optimisation et sécurisation du système d’information du
TRANSCRIPT
HAL Id: dumas-02386289https://dumas.ccsd.cnrs.fr/dumas-02386289
Submitted on 29 Nov 2019
HAL is a multi-disciplinary open accessarchive for the deposit and dissemination of sci-entific research documents, whether they are pub-lished or not. The documents may come fromteaching and research institutions in France orabroad, or from public or private research centers.
L’archive ouverte pluridisciplinaire HAL, estdestinée au dépôt et à la diffusion de documentsscientifiques de niveau recherche, publiés ou non,émanant des établissements d’enseignement et derecherche français ou étrangers, des laboratoirespublics ou privés.
Optimisation et sécurisation du système d’informationdu SYTRAL
Thierry Bois
To cite this version:Thierry Bois. Optimisation et sécurisation du système d’information du SYTRAL. Cryptographie etsécurité [cs.CR]. 2019. �dumas-02386289�
CONSERVATOIRE NATIONAL DES ARTS ET METIERS
CENTRE REGIONAL ASSOCIE DE RHÔNE-ALPES
___________________
MEMOIRE
Présenté en vue d'obtenir le
DIPLOME D'INGENIEUR CNAM
SPECIALITE : INFORMATIQUE
OPTION : RESEAUX, SYSTEMES et MULTIMEDIA
par
Thierry BOIS ___________________
Optimisation et sécurisation du système d’information du SYTRAL.
Soutenu le 03 juillet 2019
_________________
JURY
PRESIDENT :
Monsieur Christophe PICOULEAU : Professeur des Universités, CNAM Paris
MEMBRES :
Monsieur Bertrand DAVID : Professeur des Universités, Ecole Centrale de Lyon Monsieur René CHALON : Maître de Conférences, Ecole Centrale de Lyon
Remerciements
Tout d’abord, je tiens à remercier toutes les personnes travaillant au Sytral qui
m’ont donné l’opportunité de participer aux différents projets en lien avec ce mémoire. Je
tiens aussi à dire que j’ai reçu un très bon accueil au sein de l’entreprise où l’ambiance de
travail est très favorable.
Merci en particulier à messieurs RODET Michel (délégué général) et VOLLE
Ludovic (responsable du service informatique) pour leur soutien indéfectible et leur grande
disponibilité. Ils sont toujours de bons conseils.
Je remercie le CNAM et ses enseignants pour ces années passées à parfaire mes
connaissances et à me donner du recul sur les domaines de l’informatique et du monde de
l’entreprise. Le savoir-faire n’est pas suffisant si on ne réalise pas les bons objectifs !
Merci aux membres de ma famille pour leurs soutiens.
Je remercie messieurs CHALON René et DAVID Bertrand pour leur disponibilité
pour m’accompagner dans ce travail de construction du mémoire.
Liste des abréviations
AD: Active directory
DAG: Database Availability Group.
DHCP: Dynamic Host Configuration Protocol.
DMZ: Demilitarized zone.
DNS: Domain Name System.
FTP: File Transport Protocol.
FTPS : Protocole de transfert de fichiers / version sécurisée.
DFS : Systèmes de fichiers distribués.
GPO: Group Policy Object.
NAT: Network Address Translation.
PCA: Plan de Continuité d’activité.
PRA: Plan de reprise d’activité.
RGPD : Règlement Général de la Protection des Données
SI : Système d’Information
WSUS : Windows Serveur Update Services.
RATs: Remote Access Toolkits
SSO: Single Sign-On
VLAN: Virtual Local Area Network
VPN: Virtual Private Network
WPA: Wi-Fi Protected Access
Glossaire
AD : Service d’annuaire permettant la centralisation de l’authentification et
l’identification des utilisateurs et des ordinateurs. D’autres informations sur
les utilisateurs et sur la configuration de la messagerie Exchange sont
stockées dans cette base de données.
CLOUD : En français, on traduit ce terme par l’informatique en nuage. C’est la
possibilité de disposer de capacité de calcul, de serveurs, de stockage ou
d’applications supplémentaires en fonction des besoins. C’est un service à la
demande.
CLUSTER : Ensemble de serveurs ou fermes de serveurs qui travaillent ensemble afin
d’offrir une meilleure disponibilité d’un service applicatif ou système.
DFSR : Système de réplication des fichiers utilisés pour répliquer des données entre
contrôleurs de domaine.
DHCP : Protocole de configuration dynamique des hôtes. Ce service réseau permet
d’attribuer dynamiquement des adresses IP à des périphériques réseaux.
Malware : Logiciel malveillant qui est installé à l’insu des utilisateurs et qui a pour but
de nuire à ces derniers.
PABX : C’est un autocommutateur téléphonique privé qui permet de gérer un grand
nombre de lignes téléphoniques dans une entreprise.
PARE-FEU : Matériel ou logiciel qui permet la surveillance et le contrôle des flux
réseaux entre deux zones d’un réseau. Le plus courant est de l’installer entre
le réseau interne de l’entreprise et l’internet afin de se protéger d’accès non
autorisé.
PCA : C’est l’étude, la préparation et l’organisation de ce qui est nécessaire afin
que l’entreprise puisse continuer ses activités essentielles en cas d’incidents.
PRA : Le plan de reprise d’activité est un composant du plan de continuité
d’activité et définit les moyens à mettre en œuvre pour faire face à un
incident.
PROXY : Composant applicatif intermédiaire qui joue le rôle de mandataire.
PSSI : Document regroupant tous les méthodologies et règles à suivre en matière
de sécurité dans une entreprise pour lequel elle est spécifiquement définie.
RAT : Logiciel boite à outils pour contrôler un ordinateur à distance.
REFS : Système de gestion de fichiers résiliant aux défaillances.
5
Table des matières
Remerciements ...................................................................................................................... 2
Liste des abréviations ............................................................................................................ 3
Glossaire ................................................................................................................................ 4
Table des matières ................................................................................................................. 5
Introduction ........................................................................................................................... 8
CHAPITRE 1 : PRESENTATION DU CONTEXTE ............................................................................................. 9
Historique ............................................................................................................................................ 9
Compétences et missions du SYTRAL ............................................................................................. 10
Le budget .......................................................................................................................................... 10
L’organisation des services et directions........................................................................................... 11
La DGART et le service informatique .............................................................................................. 12
Mon rôle au sein du service informatique ......................................................................................... 12
Les projets au Sytral pour le service informatique ............................................................................ 13
CHAPITRE 2 : OPTIMISATION DU SYSTEME D’INFORMATION ................................................................... 14
2.1 – ARCHITECTURE .............................................................................................................................. 14
Présentation de l’infrastructure de départ .......................................................................................... 14
Audit des composants du système d’information .............................................................................. 18
Audit des serveurs à migrer en priorité ............................................................................................. 18
Documentations, schémas et procédures ........................................................................................... 21
Evaluation des projets à mettre en œuvre .......................................................................................... 21
Planification des tâches et des projets ............................................................................................... 22
2.2 – SERVICES D’INFRASTRUCTURE ....................................................................................................... 23
Les services d’annuaire, de noms et de stratégie de groupes ............................................................ 23
Autorité de certificats intégrés AD .................................................................................................... 25
Services de correctifs Microsoft WSUS et antivirus ......................................................................... 25
Services d’impression et de partage de fichiers ................................................................................ 26
Services d’administrations ................................................................................................................ 27
Services réseaux ................................................................................................................................ 31
2.3 – MIGRATION DE LA MESSAGERIE EXCHANGE .................................................................................. 33
Situation de départ ............................................................................................................................ 33
Choix de l’architecture et préparation ............................................................................................... 35
Migration des boites mails des utilisateurs vers Exchange 2013 ...................................................... 36
Suppression des anciens serveurs Exchange 2007 ............................................................................ 36
Planification de la migration en Exchange 2016 ou 2019 ................................................................. 37
2.4 – SERVICES APPLICATIFS ................................................................................................................... 37
Les applications métiers .................................................................................................................... 37
Les applications bureautiques ........................................................................................................... 40
2.5 – PROJETS EXTERNALISES ................................................................................................................. 41
Migration du filtrage Mail In Black .................................................................................................. 41
Migration du pare-feu ....................................................................................................................... 42
Infrastructure de virtualisation VMware ........................................................................................... 42
2.6 – BILAN DES PREMIERES MIGRATIONS ET EVOLUTIONS ..................................................................... 44
CHAPITRE 3 : SECURISATION DU SYSTEME D’INFORMATION ................................................................... 46
3.1 – REVUE DES MENACES ET DES RISQUES ........................................................................................... 46
6
Le rapport Thales 2018 ..................................................................................................................... 47
Le rapport Cisco 2019 : défense contre les menaces critiques d’aujourd’hui de février 2019 .......... 47
Le rapport Kaspersky 2018 ............................................................................................................... 48
Connaître les acteurs des actes de piratage ....................................................................................... 48
Connaître les techniques employées pour les attaques ...................................................................... 49
3.2 – FORMATION DES UTILISATEURS ..................................................................................................... 50
3.3 – ETAT DES LIEUX, REVUE DES COMPTES ET DES CONFIGURATIONS .................................................. 51
Comptes d’annuaire AD .................................................................................................................... 51
Comptes Applicatifs .......................................................................................................................... 51
Comptes VPN ................................................................................................................................... 52
Accès des prestataires ....................................................................................................................... 52
Commutateurs réseaux ...................................................................................................................... 52
Pare-feu ............................................................................................................................................. 53
Réseaux sans fil ou Wifi ................................................................................................................... 54
Circuit d’intégration des ressources humaines .................................................................................. 54
Activation des journaux d’audit des connexions et d’accès aux fichiers .......................................... 54
3.4 – OUTILS ADMINISTRATIFS................................................................................................................ 55
Serveurs Syslog ................................................................................................................................. 55
Rapport du contrôleur Wifi ............................................................................................................... 55
Rapport Olféo .................................................................................................................................... 56
Rapport du pare-feu........................................................................................................................... 56
Rapport de vulnérabilité .................................................................................................................... 56
Console antivirus ............................................................................................................................... 57
Bilan des outils .................................................................................................................................. 57
3.5 – DEMARCHE POUR AUGMENTER LA SECURISATION.......................................................................... 58
3.5.1 – Bonnes pratiques à suivre pour le Sytral ............................................................................... 59
Sécurité physique, la première défense ............................................................................................. 60
Suivi des recommandations de l’ANSSI ........................................................................................... 61
Consultation des bulletins d’alertes de sécurité : CERT-FR ............................................................. 61
Importance de commencer l’analyse de risque ................................................................................. 62
Définition de la PSSI pour le Sytral .................................................................................................. 62
Planification de l’analyse d’un PCA ................................................................................................. 63
3.5.2 – Normes à explorer pour les futurs projets ............................................................................. 64
Norme ISO 27001 – Gestion de l’amélioration en continu ............................................................... 64
Norme ISO 27002 – 114 bonnes pratiques ....................................................................................... 65
Méthode EBIOS ................................................................................................................................ 65
3.5.3 – Législations ........................................................................................................................... 66
Le RGPD ........................................................................................................................................... 66
3.6 – AUDIT EXTERNE RGPD .................................................................................................................. 67
3.7 – PLANIFICATION DES TACHES ET PROJETS DE SECURITE A VENIR .................................................... 67
Conclusion ........................................................................................................................... 69
Bibliographie ....................................................................................................................... 71
Table des annexes ................................................................................................................ 73
Annexe 1 Exemple de commande pour l’audit des serveurs ............................................... 74
Annexe 2 Fiche d’audit de serveur ...................................................................................... 75
Annexe 3 Vision des projets du service informatique ......................................................... 76
7
Annexe 4 GLPI Gestion des tickets et inventaire du parc ................................................... 77
Annexe 5 Supervision EON ................................................................................................ 79
Annexe 6 Projet Migration Exchange ................................................................................. 80
Annexe 7 Document des versions d’Exchange 2013 .......................................................... 81
Annexe 8 Assistant de migration d’Exchange 2013 ............................................................ 82
Annexe 9 Migration Exchange 2013 du Sytral ................................................................... 83
Installation d’Exchange 2013 ............................................................................................................ 87
Mise en place du DAG Exchange (Groupe de disponibilité de bases de données) ........................... 96
Annexe 10 Analyse de risque ............................................................................................ 102
Annexe 11 Rapport Type de violation de données ............................................................ 103
Liste des figures ................................................................................................................. 104
Liste des tableaux .............................................................................................................. 105
8
Introduction
Les collectivités territoriales comme le Sytral ont le devoir de servir l’intérêt
général. Leurs missions doivent respecter le cadre des lois qui sont votées pour
l’amélioration de l’intérêt commun. Il est important d’assurer un niveau de service et de
protection des systèmes d’informations qui ont une fonction centrale pour leurs bons
fonctionnements et servir leurs finalités.
L’environnement externe est de plus en plus menaçant même pour les
collectivités. Nous assistons à l’augmentation du nombre de piratages informatiques. C’est
dans ce cadre que le dernier règlement européen sur la protection générale des données est
adopté. Le Sytral se doit d’être plus acteur sur la protection des données personnelles des
utilisateurs sous peine de sanctions financières très lourdes.
Le système d’information du Sytral comporte de nombreuses briques qui
interagissent entre elles et qui doivent être mises à jour régulièrement pour bénéficier du
support de la part des éditeurs et des constructeurs. Nous devons tenir compte de la façon
de consommer ces services fournis qui changent avec la mobilité, les évolutions
technologiques et les mœurs des employés.
Pour que notre système d’information réponde au mieux à toutes ces contraintes,
nous avons : audité, documenté, organisé, structuré, mis à jour les systèmes et les
applications. Nous avons tenu compte des contraintes imposées par les prestataires et les
éditeurs qui demandent des environnements particuliers pour garantir le support de leurs
applicatifs.
Nous avons aussi intégré de nouveaux systèmes à l’infrastructure existante afin de
répondre aux nouveaux besoins tout en garantissant la disponibilité et la sécurité aux
utilisateurs. L’augmentation du niveau de sécurité est le deuxième volet mis en œuvre qui
est essentiel pour l’entreprise.
Après une présentation du contexte de l’entreprise et des projets du système
d’information, nous allons voir l’audit de l’infrastructure existante, la mise à jour et l’ajout
des services et applications. Puis nous voyons dans un second temps, comment améliorer
la sécurité au Sytral. Nous mettons d’abord en œuvre des actions correctrices rapides issues
de bonnes pratiques puis nous effectuons une revue dans le domaine de la sécurité sur les
actions d’amélioration à mener pour l’avenir. Après une réflexion et le retour sur l’audit
externe de la conformité du Sytral au RGPD, nous planifions les futurs projets de
sécurisation à mener.
9
Chapitre 1 : Présentation du contexte
Le SYTRAL est le syndicat mixte des transports pour le Rhône et l’agglomération
lyonnaise. C’est l’autorité qui organise les transports urbains sur ce territoire. Il a été créé
le 09 octobre 1985. Ses effectifs et ses missions ont évolué au cours du temps.
Actuellement, les bureaux pour le personnel (environ 110 personnes) sont répartis sur
plusieurs étages dans un bâtiment partagé avec le délégataire de service public KEOLIS.
Historique
L’histoire commence en 1942 avec le syndicat des TCRL qui était présidé par le
préfet, 3 représentants du département du Rhône et 3 de la ville de Lyon. Ils se sont
occupés de rénover et développer le réseau des transports publics. Par la suite, les lois
d’orientations des politiques de transports vont avoir pour effet de transférer petit à petit le
pouvoir de décision de l’état vers les collectivités territoriales.
En 1997, le Sytral vote le premier plan de déplacements urbains (PDU). Il est
nécessaire de planifier quels sont les travaux et chantiers à mettre en œuvre en prévision de
l’augmentation future du trafic. De nos jours, nous comprenons bien l’utilité d’avoir
développé des transports en commun pour éviter la saturation du trafic routier autour des
grandes villes comme c’est le cas pour la l’agglomération de Lyon. En 2007, les
communes de Givors et Grigny rejoignent le Sytral.
Figure 1 : Les réseaux [Sytral-2019]
10
Depuis 2015, les transports mentionnés dans la figure 1 ci-dessous sont organisés
et pilotés par le SYTRAL, une autorité organisatrice des transports pour 290 communes et
1.7 Millions d’habitants. Ce sont 90 rames de tramways, 73 rames de métro, 1000 autobus
et 658 cars.
Compétences et missions du SYTRAL
Le Sytral a pour compétences et missions de :
développer les transports en commun du Rhône et de la métropole de Lyon.
financer les réseaux et de promouvoir les modes de transport doux. Il est maitre
d’ouvrage et étudie la faisabilité et détermine les besoins.
définir la politique de gestion des réseaux et l’offre des transports.
participer au développement économique et au développement du territoire.
Il délègue l’exploitation de ses réseaux à travers plusieurs délégations de services
publics comme les sociétés Kéolis, Rhône express, Car Postal et Cars du Rhône. Le Sytral
possède l’ensemble des équipements des réseaux à l’exception des cars du Rhône et de
Rhône express.
Le budget
Un Plan de mandat est défini sur 2015 à 2020 : il décrit les projets et
investissements qui sont planifiés sur cette période. L’investissement est de l’ordre d’un
milliard d’euros. Nous pouvons voir comment ce budget est utilisé (Figure 2).
Figure 2 Budget dépenses prévisionnel 2019. [SYTRAL-2019]
11
L’organisation des services et directions
Nous pouvons voir l’organisation des services au Sytral (Figure 3).
Figure 3 Organigramme. [SYTRAL-2019]
La présidente : Présidente du comité syndical du SYTRAL.
Le cabinet de la communication et relation presse : Il conseille la présidente et assure
l’interface entre les élus et l’administration du Sytral.
La DG / DGART : Elles pilotent l’administration du Sytral et définissent les objectifs des
différentes directions. Elles rendent comptes du fonctionnement à la présidente.
Sécurité, sureté et prévention : Assurer la veille, le suivi et l’analyse de la sécurité.
Relations Internationales : le service pilote et gère des coopérations avec des villes
mondiales.
DPEA : Elle pilote les études : PDU, enquête déplacements, études amont et prospectives à
l’horizon 2030. Elle participe à l’élaboration des documents d’urbanisme et planifications.
DEV : Cette direction pilote les projets de création ou d’extension du réseau. Elle est
Maitre d’ouvrage.
DEX : Elle définit l’offre des réseaux, vérifie l’exploitation et la qualité de service.
DEP : Elle assure la bonne gestion des biens du Sytral nécessaires au fonctionnement du
service.
DPC : Elle pilote le processus de mise en concurrence de la gestion des réseaux.
12
La DGART et le service informatique
La délégation générale adjointe ressources et territoires (DGART) a été créée fin
2011. Elle regroupe plusieurs services : entre autres financier, juridique et marchés, les
ressources humaines, le service des assemblées, la gestion du bâtiment et le service
informatique (Figure 4). La DGART représente le tiers des employés.
Figure 4 Service DGART [INTRANET-2019]
Mon rôle au sein du service informatique
J’ai intégré le SYTRAL en 2016 pour remplacer au pied levé le responsable
informatique qui a eu un accident de la route pour une période de 3 mois en qualité
d’intérimaire. En 2017, un poste d’adjoint au responsable informatique s’est ouvert et j’ai
postulé.
Mes missions sont les suivantes :
Gérer le parc informatique (avec 150 postes utilisateurs). Mes fonctions
m’amènent à administrer tous les équipements comme les commutateurs réseaux, les pare-
feu, les serveurs, la sauvegarde et la plateforme antivirus et tous les autres composants qui
forment le système d’information.
Résoudre les incidents, dysfonctionnements et pannes informatiques. Il faut
assurer un niveau de service aux autres directions et aux utilisateurs. Prêter assistance aux
prestataires externes avec un accompagnement et une supervision de leurs activités.
Conseil et participation à l’évolution et au développement des systèmes
informatiques. Création de toute la documentation nécessaire à la gestion et à la
maintenance. Chaque nouvelle installation doit comporter une procédure et même des
schémas en format Visio pour mieux en cerner le fonctionnement.
Assurer le suivi et les commandes des matériels et logiciels seulement si le
responsable informatique n’est pas là. J’ai un rôle consultatif du budget pour le service
informatique.
Ce qui n’est pas dans mon périmètre est d’effectuer le support dans les applicatifs
métiers qui sont sous contrat de supports externalisés comme les logiciels CEGID et SIS
MARCHES par exemple.
13
Les projets au Sytral pour le service informatique
Des projets importants sont à gérer sur les années 2018 à 2020 pour faire évoluer
les systèmes et applications et accompagner les directions dans les tâches de
dématérialisation des documents.
En 2018, pour le service informatique, 3 grands projets ont été à l’ordre du jour
avec l’aide de prestataires externes. Le premier sujet a été l’externalisation des serveurs
d’anti spam de la messagerie du Sytral puis le changement du pare-feu et enfin la mise en
place d’une infrastructure complète de virtualisation. J’ai installé l’outil de gestion des
tickets d’incidents GLPI.
Sur l’année 2019, nous avons mis en place de nouveaux services d’administration
et en avons migré d’autres. Nous remplaçons régulièrement les postes des utilisateurs en
Windows 7 par de nouveaux en Windows 10 afin de mettre à jour le parc continuellement.
Nous avons le projet principal qu’est la migration totale de notre messagerie de courriel
Exchange 2007 en version Exchange 2013 puis en Exchange 2016. C’est aussi la
documentation progressive des procédures d’installation et d’architecture du SI. En
parallèle les données des utilisateurs et des services seront totalement migrées vers de
nouveaux serveurs d’ici la fin de l’année 2019 avec une refonte du nommage et des droits
d’accès.
Sur 2020, il est prévu de migrer la téléphonie basée sur un PABX qui date de
2009. Il faudra aussi traiter les derniers serveurs en version Windows 2008 à cause de la
fin du support de l’éditeur pour les correctifs. Cela implique de voir avec les prestataires
gérant les applications sur ces serveurs comment nous allons procéder à cette évolution.
Les coûts de licence Oracle en version virtuelle sont contraignants et importants.
De plus, cet éditeur peut encore changer sa politique tarifaire à tout moment. Il sera alors
pertinent de voir si nous changeons la partie base de données Oracle par une base de
données comme PostgreSQL ou un autre éditeur lors de ces migrations. Rappelons aussi
que l’objectif serait de passer le maximum de serveurs physiques en virtuels pour
rationaliser les coûts.
Il faut aussi mener les actions nécessaires pour renforcer la sécurité de manière
continue. Une première phase est la sécurisation rapide avec de bonnes pratiques sur le
premier semestre 2019. Nous avons aussi commandé une prestation externe pour auditer
notre conformité au RGPD dont nous attendons le retour pour mettre en cohérence toutes
les actions de sécurisation et les prioriser dès le deuxième semestre de l’année 2019.
14
Chapitre 2 : Optimisation du système d’information
Le système d’information évolue dans le temps. La mise à jour de systèmes et
d’applications est nécessaire pour avoir le support des éditeurs et des constructeurs. Ce
changement est aussi nécessaire pour avoir de nouvelles fonctionnalités pour les
utilisateurs.
Les évolutions technologiques et de nouvelles méthodes de travail exercent une
pression continue sur la direction qui cherche à analyser les tendances pour préserver
l’entreprise et la garder compétitive. De la vision stratégique émerge de nouveaux besoins
qui se traduisent par la mise en service de nouvelles applications à mettre à disposition des
utilisateurs.
Il revient ensuite à la direction informatique de traduire ces demandes en outils
fonctionnels pour les employés. Nous devons garder à l’esprit de cadrer ces
transformations pour répondre aux besoins de restaurations à partir de sauvegarde, de
disponibilités et qualités de service et des futurs besoins qui ne manqueront pas
d’apparaitre.
Pour répondre à ces exigences, nous devons avoir une vision claire de l’architecture
en place. Nous devons documenter chaque élément de l’infrastructure, cela va de l’élément
physique aux services applicatifs. Cette documentation permet de simplifier la
maintenance au quotidien et la gestion des projets d’évolution en interne mais aussi par
l’intermédiaire de prestations externes.
Chaque migration est l’opportunité de bien documenter le système d’information.
Ces documents sont des schémas Visio synthétisant le fonctionnement, des procédures
d’installations et d’administrations. C’est plus facile dans le cas d’un transfert de
compétence du personnel informatique afin de présenter le système d’information.
2.1 – Architecture
Pour notre optimisation, nous partons de la vision générale en allant vers le détail.
Nous faisons un constat de l’existant pour lister les éléments à la direction afin qu’elle
décide les tâches et projets à traiter avant les autres suivant sa vision stratégique du Sytral.
