliquer sur l'icône qui apparaît dans le fil d’Ariane.

Une fois sur le ticket, aller dans l'onglet Validation, puis cliquer sur la ligne correspondante à la demande de validation. Choisir si le ticket est Accepté ou Refusé.

En cas de refus, il est obligatoire de saisir un commentaire.

Ajouter un fournisseur :

1. Se connecter à GLPI 2. Aller dans le menu Gestion > Fournisseurs

3. Cliquer sur le "+" situé dans le menu horizontal 4. Compléter les différents champs de la fiche vierge

15

Dossier PPE 3

5. Ajouter

Affichage de la fiche créée

Le fournisseur « Dell » a bien été ajouté.

Administrer les utilisateurs :

Dans GLPI, administrer les utilisateurs peut se faire à partir du menu Administration > Utilisateurs.

Il est possible d'ajouter, modifier, supprimer des utilisateurs ou rechercher et exporter la liste des utilisateurs. La liste des utilisateurs enregistrés fonctionne de la même façon que la liste des éléments de l'inventaire.

Les fonctionnalités liées aux utilisateurs sont utilisables avec les différents onglets :

• Habilitations permet d'administrer les habilitations dont dispose l'utilisateur ;

Pour cela, sélectionner l'entité sur laquelle les droits doivent être donnés, puis les droits (profil) à donner. L'option

Récursif permet d'associer également le profil à toutes les sous-entités de l'entité sélectionnée

• Groupes

Permet d'associer et supprimer des groupes à l'utilisateur

• Préférences

16

Dossier PPE 3

Permet l'édition des préférences de l'utilisateur. Voir Gérer ses préférences.

• Eléments utilisés

Liste les objets d'inventaire affectés à l'utilisateur ou à un groupe dont il est membre

• Eléments gérés

Liste les objets d'inventaire pour lesquels il est responsable technique ou dans le groupe responsable technique

• Tickets créés

Liste les tickets dont l'utilisateur a été le demandeur

• Documents

Permet l'ajout d'un document. Voir Associer des documents.

• Réservations

• Synchronisation

• Liens

Permet de voir les liens externes définis pour les utilisateurs.

• Historique

Voir Visualiser l'historique

• Tous

Voir Afficher toutes les informations sur une seule page.

Ajouter un utilisateur :

1. Se connecter à GLPI. 2. Aller dans le menu Administration > Utilisateurs. 3. Cliquer sur l'icône + située dans le menu horizontal. 4. Compléter les différents champs de la fiche vierge. 5. Ajouter.

Affichage de la fiche créée

17

Dossier PPE 3

Supprimer un utilisateur :

1. Se connecter à GLPI. 2. Aller dans le menu Administration > Utilisateurs. 3. Optionnel : faire une recherche d'un utilisateur. 4. 2 choix de suppression :

• pour supprimer un utilisateur unique :

1. Cliquer sur le nom d'un utilisateur 2. Mettre à la corbeille

• pour supprimer plusieurs utilisateurs :

1. Cocher l'utilisateur 2. Modification massive > Mettre à la corbeille

Le ou les utilisateurs sont mis dans la

corbeille.

18

Dossier PPE 3

Ajouter un groupe :

1. Se connecter à GLPI ; 2. Aller dans le menu Administration > Groupes ; 3. Cliquer sur le "+" situé dans le menu horizontal ; 4. Compléter les différents champs de la fiche vierge ; 5. Ajouter.

Affichage de la fiche créée

Supprimer un groupe :

1. Se connecter à GLPI ; 2. Aller dans le menu Administration > Groupes ; 3. Optionnel : faire une recherche du groupe ; 4. 2 choix de suppression :

• 1. Cliquer sur le nom du groupe 2. Supprimer définitivement • 1. Cocher le groupe

2. Modification massive : Supprimer définitivement

Administrer les profils d'utilisateurs :

Dans GLPI, administrer les profils peut se faire à partir du menu Administration > Profils .

Cela permet d’accréditer les utilisateurs de certains droits, c'est elle qui permet de sécuriser et d'isoler les données à certains utilisateurs.