Présentation de l’infrastructure de départ
Nous commençons par voir les serveurs en 2017 (Figure 5). Nous constatons la
présence de modèles anciens à faire évoluer. Le coût de maintenance est plus élevé suivant
15
l’ancienneté du serveur. La version du système d’exploitation va de pair avec les capacités
des processeurs (64 ou 32 bits) et des mémoires équipant ces matériels.
Le serveur COMPTA est un serveur HP ProLiant DL 380 génération 3 avec un
système d’exploitation Windows serveur 2000. Ce système n’est plus supporté par
l’éditeur depuis 2010. Pour le serveur ATLAS un Windows serveur 2003, c’est depuis
2015. Il devient urgent de les migrer.
Figure 5 Serveurs en 2017
L’espace libre sur les serveurs n’est pas suffisant par rapport aux besoins de
volumétrie pour les projets à venir. Avec la virtualisation, nous pouvons rationaliser le
nombre de serveurs physiques et les connectiques réseaux qui en découlent. Sept serveurs
virtuels sont déjà présents sur un unique serveur VMware ESXi qui n’est pas redondé. En
2018, le projet d’installation d’une infrastructure de virtualisation VMware a été lancé afin
de répondre aux futurs projets et permettre de migrer plusieurs applications.
16
L’état des lieux pour les applications fait apparaitre la liste suivante :
La liste des applications utilisées par nos employés, une trentaine, permet de lister
les utilisateurs avancés et les éventuels responsables applicatifs (Tableau 1). Une fois
obtenue la liste exhaustive, on peut demander à la direction de déterminer le temps d’arrêt
critique maximum souhaité et la priorité de rétablissements des services.
Tableau 1 : Applications au Sytral
Des informations supplémentaires comme les coordonnées et noms des contacts
des prestataires à appeler en cas d’incident de même que la durée du support en cours
permettent de visualiser rapidement les informations critiques et peuvent figurer dans le
tableau. Ce document est la base pour lister les contacts internes et externes dans le cadre
des migrations. Nous avons été amenés à être en relation avec ces interlocuteurs lors des
phases d’audit, de migration et de test.
17
L’audit des configurations du réseau nous donne le schéma réseau simplifié du
Sytral (Figure 6). Les serveurs et les postes de travail sont dans des réseaux séparés.
Figure 6 Réseau informatique
En 2017, nous avons listé des matériels obsolescents comme le pare-feu de marque
Juniper, le boitier proxy Olféo (version d’os ancienne qui demande le changement de ce
boitier). Certains commutateurs réseaux Alcatel (plus sous support constructeur) et aussi
l’autocommutateur téléphonique privé ou PABX qui a été mis à jour la dernière fois en
2009 doivent être remplacés.
Le constat est la nécessité de faire évoluer des équipements mais aussi la version
des systèmes d’exploitation et des logiciels. Nous avons déterminé l’enchainement et la
priorité dans ce qu’il faut migrer. Car pour pouvoir mettre à jour des composants, il nous
faut respecter les prérequis des constructeurs ou des éditeurs.
Par exemple pour la messagerie de courriel Exchange, nous devons enlever les
serveurs Exchange antérieur à 2007 et augmenter le niveau fonctionnel de l’annuaire à la
version 2003. Ces contraintes impliquent une recherche pour les identifier et ensuite il nous
faut comprendre comment chainer ces dernières pour respecter les dépendances.
L’approche employée pour mener à bien le projet d’évolution du système
d’information est la suivante :
J’ai commencé par lister tous les éléments d’infrastructure, applicatifs et matériels.
J’ai ensuite audité ces derniers afin de déterminer et de comprendre les différentes briques
18
composant le SI. Ce travail permet de générer les documents et schéma permettant à toutes
personnes n’ayant pas l’historique et la connaissance du SI d’en faciliter sa maintenance.
Cette démarche est aussi nécessaire pour identifier les services applicatifs qu’il faut migrer
vers de nouveaux serveurs.
Une fois la liste des applications établies, la direction doit déterminer celles qui
doivent être remises en service de manière prioritaire pour assurer les fonctions vitales
pour l’entreprise. Cela doit se concrétiser par une analyse de risque. Cette analyse sera la
base pour construire un début de plan de continuité d’activités.
Toutes ces taches sont menées comme des mini-projets individuels pouvant être
chainés suivant les dépendances techniques. Les documentations sont générées au fur et à
mesure. Nous tenons compte des performances au fur et à mesure des nouvelles
installations. Nous évaluons les besoins des systèmes pour une utilisation assez fluide par
les utilisateurs.
Audit des composants du système d’information
Le point de départ est la liste de tous les équipements. Nous commençons par traiter
les éléments les plus anciens ou qui ont besoin d’être mis à jour en priorité. Une première
vérification générale a été de s’assurer de la bonne sauvegarde de tous ces équipements et
services.
Nous avons identifié les dates auxquelles les licences doivent être renouvelées.
Nous avons les licences Adobe qui ne sont disponibles qu’en abonnement renouvelable
pour une période définie. De plus, elles ne peuvent être achetées qu’auprès de certains
distributeurs.
Les certificats ont une durée de vie. Il faut anticiper leurs renouvellements, car nous
avons un délai pour passer la commande. Il faut les lister et noter la date de renouvellement
et bien anticiper ce point. Le renouvellement des noms de domaine est surveillé. Nous
nous sommes assurés que la personne en charge de le faire pense bien à le faire en temps et
en heures.
Audit des serveurs à migrer en priorité
L’audit d’un serveur commence par lister les composants et applications installés.
Nous avons continué avec les configurations réseaux, les processus et ports réseaux. Ici les
commandes utilisées pour l’audit sont intégrées au système d’exploitation. On peut aussi
s’aider de Process Explorer, l’outil de systernals. Des outils compilés peuvent se trouver
sur internet mais attention il faudrait en vérifier le code source. Nous avons donc préféré
utiliser les commandes systèmes. La liste des commandes utilisées lors de l’audit sur le
serveur Yeti est donnée en exemple en Annexe 1.
L’analyse des enregistrements DNS permet de voir la résolution des différents
noms du point de vue applications utilisateurs. La consultation des logs des applications
comme celles des serveurs web ont permis d’identifier les communications entre le serveur
et d’autres serveurs et vers les utilisateurs. J’ai collecté les éléments dans une fiche d’audit
de serveur dont on trouve un exemple dans l’Annexe 2.
19
A l’issue de l’audit, il a été nécessaire de s’assurer de la manière dont les
utilisateurs se servent de leurs applications. Une réunion avec un choix intelligent
d’utilisateurs un peu plus avancés dans l’utilisation des fonctionnalités de ces applications
a permis de confirmer que la réalité de l’usage correspond à l’étude fonctionnelle de
l’application.
Cela permet de détecter des divergences révélatrices d’un oubli ou d’une
incompréhension sur le fonctionnement de l’application. A l’issue, nous avons corrigé les
schémas et validé ces derniers. La priorité a été donnée sur les serveurs qui n’ont plus de
correctifs de sécurité (Tableau 2).
Tableau 2 : Serveurs à migrer
Le serveur compta a été virtualisé par conversion. Ce serveur n’est plus utilisé.
Nous l’avons donc éteint et configuré sa carte réseau dans un réseau isolé au cas où une
personne le démarrerait accidentellement. Nous le conservons au cas où on nous demande
des données présentes sur ce serveur. Il faudra refaire un point en fin d’année 2019 pour
savoir si on archive cette VM sur une bande de sauvegarde.
Le serveur ICS sera changé en même temps que la solution de téléphonie en 2020.
Pour l’instant il est dans un autre réseau et donc moins sujet aux menaces. La migration du
système de téléphonie est en cours d’étude par le responsable informatique. Il est prévu de
faire un marché pour remplacer les systèmes concernés. En attendant, nous avons assisté à
des présentations de différents systèmes afin d’évaluer les nouvelles tendances et
possibilité pour les utilisateurs.
Le responsable informatique a publié un questionnaire sur les attentes des
utilisateurs par rapport à la téléphonie. Nous pouvons envisager de nous séparer des
combinés téléphoniques au profit de casque pour 60 % des interrogés. Les fonctionnalités
de téléconférence sont aussi attendues comme amélioration de l’usage.
20
Le serveur Intranet est en cours de migration. Le prestataire travaille sur une
maquette pour s’assurer du bon fonctionnement. Pour réaliser ces points, j’ai ouvert des
flux très restrictifs dans le pare-feu vers ce nouveau serveur uniquement. J’ai mis aussi en
place un serveur FTPS pour les besoins d’échanges de données sur ce projet.
Le serveur suivant sur la liste est le serveur ATLAS qui est en version 2003. Il n’y
a plus de correctifs pour ce serveur. Il est donc urgent de finir cette migration afin que ce
serveur plus vulnérable ne serve pas de porte d’entrée. Nous avons déjà installé un serveur
pour publier le fichier autoproxy.pac. Il reste à migrer l’application SAC et les dossiers
réseaux sur d’autres partages.
Sur le serveur sont présents :
le fichier autoproxy.pac dont l’emplacement est spécifié dans une GPO
pour les utilisateurs.
les partages réseaux de dossiers des directions.
une application de suivi administratif des conventions SAC (base Access)
des anciennes versions d’applications plus utilisées : Alexandrie et intranet.
Les 2 contrôleurs de domaines sont les suivants sur la liste. Les serveurs MARS
et ZEUS sont des serveurs physiques de génération 6 (il existe maintenant la génération 10
chez le constructeur HP) et ils ont la version Windows serveur 2008 installée.
Sur le serveur MARS, les opérations de migrations sont assez simples. Il faut
migrer les dossiers personnels des utilisateurs et les dossiers réseaux des directions. Le
serveur est un contrôleur de domaine et serveur de DNS. J’ai déjà installé le nouveau
serveur AD SYT-AD16-A qui va le remplacer. Pour enlever ces rôles, il faut reconfigurer
tous les équipements réseaux (les serveurs, les étendues DHCP, pare-feu, proxy Olféo, …)
qui utilisent ce serveur DNS vers le nouveau. Le service WINS ne sera pas repris car il
n’est obligatoire qu’avec des systèmes très obsolètes comme Windows serveur NT 4.0 ou
des anciennes versions d’Unix. Le serveur sera rétrogradé sans le rôle contrôleur de
domaine puis supprimer quand il ne sera plus utilisé.
Le serveur ZEUS lui détient tous les rôles FSMO du domaine. Avec le rôle CDP, il
faut transférer le paramétrage NTP qui pointe sur ZEUS vers le serveur SYT-AD16-B qui
reprendra ce rôle. Les rôles FSMO seront transférés lorsque le nouveau serveur sera en
place et sauvegardé. Il faudra aussi regarder dans les règles de translation du pare-feu le
connecteur LDAPS de MIB et générer un autre certificat et le transmettre à Mail In Black.
Sur ce serveur ZEUS est installé un site Web (ce qui n’est pas recommandé) pour
l’application des badges de validations des horaires des employés. Cet applicatif doit être
transféré vers un autre serveur. Une étude dépendant du prestataire reste à faire au
deuxième semestre 2019.
Les autres serveurs mentionnés dans le tableau sont traités dans la section
application plus loin dans ce mémoire car ils ont un rôle principal lié à l’application. Ces
serveurs sont des HP ProLiant de génération 8 qui sont donc plus récents. Ils peuvent
encore être gardés quelques années car ils supporteront bien un système d’exploitation en
Windows serveur 2016.
21
Cependant l’objectif est de virtualiser le maximum de serveurs physiques pour
rationaliser les coûts. Le choix de migrer est plus lié aux contraintes de l’éditeur et de la
partie base de données Oracle pour laquelle le coût est très élevé si l’on souhaite le
virtualiser dans notre infrastructure.
Documentations, schémas et procédures
Les documentations sont essentielles pour le service informatique. En cas
d’absence ou de remplacement d’une personne au sein du service, cette dernière doit être à
même de pouvoir administrer les serveurs et aider les utilisateurs. Les schémas aident à
bien visualiser et simplifier le fonctionnement d’une application ou d’un élément
d’infrastructure. Ils sont utilisés lors des migrations ou de la maintenance lors de réunion
préparatoire ou du transfert de connaissance.
A chaque nouvelle installation c’est l’occasion de produire la documentation
associée pour faciliter la future maintenance. Une Fiche descriptive pour chaque serveur et
chaque application permet de retrouver la population des utilisateurs normaux et avancés,
les contacts de supports applicatifs (prestataire externe), la description des finalités de
l’application…..
Un élément sous-jacent est d’avoir un dossier réseau avec un accès restreint mais
surtout avec un nommage qui convient aux membres du service informatique (Figure 7).
Nous devons trouver avec facilité et intuitivement les documents cherchés. C’est un travail
collectif au sein de notre service de concevoir et d’ajuster l’arborescence afin que la
structure et le nommage soient au service de la facilité et de l’efficacité au quotidien. Nous
avons commencé ce travail sur notre partage.
Figure 7 Structure dossiers service informatique
Evaluation des projets à mettre en œuvre
Une fois les schémas établis et la compréhension technique des éléments à faire
évoluer, on fait apparaitre les différentes solutions possibles avec les avantages et
inconvénients de chacune. Il appartient à la direction de trancher d’une part sur les projets
qui sont prioritaires par rapport aux autres et d’autre part la solution retenue parmi
plusieurs. Une fois un scénario retenu, nous avons découpé un projet qui parait compliqué
dans son ensemble en sous-tâches qui sont plus gérables humainement. Le document Ms
Project qui donne la vue générale du projet d’actualisation de l’infrastructure est fournie en
Annexe 3.
22
Dans les projets menés au Sytral, j’ai bénéficié d’un accès complet pour un an au
site de formation en ligne alphorm.com. (Exchange serveur version 2013 et 2016, Pfsense,
GLPI, Microsoft déploiement toolkit, ….). J’ai aussi acheté des livres en français et en
anglais sur la partie messagerie exchange et le domaine de la sécurité informatique. Ces
formations à partir de différents médias permettent de mieux évaluer les étapes de
migrations nécessaires et d’éviter des écueils de par l’expérience des autres personnes du
domaine.
Une recherche documentaire sur le web permet de chercher les meilleures
pratiques en fonction de ce qui est réalisable dans les souhaits et budgets donnés par la
direction. Après il faut savoir faire la part des choses et vérifier la cohérence avec d’autres
sources. Il n’y a pas toujours les meilleurs conseils en ligne. A nous d’être vigilants et
d’éviter de se précipiter. Pour cela il est nécessaire de confronter différents points de vue.
Planification des tâches et des projets
Toutes ces tâches ont et seront menées comme des mini-projets individuels pouvant
être chainées suivant les dépendances techniques. Le service informatique du Sytral n’est
composé que de deux personnes. Par conséquent les contraintes de communication lorsque
l’on travaille à plusieurs voir des dizaines de personnes sur un projet ne sont pas les
mêmes. Il n’est donc pas nécessaire d’organiser des réunions de suivi et de nommer des
postes de chef de projet, maitre d’œuvre et d’ouvrage, et toute la mécanique à mettre en
œuvre pour les projets de taille importante.
De même le détail technique des étapes n’est pas nécessaire car les sous-tâches
n’ont pas à être ventilées entre plusieurs acteurs. Il appartient cependant à la personne
devant traiter un point technique de s’assurer de lire les articles de bases de connaissances
de constructeurs. Les points de suivi se font directement entre nous et l’information est
constante.
La date de fin de ce projet est définie lorsque les buts suivants seront atteints. La
migration de la messagerie Exchange en version 2013 avec suppression des serveurs en
version 2007. Migration des serveurs physiques en HP Génération 6 ou inférieure :
ATLAS, ZEUS MARS, ODIN1, ODIN2, ACHILLE, ULYSSE. Exception faite du serveur
de sauvegarde KARL qui doit permettre de restaurer des anciens fichiers. Il sera cependant
possible de l’éteindre quand les serveurs physiques seront sauvegardés avec l’agent
VEEAM ou seront éteints parce qu’ils seront migrés.
Il est à noter qu’au Sytral, les commandes sont soumises aux contraintes des
marchés publics. Il est nécessaire de prendre en compte un délai supplémentaire pour les
commandes de matériels, licences, logiciels et des prestations externalisées. C’est une
contrainte dont on a tenu compte pour notre avancement.
Le travail de documentation et d’audit a été découpé et organisé en plusieurs
catégories afin d’en faciliter l’analyse et ainsi balayer l’ensemble des briques de
l’architecture. Nous pouvons classifier les éléments en 3 grandes parties : les services de
l’infrastructure, les applications et les documentations produites par des prestations
externes.
23
2.2 – Services d’infrastructure
Les services d’infrastructure sont l’épine dorsale des systèmes d’information sans
quoi les applications et services utilisateurs ne peuvent pas fonctionner normalement. Ils
sont indispensables et à ce titre ils sont administrés et supervisés afin de garantir un
maximum de disponibilité des services. Lors des migrations nous avons noté des
paramètres qui ne sont pas optimaux. Cela a été l’occasion d’améliorer la disponibilité en
mettant en redondance des systèmes ou en installant de nouveaux éléments concurrents à
ce but.
Les services d’annuaire, de noms et de stratégie de groupes
Un des services des plus centraux et indispensable aux bons fonctionnements de
nombreuses applications est l’annuaire centralisé des comptes des utilisateurs de
l’entreprise. Beaucoup d’informations sont stockées dans l’annuaire. Cela va du nom
d’utilisateur à la configuration des services de la messagerie Exchange.
L’annuaire du Sytral est installé à l’origine sur 2 serveurs en version Windows
2008 SP2. Lors de l’audit dans la console sites et services « active directory », nous avons
découvert un reliquat de l’ancien serveur Compta et sauve (Windows version 2000)
(Figure 8). Nous avons nettoyé l’objet car pas de « NTDS Settings » en dessous. C’est un
oubli lors de la désinstallation de ce serveur à l’époque du changement de rôle de ces
serveurs. Dans la partie sous réseaux AD, nous avons ajouté les réseaux utilisateurs
manquants. Ces informations servent aux postes de travail à déterminer quel est le
contrôleur de domaine à contacter suivant le réseau utilisé.
Figure 8 Ancien Contrôleur de domaine
Nous avons monté le niveau fonctionnel de la forêt et du domaine de la version
2003 à la version 2008. Cette évolution permet d’avoir des fonctionnalités supplémentaires
liées à l’annuaire. Par exemple, nous pouvons créer des stratégies de mots de passes
différents pour certains utilisateurs dans le même domaine. Il est surtout utile au besoin de
migrer les serveurs en version 2008 qui ne seront plus supportés dès 2020. A l’aide des
articles de l’éditeur Microsoft, nous avons dû migrer le service de réplication de fichiers
entre les contrôleurs de domaine de FRS à DFSR. J’avais réalisé cette opération dans un
environnement de maquette avec mon propre hyperviseur VMware. Ce service DFSR est
plus rapide et performant. C’est un point nécessaire avant l’intégration des nouveaux
serveurs en version 2016.
Après ces opérations de préparation, nous avons installé un nouveau serveur en
version Windows serveur 2016 dans l’environnement de virtualisation. Nous avons ajouté
24
et configuré le rôle contrôleur de domaine. L’intérêt est d’avoir une sauvegarde avec le
logiciel VEEAM. Il offre la fonctionnalité de restaurer des objets de l’annuaire plus
facilement que l’ancienne sauvegarde des serveurs physiques Symantec.
On ne doit pas monter l’annuaire en version 2016 même si ce n’est pas encore
possible car 2 contrôleurs sont encore en version 2008. Le point à faire attention est de
respecter les versions de schéma de l’annuaire suivant les logiciels tels que la messagerie
Exchange 2007 ou d’autres applicatifs qui l’utilisent aussi. Il est impératif de se référer aux
documentations de l’éditeur pour respecter ses prérequis.
La prochaine opération prévue sera d’enlever les serveurs AD en version 2008,
puis les remplacer par des serveurs en 2016. Une fois la partie messagerie Exchange
migrée en 2016, nous pourrons alors monter encore le niveau fonctionnel du domaine et de
la forêt afin de pouvoir disposer des dernières fonctionnalités allant de pair avec ces
derniers. Nous allons garder un serveur physique avec le rôle contrôleur de domaine et
serveur DNS. Ce serveur doit être le premier en ligne lors du démarrage de l’intégralité de
l’infrastructure. Beaucoup d’applications comme Exchange ont besoin de l’annuaire et du
service de résolution de noms DNS pour fonctionner correctement. Dans le cadre de ce
besoin, une procédure qui établit l’ordre d’arrêt et du démarrage de tous les services a été
créée pour permettre la remise en service de tous les systèmes.
Les services de résolutions de noms vont de pairs avec l’annuaire. Les
utilisateurs ont besoin d’utiliser des noms plutôt que des adresses IP. L’annuaire Microsoft
ne peut pas fonctionner sans la résolution des noms DNS. Le service de noms WINS est
tombé en désuétude. Il n’est plus nécessaire de maintenir ce service si le parc des serveurs
ne contient pas de systèmes d’exploitation anciens comme Windows NT 4.0.
Un audit du service DNS a fait apparaitre l’existence d’anciens noms de serveurs
qui ne sont plus présents physiquement. Nous n’avons pas l’historique complet des
antécédents menant à cet état. Il est nécessaire d’être prudent. Nous commençons par
documenter l’existant avec des captures d’écrans pour en garder la trace. Une façon de
traiter ce problème a été de vérifier l’existence du serveur pour les enregistrements d’hôte
en étant dans le même sous réseau que ce dernier. Puis on lance la commande ping puis la
commande arp –a. De cette manière on confirme la présence de l’équipement au niveau 2
du protocole TCP/IP même si ce dernier est équipé d’un pare-feu. S’il n’est pas présent
dans la table ARP avec sa mac adresse il est impossible à cet équipement de dialoguer sur
le réseau avec les autres et donc il est inutile dans cette fonction.
Les stratégies de groupe sont très utiles pour les administrateurs afin de
paramétrer massivement des postes et des serveurs afin que des règles choisies
s’appliquent. Avec Windows 10, nous avons déployé le magasin central pour la gestion des
stratégies de groupe pour ce système d’exploitation. Il faut mettre à jour ce dépôt à chaque
mise à jour majeure de Windows 10. Exemples : 1709, 1803 et 1809. Avec les nouvelles
fonctionnalités apportées par cette mise à jour, nous pouvons appliquer les améliorations
de stratégie à notre parc de postes de travail. L’application de stratégie permet d’avoir des
paramètres et des comportements homogènes sur les postes de travail et pour les profils de
sessions des utilisateurs. Elle permet aussi par exemple d’imposer l’ajout d’un proxy
filtrant sur les connexions internet, ce qui améliore la sécurité.
25
Autorité de certificats intégrés AD
L’autorité de certificat actuel est installée sur le serveur ACHILLE qui sert aussi de
serveur d’accès client à l’infrastructure Exchange 2007. A l’issue de la migration totale de
la messagerie Exchange 2007 il faudra retirer ce serveur HP ProLiant qui est d’ancienne
génération version 6. C’est prévu en Juillet 2019. Pour réaliser cette opération il va falloir
regarder tous les certificats utilisés dans l’infrastructure avec cette autorité de certificat.
Nous avons libéré les certificats de la messagerie en utilisant des certificats signés par une
autorité externe. C’est aussi le cas pour la nouvelle infrastructure Exchange 2013.
Nous allons faire l’inventaire de ces certificats. Pour les certificats utilisateurs
pouvant être utilisés pour le chiffrement de fichiers sur disque, nous vérifierons un par un
ces certificats et de s’assurer qu’ils ne sont pas utilisés. On pourra Créer de nouveaux
certificats après le transfert si nécessaire.
Pour la migration, un nouveau serveur dédié sera installé. Ce rôle ne doit pas
bouger tous les 5 minutes ! Il faudra étudier l’infrastructure PKI à retenir. Cependant les
exigences de sécurité actuelles au Sytral ne sont pas d’un niveau stratégique confidentiel
défense. Une simple autorité de certificat intégré à l’annuaire qui restera en ligne devrait
correspondre au besoin actuel et à moyen terme. [IZZO-2017]. Reste à déterminer la durée
de validité du certificat ROOT. Une valeur de 10 à 15 ans semble raisonnable. Ce
paramètre influence la durée de validité des certificats émis par cette autorité qui ne peut
pas être supérieure à cette dernière. Ensuite nous déploierons le certificat ROOT (.cer) vers
les postes de travail par stratégie de groupe. Nous devons étudier s’il est nécessaire de
mettre en ligne en DMZ la publication de la liste de révocation des certificats. Sachant
qu’il existe un cache client pour ces listes.