Un profil est associé à :

• Un utilisateur. • Une entité.

Par défaut, 7 profils sont préenregistrés dans GLPI :

19

Dossier PPE 3

• Super-Admin : Ce profil dispose de tous les droits !

Important : Si le profil super-admin est supprimé ou si l'interface simplifiée est associée à ce profil, l'accès à la configuration de GLPI peut être définitivement perdue.

• Admin : Ce profil dispose de droits d'administration sur l'intégralité de GLPI. Certaines restrictions lui sont appliquées au niveau de la configuration des règles, des entités ainsi que d'autres rubriques pouvant altérer le comportement de GLPI. • Supervisor : Ce profil reprend les éléments du profil Technician en y ajoutant des éléments permettant la gestion d'une équipe et son organisation (attribution de tickets...). • Technician : Ce profil correspond à celui utilisé pour un technicien de maintenance. Il a accès à l'inventaire en lecture et à l’helpdesk afin de traiter des tickets. • Hotliner : Ce profile correspond à celui que l'on pourrait donner pour un service de Hotline. Il permet de saisir des tickets et de les suivre mais pas d'en être en charge comme peut l'être un technicien. • Observer : Ce profil dispose de droits de lecture sur toutes les données d'inventaire et de gestion. Au niveau de l'assistance, il pourra déclarer un ticket ou s'en voir attribuer mais ne pourra administrer cette rubrique (attribuer un ticket, voler un ticket...). • Self-Service : Ce profil est le plus limité. C'est d'ailleurs le seul à disposer d'une interface différente, l'interface simplifiée, en opposition à l'interface standard. Il pourra cependant déclarer un ticket, y ajouter un suivi, consulter la FAQ ou encore réserver un matériel. Ce profil est enregistré comme profil par défaut.

20

Dossier PPE 3

Mission 2 : NetConnect

Service de haute disponibilité

Le Spanning tree

L’algorithme Spanning-Tree et ses variantes permettent dans un environnement d’éviter les boucles de transmission lorsque des paquets de diffusion transitent sur les switches.

Le principe du spanning-tree consiste à bloquer un port d’un switch participant à la boucle de diffusion. Le critère de décision s’effectue sur la base de l’élection d’un switch racine décidant quel port bloquer.

SW1(config)#spanning-tree mode rapid-pvst

(sélection du mode Spanning Tree Protocol) SW1(config)#spanning-tree vlan 10 root primary

(le switch 1 est choisi comme pont racine principal pour le VLAN 10)

SW2(config)#spanning-tree mode rapid-pvst

(sélection du mode STP) SW2(config)#spanning-tree vlan 10 root secondary

(le switch 2 est choisi comme pont racine de secours (root secondary))

Redondance des routeurs

La disparition d’un routeur peut être très pénalisante pour les utilisateurs et financièrement pour l’entreprise.

La redondance routeur est assuré par le protocole VRRP (virtual Redundancy Routeur Protocol) ou HSRP chez cisco.

Le Protocole HSRP

Le HSRP assure la gestion de 3 fonctions distinctes :

- Fonction redondance : création du routeur virtuel sous chaque routeur HSRP.

- Fiction préemption : Le routeur principal reprend sa priorité l’lorsqu’il redevient opérationnel.

- Fonction tracking : surveillance de la partie du réseau non prise en charge par le HSRP.

Le principe est basé sur la création d’un routeur virtuel qui représente les routeurs l’ensemble des routeurs physiques pour les utilisateurs.

21

Dossier PPE 3

Plusieurs routeurs physiques sont chargés du trafic utilisateur. A un instant donné, un seul de ces routeurs sera celui qui prendra en charge le trafic (routeur actif). Le trafic utilisateur est envoyé vers le routeur virtuel (adresse ip de passerelle virtuelle et @mac virtuelle).

Le Protocole VRRP/HSRP met en œuvre un échange de messages (Hello) entre les routeurs physiques (en mode multicast @IP 224.0.0.2 : port 1265) qui permet de surveiller les états la priorité assignée à chaque routeur. Un routeur parmi le groupe HSRP est désigné comme le routeur maître (priorité plus haute) et le ou les autres sont esclave.