Services de correctifs Microsoft WSUS et antivirus
Les services de téléchargement des correctifs Microsoft permettent que les postes
des utilisateurs ne téléchargent pas tous eux-mêmes et en même temps les fichiers de
correctifs (Figure 9). Ce point est bénéfique pour la bande passante du réseau vers
l’internet. L’autre avantage est de disposer d’une vue sur le pourcentage de mises à jour
des postes et de pouvoir choisir les correctifs que l’on souhaite appliquer.
Il est indispensable d’appliquer au minimum les correctifs critiques et de sécurité
afin de diminuer la menace que représente les virus qui essaient d’exploiter les failles des
systèmes d’exploitation non corrigés. Des règles d’approbations automatiques sont en
place. Nous faisons le point toutes les semaines si la charge le permet afin de détecter des
postes qui ne se mettraient jamais à jour. Il faut faire la part des choses car un poste peut
rester éteint pour différentes raisons.
26
Figure 9 Serveur de correctifs WSUS
La console de gestion des antivirus des postes de travail permet de surveiller les
postes pour savoir s’ils ont l’antivirus installé et opérationnel mais aussi de savoir s’il y a
eu une détection d’un incident de sécurité et de le mettre en visibilité dans une console
pour un administrateur de cette solution.
L’audit de cette console a fait apparaitre le besoin de mettre à jour la dernière
version de l’antivirus. Avec une nouvelle version nous avons de nouvelles fonctionnalités
qui permettent de mieux lutter et détecter plus de virus et autres menaces. Nous avons créé
des dossiers pour pouvoir appliquer des stratégies de paramétrage de l’antivirus différent
suivant la version du système d’exploitation et suivant si c’est un ordinateur portable ou
fixe. On a fait correspondre une hiérarchie où l’on affecte les postes permettant de faire le
lien avec nos besoins de configurations. Un dossier dédié pour les serveurs a été déclaré
pour créer les règles spécifiques associées.
Services d’impression et de partage de fichiers
Ces services sont utilisés quotidiennement et constamment par les utilisateurs.
SYT-PRINT : serveur d’impression
Un nouveau serveur d’impression a été installé afin de migrer le rôle hébergé sur
l’ancien serveur multi rôle IRIS. Lors du changement le même jour de tous les copieurs,
les nouveaux pilotes ont été installés aussi sur le nouveau serveur. La migration des
imprimantes multifonctions des utilisateurs s’est faite progressivement par stratégie de
groupe.
27
SYT-DATA : serveur de partages de fichiers
Les dossiers de partages réseaux pour les utilisateurs sont répartis historiquement
sur plusieurs serveurs avec des rôles multiples (Tableau 3). Au fil du temps des partages
ont été créés pour répondre aux différents besoins des services là où l’administrateur
trouvait de la place.
Nom du serveur Nombres de partages utilisateurs
ATLAS 7 partages
IRIS 21 partages
MARS 17 partages
PERSEE 20 partages
Tableau 3 : Partages utilisateurs à migrer
Avec la nouvelle plateforme virtualisée VMware ce rôle peut être recentré sur
plusieurs serveurs dédiés. Pour la migration le choix retenu est de ne pas simplement
déplacer les données en l’état sur un nouveau serveur avec l’utilitaire « Robocopy ».
L’analyse des droits et du nommage des dossiers de partages pour les utilisateurs fait
apparaitre un manque de lisibilité des droits dans la hiérarchie des dossiers et documents. Il
devient complexe de changer et / ou d’ajouter un droit lors d’une demande. Pour certains
partages les noms du chemin d’accès aux documents étant trop longs cela provoque des
problèmes d’accès et de gestion de ces derniers.
Avec la direction nous avons estimé que c’est l’opportunité de revoir les droits et
le nommage des documents et dossiers. Cela implique le besoin de provoquer une réunion
par service et de communiquer avec ces derniers afin de valider ensemble les bonnes
pratiques dans le domaine du nommage des documents et dossiers. Les gains sont
intéressants du point de vue de la sécurité et de la lisibilité pour les acteurs concernés.
C’est l’opportunité pour le nouveau responsable informatique de discuter avec les
responsables des directions et de les rencontrer pour d’autres sujets. C’est pour cette raison
qu’il est plus pertinent qu’il s’occupe de suivre la migration des dossiers réseaux.
Avec la montée de version de l’annuaire, il est possible de mettre en place une
racine de domaine DFS (système de fichiers distribués) afin de normaliser le nommage en
\\sytral.fr\. Un autre intérêt du DFS est la possibilité de changer l’emplacement du stockage
des données d’un chemin réseau sur un autre serveur sans que cela n’affecte les
utilisateurs. De leur point de vue, ils accèderont aux données par le même chemin. Car
avant les utilisateurs pouvaient créer leur raccourci et lorsque l’on changeait le nom du
serveur cela affectait le chemin d’accès aux ressources. Ce problème est résolu avec
l’installation et la configuration de la racine DFS. La mise en place des dossiers réseaux
détermine la progression de la bascule sur le chemin UNC de domaine. Nous attendons ce
moment pour mettre en fonction la racine DFS.
Services d’administrations
Les services d’administrations ne sont pas forcément utiles ou utilisés directement
par les utilisateurs. Ils sont principalement destinés à faciliter le travail des administrateurs.
Nous allons ici passer en revue ces différents services car ils sont nécessaires au bon
fonctionnement du système d’information.
28
GLPI : gestion des tickets d’incidents utilisateurs.
Nous avons déployé ce nouveau serveur à la fin de l’année 2017. Cet applicatif est
essentiel à la direction du service informatique. Un suivi des incidents en cours avec la
possibilité de mettre des commentaires et des documents tout en gardant un historique est
indispensable pour la gestion au quotidien des problèmes. De plus, il est possible de
produire plus facilement un rapport et un suivi des incidents et des demandes à la direction
d’une année sur l’autre. Nous pouvons voir un exemple d’une vue de la gestion des tickets
d’incident et une autre vue de l’inventaire du parc en Annexe 4.
Nous pouvons mettre en lumière des incidents récurrents. Nous pouvons
capitaliser sur l’expérience du moment que les tickets sont correctement remplis et
détaillés. La possibilité offerte de remonter dans le temps pour faire le lien d’un incident
avec un changement est très utile pour faciliter la recherche d’un diagnostic. Nous pouvons
aussi remonter l’historique de l’utilisation des ressources du serveur.
La partie Fusion de GLPI sert d’inventaire des postes et logiciels à disposition des
utilisateurs. Elle a été mise en service en 2018 pour donner une vision sur le parc
informatique. L’inventaire est important pour faire le point sur les licences.
Dans un premier temps les tickets ne sont remplis et gérés que par l’équipe
informatique. Une fois les grands projets de migration terminés en 2020, il sera envisagé
de donner l’accès aux utilisateurs afin qu’ils créent et consultent leurs tickets de demandes
et d’incidents quand ils le souhaiteront directement avec l’interface web de GLPI.
SYSLOG : Serveur d’enregistrement déporté des journaux.
Pour des raisons réglementaires, le Sytral se doit de garder une trace des
connexions réseaux vers l’internet pour les autorités avec le mandat d’un juge en cas de
terrorisme ou criminalité. Nous devons aussi prendre en compte le respect de la vie privée
dans le cadre des lois françaises et européennes.
Les journaux pourraient aussi servir si une attaque de pirates informatiques aurait
été détectée et aurait réussi. Ils seraient le moyen de fournir des preuves afin de pouvoir
poursuivre les personnes incriminées. La durée de rétention et la finalité de ces données
sont cadrées par des réglementations.
L’installation de plusieurs serveurs SYSLOG sur des distributions libres permet
de répondre aux besoins. Les serveurs SYSLOG sont dédiés à chaque fonction. Il est ainsi
possible de passer rapidement les patchs de sécurité tout en ayant les autres serveurs
SYSLOG dans la chaîne en ligne. En cas de défaillance d’un serveur les autres sont
toujours là pour capter une partie des flux. Vu les besoins au Sytral qui n’est pas un
environnement secret défense, il n’est pas nécessaire de redonder ces serveurs. Le besoin
actuel est couvert.
Proxy PAC : Serveur hébergeant le fichier de proxy.
Nous avons installé un nouveau serveur pour héberger le fichier autoproxy.pac qui
permet à l’administrateur de définir les sites devant passer par le proxy ou au contraire
29
l’éviter afin de ne pas provoquer un dysfonctionnement. Les sites concernés sont ceux qui
sont directement hébergés en interne ou chez un délégataire de service public. Ce
déplacement permet de libérer une fonction qui était hébergée sur un serveur à enlever. Ce
fichier autoproxy.pac doit être administré lorsque de nouveaux sites internes sont créés. Il
faut faire attention au format du fichier en UNIX lors des modifications. Le système
d’exploitation choisi pour ce serveur est une édition Ubuntu en édition à long terme pour
les correctifs de sécurité. Ce Système d’exploitation prend moins de place sur le disque
système.
FTPS : Serveur de transfert de fichiers sécurisés.
Auparavant un serveur hébergeait un service FTP pour le transfert de fichiers vers
certains prestataires externes uniquement. Le problème du FTP est que le transfert est
effectué en clair sans chiffrement et ne garantit ni l’intégrité ni la confidentialité des
données. Le nouveau serveur publie un service FTPS. C’est donc la possibilité d’échanger
les données de manière sécurisée avec les prestataires concernés. Nous avons créé des
règles plus restrictives sur le pare-feu sur les IP externes publiques autorisées vers ce
service pour réduire au maximum la surface d’attaque. Nous avons configuré des accès
dédiés et nous allons revoir régulièrement la justification de la persistance de ces derniers.
Le problème d’échanger des gros fichiers par des serveurs tiers est la perte de
contrôle de savoir si ces données ne sont pas répliquées sur des serveurs sortant de l’Union
Européenne. De surcroît, cet échange de données peut contenir des données sensibles.
Avec le RGPD, nous devons rester vigilants même pour des petits besoins ponctuels. On
perd un peu de temps à passer par notre FTPS mais c’est dans le but d’augmenter la
sécurité.
VSPHERE : Machine virtuelle pour administrer l’infrastructure de virtualisation
VMware.
Cette console de gestion permet d’avoir une vue unique pour administrer toute
l’infrastructure virtualisée avec la technologie VMware. Tous les paramètres des machines
et réseaux virtuels ainsi que les hyperviseurs ESXi s’administrent par cette console. Nous
pouvons aussi créer de nouveaux réseaux virtuels et les déployer vers les commutateurs
réseaux physiques. Nous pouvons paramétrer les politiques du VSAN et des clusters
VMware avec la possibilité que 2 machines virtuelles ne soient pas sur le même
hyperviseur afin d’avoir une redondance supplémentaire en cas de panne d’un hyperviseur.
C’est l’outil qui nous permet de prendre la main à distance sur les serveurs
virtuels comme on pourrait le faire directement sur celui-ci avec un clavier, un écran et une
souris. Nous pouvons aussi déployer de nouveaux serveurs à partir d’un modèle prédéfini.
EON : Serveur de supervision des serveurs physiques.
La mise en place de ce nouveau service permet de donner une visibilité presque
immédiate sur l’état des serveurs. Cette première définition des paramètres avec un modèle
par défaut permet de constater si un serveur est éteint ou si l’espace disque, la mémoire et
l’utilisation du processeur atteignent des seuils critiques. Cette action étant rapide, nous
l’avons implémenté immédiatement. De surcroît, nous pouvons suivre l’évolution de ces
30
paramètres dans le temps et revenir sur une période particulière. Un exemple d’usage serait
de constater l’augmentation de l’utilisation de la mémoire sur un serveur suite à
l’application d’une mise à jour applicative. On peut ainsi voir avec le prestataire ou
l’éditeur si on peut traiter ce point qui a tout l’air d’une anomalie.
Une deuxième phase sera d’étudier la possibilité d’intégrer les éléments réseaux
afin de les suivre (fin 2019). Le logiciel CACTI intégré dans la solution EON permet de
contrôler la disponibilité et la bande passante des commutateurs et routeurs réseaux. Il est
possible de voir l’usage de la sortie internet pour diagnostiquer d’éventuel problème de
latence signalé par des utilisateurs. Le serveur garde la trace de l’historique pour pouvoir
faire des projections sur la planification des besoins futurs.
Une troisième partie à mettre en œuvre sur 2020 dans EON est le logiciel
NAGVIS qui permet de créer des cartes visuelles où l’on fait apparaitre l’état des éléments.
Exemple : une carte du réseau du bâtiment ou de la France en fond d’écran avec des carrés
verts ou orange ou rouges qui permet de regarder où un routeur est en panne. Cette vue est
synthétique et peut être mise à disposition d’un responsable ou d’un support helpdesk.
Un quatrième volet possible non planifié avec la supervision EON est de
l’interfacer avec GLPI. Quand un problème remonte dans Nagios, ce dernier est capable de
créer des mails ou des tickets directement dans GLPI. Cependant cette possibilité n’est pas
à l’ordre du jour au vu des projets prioritaires à traiter. De plus il faut passer du temps à
bien paramétrer l’outil afin de ne pas générer des centaines de mails ou de tickets !
Dans l’Annexe 5, nous pouvons voir une Image de la supervision EON avec la
vision en temps réel de l’état de disponibilité des serveurs et un exemple du suivi de
l’évolution de la mémoire.
WDSMDT : nouveau service pour déployer des postes utilisateurs.
Les postes des utilisateurs étaient jusqu’à présent déployés avec les masters des
constructeurs. La décompression de l’image puis l’installation de tous les logiciels
souhaités prenaient du temps et étaient source potentielle d’erreur. De plus les
constructeurs configurent des paramètres de stratégie ou des fonctionnalités et composants
différents pour chaque ordinateur. Le risque est d’avoir un parc non homogène avec des
comportements différents pour chaque poste.
Au départ il était prévu d’utiliser le serveur GHOST de Symantec pour déployer
les postes. L’idée était de créer des images avec un modèle par type d’ordinateur puis de
lancer l’utilitaire « sysprep » (outil de préparation du système d’exploitation pour être
dupliqué), d’éteindre la machine puis de créer l’image pour la redéployer ensuite. La
licence avait été achetée par l’ancien DSI dans le cadre d’un sujet de stage pour un
stagiaire en bac PRO. Hors cette licence expirait cette année. Nous avons donc regardé si
d’autres solutions libres de licence pouvaient répondre à nos besoins et nous avons trouvé
WDS et MDT de Microsoft.
Nous avons installé un nouveau serveur qui comprend le rôle serveur de
déploiement Microsoft WDS est couplé avec le kit de déploiement « Microsoft
déploiement Toolkit » ou MDT. Nous avons créé un réseau privé dédié avec une étendue
31
DHCP qui permet aux postes présents dans ce dernier par appui sur la touche F12 d’être
installé en Windows 10. L’intérêt est l’installation automatisée presque sans intervention
humaine. C’est pratique pour les personnes du service informatique afin de lancer ces
tâches en parallèle du traitement de nos incidents. Le responsable informatique s’est chargé
de générer tous les paquets d’installations de nos applications nécessaires sur les postes de
travail. Deux profils de déploiement existent pour correspondre aux différents besoins
métiers au Sytral.
Le serveur peut aussi être utilisé pour capturer des modèles d’images pour les
redéployer après. Il est aussi possible d’utiliser la fonctionnalité de migration des
paramètres des utilisateurs vers le nouveau poste avec USMT. Pour l’instant ces
fonctionnalités ne sont pas explorées.
BACKUP : VEEAM des machines virtuelles et SYMANTEC des serveurs physiques
Le logiciel de sauvegarde VEEAM vient avec la nouvelle infrastructure de
virtualisation. Il permet la sauvegarde et la restauration d’une machine complètement ou
seulement un disque ou des éléments particuliers comme des fichiers. Il est prévu de
remplacer l’ancien logiciel de sauvegarde des serveurs physiques en installant des agents
VEEAM pour Windows sur ces serveurs. L’ancien serveur de sauvegarde pourra être éteint
et utilisé uniquement dans le cas où il faudrait restaurer des données utilisateurs
antécédentes à VEEAM.
Bien que le lecteur de bande puisse reconnaitre les bandes LTO6 (dont la capacité
de sauvegarde par bande est entre 2.5 et 6.25 To), le logiciel VEEAM ne sera pas capable
de restaurer les données sauvegardées avec le logiciel Symantec. Il faut donc prévoir de le
garder aussi longtemps que l’on souhaitera restaurer les anciennes données sauvegardées
par son intermédiaire. La capacité de sauvegarde des nouvelles bandes LTO7 permet de
sauvegarder entre 6 et 15 To suivant le taux de compression. Cependant le logiciel
VEEAM compresse déjà les données.
Un point important est la nécessité de sortir régulièrement les bandes de
sauvegarde de la librairie afin de les mettre au coffre ignifugé. Une rotation sur un
ensemble de bandes permet de se prémunir d’un problème sur une bande. La sauvegarde
est effectuée sur les disques du serveur VEEAM avant d’être transférée sur les bandes.
Comme cela les informations sont sur plusieurs types de médias. C’est une
recommandation pour sécuriser ces dernières.
Services réseaux
Sans réseaux, il devient extrêmement difficile de travailler pour un employé. Ces
services sont donc essentiels et critiques pour l’entreprise. Dans les services réseaux, nous
retrouvons les boitiers qui permettent de remplir une fonction mais aussi des services qui
ont été externalisés vers une machine virtuelle dans un CLOUD.
DHCP :
Le service serveur DHCP qui permet de délivrer automatiquement des adresses de
réseaux IP est hébergé sur un serveur HP de génération 6 et sur Windows serveur 2008. Ce
32
serveur qui sert aussi pour le rôle d’annuaire est prévu d’être arrêté au deuxième semestre
2019.
Nous avons installé un nouveau serveur SYT-AD16-A avec le rôle DHCP
serveur. Nous avons commencé par créer la nouvelle étendue pour le réseau de
déploiement des postes de travail puis pour un réseau sans fil de test. Nous allons migrer
les étendues actuelles sur ce nouveau serveur. Il faudra en même temps changer les
configurations de relais DHCP dans la configuration du cœur de réseau.
Ce rôle n’est pour l’instant pas redondé. Nous le ferons dès la mise en place d’un
nouveau serveur AD physique qui sera disponible dès la fin de migration du serveur
physique assez récent YETI. Il n’est donc pas nécessaire d’acheter un nouveau serveur.
Nous aurons ainsi un service plus résiliant à la défaillance d’un serveur. Un document
Excel avec un plan d’adressage global et les réseaux virtuels VLAN a été créé et il permet
de rationaliser et contrôler l’utilisation des adresses réseaux lors de la création de ces
étendues.
PROXY OLFEO :
La fonction de filtrage des pages web à la volée avec une fonction de détection
antivirus sont assurées par le boitier OLFEO. Ce proxy permet de contrôler à la volée les
flux non chiffrés. Nous avons pour l’instant la licence antivirus qui permet l’analyse du
contenu sur les flux non chiffrés. Un rapport hebdomadaire permet de voir les sites web les
plus consultés et les menaces stoppées. C’est une indication sur la tendance sur le flux
internet de l’entreprise. Cet élément est dans une ancienne version et est installé dans un
boitier intégré.
Pour pouvoir mettre à jour la version du logiciel nous sommes obligés de changer
d’équipement. Avec le responsable informatique, nous avons assisté à une présentation
personnalisée par l’éditeur Olféo. Ils nous ont présenté les nouveautés de la dernière
version du produit. La solution est centrée sur la responsabilisation de l’utilisateur. Lors de
la navigation une page web est affichée où l’on peut bloquer ou autoriser la navigation en
avertissant l’utilisateur que ce site internet ne correspond pas à la charte utilisateur de
l’entreprise. Cependant l’utilisateur doit valider ce message. Ce mode permet de dissuader,
de responsabiliser plutôt que d’interdire. Pour l’instant ce point n’est pas prévu dans le
budget de cette année. Il faut que l’on statue quand on peut migrer cet élément et faire un
choix parmi plusieurs technologies. Nous pouvons continuer d’utiliser la version actuelle
en attendant.
Commutateur réseaux :
Concernant les switch réseaux, l’état des lieux fait apparaitre un modèle très
ancien et la majorité des autres qui ne sont plus supportés par le constructeur. Un modèle
de switch Alcatel A6600 et 14 switch Alcatel A6850E sont à changer. Le cœur de réseau
lui est récent et il vient d’être changé l’année dernière pour gérer correctement les besoins
en bande passante de 10 Go/s pour l’infrastructure de virtualisation.
C’est l’occasion de faire le point sur l’évaluation des besoins en interconnexion, le
nombre de ports réseaux nécessaires par étages. Nous avons créé les documents pour situer
33
les locaux techniques dans le bâtiment et un schéma d’interconnexion réseau. Nous
sauvegardons et gardons l’archivage des changements de configuration des commutateurs.
Le responsable informatique étudie les différentes possibilités de remplacement en
intégrant une offre complète dans un marché public. Il est envisagé de faire un
renouvellement sur une période de 4 ans afin d’amortir cet investissement plutôt que de
tous les changer en une fois. Dans l’expression de besoin : il est spécifié de pouvoir
disposer d’une console centrale d’administration des équipements réseaux incluant les
commutateurs, les bornes wifi et le pare-feu.
Nous avons eu une présentation de la solution CISCO Meraki qui peut répondre à
la demande précédente. L’interrogation reste sur le fait que toute l’administration où le
plan de contrôle se fait dans une interface CLOUD. Que se passerait ’il en cas de retard de
paiement ou de problème de connexion vers cette passerelle. Un autre point concerne le
RGPD : est-ce que les données vont rester dans un cloud en Europe ?
Le réseau sans fil ou WIFI :
Le réseau sans fil est divisé en deux parties distinctes : une pour la mobilité des
utilisateurs qui ont un portable et qui peuvent l’utiliser lors des réunions en gardant l’accès
à leur messagerie et dossiers réseau et l’autre pour les visiteurs. Pour l’instant le nom du
réseau ou SSID est annoncé et les données sont chiffrées en WPA2. Il n’y a pas de serveurs
d’authentification par exemple radius ou d’autres mécanismes. C’est un point
d’amélioration à étudier. Un autre réseau sans fil est dédié aux visiteurs et il est isolé du
réseau des utilisateurs et permet l’accès aux sites web et Webmail personnel sur internet
des personnes venant au Sytral en tant qu’invités.
Les autres réseaux sans fil, beaucoup plus dangereux, sont ceux que l’utilisateur
avec son portable pourrait utiliser en mobilité. A un aéroport, un hôtel ou autres lieux
publics, l’utilisateur n’est pas toujours conscient des risques qu’il encourt et fait encourir à
son entreprise. La réponse à ce problème est l’utilisation systématique d’un VPN afin de
sécuriser tout le trafic réseau. L’information de l’utilisateur est nécessaire afin qu’il soit
vigilant. Des rappels avec une périodicité à définir seraient intéressants à mettre en place
afin de réveiller leur attention.
2.3 – Migration de la messagerie Exchange
La dernière migration de la messagerie du Sytral date de 2009. Elle était passée de
la version Exchange 2000 à Exchange 2007. Il devient donc urgent et prioritaire de migrer
d’exchange 2007 vers exchange 2016. Afin de migrer, la messagerie Exchange, j’ai suivi
plusieurs cours sur Alphorm et acheté différents ouvrages sur le sujet. Je suis certifié sur
Exchange version 2003. J’ai aussi effectué des recherches sur internet. Un diagramme de
Gannt présente les grandes étapes de la migration de la messagerie en tenant compte des
dépendances. Le document MS Project enchainement des étapes importantes est présenté
en Annexe 6.
Situation de départ
La version actuelle Exchange 2007 n’est plus supportée par l’éditeur depuis le 11
avril 2017. Il n’y a donc plus de correctifs réguliers ni de support. Pour le service
34
informatique et la direction, c’est un point qui n’est plus acceptable pour assurer la
maintenance de cette application auprès des utilisateurs. Cette infrastructure a été mise en
place en 2009. Avec la supervision des serveurs nous voyons que l’utilisation de la
mémoire sur le cluster qui gère les boites mails arrive à saturation entre 90 et 95 % (Figure
10).
Figure 10 ODIN consommation mémoire
Lorsqu’il s’agit d’un produit d’un éditeur comme ici Microsoft, il est essentiel de se
référer à leurs documentations et de suivre avec attention leur préconisation et prérequis
pour cette opération. [Microsoft-2019]. Les documentations indiquent que l’on ne peut pas
migrer directement de la version 2007 vers la version 2016 d’exchange. Il faut
impérativement migrer en version 2013 puis enlever totalement les serveurs 2007 avant de
pouvoir migrer en version 2016. Il est aussi nécessaire de respecter une version de schéma
de l’annuaire correspondante pour chacune de ces versions et des versions pour les
systèmes d’exploitation serveurs. Nous avons relevé et documenté les versions des
systèmes d’exploitation des serveurs pour Exchange au Sytral (Figure 11).