Le routeur actif est celui avec la plus haute valeur de priorité.

La priorité par défaut est 100.

Le routeur Principal possède la priorité la plus haute et perd 10 points s’il tombe en panne. Le routeur secondaire possède une valeur inférieure mais dont la différence avec le routeur 1 doit être inférieure à 10.

Si le routeur actif n’est plus accessible le routeur avec la priorité inferieur prend le relais (passif a actif) Il devient le routeur virtuel.

Le protocole GLBP

Le protocole HSRP est très utile mais ne permet pas la mise en place de Load-Balancing entre les

routeurs membres du groupe HSRP. En d'autres termes, si un routeur est choisi comme le routeur

"principal" vers lequel tous les paquets vont transiter tant qu'il est opérationnel, les autres routeurs (dit

"passifs") sont eux totalement inutiles tant qu'il n'y a pas de panne sur le routeur principal (ou actif).

Avec le protocole GLBP (Gateway Load Balancing Protocol) qui reprend le principe du Failover (Tolérance de panne), il y a également une notion de Load Balancing (Répartition de charge). Plus précisément, les routeurs membres du groupe virtuel vont se répartir le traitement

des paquets et leur routage afin d'alléger la charge de chacun tout en assurant une continuité du

service sur la même IP si un des routeurs du groupe vient à défaillir. Cela permet également

d'utiliser la totalité des ressources disponibles plutôt que d'en laisser une partie dormir.

Contrairement au protocole HSRP ou 1 routeur maitre est actif et les autres passifs, avec le protocole GLBP, tous les routeurs en état de fonctionnement sont actifs.

Il y a donc une optimisation de la bande passante en plus de la redondance.

22

Dossier PPE 3

Voici la mise en place du protocole HSRP dans notre infrastructure :

Pare-feu – ACL

Nous utiliserons deux Pare feu, un Pare feu appelé Pare feu 100 pour le filtrage entre la M2L

et internet et un deuxième baptisé Pare feu 110 entre le réseau interne de la M2L et la DMZ. Le Pare Feu doit réaliser le filtrage des flux d’information entre les divers réseaux (internes,

externe et DMZ) selon les contraintes décrites ci-dessous.

Contrainte Interface* Description

4 FA 0/1 Les sous réseaux des ligues et M2L ont accès à l’Internet mais il n’est pas possible pour le public Internet d’accéder à un des équipements du réseau interne.

3 ETH 1/0 Les serveurs de téléchargement (FTP) et WEB Extranet (HTTP) de la DMZ sont accessibles à la fois par les sous réseaux des ligues et par le public Internet.

2 ETH 1/0 Les sous réseaux de l’association M2L ne doivent pas accéder au serveur de téléchargement FTP de la DMZ sauf le sous réseau Informatique.

1 FA 0/1 Seuls les 8 postes du sous réseau Informatique M2L possédant les 8 adresses les plus hautes (dont les 2 postes de l’administrateur réseau) peuvent effectuer les commandes de test ping et tracert vers tous les éléments du réseau des ligues et vers l’Internet.

23

Dossier PPE 3

Pare Feu 100

Le n° L’interface @IP Masque @IP Masque Protocole Port Action de la (pare feu) source source destinataire destinataire

règle

1 in any 172.16.0.0 /19 TCP(établie) 80,443 Permit

2 in any 192.168.0.12 TCP 20,21 Permit

3 in any 192.168.0.11 TCP 80,443 Permit 4 in any 172.16.2.48 /28 ICMP PERMIT

Pare Feu 110

Le n° L’interface @IP Masque @IP Masque Protocole Port Action de la (pare feu) source source destinataire destinataire

règle

1 out 172.16.3.0 /26 192.168.0.12 TCP 20,21 Deny

2 out 172.16.3.0 /26 192.168.0.11 TCP Deny out any 192.168.0.12 TCP 80,443 Permit out any 192.168.0.11 TCP 80,443 Permit out 172.16.0.0 /19 192.168.0.12 TCP Permit

out 172.16.0.0 /19 192.168.0.11 TCP Permit

24

Dossier PPE 3

Administration à distance sécurisé

Afin d’administrer les équipements nous utiliseront le protocole SSH

Le protocole SSH utilise une communication sécurisée pour éviter que des informations sensibles (configuration, login, mot de passe…) soient interceptées durant leur transport jusqu’à la console d’administration.