Figure 11 Exchange 2007 avant migration
35
Nous avons réalisé un premier audit sur les différentes versions d’exchange qui a
permis de révéler la présence d’une anomalie : un serveur Exchange 2000 est toujours
présent dans l’annuaire Microsoft du Sytral et empêche de migrer vers Exchange 2013
(Figure 12).
Figure 12 Liste des serveurs Exchange dans l’AD
Une prestation externe a été commandée pour remettre en bonne et due forme
l’infrastructure. L’opération a permis de reconfigurer le réplica de dossier public vers le
nouveau serveur au lieu de l’ancien. Puis en supprimant l’objet serveur dans l’AD avec
l’utilitaire adsiedti.msc le problème de serveur Exchange 2000 encore présent a été
solutionné.
Choix de l’architecture et préparation
Un choix de design architectural a été retenu pour l’infrastructure intermédiaire
d’exchange 2013. Un suivi de l’utilisation des performances actuelles des serveurs et
l’utilisation du fichier Excel fourni par un expert Microsoft permet de dimensionner les
spécifications pour les serveurs pour avoir des performances acceptables.
Il y a 2 serveurs Exchange 2013 hébergeant tous les rôles de messagerie. Avec les
améliorations de l’éditeur il est possible de cumuler les rôles d’accès client et gestion de
boites aux lettres sur le même serveur. On garde 2 serveurs Exchange pour des raisons de
redondance et pour pouvoir appliquer les correctifs du système d’exploitation sans avoir
d’interruption de service sur le service de messagerie. Nous mettons donc en fonctions le
DAG avec l’installation sous-jacente des services de cluster Microsoft.
Un serveur est physique et l’autre installé sur une machine virtuelle. Cela permet
d’évaluer les performances de la machine virtuelle tout en gardant un serveur physique
surdimensionné (Tableau 4). Il faut bien sûr tenir compte des recommandations de
VMWARE pour le serveur virtuel. Nous avons créé une autre politique SAN pour avoir
des disques complétement remplis au lieu qu’ils soient dynamiques.
Le serveur virtuel SYT-EXCH13-B est placé sur un hyperviseur ESXi où les IOPS
disques ne sont pas trop intenses. On répartit les machines avec des IOPS intensifs entre les
hyperviseurs. Cette évaluation en fonctionnement hybride virtuelle versus physique permet
de trancher la question à savoir si les 2 serveurs exchange en version 2016 seront
uniquement en version machine virtuelle. Car avec les DAG on peut basculer toute la
charge sur la machine virtuelle et ainsi évaluer son comportement en production. Les
prérequis sur Exchange 2013 nous imposent d’installer les systèmes d’exploitation des
serveurs en version 2012 R2. Nous avons installé la version Exchange 2013 SP1 CU 22 (la
dernière version téléchargeable).
36
Spécifications des serveurs Exchange 2013
Nom du serveur SYT-EXCH13-A SYT-EXCH13-B
Modèle HP ProLiant DL380 G9 VMware
CPU 20 cœurs 2 vCPU
Mémoire 96 Go 16 Go
Disque 1 Partition 400 Go NTFS 200 Go NTFS
Disque 2 1,2 To (RAID 1) REFS 1,2 To REFS
Disque 3 et 4 Réserve SPARE NA
Disque réserve 2 X 1 To NA
DAG 1 avec 2 bases 1 avec 2 bases
Tableau 4 : Dimensionnement des serveurs Exchange
Les tailles minimales et maximales du fichier d’échange sont définies sur la
quantité de RAM physique plus 10 Mo, jusqu’à une taille maximale de 32 778 Mo si on
utilise plus de 32 Go de RAM. Soit (12*1024) + 10 = 12 298 Mo pour la VM. Une fois les
serveurs installés en version 2012 R2 et intégrés à l’AD, nous avons appliqué tous les
correctifs de sécurité de l’éditeur. Nous avons vérifié que la licence du serveur est activée.
L’installation des serveurs de messagerie Exchange 2013 ainsi que la mise en redondance
des bases de données avec un groupe de disponibilité ou DAG sont présentées dans
l’Annexe 9.
Migration des boites mails des utilisateurs vers Exchange 2013
A ce stade, on peut migrer les boîtes aux lettres des utilisateurs. On peut le faire par
la console d’administration graphique ou par l’outil PowerShell. Cette étape est planifiée
sur la dernière quinzaine du mois de Juin 2019. Dans la console graphique, on va dans
Récipients puis Migration. On clique sur ajouter puis on sélectionne les utilisateurs à
déplacer vers une base de données différentes. On choisit la boîte mail (ou plusieurs) à
migrer. On peut donner un nom de son choix au lot de migration actuelle. Après, on vérifie
que tout fonctionne pour l’utilisateur et qu’il est bien sur le nouveau serveur. Cette étape
sera pilotée par le responsable informatique qui gèrera la communication pour les
utilisateurs.
En Juillet 2019, nous allons transférer des fonctions telles que les connecteurs de
réception et d’envoi de mail. On vérifiera que les nouveaux serveurs prennent en charge
ces derniers. Tous les services doivent être migrés avant de retirer les anciens serveurs. On
devra alors traiter le serveur Achille pour déplacer l’autorité des certificats.
Suppression des anciens serveurs Exchange 2007
Il s’agit de désinstaller le programme Exchange puis d’éteindre le serveur. Un
lien sur le site de l’éditeur traite ce point :
https://go.microsoft.com/fwlink/p/?LinkId=79246
37
Planification de la migration en Exchange 2016 ou 2019
Une fois migré en Exchange 2013, nous créerons un nouveau mini-projet pour
migrer vers Exchange 2016 d’ici la fin de l’année 2019. Il reste à déterminer si on peut
utiliser 2 VMS pour cette architecture et à déterminer les caractéristiques pour répondre
aux performances nécessaires pour à l’usage de la messagerie au Sytral sur 5 années. Le
dernier Cluster a tenu 10 ans.
2.4 – Services applicatifs
Les applications métiers
CEGID CIVITAS :
La finance utilise l’application Civitas de CEGID. Ce programme a été acquis
initialement en 1997 soit il y a plus de 20 ans maintenant. L’audit des serveurs et de
l’application a permis de produire le schéma Visio de l’application CEGID Civitas (Figure
13).
Figure 13 Application Cegid Civitas
L’application est répartie sur 2 serveurs dédiés qui sont surdimensionnés en
processeurs, mémoire et espace disque en rapport à l’usage qui en est fait. Les deux
serveurs sont installés en Windows 2008. Il faut donc envisager de migrer les applications
avant 2020 (date de fin de support). Le serveur frontal pourra être migré vers une machine
virtuelle. L’éditeur CEGID peut migrer la solution avec des bases de données sous
PostgreSQL et donc sur une VM sans le surcout imposé par l’éditeur Oracle. Le problème
est que le coût important de la migration par CEGID soit accepté par la direction.
38
SIS MARCHES :
Le service des marchés ainsi que les personnes devant lancer une procédure de
demande de création d’un marché public doivent avoir accès à cette application.
L’application est installée sur un serveur version 2012, nous n’avons pas de contrainte
immédiate à migrer cette application. Ce programme a été acquis en 2007 soit il y a plus de
10 ans maintenant.
Après un audit de la configuration du serveur et de l’application, nous avons
produit un document Visio afin de visualiser les flux d’échange entre le serveur et les
postes des utilisateurs (Figure14). Il existe une passerelle spécifique développée entre
l’applicatif CEGID et SIS.
Figure 14 Application SIS marchés
Lors de la prochaine Version majeure de cette application il faudra voir les points
suivants :
Possibilité de passer la base de données de l’application sous PostgreSQL ou
un autre éditeur libre pour diminuer les coûts de la licence et ne pas être
soumis à un changement brusque de politique tarifaire de la part de la société
ORACLE.
Installer l’applicatif sous un système d’exploitation plus récent comme
Windows serveur 2016 dont la durée de support est plus longue.
Prendre en compte les contraintes éventuelles liées à la passerelle vers
l’application CEGID.
Voir le coût de cette migration effectué par l’éditeur de cette solution.
C’est un choix et une décision qui sera du ressort du directeur informatique avec
la direction. Nous n’avons pas de contrainte actuellement à migrer cette application.
39
GTC :
L’application Gestion technique centralisée GTC est utilisée par le service du
bâtiment afin de contrôler le bon fonctionnement des climatisations et chauffage et pour
avoir une alerte en cas de problème.
Un des 2 serveurs est en version 2018, il faut donc l’inclure dans la liste des
applications à migrer et voir avec le prestataire comment on peut envisager l’installation
vers un nouveau serveur. Il faut planifier ce point au deuxième semestre 2019 et voir
qu’elle est l’impact financier et le porter au budget informatique.
ELYX :
L’application ELYX est installée sur une machine virtuelle en Windows serveur
2012 R2 sur le serveur Titan. Cette application a été migrée cette année en Mars sur 2
serveurs virtuels Windows 2016. Un prestataire externe a effectué la migration. Le
responsable informatique a préparé les 2 serveurs.
L’intérêt est double : on passe du serveur TITAN en Windows 2012 R2 en version
2016. Et surtout on migre les données d’un serveur oracle vers une solution PostgreSQL.
Pour ce cas la société en prestation a des licences EMBEDED pour la partie Oracle sur
l’ancien serveur. Mais au vu des changements soudains de politique de licence de cet
éditeur nous avons migré la base sur une version en logiciel libre. On se préserve de risque
à venir. De plus pour l’instant il n’y a que quelques utilisateurs pour ce système. On n’a
pas besoin de l’artillerie lourde pour si peu. On trouve pour moins chère et plus facilement
la compétence sur PostgreSQL que sur Oracle.
Le déploiement des postes de travail pour cette application est documenté et
n’exige plus une prestation externe pour réinstaller ou déployer un nouveau poste. C’est un
gain financier en autonomie. La migration de cette application est terminée.
PEGASE :
L’application PEGASE concerne les transports scolaires des cars du Rhône. Du
point de vue du règlement RGPD les données concernant des adolescents peuvent être
sensibles. Il est donc important d’avoir ce point en tête et rester vigilants lors de l’audit et
d’une migration. L’audit externe RGPD donnera ses conclusions sur ce qu’il faut modifier.
L’application est installée sur un unique serveur physique qui est surdimensionné
en processeurs mémoire et espace disque pour l’usage actuel. Le serveur est installé en
version Windows 2008 R2. L’éditeur annonce une fin du support au 14 janvier 2020. Il
faudra donc prévoir de migrer les applications du serveur assez rapidement. Nous devons
statuer au deuxième semestre de l’année 2019.
Une autre contrainte est encore l’utilisation d’une base oracle en version 11 pour
héberger les bases de données production et test de cette application. Elles sont sur un
serveur physique mais le but serait de transférer le logiciel sur un serveur virtuel afin de
consolider et harmoniser l’infrastructure.
40
RH :
Les logiciels des ressources humaines sont sur le même serveur que le logiciel
PEGASSE. L’application CEDIT Marianne s’occupe de la gestion de la paie des agents, du
suivi des formations professionnelles, du suivi des congés, du suivi de carrières et des
déclarations de fin d’année. Le serveur est installé en version Windows 2008 R2. L’éditeur
annonce une fin du support au 14 janvier 2020. Il faudra donc prévoir de migrer les
applications du serveur assez rapidement avant la fin cette année.
BADGE :
Une prestation externe a en charge de faire évoluer l’application ainsi que les
équipements contrôlant les badges donnant l’autorisation d’accès. Nous allons suivre et
être en support sur ce projet. Les dispositifs de scan des badges sont câblés en direct. Il est
prévu de les passer en IP. La machine gérant les badges est obsolète et va être remplacée.
Concernant l’application Kelio pour les horaires de travail des employés, elle est
installée sur le contrôleur de domaine ZEUS. Ce serveur est en Windows 2008. Le serveur
doit être arrêté cette année. Il faut donc migrer cette application sur une machine virtuelle.
Nous allons voir si une prestation externe est nécessaire sur le deuxième semestre 2019.
Revue de presse :
L’application News clip est un logiciel de PAO pour la revue de presse.
L’application Alexandrie sert de gestion de document électronique GED et pour la revue
de presse. La personne en charge de la revue de presse scanne des documents sur un
copieur multifonction sur un dossier réseau sur ce même serveur YETI. L’application pour
la revue de presse est installée sur le serveur YETI. Ce serveur est en version 2008. Nous
allons étudier la migration de cette application sur le deuxième semestre 2019.
Les applications bureautiques
Cette catégorie d’applications concerne les suites logicielles installées sur les
postes de travail des utilisateurs comme la suite Office 2013 ou l’application pour lire les
fichiers PDF. Dans le cadre de la migration vers exchange 2013, le prérequis est d’avoir au
moins la version Outlook 2010. Au Sytral, l’ancien responsable informatique avec la
direction ont décidé de déployer la version Office 2013 afin d’avoir un parc logiciel
homogène sur l’ensemble des postes et ainsi limiter le nombre de dossiers d’incidents liés à
l’incompatibilité de versions de documents.
La mise à jour régulière de ces suites bureautiques tant avec des correctifs pour
office qu’avec des mises à jour avec adobe Acrobat Reader ou adobe flash Player sont très
importantes pour se prémunir des failles de sécurité dans le code de ces logiciels. Nous
avons amélioré la lisibilité avec la mise en place de l’inventaire du parc sur la plateforme
GLPI et de l’inventaire FUSION. Nous pouvons lister les versions installées sur notre parc
et vérifier la conformité du nombre de licences. Nous pouvons aussi connaitre les postes de
travail sur lesquels une nouvelle version doit être installée pour des raisons de problèmes
de sécurité.
41
2.5 – Projets externalisés
Le service informatique a eu à suivre les projets principaux suivants en lien avec
des prestataires externes sur 2017 et 2018.
Migration du filtrage Mail In Black
Historiquement, le système de filtrage des spams pour la messagerie du Sytral
comprenait 2 anciens serveurs IBM en DMZ avec une installation Unix de l’éditeur Mail
In Black (Figure 15).
Figure 15 Mail In Black en 2017
Avec la nouvelle version de ce produit, il a été décidé de migrer l’applicatif dans un
cloud appartenant à l’éditeur. Pour commencer la migration, la société Mail In black a
installée ses serveurs dans son cloud privé. Le prestataire a ensuite synchronisé la
configuration avec les serveurs encore présents en DMZ. Nous avons changé les règles de
pare-feu afin de permettre les nouveaux flux en étant le plus restrictif possible.
Le jour de la migration, nous avons fait les demandes auprès de la société
responsable de la zone DNS publique pour modifier les enregistrements DNS afin que le
flux des mails entrant vers le Sytral passe par le nouveau serveur (Figure 16). Ensuite nous
avons validé le bon fonctionnement par une série de test.
Figure 16 Enregistrements DNS publics
42
Le nouveau système est mis à jour régulièrement par Mail In Black. Il est possible
de générer des rapports planifiés par l’interface. L’utilisateur est autonome pour débloquer
ses mails en se connectant à son interface web. Cet élément filtrant des pourriels est très
efficace et nous évite pas mal d’administration au service informatique. Un onglet virus
permet de distinguer les mails dangereux. Pour rappel, les mails sont un vecteur important
de menaces.
Migration du pare-feu
Le pare-feu de marque Juniper n’était plus sous support constructeur en 2021 mais
il était d’une technologie vieillissante. L’ancien DSI a décidé de remplacer cet élément sur
l’année 2018 juste après le projet d’externalisation de Mail In Black. C’est un prestataire
de service qui a réalisé la migration. La migration a commencé par une réunion de
lancement du projet pour répartir les rôles et tâches. Les étapes de la migration ont été
établies. La migration effective s’est passée entre 12 et 14h.
Les tests de bon fonctionnement ont été réalisés. L’installateur est resté disponible
en cas de besoin. L’impact a été la nécessité de changer le client VPN sur tous les postes
concernés. Dans un premier temps les règles de filtrage ont été reprises à l’identique pour
ne pas faire deux changements en même temps. Un transfert de compétence rapide sur
l’utilisation de la console a été réalisé. La migration s’est bien passée du point de vu
impact sur les utilisateurs.
Infrastructure de virtualisation VMware
La volonté de la direction est de pourvoir aux futurs besoins de volumétrie pour les
utilisateurs et les futurs projets et de rationaliser le coût des serveurs physiques. Pour
parvenir à cet objectif, un marché pour une prestation de service a été lancé. Après la
publication officielle du marché, 3 sociétés ont répondu à cet appel d’offres. Elles ont
remis un document de réponse. Après l’analyse des offres, la société Chéops a été
sélectionnée afin de mener ce projet d’installation d’une infrastructure virtualisée VMware.
Figure 17 Ancien Serveur ESXi
Dans la situation de départ nous avions un seul hyperviseur qui hébergait 7 serveurs
virtuels (Figure 17). Cette situation ne tolèrait aucune panne matérielle ou logicielle de
l’hyperviseur. On pouvait donc perdre 7 serveurs d’un coup.
43
En amont de ce projet un commutateur réseau qui est devenu le nouveau cœur de
réseau a été installé conjointement avec le prestataire SYBORD. Ce commutateur
redondant permet de connecter les cartes réseaux des ESX en 10 Go par seconde. C’est
nécessaire pour la technologie VSAN qui doit répliquer les informations de volumétrie
disque entre les hyperviseurs ESX afin de permettre la redondance et la perte d’un ESX.
Le projet géré par le prestataire externe a mis en place une infrastructure de
virtualisation basée sur les technologies de l’éditeur VMware. Les machines virtuelles
permettent de rationaliser les ressources et de diminuer les coûts avec moins de câbles
réseaux, avec donc, moins de commutateurs réseaux. Ce projet permet aussi de retrouver
beaucoup d’espaces disques pour les futurs besoins en capacité de stockage pour les
données et applications des utilisateurs. Le projet s’est articulé en plusieurs phases et a
commencé par une réunion de lancement en Juillet 2018. Puis le matériel a été réceptionné
directement dans nos locaux avant d’être installé dans le rack des serveurs.
Au préalable, nous avons dû déplacer et sortir des serveurs migrés auparavant
pour faire de la place dans le rack. J’ai préparé la configuration du cœur de réseau suivant
les besoins décrits par le consultant chargé de l’installation. Nous avons réservé et donné
aussi toutes les adresses IP nécessaires ainsi que le nom des machines. Le prestataire a
installé et configuré les éléments de l’infrastructure dont le serveur et la librairie de
sauvegarde.
Après avoir validé un état fonctionnel correct des nouveaux hyperviseurs, les 7
machines virtuelles présentes sur l’unique ESXi ont été migrées par lots sur la nouvelle
plateforme. Les stratégies de rotation des sauvegardes ont été validées par le responsable
informatique. A l’issue de chaque migration des tests fonctionnels applicatifs ont été
réalisés avec des utilisateurs clefs. Puis l’ancienne machine est restée éteinte.
Ensuite, le prestataire a fourni les documentations et a fait un rapide transfert de
compétence. La recette technique puis la validation de bon fonctionnement de service
régulier ont été validées. Le retour sur ce projet est positif et les opérations se sont bien
déroulées. Depuis, nous avons pu ajouter facilement et surtout très rapidement de
nouveaux serveurs. C’est l’un des avantages des infrastructures virtualisées.
Situation après :
Réparties sur 4 hyperviseurs ESXi, les machines virtuelles supportent la perte
d’un ESX sans rupture de service (Figure 18). Le cluster est de type HA ou haute
disponibilité. En cas de panne sur un ESXi les machines virtuelles hébergées sur ce dernier
sont alors redémarrées et sont réparties sur les ESXi restants. Cette procédure est
automatique et sans intervention humaine. Une coupure de service reste perceptible par les
utilisateurs mais le temps d’indisponibilité est réduit.
A noter qu’il serait possible d’avoir un cluster de type FT ou tolérant à la faute.
Les machines seraient replacées sans aucune interruption sur les autres membres du
cluster. Cependant il faudrait acheter la licence entreprise qui coûte beaucoup plus chère. Il
reste aussi des limites comme le nombre de CPU sur la VM et le fait que les ressources
sont consommées sur 2 machines en permanence au lieu d’une seule afin d’avoir un
serveur prêt à prendre le relais en cas de défaillance.
44
Figure 18 Nouvelle Infrastructure Virtualisée
2.6 – Bilan des premières migrations et évolutions
Le projet d’externalisation de la fonction anti spam Mail In Black s’est bien passé.
Les utilisateurs n’ont pas été impactés par des problèmes suite à cette migration. Le projet
de changement de pare-feu par un nouveau modèle s’est bien passé pour les mêmes
raisons. Cependant la première phase était de reprendre les mêmes règles et paramètres
afin de ne pas changer plusieurs choses en même temps. Une deuxième phase a été de
revoir les accès qui ne sont plus justifiés à ce jour. Nous prévoyons de faire une revue de
configuration selon une périodicité définie afin de s’assurer que l’on vérifie régulièrement
la justification des flux qui sont autorisés.
Le projet de virtualisation a permis d’offrir l’espace disque nécessaire pour installer
de nouveaux serveurs et de migrer les applications et services de serveurs obsolètes et qui
n’avaient plus de correctifs de sécurité. Nous avons aussi la possibilité de déployer très
rapidement de nouveaux serveurs sans attendre la validation et le délai de livraison des
commandes de matériels. On constate l’augmentation du nombre de serveurs parce qu’avec
la virtualisation il est plus beaucoup facile de déployer de nouveaux serveurs. Il sera aussi
plus aisé de mettre en place un site de secours pour les applications critiques en cas de
défaillance avec les technologies de virtualisation.
Le projet de migration des serveurs où sont stockés les partages des fichiers des
utilisateurs exige de remettre à plat le nommage et les droits sur les dossiers et les fichiers.
On perd du temps par rapport à faire une simple copie des données vers un nouveau
serveur, mais on gagnera en lisibilité et efficacité pour tous en prenant le temps de faire le
point avec les directions.
45
La migration de la messagerie est presque terminée. La migration des boites aux
lettres sur les nouveaux serveurs est une tâche simple et bien identifiée. C’est surtout de la
communication avec les utilisateurs. Une fois les fonctions des serveurs Exchange 2007
migrées nous pouvons les désinstaller et commencer à travailler sur la migration vers
Exchange 2016 ou 2019.
La mise en fonction de nouveaux services tels que la gestion de ticket d’incident
GLPI et l’inventaire des logiciels du parc sont essentiels pour une bonne gestion du service
informatique. La mise en service de la supervision avec EON permet d’avoir une vision
rapide du bon fonctionnement des serveurs. Il reste à définir des modèles plus spécifiques
que les modèles par défaut afin d’augmenter la finesse de la supervision par exemple en
vérifiant l’état des services et de l’état du réseau. De même un travail de réflexion autour
du dossier de stockage des documents du SI et la création de nombreuses procédures
permettent de structurer les processus nécessaires à l’amélioration du bon fonctionnement
du SI. Nous continuons à l’enrichir.
Il reste à définir comment nous allons migrer les applications métiers qui sont
gérées par des sous-traitants car les systèmes d’exploitation Windows serveur 2008 seront
en fin de support en 2020. Il faut que l’on traite ce point en avance de phase afin que l’on
soit prêts pour l’année prochaine.
Nous explorons la solution qui pourra remplacer le service de téléphonie. Nous
envisageons de migrer le service dès 2020. La mise à jour de ces systèmes participe à
l’amélioration de la sécurité. La prise en compte plus spécifique du durcissement de la
sécurité fait l’objet du prochain chapitre.
46
Chapitre 3 : Sécurisation du système d’information
La sécurité des systèmes d’informations et des données personnelles des citoyens
devient un enjeu de plus en plus majeur. De plus en plus d’incidents de piratages de
l’informatique de sociétés sont révélés dans les médias. Nous constatons surtout que leurs
nombres augmentent et touchent de plus en plus de monde. Les pirates eux-mêmes se
structurent en bandes organisées et ils ont des motivations d’origines diverses.
La sécurité doit être au cœur des préoccupations des entreprises qui gèrent les
données personnelles. Les sanctions, suite aux nouvelles lois du règlement général de la
protection des données ou RGPD peuvent être très lourdes : jusqu’à 20 millions d’euros ou
4 pourcent du chiffre d’affaires annuel mondial. [CNIL-2019].
La sécurisation d’un système d’informations doit être évaluée dans sa globalité. Il
faut considérer chaque élément comme faisant partie d’une chaîne et dont la robustesse de
l’ensemble des maillons est nécessaire pour assurer une sécurité minimale. Le spectre à
couvrir est très large et va de la bonne formation et information des utilisateurs en passant
par la sécurité physique, le contrôle des accès et l’application de bonnes pratiques. C’est
surtout une vigilance et un contrôle pour s’améliorer de manière continue.
Les techniques pour tenter de pirater les systèmes informatiques évoluent sans
cesse et dépendent de la motivation et de l’inventivité des attaquants. Il est donc essentiel
de s’informer et d’organiser une veille sur la sécurité informatique. Les activités de
piratage sont pour la plupart dans un but lucratif mais sont très destructrices pour
l’entreprise. Une autre conséquence pour l’organisation est l’impact sur la réputation et la
perte de confiance de ses clients.
Nous entamons notre sécurisation par la connaissance des menaces puis par des
corrections rapides palliatives. Nous examinons ensuite une revue sur les normes dans le
domaine de la sécurité. Nous planifions ensuite les projets à mener pour renforcer la
sécurité avant de conclure. Les choix sont dépendants du compte rendu qui va être donné
sur la prestation externe sur notre conformité au RGPD.
3.1 – Revue des menaces et des risques
Le but dans un premier temps est de faire une revue concrète des tendances sur les
menaces mondiales qui peuvent nous atteindre. C’est l’environnement externe auquel le
Sytral doit faire face. Les objectifs sont de se rendre compte des risques encourus et de
chercher à connaître les instigateurs de ces menaces afin de se préparer en conséquence.
Avant de penser à protéger des systèmes et des personnes il faut commencer par savoir
quels sont les types de risques et leur probabilité de survenir. La connaissance, pour moi,
47
est le premier pas à faire dans le domaine de la sécurité. On peut aussi privilégier de se
protéger des risques les plus importants ou les plus probable pour le Sytral. Il est important
de faire une veille sur les nouvelles menaces et techniques. Pour connaitre l’état des
menaces, des entreprises éditent des rapports annuels. Il est intéressant de démarrer par la
lecture de ces derniers.
Le rapport Thales 2018
Si on commence par le Rapport Thales qui s’appuie sur des données du web et des
entretiens téléphoniques sur près de 1200 cadres supérieurs dans différents pays du monde.
Les entreprises comptent investir beaucoup plus dans la sécurité. Dans les personnes
interrogées qui ont connu une brèche dans la sécurité de leurs données : ils sont 21 % en
2016, 26 % en 2017 puis 36 % en 2018. Nous constatons une augmentation des attaques
réussies envers des entreprises.
Dans les questionnaires, les raisons données par les cadres pour ne pas investir
dans la protection des données sont :
Peur d’un impact négatif sur les performances et les processus de l’entreprise.
Complexité de mise en œuvre.
Le besoin ne se fait pas sentir
Manque de budget
Faible priorité et pas d’appui de la direction
A l’inverse, les motivations pour dépenser en sécurité des données sont :
Eviter les pénalités financières dues aux attaques. RGPD et autres.
Se conformer aux politiques.
Préserver la réputation de l’entreprise.
Prérequis pour faire des affaires avec d’autres entreprises.
L’exécution d’une directive de la direction.
L’entreprise a déjà subi une attaque.
Avantages compétitifs.
Il ressort aussi que l’internet des objets est une cible privilégiée des pirates. Les
smartphones deviennent des cibles de choix du fait de leur usage par rapport aux paiements
et qu’ils détiennent des données personnelles.
Le rapport Cisco 2019 : défense contre les menaces critiques d’aujourd’hui de février
2019
Le rapport présente les faits suivants :
Le courriel est le mode de transmission préféré des pirates.
L’argent est la première motivation des attaques.
L’exfiltration ou le cryptage des données contre rançon reste en vogue.
Une nouvelle menace est le crypto minage de monnaie à l’insu de l’utilisateur
(Figure 19).
48
L’internet des objets est la cible de Botnet comme MIRAI qui utilise les objets
connectés compromis pour faire des attaques par déni de services.
Figure 19 Instantanée des incidents de sécurité depuis Juillet 2018 [CISCO-2018]
Les RATs dans la figure 29 ci-dessus sont des logiciels ou des outils pour prendre
le contrôle à distance de la machine infectée. Les pirates créent des outils pour faciliter
leurs attaques. Il arrive même qu’ils commercialisent des logiciels malveillants sous forme
de royalties en monnaie Bitcoin.
Le rapport Kaspersky 2018
Dans ce rapport, il est dit que les attaques sont plus sophistiquées et ont plus
d’impact financier. Le coût moyen est en hausse (Figure 20). Les budgets alloués à la
sécurité sont en hausse pour toutes les tailles d’entreprises.
Figure 20 Cout moyen des attaques
Les données en Annexe 11 (rapport Type de violations de données) sont
intéressantes. Elles mettent en lumière la nécessité de s’assurer que les tiers hébergeant nos
données doivent aussi être impliqués dans la sécurité. Il faut avoir une vigilance en interne
dans notre SI mais ce n’est pas suffisant car les données de l’entreprise vont au-delà des
murs de la société.
Connaître les acteurs des actes de piratage
Les pirates informatiques ont des buts et des moyens différents. On commence
avec des adolescents qui se baladent sur la toile et tombent sur des sites où ils peuvent
49
télécharger des logiciels prêts à l’emploi pour réaliser des attaques informatiques. Nous
avons à faire à une population qui n’a la plupart du temps aucune réelle compétence
informatique et qui lance des attaques par défi et par jeu. Il n’empêche que cela a un
impact financier et sur la réputation d’une entreprise si l’une de ces tentatives réussies.
Après nous passons à des personnes qui ont une motivation personnelle pour
mener ces méfaits. Cela va de l’activiste écologique en passant par les personnes
antisystème ou pour une vengeance personnelle.
Un autre moteur est l’appât du gain financier. Nous retrouvons là des personnes
seules ou qui se regroupent pour organiser et planifier leurs actions de manières plus
structurées. On reste dans des attaques ponctuelles.
Le dernier groupe attrait à l’intelligence économique avec des moyens et une
structure bien plus élaborée. On parle de groupes gouvernementaux à la frontière des
cyberguerres. Il en existe en Chine, en Russie et dans d’autres pays. On parle d’APT ou de
menace persistante avancée. [PERNET-2015]
Ces groupes sont très organisés et structurés. Des équipes spécialisées ont pour
missions de mener une partie de l’attaque qui est en plusieurs phases. Il y a la phase de
reconnaissance et de collecte de données puis la phase de compromission et d’infiltration.
Le but est ensuite de se déplacer de manière transverse dans les différents systèmes en ne
laissant pas de trace et pour avoir différents points de compromission pour garder un accès
à l’intérieur de l’infrastructure de la cible. Ensuite des personnes sont chargées de
sélectionner les données intéressantes afin de les exfiltrer. [PERNET-2015]
La différence se situe essentiellement par la volonté de rester en dessous des
radars et de ne pas se faire remarquer. Le deuxième point est que l’on fait face à des
experts du métier et il est donc plus difficile de repérer ces intrusions et de les éradiquer
complétement.
Connaître les techniques employées pour les attaques
L’attaque le plus souvent commence par un mail qui ressemble de plus en plus
aux mails que l’utilisateur peut recevoir habituellement. Les mails sont très incitatifs et ils
contiennent de moins en moins de fautes d’orthographe. Le but est que l’utilisateur clique
sur un lien internet vers un site web qui contient le malware. Il est aussi possible que le
mail contient une pièce jointe qui peut au final lancer la connexion sur un site web distant
pour infecter l’équipement de l’utilisateur ou alors la pièce jointe contient le virus lui-
même.
Une autre technique est de laisser trainer des clefs USB sur le parking d’une
entreprise afin qu’un bon samaritain l’exécute sur son poste afin d’identifier le propriétaire
pour lui rendre son bien. Et voilà le programme malveillant qui a accès au réseau de
l’utilisateur. On apprend même comment le faire dans certain ouvrage. [KAPFER-2013]
Il existe aussi la technique de compromettre le code des pages web du site d’une
entreprise partenaire afin d’infecter la société ciblée en réalité. D’autres pirates utilisent
des techniques obligeant à se rapprocher de leur cible. Ils peuvent tenter de faire une
attaque sur les communications sans fil avec une attaque du type Man In The middle. Le
50
trafic complet est détourné et l’utilisateur ne se rend compte de rien. Ce n’est qu’un
exemple parmi tant d’autres.
Dans les attaques plus élaborées, le piratage commence par la recherche
d’informations puis se poursuit par la compromission puis la recherche de droits avec
privilège en se déplaçant latéralement sur les autres postes à la recherche de données à
exfiltrer et il faut enfin effacer les traces de ces méfaits. [PERNET-2015]
Maintenant que l’on en sait un peu plus, nous pouvons passer aux contre-mesures.
Il faut garder à l’esprit que l’on ne peut pas instantanément se protéger de tous les types de
menaces. C’est un processus long où l’on met des éléments en place puis on progresse pour
s’améliorer. Il faut bien commencer quelque part pour acquérir sa maturité. La première
phase sera donc la formation et l’information pour éviter certaines attaques.
3.2 – Formation des utilisateurs
L’utilisateur est très souvent le premier élément dans la chaîne de la sécurité.
C’est lui qui peut faire entrer un virus facilement derrière les protections tel que le pare-feu
que des administrateurs ont mis en place pour protéger l’établissement de l’internet. Un
simple clic dans un mail ou bien le bon Samaritain qui récupère une clef USB qu’il va
explorer pour en retrouver le propriétaire suffisent pour être infectés par un logiciel
malveillant ou « malware ».
Il faut faire en sorte que l’utilisateur soit une aide pour sécuriser le système
d’information plutôt qu’il soit l’instrument au service des pirates. La différence se fait par
l’information et la formation. Il doit être acteur.
La première action est de se concerter avec le service de la communication de
l’entreprise pour éditer des articles sur les bonnes pratiques régulièrement mises à jour sur
l’intranet. Les informaticiens doivent être disponibles un minimum en cas de doute des
employés par rapport à une menace ou pour répondre aux questions. Sinon les employés se
désintéresseront d’être des acteurs de la sécurité puisque l’on ne prendra pas le temps de
les écouter. Au sytral nous allons commencer la communication autour du risque des 2
principales menaces que sont la clef USB et les mails. Nous attendons le retour sur le
RGPD pour organiser les actions et la communication. Nous planifions ce point sur le
deuxième semestre 2019. Il est possible que la direction commande des formations internes
sur le sujet. Nous devons donc agir de manière coordonnée.
Un autre aspect est la responsabilisation des employés sur l’usage de l’accès
internet avec une charte informatique. Le proxy de l’entreprise peut aider avec des
messages d’avertissements en cas de visites de site internet suspicieux. L’utilisateur devra
répondre oui pour continuer vers un site louche. Cet acte l’engage car il le fait en
connaissance de cause en ignorant une alerte. C’est un dispositif de dissuasion. Cela
n’empêche pas d’élaborer différentes possibilités et support de communication pour
renforcer la sécurité avec le concours des utilisateurs du SI du Sytral.
Des séances de présentation avec des documents PowerPoint en interne peuvent
être envisagées surtout pour sensibiliser différents acteurs de l’entreprise. Prioritairement il
faut cibler les individus choisis dans les attaques de social engineering, les personnes de
l’accueil et les assistantes dans les différentes directions. Une première présentation doit
51
être adaptée pour les personnes de la direction afin qu’elles soient informées des risques
encourus pour l’entreprise et qu’elles puissent soutenir les actions d’amélioration de la
sécurité. Sans l’engagement de la direction, nos actions risquent de ne pas être légitimes et
l’impact sera bien moindre sur les employés qui ne se sentiront pas obligés de suivre et de
respecter les consignes de sécurité mis en place. [FERNANDEZ-TORO-2016]
3.3 – Etat des lieux, revue des comptes et des configurations
Pour les premières actions de sécurisation, le service informatique a fait un point
sur les droits d’accès des utilisateurs. Certains droits sont encore existants à cause d’un
historique. La revue des comptes utilisateurs a permis de désactiver les accès obsolètes qui
ne pourront donc pas être utilisés par un pirate ou une personne mal intentionnée. La revue
de la configuration des éléments réseaux ou des applicatifs permet de diminuer la surface
d’attaque en désactivant des services qui ne sont pas ou plus utilisés. Il est aussi possible
d’implémenter des protocoles réseaux plus sécurisés.
Comptes d’annuaire AD
Quand les utilisateurs ne font plus partie de la société, il est important de retirer les
droits d’accès liés à son compte. Pour cela le service des ressources humaines informe le
service informatique de chaque départ afin de limiter les accès non nécessaires. Les autres
types de comptes sont les comptes administrateurs locaux des serveurs, les comptes de
services, de connexion LDAP et des comptes administrateurs pour que les prestataires
puissent intervenir pour maintenir leurs applications.
Un script en PowerShell permet d’éditer la liste de tous les comptes présents dans
l’annuaire avec des informations complémentaires utiles pour savoir s’ils sont actifs, la
date de leur dernier changement de mot de passe et les groupes de droits d’accès. Un point
est fait avec les ressources humaines puis avec chaque directeur de service pour statuer.
Nous pouvons même voir le compteur des échecs de connexion des utilisateurs ce qui nous
donne une indication sur les tentatives de découvertes non autorisés du mot de passe d’un
compte utilisateur.
Lors de l’installation des équipements quels qu’ils soient, nous changeons les
comptes et mots de passe par défaut. Il est très rapide de trouver ces informations sur
internet. C’est la première chose que les pirates vont tenter d’essayer afin d’avoir un accès
aux systèmes.
Comptes Applicatifs
A l’intérieur de certaines applications il est possible de gérer les droits d’accès des
utilisateurs. Afin de garantir la traçabilité des comportements de chaque utilisateur
notamment en cas de suppression de données, il faut que l’on ne puisse pas deviner
simplement ou connaître le mot de passe de l’accès. Il faut aussi que la journalisation soit
activée. Il faut faire le point avec les administrateurs des comptes applicatifs et s’assurer
qu’ils comprennent bien les enjeux. Nous avons listé dans un fichier Excel les applications
qui comportent des comptes applicatifs avec le nom des administrateurs de ces comptes.
52
Un autre point est la façon dont l’application stocke les mots de passe. Dans les
anciennes versions les mots de passe sont stockés en clair. La bonne pratique est au moins
de privilégier le stockage du hachage du mot de passe plutôt que ce dernier.
Pour d’autres applications, il est possible de mettre en place un connecteur LDAP
qui permet l’interconnexion avec l’annuaire AD. Ainsi le mot de passe n’est pas stocké
quelque part dans l’applicatif. C’est le choix que l’on a retenu pour le logiciel GLPI de
gestion des tickets d’incident. Il est possible de mettre en place le SSO pour que
l’utilisateur n’ait plus à ressaisir son login et mot de passe à chaque connexion.
La mise en place du SSO par exemple pour Elyx ne sera pas implémentée tout de
suite. Il faudra attendre la prochaine montée de version de l’applicatif afin que cette
fonctionnalité soit bien gérée. Le but est de planifier ce point dès que cela est possible lors
d’une prochaine migration applicative.
Comptes VPN
L’ensemble des utilisateurs devant avoir accès au réseau du Sytral par le VPN a été
revu. Les accès inutilisés ont été supprimés. Cette revue de compte est organisée de
manière récurrente afin d’augmenter la sécurité. Le responsable informatique se coordonne
avec la direction des ressources humaines.
Les accès au réseau du Sytral depuis l’extérieur doivent être motivés par un besoin
justifié par la mission des employés et doivent être approuvés. Ce point est contrôlé avec le
responsable du service de la personne qui en fait la demande. L’accès au travers du VPN
est sensible car il permet à un utilisateur de connecter son ordinateur comme s’il était dans
l’entreprise. Il faut donc que cet ordinateur soit professionnel et mis à jour pour l’antivirus
et les correctifs de sécurité du poste.
Accès des prestataires
Les accès à distance ou sur place des prestataires doivent se limiter au strict
nécessaire afin de remplir leurs missions. Une liste des accès a été écrite. Les accès sont
donnés lorsque le besoin est motivé par la nécessité de la résolution d’un incident pour les
utilisateurs.
Les comptes créés sont dédiés et ils répondent à des critères de longueur et de
complexité minimum. La portée de ces comptes est limitée au serveur local. Nous avons
repris petit à petit avec les migrations la configuration et l’étendue des comptes utilisés
pour ces besoins applicatifs. Les accès sont donnés quand c’est nécessaire et coupés
immédiatement après.
Commutateurs réseaux
Les éléments réseaux sont dans des locaux techniques fermés à clef. Sans réseau, il
va sans dire que l’on immobilise la totalité du système d’information qui est hébergé au
Sytral. L’impact serait du niveau le plus critique pour l’entreprise.
Nous avons revu la configuration des commutateurs réseaux. Nous avons enlevé
certains réseaux privés virtuels ou VLAN qui n’ont pas l’utilité à être présents sur certains
53
commutateurs. De nouveaux VLAN ont été créés afin de segmenter le réseau. Cette action
permet d’isoler des équipements en dehors du réseau accessible directement par les
utilisateurs. C’est une petite protection supplémentaire car cela évite l’usurpation de la
passerelle au niveau 2 si un pirate envoie des paquets arp aux équipements afin de
détourner le trafic réseau à destination de la passerelle.
Nous avons créé un réseau VLAN nommé poubelle qui permet de mettre tous les
ports d’un switch dans ce réseau non routé. Ce VLAN n’est pas autorisé à être propagé
vers les autres commutateurs. Ainsi si une personne trouve une prise réseau libre il sera
cloisonné dans ce réseau et ne pourra pas pirater les autres communications.
A chaque changement de configuration, on archive une sauvegarde des
équipements. Ces changements sont documentés dans les tickets GLPI afin de garder la
trace des actions et ainsi revenir dans le temps quand un problème peut être lié à un
évènement. Les actions d’audit menées ont permis d’établir la cartographie des réseaux et
son cloisonnement.
Pare-feu
Nous avons réalisé un audit de la configuration du pare-feu afin de retirer des
éléments historiques qui ne sont plus justifiés. Nous avons créé les documents Visio par
applications afin d’en faciliter la lecture. La revue de configuration régulière permet de
voir si on a oublié de retirer un élément qui n’est plus utile à un instant T.
A un instant donné, on prend la configuration des différents éléments. On regarde la
configuration des règles de NAT, les règles de filtrage, les étiquettes des éléments et la
partie réseau routé sur le routeur virtuel. On fait le lien entre les différentes règles en se
basant sur la direction des flux entre zones (Figure 21). Le pare-feu définit des zones qui
sont : confiance (TRUST), DMZ, non sûr (UNTRUST). On traite les flux par zone : de
TRUST vers UNTRUST, de TRUST vers DMZ, de UNTRUST vers DMZ. Le but est de
contrôler toutes les combinaisons afin de traiter tous les cas de figure.
Figure 21 Zones définies sur le pare-feu
54
Le pare-feu est un des éléments de protection les plus sensibles. C’est pour cette
raison qu’aucun document pouvant donner des informations pour nous attaquer ne sera
fourni dans ce mémoire. Il en va de notre sécurité. Seul un document générique en trace de
grand principe pour expliquer la démarche pour sécuriser cet équipement est présent.
Réseaux sans fil ou Wifi
Le réseau sans fil est un réseau plus sensible que le réseau filaire. Car contrairement
au réseau câblé, les informations sont transmises dans l’espace qui entoure les bornes
d’accès. La portée du signal de communication est limitée mais il est toujours possible aux
pirates informatiques d’utiliser des antennes YAGI qui sont capables de capter un signal
plus faible. De plus le Sytral est localisé sur une cour qui est entourée de logements habités
par des particuliers et à proximité des lieux de forts passages comme le centre commercial
et la gare de la Part Dieu. C’est un risque à prendre en compte.
Un grand nombre d’attaques existe sur le réseau wifi. Par exemple, en envoyant
des paquets de dé authentification avec les outils adéquats, il est possible de casser le
chiffrement. Il existe des solutions toutes prêtes téléchargeables depuis internet. On peut
prendre l’exemple de la distribution KALI LINUX qui regroupe tous les outils à mettre en
œuvre pour tenter de pirater les réseaux. C’est le même système qui permet à ceux qui sont
chargés de tester la sécurité lors d’audit.
Il faut prévoir de renforcer la sécurité sur la partie WIFI avec un mini projet sur le
deuxième semestre 2019. Nous pensons à la mise en place d’un serveur Radius. Nous
attendons les conclusions de la prestation externe sur le RGPD pour établir la liste des
actions de sécurisation à mettre en œuvre avec une priorisation des tâches.
Circuit d’intégration des ressources humaines
La procédure d’accueil des nouveaux arrivants implique des actions sous-jacentes
entre différents services. Afin que tout soit disponible et prêt lorsqu’un nouvel employé
arrive, il faut avoir approvisionné du matériel qui correspond au besoin du poste pourvu. Il
faut que le compte et les droits d’accès au réseau soient identifiés par les responsables
concernés. C’est donc un ensemble de processus à mettre en œuvre. Cela exige de la
communication et de la coordination afin que tout se passe bien. Pour remplir ces finalités,
le service informatique est dans la boucle au plus tôt. Il en va de même lorsqu’un employé
part de la société.
Nous devons traiter les données que l’utilisateur récupère, voir celles récupérées
par son service et surtout désactiver différents éléments comme la messagerie, le compte
utilisateur dans l’AD et les applications concernées et le VPN si nécessaire. Il faut prévoir
une réunion entre les acteurs concernés pour complétement définir ce processus et qu’il
soit bien compris par tous. Un document doit être produit au deuxième semestre 2019.
Activation des journaux d’audit des connexions et d’accès aux fichiers
Afin de savoir si une intrusion ou un acte de malveillance a été commis, il est
nécessaire d’activer la traçabilité des changements intervenus sur les différents objets
comme les fichiers et les comptes des utilisateurs. Avec l’aide des stratégies GPO nous
pouvons connaitre les échecs de connexion des comptes d’utilisateurs. Avec le journal
55
d’audit de sécurité sur les serveurs, nous pouvons tracer les tentatives pour trouver les mots
de passe des comptes des utilisateurs et les modifications et suppressions de fichiers.
Pour configurer correctement la journalisation, l’ANSSI publie une note technique
avec des recommandations. Nous devons aussi déterminer la durée de rétention de ces
données ainsi que leur détail afin qu’elles servent leurs buts.
Le minimum pour commencer est de vérifier que l’audit de l’échec de connexion
aux comptes des utilisateurs soit actif. Nous parlons ici des journaux qui sont activés sur
les serveurs et les postes de travail des utilisateurs. Ensuite il faut déterminer l’activation
de l’audit souhaité sur les fichiers :
Il faut auditer les échecs en cas de tentative d’accès non autorisée à des fichiers.
Mais il faut aussi auditer les succès pour connaitre les fichiers accédés par un
compte compromis.
Il faut auditer les suppressions pour savoir qui a supprimé les fichiers.
Suivant le niveau de détails d’audit souhaité sur les fichiers, cela peut représenter
une taille importante pour les fichiers de log. Il faut donc prévoir de dédier un disque pour
le journal de sécurité et déterminer le comportement d’écriture dans le journal, si on
autorise l’écrasement circulaire du journal à une certaine taille. Nous avons paramétré les
horloges sur un serveur de temps afin que les journaux sur tous les équipements soient à la
même heure et date. Cela permet de croiser les informations sur les différents journaux en
cas où l’on souhaite identifier et poursuivre une personne malveillante.
Nous allons nous coordonner avec le rapport remis par l’audit du RGPD afin
d’appliquer les meilleures pratiques en relation avec le niveau de confidentialité des
activités du SYTRAL. Les besoins peuvent évoluer dans le temps suivant le niveau de
confidentialité souhaité par la direction ou à cause d’un nouveau cadre législatif.
3.4 – Outils administratifs
Les outils sont nécessaires pour répondre aux obligations réglementaires. C’est
aussi une aide pour l’administrateur lors du contrôle d’un accès suspect pour investiguer
sur cette activité.
Serveurs Syslog
L’installation de serveurs syslog permet de déporter l’enregistrement des journaux
de sécurité vers un autre serveur. De par la loi, nous devons garder la trace de l’activité de
connexion internet depuis nos réseaux filaires et sans fil. Ces serveurs sont sauvegardés sur
bandes afin de pouvoir garder les journaux même en cas de tentative de suppression
ultérieure par le pirate informatique. L’attaque élaborée demande du temps. Il est donc
important de garder les traces laissées par celle-ci. Nous devons garder les données pour
servir cette finalité uniquement pendant la durée nécessaire.