Nous utilisons un réseau dédié à l’administration des équipements intégré au réseau M2L.

Cela permet la prise de contrôle à distance des équipements de réseau.

Pour ce faire nous utilisons le VLAN 99 qui comprend 2 sous réseaux :

- équipements ligues (172.16.99.0 /28)

- équipements M2L (172.16.99.16 /29).

VLAN 99 Equipements Ligues Equipements M2L

Masque 255.255.255.240 255.255.255.248

Adresse du réseau 172.16.99.0 172.16.99.16

Première adresse utilisable 172.16.99.1 172.16.99.17

Dernière adresse utilisable 172.16.99.14 172.16.99.22

Adresse Bdcast 172.16.99.15 172.16.99.23

Mission 3 : CostInvest

25

Dossier PPE 3

Mission 4 : JuriConseil

Qualification juridique de la M2L

Le statut de la M2L

La Maison des Ligues de Lorraines étant un établissement du Conseil Régional n’est pas une entité juridique en propre.

Financement de la M2L

La M2L est financée à 100 % (pour son fonctionnement et pour la construction récente de l’extension des bâtiments C et D) par le Conseil Régional.

Une convention de cogestion a été passée entre le Conseil Régional et le Comité Régional Olympique et Sportif de Lorraine pour la gestion de l’outil « Maison des Ligues ». Le CROSL est une association financée par le ministère via le CNDS (Centre National de Développement du Sport).

Elle reçoit également de la part des ligues sportives une contrepartie financière en échange des services offerts, Il y à payer à la M2L :

- Un loyer de 6€ par m² par mois (comprenant : chauffage, l’électricité, le nettoyage, l’accès Internet)

- Téléphonie IP (consommation poste par poste, structure par structure)

- Réservation de salle (salles de réunions, amphithéâtre mais également salle de convivialité) : 4 niveaux de tarifications.

Protection des données

Risques auxquelles sont exposés les données des ligues

Comme toutes les données informatiques, les données que la M2L héberge pour ses clients les ligues sont également exposés à différents risques :

- Pannes matérielles, perte de données/données endommagées

- Sinistre des locaux de la M2L (incendie, inondation), perte de données/données endommagées

- Vols de données, hacking -> diffusion non autorisée d’informations - Mauvaise manipulation de l’utilisateur

Lutter contre les risques auxquelles les données sont exposées

26

Dossier PPE 3

Le premier réflexe doit être de mettre en place une politique de sensibilisation des

utilisateurs aux risques que encourent leurs données, ainsi qu’une charte d’utilisation du matériel

informatique (accessible en annexes), visant à informer l’utilisateur des bonnes pratiques à

adopter (non ouverture de mails/liens internet avec un aspect frauduleux, la non communications

de leur informations d’authentification …) afin de lutter contre différents risque comme le vol de

données (hacking) ou les mauvaises manipulations.

Ensuite pour les risques de pannes ou de sinistres, la M2L est déjà équipé pour y faire face,

notamment grâce à différents outils comme la redondance (AD, DHCP, DNS, Liens entre équipements

et accès internet) permettant de lutter contre une interruption de service, ainsi que différentes

sauvegardes, principale et secondaire, la première interne, avec un système de RAID pour pallier aux

pannes matérielles et la seconde externe (en cas de sinistres). Mais également du matériel spécifique

comme les onduleurs.

La M2L lutte également contre risque de vol de données (hacking) au moyen de son pare-feu mis en place de ce projet.

En cas d’échanges de données par exemple avec des prestataires ou des fournisseurs, la M2L doit mettre en place une clause de confidentialité (accessible en annexes) afin d’empêcher juridiquement la divulgation des données manipulées.

Responsabilités Juridiques de la M2L

La M2L, et plus particulièrement l’administrateur système et réseau sont responsables des données des ligues hébergées par la M2L.