Rapport du contrôleur Wifi
Les bornes sans fil passent par une passerelle wifi qui permet de remettre des
rapports journaliers, hebdomadaires et mensuels sur l’activité passant par ses interfaces.
56
On peut voir la quantité de trafic par type de flux. Exemples : DNS, http et autres. On voit
aussi une liste des utilisateurs par leur IP et des sites web visités utilisant le plus de bande
passante. Nous avons aussi des graphes d’activité sur la journée. On peut détecter du trafic
anormal si c’est la nuit ou le weekend. C’est synthétique et rapide à regarder. Nous les
recevons en complément d’autres rapports.
Nous regardons rapidement ces rapports tous les jours afin de voir s’il y a des
anomalies par rapport à la normale. Bien sûr ce n’est pas notre activité principale et nous
ne pouvons pas y passer trop de temps. C’est pour cela qu’une solution centralisant et
traitant les données afin qu’elles soient facilement lisibles serait intéressante à étudier sur
2020.
Rapport Olféo
La mise en place du proxy Olféo permet d’augmenter la sécurité concernant la
navigation internet. Il est relié à la charte informatique signée par les utilisateurs afin qu’ils
soient pleinement informés de la politique de l’entreprise concernant les bons usages du
net. C’est un élément filtrant fait pour interdire ou alerter les utilisateurs sur des sites web
avec un contenu pouvant poser des problèmes d’un point de vue éthique. Nous parlons ici
des sites web de ventes d’armes, de jeux et d’incitation à la haine par exemple. Cela fait le
lien avec la chartre informatique du Sytral et de comprendre la raison de la restriction
d’accès.
Le flux des connexions internet des utilisateurs passe entièrement par ce proxy.
Cet équipement fait les demandes de pages internet à la place de l’utilisateur. Il est capable
d’analyser les documents pour détecter certains virus. L’intérêt pour les administrateurs est
aussi lors de l’envoi par mail de rapports anonymes sur le pourcentage de visites des sites
web. Ces rapports sont différents des autres équipements et ils permettent de consolider la
vision de ces flux. On voit aussi la détection des virus déjouer par l’équipement. Nous
devons étudier la mise à jour en dernière version de cet équipement sur le budget de
l’année 2020 ou voir pour une fonctionnalité équivalente.
Rapport du pare-feu
Les rapports sur les flux passant par le pare-feu et la bande passante sont un outil de
détection d’anomalie que l’on utilise en tant qu’administrateur. Par exemple, s’il y a une
bande passante élevée le weekend alors qu’aucun employé n’était présent, on peut se poser
des questions. Il faut bien sûr tenir compte des accès VPN.
Les pare-feux sont capables de fournir des rapports sur les types d’applications qui
sont passés par eux. Nous pouvons voir comment est consommé le service internet par les
utilisateurs en général. C’est un complément par rapport aux autres équipements sur les
flux vers l’extérieur.
Rapport de vulnérabilité
Les rapports de vulnérabilité peuvent être générés par différents outils gratuits ou
payants. Le but est de lister et identifier tous les problèmes de sécurité sur tous les postes
utilisateurs et les serveurs. Le rapport montre par exemple que des patches de sécurité
doivent être appliqués et que les configurations par défaut sur des composants du serveur
57
doivent être changées car ce sont des paramètres connus pour comporter des risques de
sécurité.
Pour l’environnement Microsoft, il existe l’outil Microsoft Baseline Security
Analyzer que l’on peut lancer au cas par cas. Ce n’est pas une console permanente. Pour
tous les systèmes, ce qui comprend les systèmes Unix, il existe le scanneur de vulnérabilité
NESSUS. Depuis la version 3 il est payant.
Pour l’instant, nous avons un parc d’ordinateurs en Windows 7 ou 10 qui sont
pilotés par un serveur interne WSUS qui permet de distribuer et de suivre les patches de
sécurité. Les serveurs sont surveillés de plus près régulièrement. Les serveurs obsolètes
vont être migrés et vont disparaitre par la même occasion.
L’étude d’un produit gratuit sera menée dès que les grands chantiers de migration
seront réalisés. C’est donc sur 2020, que ces solutions seront implémentées pour augmenter
la sécurité. Elles devront traiter les systèmes d’exploitation et les applications.
Console antivirus
L’antivirus est très souvent le premier élément apparent dans la chaîne de sécurité
au plus près de l’utilisateur. Avec la console, nous pouvons consulter les rapports
d’infections et sur l’état de la mise à jour des antivirus installés sur le parc. C’est un gain
de temps au quotidien. Cependant, avec l’exploitation permanente de failles de sécurité
dans le code des programmes et des systèmes d’exploitation, l’antivirus ne suffit pas à lui
tout seul. C’est un élément dont ne peut pas se passer même s’il ne protège pas de tout.
L’audit de l’état de la console et de la version de l’antivirus a fait apparaitre le
besoin de mettre à jour la dernière version de ce dernier. Avec la nouvelle version,
l’éditeur a développé de nouvelles fonctionnalités de détections et amélioré son produit.
Nous avons reconstruit un paquet d’installations de cette nouvelle version. La priorité de
déploiement a été donnée aux ordinateurs portables. Ceux-ci sont les plus exposés car ils
sont utilisés sur des réseaux externes et aussi sur des réseaux sans fil.
Les paramètres que l’on peut avoir en explorant les possibilités de configuration du
logiciel de sécurité du poste de travail peuvent être configurés de la même manière avec
une stratégie depuis la console. Les stratégies existantes ont été modifiées afin de
correspondre aux besoins. La gestion de cette console étant importante pour la sécurité, les
paramètres de cette dernière ne sont pas abordés dans ce mémoire pour des raisons de
confidentialité et de sécurité.
Bilan des outils
Les outils actuellement en place au Sytral ne couvrent pas l’intégralité de ce qui
peut se faire de nos jours. Nous sommes au début du chantier de renforcement de la
sécurité afin de nous adapter aux nouvelles menaces. Un des besoins serait d’avoir des
points d’administrations plus centralisés. Un autre besoin serait d’avoir des outils pour
avoir une meilleure lecture et lisibilité dans les journaux d’audit de sécurité afin
d’identifier plus rapidement des menaces ou problèmes. Nous pouvons fournir les logs
justifiant d’un acte de piratage mais il est beaucoup plus difficile de les utiliser pour mener
une analyse en temps réel d’une attaque en cours.
58
Des éléments de sécurité supplémentaires seraient intéressants et semblent
prometteurs :
SIEM : Outil d’analyse et de consolidation des données pour détecter les brèches
de sécurité. [CHAUHAN A.-2018]
IDS : Outils de détection d’intrusion.
HIDS : Outils de détection d’intrusion avec un agent installé sur les postes.
Analyseur de vulnérabilités : Lister les patches et configurations qu’il faut
changer pour diminuer les vulnérabilités des postes de travail et serveurs. Exemple
Nessus.
Olféo nouvelle version : Implication plus forte des utilisateurs dans la sécurité
avec de nouvelles fonctionnalités.
Reverse Proxy : Permet de rediriger tous les flux depuis l’extérieur par un
équipement contrôlé positionné en DMZ.
Au vu de tous les projets à mener sur cette année 2019, ces outils seront étudiés sur
l’année 2020. La recherche d’informations commence dès maintenant. Nous ne pouvons
pas être sur tous les fronts à la fois. Si on se disperse trop, on risque de ne rien faire
avancer au bout du compte. C’est un combat entre ce que l’on aimerait mettre en œuvre et
ce que l’on a le temps et le budget de faire dans les contraintes existantes.
Ces choix sont définis par la direction qui estime si le risque est acceptable. Pour
les risques non traités, on peut imaginer les couvrir par une assurance. A nous de faire
remonter des éléments concrets pour justifier l’achat ou la mise en place d’éléments
permettant de diminuer ces risques.
Maintenant que nous avons vu ce que nous avons pu faire plus ou moins
rapidement pour diminuer nos faiblesses, il faut revenir sur les bonnes pratiques en usage
dans le domaine et dans les autres entreprises afin de rendre encore plus difficiles les
intrusions des personnes malveillantes.
3.5 – Démarche pour augmenter la sécurisation
Pour connaître les bonnes pratiques et normes utilisées dans le domaine de la
sécurité, il est nécessaire de faire une recherche documentaire et de se tenir informés assez
régulièrement des évolutions en s’abonnant à des bulletins d’informations ou des revues
comme MISC.
On trouve aussi des vidéos de retransmissions sur des conférences sur le sujet de la
sécurité comme par exemple RSA Conférence. Il faut varier ses sources pour mieux
couvrir le domaine.
Les techniques des pirates et les contre-mesures évoluent suivant le principe de la
coévolution. C’est un travail continu pour rester dans cette course. Il faut aussi se tenir
informés de l’évolution des législations afin de les respecter et éviter les sanctions.
59
3.5.1 – Bonnes pratiques à suivre pour le Sytral
La sécurité des systèmes d’informations n’est pas une nouveauté. Les premiers à
s’y intéresser sont les militaires car ils ont des données plus sensibles que les autres et sont
potentiellement plus exposés à la survenance d’un risque. [Wikipédia-2019]
Des groupes de travail de normalisation ont identifié des objectifs autour de ce
sujet :
Confidentialité : seules les personnes autorisées peuvent lire l’information sensible
classifiée comme telle.
Authentification : il faut identifier celui qui utilise un compte.
Intégrité : il ne faut pas qu’une personne puisse corrompre une donnée sans que
l’on s’en aperçoive.
Disponibilité : les systèmes et applications doivent remplir leurs fonctions comme
attendues quand les utilisateurs en ont besoin.
Si une malveillance arrive malgré les sécurités mises en place, alors il faut pouvoir
apporter la preuve des actes malveillants avec des journaux qui retracent les différentes
actions menées. Il faut pouvoir affirmer que c’est bien un compte d’utilisateur particulier
qui a commis cet acte avec la non répudiation de ce fait.
Démarche pour augmenter la sécurité au sein de l’entreprise :
Au début de l’étude de l’état de la sécurité, nous entamons cette démarche
d’amélioration en étant dans la zone dite de l’humiliation puis nous cherchons à nous
améliorer par des cycles qui se répètent de manière permanente. [FERNANDEZ-TORO-
2016].
Nous pouvons dans un premier temps appliquer un ensemble de fiches de recettes
comme un palliatif rapide mais il faudra ensuite passer un palier. Ce travail pour améliorer
la protection de l’entreprise commence par nommer une personne responsable de la
sécurité avec le soutien de la direction. Pour cela nous utilisons le principe d’une roue de
Deming pour contrôler notre progression. [PINET-2016 p 177]. Planification, Action,
Contrôle puis Amélioration.
La démarche se poursuit sur une analyse de risque. Il faut que les directions
identifient en classifiant dans les activités ce qui est le plus important pour l’entreprise
avec une priorité à donner à chacune. [Wikipédia-2019]
Ensuite, on évalue en face de chacun de ces éléments la gravité des dangers,
l’exposition et la probabilité d’occurrence de ce risque lié à chaque menace. Pour chaque
activité, la direction peut décider de ne rien faire, de prendre une assurance pour couvrir le
risque financier ou alors de mettre en place des mesures permettant de diminuer le risque.
Des systèmes de secours peuvent aussi être mis en place avec des projets comme le PCA
(Plan de continuité d’activités) et PRA (Plan de reprise d’activités).
La sécurité peut être représentée par une chaine dont chaque maillon permet la
solidité de l’ensemble. Il faut donc veiller sur chaque élément pour préserver son niveau de
sécurité. Le plus grand risque pour un élément du SI est sa compromission qui devient très
60
facile lorsqu’une personne malveillante à un accès direct à ce dernier. Il faut donc apporter
une protection à ce niveau.
Sécurité physique, la première défense
L’étude de l’amélioration de la sécurité commence par déterminer les éléments
physiques de sécurité déjà mis en place. Avec un accès physique, il devient beaucoup
facile de contourner la sécurité et de détruire ou voler des données. Une personne mal
intentionnée pourrait partir avec les disques durs des serveurs ou détruire ces derniers.
Il est important de répertorier tous les lieux qui présentent un risque sensible pour
le système d’information. Les plans des bâtiments du Sytral permettent de lister ces
endroits afin de s’assurer qu’ils sont protégés par un dispositif qui en limite l’accès aux
personnes autorisées. La salle serveur est un lieu critique à protéger de toutes intrusions
d’un personnel non autorisé. C’est là qu’est centralisée la majeure partie des données de
l’entreprise. Il est donc essentiel d’en protéger et d’en contrôler l’accès. Seules les
personnes ayant une raison de s’y rendre doivent être autorisées. Un système de badge
permet ce contrôle au Sytral.
Les dangers sont la destruction des bandes de sauvegardes, le vol ou la destruction
des disques et matériels présents dans la salle. Le problème principal est le temps qu’il
faudrait pour remettre en place les systèmes et les restaurer à la version la plus récente
disponible. Quand on a des téraoctets de données cela prend du temps à restaurer. D’autres
menaces moins apparentes seraient de modifier et de compromettre les systèmes à des fins
de business intelligence.
Les locaux dans les étages où sont répartis les commutateurs réseaux sont sous
clefs. Une personne mal intentionnée pourrait débrancher un switch, créer une boucle
réseau ou installer un dispositif d’écoute du trafic passant par ce dernier. Cependant pour
nous ce ne sont pas des portes blindées. Toutefois l’accès à ces derniers passe par des lieux
où il est nécessaire d’avoir le badge pour entrer. Un autre local critique pour le bon
fonctionnement est le local de l’onduleur électrique alimentant les serveurs. Ce dernier est
sous surveillance et sous clef avec des contrôles d’accès renforcés.
Les imprimantes du Sytral sont pour certaines dans un local fermé et pour d’autres
à la vue de tous dans des espaces où l’accès est contrôlé avec une proximité physique de
l’utilisateur. Il n’est donc pas facile de dérober un document. Il est possible sur ces
modèles de mettre en place un mot de passe pour imprimer si la politique de sécurité venait
à évoluer. Les imprimantes sont maintenant dans un réseau privé dédié sans DHCP.
En ce qui concerne les documents que l’on imprime temporairement et qui ont un
caractère confidentiel relatif sont déchiquetés et recyclés par un circuit différent qui ne
passe pas par les poubelles de l’entreprise.
Pour déterminer ce qui est le plus important à protéger, la direction doit évaluer la
criticité des services. Elle peut le faire à l’aide d’une analyse de risque. Un travail de
classification du niveau de confidentialité des documents est aussi nécessaire. Ces sujets
seront abordés après le compte rendu de la prestation externe du RGPD.
61
Suivi des recommandations de l’ANSSI
Qu’est-ce que l’ANSSI et pourquoi suivre les conseils publiés par cette agence ?
Leur site internet est : https://www.ssi.gouv.fr
Cette agence a été créée par le décret n° 2009-834 du 7 juillet 2009 pour faire face
à l’augmentation constante des risques liés de la cybersécurité. L’enjeu est économique,
car toutes les menaces de différentes origines peuvent avoir des conséquences très
importantes sur l’économie de la France. L’ANSSI est donc là pour aider et conseiller les
entreprises et les administrations pour renforcer leur sécurité. Nous pouvons consulter leur
site Web afin de trouver les éléments pour servir cet objectif.
Le guide d’hygiène informatique un bon point de départ. Ce guide parmi d’autres
se matérialise par un document PDF de 4,57 Mo à télécharger. [ANSSI-2019]. A
l’intérieur, on trouve une liste de 42 mesures d’hygiène essentielles dont le but est de
renforcer rapidement la sécurité du système d’information. Ce livret ne couvre pas tout ce
qu’il faut mettre en place pour sécuriser complétement l’entreprise. Pour cela, il faut une
implication totale du service informatique et de la direction et mener un projet
d’amélioration en continu de la sécurité en suivant des normes.
Le guide revient sur le premier pilier qu’est la sensibilisation et la formation des
employés. Puis il faut documenter correctement les éléments du SI afin de bien le
connaitre. Ensuite on doit contrôler les aspects de l’authentification et des contrôles
d’accès. Le guide couvre rapidement la sécurisation des postes de travail, du réseau et de
l’administration coté service informatique.
La mobilité des utilisateurs avec les terminaux et les outils qui vont avec, sont
rapidement abordés. Un autre pilier est la mise à jour des correctifs et des applications
contre les vulnérabilités et le cycle de vie de ces dernières. Et enfin, les conseils portent sur
l’audit, la sauvegarde et la supervision puis la gestion d’incident.
Le guide se termine par une liste de contrôle avec des cases à cocher afin de situer
la situation actuelle de l’entreprise par rapport à la sécurité. Ce guide a le mérite de balayer
rapidement les points essentiels pour les responsables informatiques afin qu’ils entament
une première réflexion et des démarches.
Consultation des bulletins d’alertes de sécurité : CERT-FR
Il est nécessaire de faire une veille sur les bulletins d’alerte de sécurité émis par
l’agence de réponse aux incidents CERT en consultant leur site web :
https://www.cert.ssi.gouv.fr/
On doit consulter les alertes et avis de sécurité sur des menaces pesant sur les
systèmes d’information [Bloch…-2019]. Ces bulletins peuvent donner les indications pour
des procédures de contournement ou des mesures à suivre en attendant la publication de
correctifs par l’éditeur concerné pour résoudre cet incident de sécurité.
62
Importance de commencer l’analyse de risque
L’entreprise doit évaluer quels sont ses biens et comment diminuer les risques
auxquels ils sont exposés. Le service informatique doit connaitre les serveurs et
applications qui sont à remettre en service en priorité. L’analyse de risque est un projet
mené avec la direction qui détermine ce qui doit être prioritaire à protéger et à remettre en
service en cas de problème. C’est le point de départ pour la gestion des risques.
Une fois que l’on a déterminé les souhaits en temps maximal d’arrêt d’un service,
on peut mettre en place les solutions pour tenter de respecter cette volonté. Un exemple des
éléments nécessaires à la construction d’une première matrice de l’évaluation de la criticité
des risques pour les applications du Sytral est donné à titre d’exemple en Annexe 10.
Par exemple, si l’on souhaite que la messagerie ne soit pas en panne plus d’une
heure, le service informatique doit mettre en place différents systèmes redondants pour
parvenir à cet objectif. Cela va des alimentations électriques et chemins réseaux en double.
C’est la mise en place d’un cluster de messagerie avec 2 nœuds pour que le service reste
disponible en cas de panne d’un serveur. Il faut aussi prendre tous les éléments intervenant
dans cette architecture afin que tous soient redondés en cas de panne.
Après, ces choix ont des limites qui sont fixées par le budget alloué. Si le souhait
de la direction est d’avoir la messagerie résiliente à un tremblement de terre, alors il faudra
prévoir un deuxième site assez éloigné pour qu’il ne subisse pas cette catastrophe. Il va de
soi que le coût augmente avec la capacité à faire face à plus d’évènements critiques.
La direction peut décider que pour un risque d’incident insignifiant avec un
impact faible et une probabilité faible que cela arrive de ne rien faire pour se protéger de ce
risque. Cela sera alors au service de résoudre au mieux cet incident. La direction peut aussi
décider de prendre une assurance pour couvrir le risque financier lié à un risque particulier
d’incident. Le montant de l’assurance pourra alors servir à une prestation pour réparer les
dommages de cet incident. La direction de l’entreprise met en balance le coût avec ses
choix stratégiques et le temps d’indisponibilité que la société peut subir.
Il est à noter que l’analyse des risques est déjà réalisée pour les employés dans le
cadre du document unique qui recense et évalue les risques professionnels. Nous avons ce
document au sein de l’entreprise. Reste à planifier rapidement une première version pour le
système d’information.
Nous attendons le retour sur la prestation externe sur le RGPD qui traite de la
protection des données personnelles. Ensuite, après ce premier état des lieux dans la
connaissance de ce qui est important, des plans d’actions complémentaires et cohérents
peuvent être mis en place afin de préserver les intérêts économiques et stratégiques de la
société. Le Sytral doit absolument planifier un projet pour faire une analyse de risque en
couvrant totalement cette méthode. Sans cela on s’expose à de nombreux risques car nous
ne les aurons pas traités avant qu’ils ne surviennent.
Définition de la PSSI pour le Sytral
Afin de définir des objectifs avec un bon niveau de sécurité, il faut caractériser la
politique de sécurité des systèmes d’informations ou PSSI. [Wikipédia – 2019]. La PSSI
63
est la définition de la politique à mettre en œuvre concernant la sécurité avec une vision et
des enjeux stratégiques mais surtout avec l’accord et la participation de la direction. En
prérequis, il faut avoir fait une analyse risque. La PSSI définit les moyens, les procédures
et les règles sur les éléments à protéger en fonction des menaces spécifiques pour
l’entreprise (Figure22). Nous devons intégrer la sécurité de manière cohérente dès la
conception du système d’information, lors des modifications, lors de nos activités et
l’exécution de nos processus.
Figure 22 Elaboration de la PSSI [ANSSI – 2019]
Planification de l’analyse d’un PCA
Le prérequis est d’avoir fini l’analyse de risque. A partir de ce document, nous
pouvons établir comment mettre en place les éléments permettant au mieux de pouvoir
permettre la continuité des services vitaux à l’entreprise. La mise en place d’un plan de
continuité d’activités ou PCA est un projet à part entière qui prend un minimum de temps.
Il implique tous les membres essentiels de l’entreprise pour que chacun sache ce qu’il y a à
faire dans le cas de plusieurs scénarios catastrophes qui ont été sélectionnés au préalable
avec la direction.
Le but principal de ce projet va jusqu’à la survie de l’entreprise. Cette dernière doit
planifier les actions à mener avant qu’elles n’arrivent. Le but est de fournir dans un
premier temps les services jugés indispensables dans un mode dégradé. Puis par la suite
remettre en fonction la totalité des services de l’entreprise.
Pour le Sytral, le PCA doit être planifié pour commencer ce projet sur 2020 ou
2021. Il faut prévoir de la disponibilité des membres du personnel. Il faut voir s’il est
nécessaire de faire appel à une prestation externe pour ce projet.
En attendant nous devons consolider toutes les procédures de maintenance,
d’installation et les documentations permettant de décrire le maximum de processus et de
service. En 2018, nous avons déjà contribué à augmenter le niveau de disponibilité et la
portabilité des serveurs en mettant en place l’infrastructure virtualisée au lieu d’un seul
hyperviseur ESXi et à la place de vieux serveurs physiques. Nous pouvons aussi continuer
à mettre en redondance les applications et services.
Nous pouvons commencer à traiter certains points comme les procédures en cas
d’incidents. Par exemple, la procédure d’arrêt complet en cas de coupure prolongée de
64
l’électricité. La documentation sur le fonctionnement et les contacts sont aussi utiles dans
cette démarche. Une fois des plans d’actions mis en œuvre ou planifiés, cela n’empêche
pas de regarder les recommandations afin de renforcer des éléments particuliers du SI.
3.5.2 – Normes à explorer pour les futurs projets
Nous avons vu et suivi un certain nombre de recommandations publiées par
différents acteurs du secteur de la sécurité informatique. Les états du monde entier vont au-
delà de ces recommandations qui s’adaptent aux menaces au fur et à mesure.
La création de l’organisme international de normalisation ISO est là pour
standardiser les technologies afin que tous les constructeurs et éditeurs puissent se
conformer à un cadre commun. C’est une nécessité qui vise à s’améliorer sur le long terme,
en profondeur (dans les protocoles) et de manière généralisée dès la conception.
Le socle des normes 27000 définit un système de management de la sécurité de
l’information. Le SMSI permet à une entreprise de piloter son niveau de sécurité face à des
risques avec des processus et des indicateurs pour atteindre les objectifs qu’elle s’est fixée.
[ISO – 2019]
Les normes les plus intéressantes pour nous sont :
ISO 27000 : Introduction la vue globale du SMSI
ISO 27001 : Norme sur la SMSI
ISO 27002 : Bonnes pratiques en SMSI
ISO 27003 : Guide d’implémentation du SMSI
ISO 27005 : Gestion des risques.
Norme ISO 27001 – Gestion de l’amélioration en continu
Cette Norme ISO 27001 est la spécification pour un système de management de la
sécurité de l’information qui est en conformité avec les lois. Il faut plusieurs années de
maturité dans la gestion de la sécurité avant d’aborder cette phase.
D’autres sources disent que cette norme est très lourde à mettre en œuvre et ne
garantit pas la protection effective. Elle aurait un effet pervers de croire que l’on peut se
passer de compétence technique sur le terrain. La sécurité ne se limite pas à cocher des
cases dans un fichier EXCEL. Avec la question de la pérennité d’un référentiel face aux
menaces qui évoluent constamment. C’est plus un outil pour rassurer des partenaires sur
une conformité qu’un état réel du niveau de sécurisation d’un SI. [Bloch…-2019]
Le respect de cette norme est affaire de cabinet spécialisé. Il ne faut pas suivre cette
mode comme un mouton. L’objectif reste la sécurité. [Bloch…-2019]
Nous pouvons nous demander l’utilité pour une structure de taille moindre et qui ne
demande pas à être certifiée ISO 27001 l’intérêt d’investir dans l’application et le respect
de cette norme. Car il faut beaucoup de moyens et d’implications pour un résultat qui ne
sert que nos intérêts immédiats dans le renforcement rapide du niveau de notre sécurité.
Nous dépenserions trop d’énergie à mettre en œuvre cette norme par rapport aux bénéfices.
65
Cette partie est à planifier si nous avons la nécessité de nous certifier au vu des
projets à mener avant. Il faut avoir bien commencé la démarche de sécurisation avant de
faire les cycles d’amélioration en continu. Il faut déjà avoir fini de construire les
documents autour de l’analyse de risque et de la PSSI qui sont des fondamentaux. Se faire
certifier est long et couteux. Ce point sera à réévaluer plus tard si un cadre législatif nous
l’impose.
Norme ISO 27002 – 114 bonnes pratiques
La norme ISO 27002 est un guide regroupant 114 bonnes pratiques dans le domaine
de la sécurité. Cette partie est à planifier sur 2020 voire 2021 au vu des projets à mener
avant. Il faut aussi avoir une petite maturité avant de faire les cycles d’amélioration en
continu de la sécurité. Le point négatif est que c’est une norme accessible en payant pour
accéder à un référentiel pas forcément à jour face aux nouvelles menaces. Ce n’est pas la
Panacée.
Méthode EBIOS
Afin d’évaluer les risques il existe plusieurs méthodes. L’une d’entre elle est la
méthode EBIOS développée en 1995 qui est maintenue à présent par l’ANSSI (Figure 23).
[CLUBEBIOS – 2019].
On évalue les risques et on les traite suivant la volonté de la direction. On construit
une politique de sécurité personnalisée en fonction du profil de l’entreprise. Cette méthode
est plus souvent utilisée pour les administrations publiques. Avec cette démarche nous
pouvons faire progresser la sécurité de manière itérative au travers de 5 modules.
Figure 23 Méthode EBIOS [ANSSI – 2019]
Le module 1 permet de cadrer et d’étudier le contexte avec l’identification de tous
les biens soumis à des risques. Le module 2 se focalise à cerner les risques, les impacts et
la potentialité d’occurrence des menaces. Le module 3 cherche à identifier et à apprécier
les différents scénarios et vulnérabilités. Avec le module 4, on évalue le niveau de ces
risques visant l’organisation en tenant compte des modules 2 et 3. On identifie des
66
objectifs de sécurité à atteindre. Le dernier module, le 5, aide à définir, planifier et mettre
en œuvre les mesures pour traiter les risques.
Cette méthode est celle que nous préconisons de suivre dans un premier temps pour
renforcer la sécurité. Nous pouvons construire le projet de création des documents liés à
l’analyse des risques pour le Sytral. Nous connaîtrons alors les risques et les éléments
identifiés comme les plus menacés avec l’aide des directions. Puis nous pourrons étudier le
projet de création de la PSSI propre à nos besoins en fonction du contexte actuel.
3.5.3 – Législations
En France, il existait la Loi 78-77 du 6 janvier 1978 relative à l’informatique, aux
fichiers et aux libertés. Elle a été modifiée dernièrement par la loi 2018-493 du 20 juin
2018 pour intégrer la protection des données personnelles.
Concernant l’Union Européenne, la directive Network and Information System
Security (NIS) a été adoptée en 2016 pour améliorer le niveau de sécurité et pour protéger
les intérêts stratégiques économiques et de service public. L’objectif est la collaboration
entre états membres en termes de cyber sécurité. Un cadre réglementaire a été créé pour les
opérateurs de télécommunication. Les lois ont été retranscrit pour les états membres de
l’union. Ces réglementations se sont étendues aux entreprises avec le RGPD.
Le RGPD
Le règlement européen sur la protection des données est entré en vigueur le 25 mai
2018. Les entreprises doivent avoir mené des démarches afin de se mettre en conformité.
La Cnil décrit le processus en 6 étapes :
Etape 1 : Il faut désigner un délégué à la protection des données. Pour le Sytral
c’est l’ancien correspondant informatique et liberté qui s’est proposé. Cette
personne ne peut pas faire partie du service informatique.
Etape 2 : Il faut faire la cartographie complète de tous les traitements des données
personnelles au Sytral. Ce sont des documents informatiques mais aussi des
papiers. Nous avons lancé une prestation externe pour cette partie dès 2018.
Etape 3 : A l’issue de l’audit et de la connaissance de tous les traitements, le
cabinet et le DPO avec la direction déterminent les priorités sur les actions à mener.
Etape 4 : Cette étape concerne l’analyse d’impact ou PIA. L’analyse donne une
description des traitements avec leur durée de justification de conservation. Face à
un risque, on doit mettre en place des mesures pour le limiter ou l’éviter.
Etape 5 : Mise en place des processus et des procédures internes afin d’intégrer la
protection des données dès la conception ou l’installation d’une application. C’est
aussi sensibiliser et former les employés. Il faut traiter les demandes de droits
d’accès, de rectification et d’opposition aux données personnelles détenues pour
une personne qui en fait la demande. Il faut notifier la violation de l’accès aux
données personnelles dans les 72 heures aux destinataires concernés.
67
Etape 6 : Documenter la conformité. Il faut tenir à disposition les documents
prouvant notre bonne foi par rapport à la mise en conformité. Ces documents sont
un registre des traitements, l’analyse d’impact, les procédures internes et les
preuves de consentement.
Afin de se mettre en conformité avec le RGPD, il faut une double compétence
juridique et dans le domaine de la sécurité informatique. C’est pour cette raison que le
Sytral a commandé une prestation externe pour vérifier et se mettre en conformité par
rapport à ce cadre réglementaire. [CNIL-2019]
3.6 – Audit externe RGPD
Avec la nouvelle réglementation européenne sur la protection générale des données,
la correspondante informatique et liberté ou CIL travaillant au Sytral a lancé un audit
externe avec l’accord de la direction afin de vérifier et détecter les points à changer pour se
mettre en conformité par rapport à ce règlement. C’est important tant pour préserver
l’image de la société par rapport aux citoyens que pour éviter d’avoir à payer de très
lourdes amendes.
Le prestataire externe a tenu une première réunion avec la CIL en présence du
service informatique afin d’établir la liste des applications et des services à auditer pour
vérifier notre conformité au RGPD.
La CIL va devenir le DPO soit délégué à la protection des données. Ce rôle ne peut
pas être transmis à des membres du personnel du service informatique à cause du risque
d’être juge et partis. Ensuite, ils ont planifié les réunions nécessaires. L’objectif a été de
recenser où sont les données personnelles et de revoir les contrats avec les prestataires
externes dans le cas où ils sont amenés à détenir des données personnelles afin que la
sécurité et la responsabilité soient établies. Une quinzaine d’entretiens ont été menés.
L’audit doit nous fournir en retour une cartographie des données et nous prodiguer
tous les conseils pour que l’on soit conforme. Il permet d’identifier les traitements à
risques et à déterminer si d’autres audits plus pointus doivent être menés. Ces actions
permettent de sensibiliser les directions aux exigences du règlement sur la protection des
données.
Les premières conclusions en janvier 2019 pointent le besoin de mener une analyse
de risque, d’augmenter le niveau de sécurité informatique et l’absence de procédure en cas
d’incident de violation de données. Il manque aussi un plan de continuité d’activités PCA
et un plan de reprise d’activités PRA. Il n’y a pas non plus de politique de sécurité des
systèmes d’informations PSSI. Une étude d’impact sur la vie privée ou PIA doit être
lancée.
3.7 – Planification des tâches et projets de sécurité à venir
Le domaine de la sécurité nous oblige à regarder un peu ce qui se passe dans le
domaine. La veille technologique est importante pour inspecter les nouveautés et
déterminer si ces dernières peuvent répondre à un besoin de sécurisation.
68
A partir de ce qu’il existe, nous établissons une liste des futurs projets qu’il faut
mettre en œuvre pour sécuriser à un niveau que l’on estime meilleur.
Mettre en place un reverse proxy. (2019)
Projet d’amélioration de la sécurité par année.
Faire l’analyse de risque. (Important, prioritaire et incontournable).
Création d’une PSSI. (A faire à la suite de l’analyse de risque).
Lancer PIA coté RGPD avec une prestation externe.
Commencer le PCA et PRA.
Faire une analyse de la sécurité avec un audit de sécurité.
Recherche de produits nouveaux pouvant couvrir les besoins pour donner de
la visibilité sur les menaces, les contenir, voir même les prévenir. Le but est
d’avoir des tableaux de bord ou des rapports pour évaluer le niveau de
risque.
L’amélioration de la sécurité est un processus continu qu’il faut exécuter par cycles
comme dans les processus d’amélioration de la qualité. On planifie, on met en œuvre, on
contrôle puis on analyse les écarts avant de recommencer un cycle.
69
Conclusion
Nous avons vu les différentes actions menées pour mettre à jour une partie du
système d’information du Sytral. Nous avons commencé par identifier tous les
équipements et biens qui sont nécessaires au bon fonctionnement du SI. Avec l’audit nous
avons déterminé les éléments à traiter en premier pour l’intérêt de l’entreprise.
Nous avons documenté les informations permettant d’assurer le support,
l’installation, la configuration et la maintenance des composants du SI que nous avons mis
à jour ou installés. Nous avons revu les configurations des équipements réseaux afin de
réduire les accès qui n’ont pas lieu d’être et redéfini le cloisonnement de certains
équipements dans des réseaux virtuels privés (VLAN) dédiés. Nous avons commencé la
migration de la messagerie Exchange dont la dernière mise à jour date de 2009. Nous
avons mis à jour le schéma de l’annuaire AD en version 2016 et installé un nouveau
contrôleur de domaine. Nous avons mis en place des serveurs SYSLOG pour déporter les
journaux de sécurité des différents équipements.
Nous avons mis en service le serveur GLPI qui nous permet de gérer et de suivre
nos tickets de demandes et d’incidents avec la remontée d’inventaire des logiciels installés
sur les ordinateurs des utilisateurs. Cet outil est essentiel pour piloter l’activité de notre SI.
Nous avons aussi installé un nouveau serveur service de déploiement Windows WDS avec
Microsoft déploiement Toolkit MDT pour mettre à disposition très rapidement les
nouveaux postes de travail en Windows 10. C’est un gain de temps et cela uniformise
l’installation de notre parc. Nous avons transféré des rôles administratifs comme la mise à
jour des correctifs Microsoft WSUS et le serveur DHCP sur de nouveaux serveurs afin de
libérer ces rôles sur les anciens serveurs avec la finalité de les arrêter. Avec la mise en
place d’un serveur de supervision Eyes of Network ou EON, nous pouvons suivre la
disponibilité et l’historique de l’activité de nos serveurs.
Nous avons commandé et suivi 4 prestations externes. Une pour changer de
modèle de pare-feu parce qu’il était trop ancien et une autre pour externaliser la plateforme
de traitement des pourriels Mail In Black. Et enfin, une troisième pour installer une
nouvelle infrastructure de virtualisation afin de pouvoir répondre aux problèmes de
ressources informatiques en vue de couvrir les futurs besoins. Ces 3 prestations sont
complétement finalisées. En ce qui concerne la conformité avec le nouveau cadre législatif
du RGPD, un audit externe dont le but est d’identifier et d’établir une cartographie des
traitements sur les données à caractère personnelle est encore en cours. Un compte rendu
doit être fait très prochainement à la direction (fin Juin ou mois de Juillet).
Nous devons finaliser la migration des utilisateurs concernant la messagerie. Une
fois les boites aux lettres toutes déplacées, nous allons transférer les derniers rôles sur les
nouveaux serveurs puis désinstaller les anciens serveurs Exchange 2007. Cette migration
devrait être terminée au mois de Juillet 2019. Une fois la messagerie en Exchange 2013
70
(Août 2019) nous pourrons déplacer l’autorité de certificats interne ou PKI du Sytral sur un
nouveau serveur virtuel dédié. Nous pourrons alors commencer à préparer la migration de
la messagerie en version Exchange 2016.
Une fois les réunions pour structurer les nouveaux dossiers avec les directions
terminés nous pourrons transférer tous les partages des documents des utilisateurs vers les
nouveaux serveurs. A l’issu du transfert, nous pouvons arrêter 4 serveurs. La perspective
actuelle est que les actions se feront sur les mois de Juillet à fin Septembre 2019.
Nous étudions la mise en œuvre d’un reverse proxy qui fonctionnerait sur les flux
HTTPS de notre SI exposé à l’extérieur avant la fin de l’année. Cela concerne 2
applications internet. Soit nous installons un produit open source en DMZ soit un produit
tierce par un prestataire.
Nous devons commencer à construire l’analyse de risque avec les directions.
L’audit externe sur le RGPD a conduit à demander qu’un test de pénétration, une analyse
d’impact sur la vie ou PIA et que les procédures en cas de violation de données soient
établies. Les actions liées au RGPD vont donc se poursuivre jusqu’à la fin de l’année.
A moyen terme nous devons établir avec les prestataires des applications
concernées (Cegid, Pégase et RH) quelles sont les solutions pour installer ces applications
sur de nouveaux serveurs car les anciens qui sont en version Windows Serveur 2008 ne
seront plus supportés dès le début de l’année 2020 par l’éditeur.
Nous devons finaliser l’analyse de risque qui est une base essentielle pour
sécuriser l’environnement puis enchainer par la définition et la création de notre PSSI afin
de mettre en œuvre les actions.
Le système de gestion de la téléphonie qui repose sur un PABX dont la dernière
mise à jour date de 2009 doit être changé. Nous avons consulté plusieurs propositions de
solutions afin de voir ce qu’il existe sur le marché actuel. La décision finale se fera avec la
direction durant le premier semestre de l’année 2020.
A long terme, nous devons planifier 2 projets, un pour créer un plan de continuité
d’activités (PCA) et un autre pour un plan de reprise d’activités PRA.
71
Bibliographie
Ouvrages imprimés
IZZO P., 2017. PKI sous Windows Server 2016. Editions ENI, FRANCE, 489 p.
Cunningham P., Svidergol B., 2016. Designing and Deploying Microsoft Exchange Server
2016. Microsoft Press, United States of America, 369 p
MORIMOTO R., NOEL M., AMARIS C. et al. , 2013. Microsoft Exchange Server 2013
UNLEASHED. Indian edition. PERSON, Inde, 912 p.
PERNET C., 2015. Sécurité et espionnage informatique. Deuxième tirage 2016.
EYROLLES, Clermont-Ferrand FRANCE, 221 p.
FERNANDEZ-TORO A., 2016. Sécurité opérationnelle. Deuxième édition. EYROLLES,
Millau FRANCE, 424 p.
KAPFER P., 2013. Internal Hacking et contre-mesures en environnement Windows.
Editions ENI, FRANCE, 511 p.
PINET C., 2016. 10 clés pour la sécurité de l’information ISO/CEI 27001 :2013. Nouvelle
édition mise à jour et augmentée. Afnor éditions, Mayenne FRANCE, 187 p.
BLOCH L., WOLFHUGEL C., KOBOS A. et al. 2019. Sécurité informatique. Cinquième
édition. EYROLLES, FRANCE, 621 p.
CHAUHAN A.2018. Practical Network Scanning. Packt Publishing, Great Britain, 294 p.
Sites web
SYTRAL. Le Sytral, nouvelle autorité organisatrice des transports du Rhône, [en ligne].
Disponible sur :
http://www.sytral.fr/uploads/Externe/a1/241_656_Extension_SYTRAL_dec_2015.pdf
(Consulté le 02 avril 2019)
SYTRAL. Dépenses 2019, [en ligne]. Disponible sur : http://www.sytral.fr/6-finances.htm (Consulté le 02 avril 2019)
SYTRAL. L’organisation du Sytral, [en ligne]. Disponible sur : http://www.sytral.fr/5-
organisation-sytral.htm (Consulté le 02 avril 2019)
Microsoft. Planification et déploiement pour Exchange 2013, [en ligne]. Disponible sur :
https ://docs.microsoft.com/en-us/exchange/planning-and-deployment-for-exchange-2013-
installation-instructions (Consulté le 5 janvier 2019)
Microsoft. Assistant de migration Exchange 2013, [en ligne]. Disponible sur :
https://docs.microsoft.com/en-us/exchange/exchange-deployment-
assistant?view=exchserver-2019 (Consulté le 15 avril 2019)
72
Microsoft. Mise à jour Exchange 2007 vers 2013, [en ligne]. Disponible sur :
https://docs.microsoft.com/en-us/exchange/upgrade-from-exchange-2007-to-exchange-
2013-exchange-2013-help (Consulté le 15 avril 2019)
VMware. Exchange 2013 guide des meilleures pratiques, [en ligne]. Disponible sur :
https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/solutions/vmware-
microsoft-exchange-2013-best-practices-guide.pdf (Consulté le 13 Janvier 2019)
CNIL. La procédure de sanction, [en ligne]. Disponible sur : https://www.cnil.fr/fr/la-
procedure-de-sanction (Consulté le 06 avril 2019)
ANSSI. Guide d’hygiène informatique, [en ligne]. Disponible sur :
https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/ (Consulté le 10 décembre
2008).
CISCO. Rapport des menaces Février 2019, [en ligne]. Disponible sur : https://www.cisco.com/c/dam/m/digital/elq-
cmcglobal/witb/1948933/CybersecuritySeries_THRT_01_0219_r2.pdf?ecid=14396&dtid=esosls000514&cci
d=cc000160&oid=anrsc015216. (Consulté le 10 avril 2019)
Kaspersky. Faire évoluer les budgets de sécurité informatique, [en ligne]. Disponible sur : https://go.kaspersky.com/rs/802-IJN-240/images/Rapport-2018_%20IT-Security-
economy.pdf?aliId=eyJpIjoiYkIzMjRDUHlnUjBcL2c4SmEiLCJ0IjoiYk9WdkpLdnBnNDNcL1NkZlwvZTB
1TWZ3PT0ifQ%253D%253D. (Consulté le 10 avril 2019).
ISO. Famille ISO/IEC 27000 – Systèmes de gestion de sécurité de l’information, [en
ligne]. Disponible sur : https://www.iso.org/isoiec-27001-information-security.html
(Consulté le 04 Mai 2019).
CNIL. RGPD : se préparer en 6 étapes, [en ligne]. Disponible sur :
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes (Consulté le 04 Mai
2019).
ANNSI. Guide d’élaboration de politiques de sécurité des systèmes d’information.
Disponible sur : https://www.ssi.gouv.fr/guide/pssi-guide-delaboration-de-politiques-de-
securite-des-systemes-dinformation/ (Consulté le 04 Mai 2019).
Wikipédia. Politique de sécurité du système d’information, [en ligne]. Disponible sur :
https://fr.wikipedia.org/wiki/Politique_de_sécurité_du_système_d%27information
(Consulté le 25 Mai 2019).
ANSSI. EBIOS, [en ligne]. Disponible sur : https://www.ssi.gouv.fr/guide/ebios-2010-
expression-des-besoins-et-identification-des-objectifs-de-securite/ (Consulté le 04 Mai
2019).
CLUBEBIOS. Le forum de la gestion des risques, [en ligne]. Disponible sur :
https://club-ebios.org/site/wp-content/uploads/productions/EBIOS-ApprocheGenerique-
2018-09-05-Approuve.pdf (Consulté le 10 Mai 2019).
73
Table des annexes
Annexe 1 Exemple de commande pour l’audit des serveurs ............................................................ 74 Annexe 2 Fiche d’audit de serveur ................................................................................................... 75 Annexe 3 Vision des projets du service informatique ...................................................................... 76 Annexe 4 GLPI Gestion des tickets et inventaire du parc ................................................................ 77 Annexe 5 Supervision EON ............................................................................................................. 79 Annexe 6 Projet Migration Exchange .............................................................................................. 80 Annexe 7 Document des versions d’Exchange 2013 ....................................................................... 81 Annexe 8 Assistant de migration d’Exchange 2013 ........................................................................ 82 Annexe 9 Migration Exchange 2013 du Sytral ................................................................................ 83 Annexe 10 Analyse de risque ......................................................................................................... 102 Annexe 11 Rapport Type de violation de données ......................................................................... 103
74
Annexe 1
Exemple de commande pour l’audit des serveurs
75
Annexe 2
Fiche d’audit de serveur
76
Annexe 3
Vision des projets du service informatique
77
Annexe 4
GLPI Gestion des tickets et inventaire du parc
78
GLPI a aussi la possibilité d’afficher un tableau de bord.
GLPI permet aussi de générer des rapports pour la direction.
79
Annexe 5
Supervision EON
Exemple de la surveillance de l’évolution de la mémoire d’un serveur.
80
Annexe 6
Projet Migration Exchange
81
Annexe 7
Document des versions d’Exchange 2013
Source : https://docs.microsoft.com/en-us/exchange/prepare-active-directory-and-domains-
exchange-2013-help
82
Annexe 8
Assistant de migration d’Exchange 2013
Source : https://assistants.microsoft.com/assistants/#/session/d911cfad-56fd-4966-92cb-790acf1dff69
83
Annexe 9
Migration Exchange 2013 du Sytral
Les recommandations sont :
Partitions de disque formatées comme systèmes de fichiers NTFS, ce qui s'applique
aux partitions systèmes ou partitions qui stockent des fichiers binaires Exchange ou des
fichiers générés par la journalisation des diagnostics Exchange
Les partitions de disque contenant les types de fichiers suivants peuvent être
formatées en ReFS :
partitions contenant des fichiers du journal des transactions
partitions contenant des fichiers de bases de données
partitions contenant des fichiers d’indexation de contenu
Figure 24 Disque DAG en REFS
Les disques qui hébergent les DAG sont formatés en REFS les autres en NTFS
(Figure 24). On vérifie la bonne résolution DNS des noms d’hôte et la résolution inverse
avec la commande « nslookup SYT-EXCH13-A.sytral.fr. » et « nslookup SYT-EXCH13-
B.sytral.fr. »
Les serveurs doivent être intégrés à la sauvegarde, à la supervision EON et au script
d’espace disques. On installe l’antivirus sur les serveurs seulement après l’installation
d’exchange et du DAG. La pile de protocole IPV6 ne sera pas activée sur les serveurs
Exchange. Nous avons enlevé sur les serveurs actuellement en EXCHANGE 2007. Une
fois les serveurs prêts, il reste à traiter l’installation d’exchange.
Cela se fait en 3 phases :
Installation des prérequis pour lancer Exchange 2013.
84
Configuration d’exchange sans impact utilisateurs.
Configuration avec impact utilisateurs. (Planifié).
Après on exécute des tests de bon fonctionnement. Nous installons la
fonctionnalité DAG. Puis nous migrons des boites de messageries progressivement. Une
fois toutes les messageries et les dossiers publics et autres fonctions migrés, on pourra
désinstaller les anciens serveurs exchange. Reste le point particulier de l’autorité de
certificat installé sur le serveur ACHILLE qu’il faudra installer sur un autre serveur avant
d’éteindre ce serveur.
Afin de dérouler l’installation, j’ai effectué la migration à blanc dans un
environnement totalement isolé sur un serveur que j’ai acheté. Un HP ProLiant DL380 G8
24 cœurs et 64 Go de mémoire avec des disques SSD. C’est une reproduction simplifiée de
l’environnement avec les mêmes versions AD et Exchange 2007 (Figure 25).
Figure 25 Maquette de validation
Pour la migration en production, nous sommes guidés par l’assistant de déploiement
Exchange.
https://docs.microsoft.com/en-us/exchange/exchange-deployment-assistant?view=exchserver-2019
La première étape de l’assistant rappelle les prérequis avant même de se lancer
dans la migration. Puis il faut avoir lu les notes de révision pour éviter les écueils. Les
postes de travail ont tous la suite Office qui comprend Outlook 2013 d’installé (Office
2010 étant le minimum). Ce prérequis est donc déjà bon.
Pour obtenir la dernière version d’Exchange 2013, j’ai téléchargé et
installé Microsoft Exchange Server 2013 Cumulative Update 22. Étant donné que chaque
mise à jour Cumulative est une installation complète d’Exchange et inclut les mises à jour
et remplace toutes les précédentes mises à jour cumulatives, nous n’avons pas besoin
d’installer d’abord toute de la précédente mise à jour Cumulative ou des services packs.