Ils doivent mettent en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés, ou que des tiers non autorisés y aient accès.

L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police, etc.).

Le responsable des données est aussi tenu de fixer une durée raisonnable de conservation des informations personnelles.

Si l'entreprise ne respecte pas ces obligations, elle encourt 5 ans d'emprisonnement et de 300 000 € d'amende.

Sanction :

Outre les sanctions pénales (amende, emprisonnement), le manquement de l'entreprise aux obligations de protection des données personnelles peut entraîner de la part de la Cnil :

• un avertissement, • une amende, • le verrouillage des données pendant 3 mois, • une injonction d'arrêter le traitement des données, • un retrait de l’autorisation de la Cnil.

27

Dossier PPE 3

Cadre juridique des administrateurs réseaux

Les administrateurs réseaux sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.).

L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place.

Ils doivent dès lors s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission, et en particulier les informations relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur.

Cette obligation de confidentialité doit être rappelée dans leurs contrats de travail ainsi que dans la charte informatique.

Dès lors que les contrôles effectués par l’administrateur réseaux font ressortir un risque pour le fonctionnement ou la sécurité pour le système informatique, ou une atteinte aux intérêts de l’employeur, l’administrateur réseaux peut, dans un premier temps, avertir le salarié concerné du résultat des contrôles effectués et lui proposer des solutions afin d’éviter le renouvellement de ces incidents.

Dans un second temps, l’employeur devra être informé du non-respect par un salarié donné des directives résultant de la charte informatique, afin d’envisager la prise, en application du règlement intérieur de l’entreprise, de sanctions à son encontre.

L'entreprise qui détient des données personnelles doit informer la personne concernée de :

• l'identité du responsable du fichier, • la finalité du traitement des données, • le caractère obligatoire ou facultatif des réponses, • les droits d'accès, de rectification, d'interrogation et d'opposition. • les transmissions des données.

L'objectif de la collecte d'informations doit être précis et les données en accord avec cette finalité.

Le non-respect du droit des personnes est puni de 1 500 € par infraction (3 000 € en cas de récidive).

28

Dossier PPE 3

ANNEXES

Configuration HSRP

Routeur maitre :

Hrpipri

Int fa 0/0

Ip nat inside

Ip address 10.0.0.5 255.255.255.248

STANDBY 10 IP 10.0.0.6

STANDBY 10 PRIORITY 100

STANDBY 10 PREEMPT

STANDBY 10 TRACK SE 2/0

NO SHUTDOWN

Int se 2/0 IP NAT OUTSIDE

Ip route 0.0.0.0 0.0.0.0 int se2/0

Routeur esclave :

Hsrpsec

INT FA 0/0

Ip nat inside

Ip address 10.0.0.4 255.255.255.248

STANDBY 10 IP 10.0.0.6

STANDBY 10 PRIORITY 91

STANDBY 10 PREEMPT

NOSHUTDOWN

Int se 2/0 IP NAT OUTSIDE

Ip route 0.0.0.0 0.0.0.0 int se2/0

STANDBY 10 IP 10.0.0.6

29

Dossier PPE 3

Configuration du NAT dynamique sur le routeur RFAI :

RFAI>en

RFAI#conf t

RFAI(config)#ip nat pool plage1 184.44.71.1 184.44.71.30 netmask

255.255.255.224 RFAI(config)#access-list 10 permit 172.16.0.0 0.0.255.255

RFAI(config)#ip nat inside source list 10 pool plage1

RFAI(config-if)#int fa 0/0

RFAI(config-if)#ip nat outside

RFAI(config-if)#exit

RFAI(config)#int se 12/0

RFAI(config-if)#ip nat inside

RFAI(config-if)#exit

RFAI(config)#int se 13/0

RFAI(config-if)#ip nat inside

RFAI(config-if)#exit

Configuration SSH

Pour l’ensemble des routeurs et commutateurs, utilisation du protocole SSH :

Router>en

R#conf t

R(config)#username admin password Btssio2016

R(config)#ip domain-name m2l.fr

R(config)#service password-encryption

R(config)#crypto key generate rsa 1024

R(config)#line vty 0 3

R (config-line)#password

Btssio2016 R(config-line)#transport

input ssh R(config-line)#login local

30

Dossier PPE 3

R(config-line)#exit

R(config)#exit

Vty = 4 administrateurs peuvent se connecter en même temps.

Sous réseau DMZ :

Adresse Reseau = 192.168.0.0

Premiere machine = 192.168.0.1

Derniere machine = 192.168.0.14 (passerelle)

Adresse Broadcast = 192.168.0.15

Masque de Sous-Reseau = 255.255.255.240 (Inverse = 0.0.0.15)

Clause de confidentialité

Les données à caractère personnel mentionnées dans le Contrat ou ayant un lien avec ce dernier sont traitées conformément au règlement (CE) n° 45/2001 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes

communautaires et à la libre circulation de ces données. Elles ne peuvent être traitées qu'aux fins de

l'exécution, de la gestion et du suivi du Contrat par la F3A (coordonnées dans l’article I.7 ci-dessus),

sans préjudice de leur éventuelle transmission aux organes chargés d'une mission de contrôle ou

d'inspection en application du droit communautaire. Le Contractant dispose d'un droit d'accès et de

rectification aux données à caractère personnel le concernant. Pour toute question concernant ces

dernières, le Contractant s'adresse à la F3A ci-dessus. Le Contractant a le droit de saisir à tout moment le contrôleur européen de la protection des données.

Dans la mesure où le présent contrat implique le traitement de données à caractère personnel, le

contractant ne peut agir que sur instruction du responsable du traitement des données (M. Brossard

Florian), notamment en ce qui concerne les fins du traitement, les catégories de données pouvant

être traitées, les destinataires des données et les moyens par lesquels la personne concernée peut

exercer ses droits.

Les données sont confidentielles au sens du règlement (CE) n° 45/2001 du Parlement européen et du

Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces

données. Le contractant limitera l’accès aux données au personnel strictement nécessaire à

l'exécution, à la gestion et au suivi du contrat.

31

Dossier PPE 3

Le contractant s’engage à adopter des mesures de sécurité d’ordre technique et organisationnel eu égard aux risques inhérents au traitement et à la nature des données à caractère personnel concernées, afin :

a) d’empêcher toute personne non autorisée d’avoir accès aux systèmes informatiques de traitement des données à caractère personnel ;

b) d’empêcher que des supports de stockage puissent être lus, copiés, modifiés ou

déplacés sans autorisation ;

c) d’empêcher toute introduction non autorisée de données dans la mémoire ainsi que toute divulgation, toute modification ou tout effacement non autorisés de données à caractère personnel mémorisées ;

d) d’empêcher des personnes non autorisées d’utiliser des systèmes de traitement de

données au moyen d’installations de transmission de données ;

e) de garantir que les utilisateurs autorisés d’un système de traitement des données ne puissent accéder qu'aux données à caractère personnel que leur droit d’accès leur permet de consulter ;

f) de garder une trace des données à caractère personnel qui ont été communiquées,

du moment où elles ont été communiquées et de leur destinataire ;

g) de garantir qu’il sera possible de vérifier a posteriori quelles données à caractère personnel ont été traitées, à quel moment et par quelles personnes ;

h) de garantir que des données personnelles qui sont traitées pour le compte de tiers

ne peuvent l’être que de la façon prévue par l’institution ou l’organe contractant ;

i) de garantir que, lors de la communication de données à caractère personnel et du transport de supports de stockage, les données ne puissent être lues, copiées ou effacées sans autorisation ;

j) de concevoir sa structure organisationnelle de manière à ce qu’elle réponde aux

exigences de la protection des données.

Les mesures techniques et organisationnelles correspondant aux exigences ci-dessus devront être consignées entre le contractant et la Commission par écrit ou sous une autre forme équivalente.

En cas d’infraction aux présentes clauses, la Commission peut résilier le contrat immédiatement sans préjudice d'éventuels dommages et intérêts.

Charte informatique de l’utilisateur

D’une manière générale, l’utilisateur doit s’imposer le respect des lois et, notamment, celles relatives aux publications à caractère injurieux, raciste, pornographique, diffamatoire, sur le harcèlement sexuel/moral.

32

Dossier PPE 3

1) Sécuriser l'accès au compte

Le contrôle d’accès logique permet d’identifier toute personne utilisant un ordinateur.

Cette identification permet, à chaque connexion, l’attribution de droits et privilèges propres à chaque utilisateur sur les ressources du système dont il a besoin pour son activité.

Une identification (login + mot de passe) unique est confiée à chaque utilisateur. Ce dernier est personnellement responsable de l’utilisation qui peut en être faite, et ne doit en aucun cas la communiquer.

Chaque mot de passe doit obligatoirement être modifié selon la fréquence suivante : 3 mois. Un mot de

passe doit, pour être efficace, comporter 8 caractères alphanumériques. Il ne doit pas être, notamment,

identique au login, même en inversant les caractères, comporter le nom et/ou prénom de l’utilisateur ou

de membres de sa famille, le numéro de téléphone, la marque de la voiture ou toute référence à quelque

chose appartenant à l’utilisateur, être un mot ou une liste de mots du dictionnaire ou un nom propre,

nom de lieu, être écrit sur un document et être communiqué à un tiers.

2) Courrier électronique

Les éléments de fonctionnement de la messagerie à considérer sont les suivants.

Un message envoyé par Internet peut potentiellement être intercepté, même illégalement, et lu par n’importe qui.

Il est permis d'utiliser des services d'un site web spécialisé dans la messagerie.

Lors du départ d'un collaborateur, il doit être indiqué au responsable de l’administration du système ce qu’il sera fait des fichiers et courriers électroniques de l’utilisateur.

3) Utilisation d’Internet

Chaque utilisateur doit prendre conscience qu'il est dangereux pour l'entreprise :

- De communiquer à des tiers des informations techniques concernant son matériel ; - De connecter un micro à Internet via un modem (sauf autorisation spécifique) ; - De diffuser des informations sur l'entreprise via des sites Internet ; - De participer à des forums (même professionnels) ; - De participer à des conversations en ligne (« chat »).

3.1 Utilisation d’Internet à des fins privées

L’utilisation d’Internet à des fins privées est tolérée dans des limites raisonnables et à condition que la navigation n'entrave pas l’accès professionnel.

3.2 Contrôles de l'usage

33

Dossier PPE 3

Dans l'hypothèse la plus courante, les contrôles portent sur :

- les durées des connexions par service puis par utilisateur ; - les sites les plus visités par service.

La politique et les modalités des contrôles font l'objet de discussions avec les représentants du personnel.

4) Pare-feu

Le pare-feu vérifie tout le trafic sortant de l'entreprise, aussi bien local que distant. Il vérifie également le trafic entrant constitué de la messagerie électronique, l'échange de fichiers, la navigation sur Internet.

Il détient toutes les traces de l’activité qui transite par lui s'agissant :

- De la navigation sur Internet : sites visités, heures des visites, éléments téléchargés et leur nature (textes, images, vidéos ou logiciels) ;

- Des messages envoyés et reçus : expéditeur, destinataire(s), objet, nature de la pièce jointe (et éventuellement texte du message).

Il filtre les URL des sites non autorisés par le principe de la liste noire. Les catégories des sites visés sont les sites diffusant des données de nature pornographique, pédophile, raciste ou incitant à la haine raciale, révisionniste ou contenant des données jugées comme offensantes.

5) Sauvegardes

La mise en œuvre du système de sécurité comporte des dispositifs de sauvegarde des informations et un dispositif miroir destiné à doubler le système en cas de défaillance.

Ceci implique, entre autres, que la suppression par un utilisateur d'un fichier de son disque dur n’est pas absolue et qu’il en reste une copie :

- Sur le dispositif de sauvegarde ; - Sur le serveur ; - Sur le firewall (pare-feu) ; - Chez le fournisseur d’accès.

Fait à …………………………, le ................ Signature de l'employeur

34