Pour la partie des droits RBAC qui concerne la délégation des droits
d’administration sur l’architecture Exchange, nous sommes trop petits en termes d’équipe
85
d’administration pour l’utiliser. Nous aurons donc 2 niveaux d’accès : Administrateur et
compte en lecture seul.
L’étape suivante de l’assistant : est la collecte d’information afin de les avoir sous la
main lors de la migration et ainsi gagner du temps. On retrouve les noms de domaine et
adresse URL utilisés par la messagerie.
L’étape qui suit est de vérifier que les carnets d’adresses hors ligne soient affectés
pour chaque boite de courriel (Figure 26). C’est le problème déjà mentionné dans les
releases notes. Afin d’éviter le téléchargement massif du carnet d’adresse par tous les
clients Outlook en même temps.
Figure 26 Exchange 2007 carnet d’adresse hors ligne
Désactivation d’IPv6 sur les serveurs Exchange 2007. Fait précédemment.
Etape suivante : Création d’un nom d’hôte Exchange mail.sytral.fr
Cet enregistrement DNS est nécessaire pendant la coexistence d’Exchange 2007 avec
2013 (Figure 27). Les flux de connexion seront tous dirigés vers les serveurs Exchange
2013 puis redirigés si nécessaire vers les serveurs Exchange 2007. Ce qui détermine ce
besoin est là où réside la boite mail de l’utilisateur suivant s’il a déjà été migré ou non.
Figure 27 Exchange cohabitation LEGACY Name.
Il faudra aussi créer l’enregistrement dans la zone DNS publique. Cela implique de
créer une autre translation externe sur le pare-feu. Vérification avec nslookup que
l’enregistrement est résolu.
86
Avant de lancer l’installation de la messagerie depuis le CD ou l’iso, il faut installer
les prérequis : https://docs.microsoft.com/en-us/exchange/exchange-2013-prerequisites-exchange-2013-
help
1. .NET Framework 4.7.1
Figure 28 Installation .NET 4.7.1
2. Windows Management Framework 4.0 (inclus avec Windows Server 2012 R2)
Nous installons les autres fonctionnalités nécessaires à Exchange : Cela
comprend les outils AD pour étendre le schéma.
Figure 29 Exchange 2103 prérequis
3. Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit
87
Figure 30 Exchange prérequis UCMA
4. Visual C++ Redistributable Package for Visual Studio 2012
Figure 31 Exchange prérequis VStudio 2012
5. Visual C++ Redistributable Package for Visual Studio 2013
Figure 32 Exchange prérequis VStudio 2013
Les prérequis sont terminés. On peut passer à l’installation d’exchange.
Installation d’Exchange 2013
IMPORTANT: Il faut lancer le programme setup.exe avec un clic droit
Exécuter en tant qu’administrateur (Figure 33).
88
Figure 33 Programme d’installation d’Exchange 2013
1. Sur la page autoriser le programme d’installation à se connecter à internet et à mettre à
jour le produit exchange et les patches de sécurité (Figure 34. Sélection ne pas vérifier.
Figure 34 Vérifier les mises à jour
2. Les pages introduction et licence d’installation d’Exchange (Figure 35):
Figure 35 Ecrans d’information et contrat de licence.
3. Choisir Ne pas utiliser les paramètres recommandés pour avoir le choix d’envoyer les
rapports d’erreur à Microsoft (Figure 36).
89
Figure 36 Ecran paramètres recommandés.
4. On sélectionne les rôles Mailbox et Client Access. Les outils d’administrations sont
automatiquement installés (Figure 37).
Figure 37 Ecran Rôles et emplacement d’installation.
5. Sur la page de la protection contre les programmes malveillants (Figure 38).
Figure 38 Activation de l’anti-logiciel malveillant.
90
6. Après le programme d’installation lance toute une série de test pour s’assurer que
l’installation puisse réussir. Test de la présence d’anciens serveurs exchange en tre autres.
Figure 39 Test de validation.
Tous les tests de vérification ont réussi, on peut donc lancer l’installation
(Figure 40). Dans notre cas cela commence par l’extension du schéma pour Exchange
2013.
Figure 40 Etape installation effective d’exchange.
Le programme d’installation se poursuit en 15 étapes sur le premier serveur. Il y
a 14 étapes sur le deuxième serveur car le schéma est déjà étendu lors de la seconde
installation. Attention il ne faut pas installer 2 serveurs Exchange en même temps.
Figure 41 Fin de l’installation d’exchange 2013.
91
7. Redémarrage du serveur à la fin de l’installation.
8. Après le redémarrage, on vérifie la présence du serveur dans l’annuaire (Figure 42).
Figure 42 Vérification de l’installation d’exchange 2013.
La revue du fichier du journal de l’installation est nécessaire pour vérifier que
l’installation s’est bien déroulée (Figure 43).
Figure 43 Vérification du journal de l’installation d’exchange 2013.
Lors de la préparation du schéma pour la messagerie, plusieurs propriétés sont
mises à jour et permettent de vérifier que cette préparation est effective. Il faut utiliser les
informations ci-dessous pour les valider :
Dans le contexte de nommage du schéma, vérifier que la
propriété rangeUpper sur ms-Exch-Schema-Verision-Pt a la valeur correspondant
au niveau prévu de la version d’exchange dans le tableau des versions en annexe.
Figure 44 Vérification de la montée de version, nommage.
Dans le contexte de la configuration de nommage, vérifier que la propriété
objectVersion dans le conteneur CN=<your organization>,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=<domain> a la valeur correspondant
au niveau prévu de la version d’exchange dans le tableau des versions en annexe.
92
Figure 45 Vérification de la montée de version, configuration.
Dans le contexte de nommage par défaut, vérifier que la
propriété objectVersion dans le conteneur Microsoft Exchange System Objects en
dessous de DC=<root domain a la valeur correspondant au niveau prévu de la
version d’exchange dans le tableau des versions en annexe.
Figure 46 Vérification de la montée de version, attribution.
Etape suivante : création d’un utilisateur avec une boite mail sur le serveur Exchange
2013 afin de réaliser des tests d’envoi et de réception de mails entre les serveurs.
Pour utiliser la console, la première fois, il faut lancer l’url :
https://SRV_Ex2013/ecp?ExchClientVer=15.
Etape suivante : Configuration des URLS externe sur Exchange 2013
Il faut configurer les répertoires virtuels sur Exchange 2013 : OWA, Active Sync.,
EWS, le carnet d’adresse hors ligne et la console d’administration ECP.
Ouvrir la console d’administration d’Exchange 2013 :
https://SYT-EXCH13-A/ECP. Entrer le login ayant droit d’administrateur.
Aller dans le panneau de gauche sur Servers puis l’onglet servers. Cliquer Sur « Outlook
Anywhere » (Figure 47). Puis spécifier l’url Externe : webmail.sytral.fr
93
Figure 47 Configuration Outlook Anywhere.
Il faut configurer webmail.sytral.fr pour le nom d’hôte interne ci-dessus. Puis
appuyer sur sauvegarder.
Figure 48 Configuration Outlook OWA.
Aller dans Serveur puis Répertoires virtuels. Sélectionner le serveur Exchange
2013 à configurer (Figure 49). Puis configurer les url externe pour OWA et ECP puis
sauvegarder, valeur dans le tableau 5.
94
Figure 49 Configuration ECP.
Valeur à configurer.
Répertoire virtuel Valeur de l’URL externe
Autodiscover Pas d’adresse externe
ECP https://webmail.sytral.fr/ecp
EWS https://webmail.sytral.fr/EWS/Exchange.asmx
Microsoft-Server-ActiveSync https://webmail.sytral.fr/Microsoft-Server-ActiveSync
OAB https://webmail.sytral.fr/OAB
OWA https://webmail.sytral.fr /owa
PowerShell http://webmail.sytral.fr /PowerShell
Tableau 5 : Configuration des répertoires virtuels externe.
Etape suivante : Configuration des URLS interne sur Exchange 2013
Avant que les clients puissent se connecter aux serveurs Exchange 2013 sur le
réseau local il faut configurer les URLS interne dans les dossiers virtuels sur les serveurs
d’accès client comme dans le tableau 6. Pour nous webmail.sytral.fr. On peut utiliser
l’interface graphique ou les commandes PowerShell.
$HostName = "syt-exch13-a"
Set-EcpVirtualDirectory "$HostName\ECP (Default Web Site)" -InternalUrl
((Get-EcpVirtualDirectory "$HostName\ECP (Default Web
Site)").ExternalUrl)
Set-WebServicesVirtualDirectory "$HostName\EWS (Default Web Site)" -
InternalUrl ((get-WebServicesVirtualDirectory "$HostName\EWS (Default
Web Site)").ExternalUrl)
Set-ActiveSyncVirtualDirectory "$HostName\Microsoft-Server-ActiveSync
(Default Web Site)" -InternalUrl ((Get-ActiveSyncVirtualDirectory
"$HostName\Microsoft-Server-ActiveSync (Default Web Site)").ExternalUrl)
95
Set-OabVirtualDirectory "$HostName\OAB (Default Web Site)" -InternalUrl
((Get-OabVirtualDirectory "$HostName\OAB (Default Web
Site)").ExternalUrl)
Set-OwaVirtualDirectory "$HostName\OWA (Default Web Site)" -InternalUrl
((Get-OwaVirtualDirectory "$HostName\OWA (Default Web
Site)").ExternalUrl)
Set-PowerShellVirtualDirectory "$HostName\PowerShell (Default Web Site)"
-InternalUrl ((Get-PowerShellVirtualDirectory "$HostName\PowerShell
(Default Web Site)").ExternalUrl)
Configuration du carnet d’adresse hors ligne pour permettre à Autodiscover de
sélectionner le bon dossier virtuel pour distribuer l’OAB .
Get-OfflineAddressBook | Where {$_.ExchangeVersion.ExchangeBuild.Major -
Eq 15} | Set-OfflineAddressBook -GlobalWebDistributionEnabled $True -
VirtualDirectories $Null
Répertoire virtuel Valeur d’URL interne
Autodiscover No internal URL displayed
ECP https://webmail.sytral.fr/ecp
EWS https://webmail.sytral.fr /EWS/Exchange.asmx
Microsoft-Server-ActiveSync https://webmail.sytral.fr /Microsoft-Server-ActiveSync
OAB https://webmail.sytral.fr /OAB
OWA https://webmail.sytral.fr /owa
PowerShell http://webmail.sytral.fr /PowerShell
Tableau 6 : Configuration des répertoires virtuels interne.
Etape suivante: Configuration des certificats
Certains services comme Outlook Anywhere (Web) et Exchange ActiveSync
(téléphone) requièrent un certificat. C’est nécessaire pour éviter d’habituer les
utilisateurs à valider des alertes de sécurité comme quoi le site n’est peut-être pas sûr.
Nous avons fait le choix de mettre un certificat signé par une autorité de
confiance sur internet. Comme le certificat est de type Wild soit *.sytral.fr, il n’est pas
nécessaire de faire attention à tous les noms alternatifs à renseigner lors de la création du
certificat.
Comme nous migrons d’Exchange 2007 vers Exchange 2013 puis vers
Exchange 2016, cela devrait générer moins d’alerte de sécurité auprès des utilisateurs.
Par contre il ne faut pas laisser trainer le certificat qui comprend la clef sur le
réseau. Car si un pirate arrive à récupérer ce fichier et à casser le mot de passe qui est
très long alors il faudra révoquer ce certificat et en mettre un nouveau.
96
Figure 50 Configuration des certificats.
Etape suivante : Configuration des certificats Exchange 2007
Les certificats sur Exchange 2007 sont déjà paramétrés. Le fait de passer de
webmail.sytral.fr à mail.sytral.fr ne pose pas de problème avec un certificat de type Wild.
Mise en place du DAG Exchange (Groupe de disponibilité de bases de données)
La création d’un DAG permet de mettre en réplication des bases de données
contenant les mails. Cette opération augmente le taux de disponibilité des mails pour les
utilisateurs. La configuration du DAG installe automatiquement les services cluster sur les
serveurs membres du DAG. On ne peut pas cumuler ce type de cluster avec un cluster de
balance de charge NLB pour les services d’accès client. La redondance de l’accès des
clients sera traitée avec un répartiteur de charge ou « load balancer ».
Figure 51 Exchange 2013 réplication DAG
Nous avons appliqué les recommandations de VMware pour le paramétrage du
« heartbeat » du cluster. Ce paramétrage est nécessaire si on déplace la VM à chaud de la
VM. Quand le nombre de membres du cluster est pair il faut un serveur témoin pour qu’un
nœud dispose du quorum nécessaire à son fonctionnement. Les serveurs exchange sont
97
connectés au réseau production des serveurs mais aussi à un vlan isolé afin que les services
du cluster puissent communiquer directement entre eux.
Création d’un objet ordinateur dans l’AD DAGSYTRAL. Puis désactiver le
compte. Puis dans l’onglet sécurité. Choisir Exchange Trusted Subsystem et mettre
contrôle total. Ajouter les comptes des 2 serveurs membres de ce DAG et mettre control
total. Description ne pas supprimer DAG EXCHANGE TBO. Ouvrir ECP. Dans Serveurs
Groupe de disponibilité puis ajouter (Figure 52).
Figure 52 Exchange 2013 Création du DAG
Ce paramétrage monte le DAG et passe le compte DAG en actif. Enregistrement
DNS vérifié la résolution IP. Reboot des 2 serveurs. Création et mise en réplication des 2
bases de données.
Etape juste avant la partie avec impact utilisateur
Jusqu’à maintenant il n’y a pas d’impact utilisateurs. Les opérations suivantes
doivent être effectuées en dehors des heures de travail en journée. Une communication doit
être faite au préalable vers les utilisateurs.
Etape suivante : Activer et configurer « Outlook Anywhere »
Vérification que la fonctionnalité Outlook partout est activée sur les serveurs
Exchange 2007. L’adresse externe (URL) est positionnée sur le nom d’hôte des serveurs
Exchange 2013. L’authentification pour les clients comme Outlook 2013 doit être
NTLM. L’authentification du service IIS entre serveurs Exchange doit être NTLM et
BASIC.
Sur les serveurs Exchange en PowerShell :
$Exchange2013HostName = "webmail.sytral.fr"
98
Commande à passer pour les serveurs Exchange 2007 qui ont déjà Outlook
Anywhere d’activer pour autoriser les connexions des serveurs Exchange 2013.
Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 8*") -And
($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Where
{$_.OutlookAnywhereEnabled -Eq $True} | ForEach {Set-OutlookAnywhere "$_\RPC
(Default Web Site)" -ClientAuthenticationMethod NTLM -SSLOffloading $False -
ExternalHostName $Exchange2013HostName -IISAuthenticationMethods NTLM,
Basic}
Commande à passer pour les serveurs Exchange 2007 pour activer Outlook
Anywhere et pour autoriser les connexions des serveurs Exchange 2013.
Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 8*") -And
($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Where
{$_.OutlookAnywhereEnabled -Eq $False} | Enable-OutlookAnywhere -
ClientAuthenticationMethod NTLM -SSLOffloading $False -ExternalHostName
$Exchange2013HostName -IISAuthenticationMethods NTLM, Basic
Commande à passer pour les serveurs Exchange 2007 pour vérifier :
Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 8*") -And
($_.ServerRole -Like "*ClientAccess*")} | Get-OutlookAnywhere | Format-Table Server,
ClientAuthenticationMethod, IISAuthenticationMethods, SSLOffloading,
ExternalHostname -Wrap
Etape suivante: Configuration du service de connexion
Le service de découverte autodiscover utilise l’objet d’annuaire service de point
de connexion appelé SCP. Ce service permet de récupérer une liste d’URL. Lors de la
migration vers Exchange 2013 il faut le mettre à jour car il comprend des informations
supplémentaires fournies aux clients pour améliorer le processus de découverte.
Depuis la console Exchange 2007 :
$AutodiscoverHostName = "autodiscover.sytral.fr"
Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 8*") -And
($_.ServerRole -Like "*ClientAccess*")} | Set-ClientAccessServer -
AutoDiscoverServiceInternalUri
https://$AutodiscoverHostName/Autodiscover/Autodiscover.xml
Vérification sous 2007:
Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 8*") -And
($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Format-Table
Name, AutoDiscoverServiceInternalUri –Auto
Depuis la console Exchange 2013:
$AutodiscoverHostName = "autodiscover.sytral.fr"
99
Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 15*") -And
($_.ServerRole -Like "*ClientAccess*")} | Set-ClientAccessServer -
AutoDiscoverServiceInternalUri
https://$AutodiscoverHostName/Autodiscover/Autodiscover.xml
Vérification sous Exchange 2013:
Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 15*") -And
($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Format-Table
Name, AutoDiscoverServiceInternalUri -Auto
Etape suivante : Configuration des URLS Exchange 2007
$ExternalLegacyHostName = "mail.sytral.fr"
$InternalLegacyHostName = "mail.sytral.fr"
$Exchange2007Servers = Get-ExchangeServer | Where {($_.AdminDisplayVersion -
Like "Version 8*") -And ($_.ServerRole -Like "*ClientAccess*")}
Get-OwaVirtualDirectory | Where {$_.OwaVersion -Eq "Exchange2007"} | Set-
OwaVirtualDirectory -ExternalUrl https://$ExternalLegacyHostName/owa
$Exchange2007Servers | Get-WebServicesVirtualDirectory | Set-
WebServicesVirtualDirectory -ExternalUrl
https://$ExternalLegacyHostName/EWS/Exchange.asmx
$Exchange2007Servers | Get-OABVirtualDirectory | Set-OABVirtualDirectory -
ExternalUrl https://$ExternalLegacyHostName/OAB
$Exchange2007Servers | Get-ActiveSyncVirtualDirectory | Set-
ActiveSyncVirtualDirectory -InternalUrl https://$InternalLegacyHostName/Microsoft-
Server-ActiveSync
$Exchange2007Servers | Get-ActiveSyncVirtualDirectory | Set-
ActiveSyncVirtualDirectory -ExternalUrl $Null
Vérification que les paramètres sont pris en compte :
Get-OwaVirtualDirectory | Where {$_.OwaVersion -Eq "Exchange2007"} | Format-
Table Server, ExternalUrl -Auto
$Exchange2007Servers | Get-WebServicesVirtualDirectory | Format-Table Server,
ExternalUrl –Auto
$Exchange2007Servers | Get-OABVirtualDirectory | Format-Table Server, ExternalUrl -
Auto
$Exchange2007Servers | Get-ActiveSyncVirtualDirectory | Format-Table Server,
ExternalUrl –Auto
$Exchange2007Servers | Get-ActiveSyncVirtualDirectory | Format-Table Server,
InternalUrl -Auto
100
Etape suivante : Configuration des enregistrements DNS
Après avoir configuré les adresses URL sur les serveurs Exchange, nous avons dû
faire correspondre ce changement aux noms de résolution DNS.
Lors de la bascule, Il faut faire attention au problème du temps de vie des
enregistrements DNS. Si cela rentre en compte cela aura un impact sur les utilisateurs.
Car l’enregistrement sera remplacé au terme de sa durée de vie ou lors d’une purge du ou
des caches DNS sur la chaîne de résolution DNS utilisée par le client résolveur DNS. Si
c’est un élément, il faut faire diminuer le TTL des enregistrements concernés par la
migration. Il y a les serveurs internes et les serveurs DNS externes. Le mécanisme va
permettre de rediriger les utilisateurs encore sur Exchange 2007 vers les adresses des
serveurs d’accès clients Exchange 2007.
Pour prendre en compte la modification externe, on a configuré le pare-feu afin de
faire refléter ce changement. L’adresse translatée a été changée. Pour les résolutions
DNS internes, nous avons fait les changements sur notre serveur DNS interne.
Il reste à créer un enregistrement DNS dans la zone publique sytral.fr
correspondant à Autodiscover.sytral.fr qui doit pointer sur la bonne adresse IP Public
externe sur le pare-feu. La durée de vie de cet enregistrement est mise dans un premier
temps avec un TTL de 1 H maximum. Puis si tout fonctionne bien il est passé à un TTL
de 24 H.
Tous les tests ont été faits avec nslookup en interne et avec un poste mis en zone
publique par une connexion avec un modem ADSL. On teste avec une boîte mail
présente sur un serveur Exchange 2007 mais aussi sur un serveur Exchange 2013. Faire
les tests d’envoi et de réception de mails. Faire les tests avec le navigateur
https://webmail.sytral.fr/owa et avec les téléphones.
FQDN DNS record type Value
sytral.fr MX webmail.sytral.fr
webmail.sytral.fr A 195.167.231.29
mail.sytral.fr A 195.167.231.27
autodiscover.contoso.com A 195.167.231.29
Tableau 7 : Configuration des enregistrements DNS publics
Configurer les DNS internes and externes comme dans les tableaux 7 et 8.
FQDN DNS record type Value
mail.sytral.fr A 192.168.X.Y
webmail.sytral.fr CNAME 192.168.X.Z
autodiscover.contoso.com CNAME SYT-EXCH13-B.sytral.fr
Tableau 8 : Configuration des enregistrements DNS internes
101
Il est nécessaire de valider le bon fonctionnement par différents tests.
Nous nous sommes connecté à une boîte mail Exchange hébergée par un serveur
Exchange 2013 et nous avons réalisé les tests de bon fonctionnement. Puis connexion à
une boite mail Exchange hébergée par un serveur Exchange 2007 et réalisation des tests
de bon fonctionnement. Test de redirection OWA vers les CAS Exchange 2007.
Vérification de la connexion de l’accès de l’url et que les certificats n’émettent pas
d’alerte anormale. La redirection de webmail.sytral.fr (CAS 2013) vers mail.sytral.fr
(CAS 2007) est automatique.
Réalisation des tests sur le réseau interne en VPN et à l’extérieur. Fait de même
avec les téléphones. Nous avons réalisé des tests d’envoi de mail entre boîtes mail
version 2007 et 2013 et avec l’extérieur.
Dernière étape de l’assistant :
Entrer la clef de produit Microsoft Exchange Server avec la console PowerShell : Set-ExchangeServer <ServerName> -ProductKey <ProductKey>
102
Annexe 10
Analyse de risque
103
Annexe 11
Rapport Type de violation de données
Source Rapport-2018_ IT-Security-economy (rapport Kaspersky page 16)
104
Liste des figures Figure 1 : Les réseaux [Sytral-2019] .................................................................................................. 9 Figure 2 Budget dépenses prévisionnel 2019. [SYTRAL-2019] ..................................................... 10 Figure 3 Organigramme. [SYTRAL-2019] ...................................................................................... 11 Figure 4 Service DGART [INTRANET-2019] ................................................................................ 12 Figure 5 Serveurs en 2017 ................................................................................................................ 15 Figure 6 Réseau informatique .......................................................................................................... 17 Figure 7 Structure dossiers service informatique ............................................................................. 21 Figure 8 Ancien Contrôleur de domaine .......................................................................................... 23 Figure 9 Serveur de correctifs WSUS .............................................................................................. 26 Figure 10 ODIN consommation mémoire ........................................................................................ 34 Figure 11 Exchange 2007 avant migration....................................................................................... 34 Figure 12 Liste des serveurs Exchange dans l’AD ........................................................................... 35 Figure 13 Application Cegid Civitas ................................................................................................ 37 Figure 14 Application SIS marchés ................................................................................................. 38 Figure 15 Mail In Black en 2017 ..................................................................................................... 41 Figure 16 Enregistrements DNS publics .......................................................................................... 41 Figure 17 Ancien Serveur ESXi ....................................................................................................... 42 Figure 18 Nouvelle Infrastructure Virtualisée.................................................................................. 44 Figure 19 Instantanée des incidents de sécurité depuis Juillet 2018 [CISCO-2018]........................ 48 Figure 20 Cout moyen des attaques ................................................................................................. 48 Figure 21 Zones définies sur le pare-feu .......................................................................................... 53 Figure 22 Elaboration de la PSSI [ANSSI – 2019] .......................................................................... 63 Figure 23 Méthode EBIOS [ANSSI – 2019].................................................................................... 65 Figure 24 Disque DAG en REFS ..................................................................................................... 83 Figure 25 Maquette de validation ..................................................................................................... 84 Figure 26 Exchange 2007 carnet d’adresse hors ligne ..................................................................... 85 Figure 27 Exchange cohabitation LEGACY Name. ........................................................................ 85 Figure 28 Installation .NET 4.7.1 ..................................................................................................... 86 Figure 29 Exchange 2103 prérequis ................................................................................................. 86 Figure 30 Exchange prérequis UCMA ............................................................................................. 87 Figure 31 Exchange prérequis VStudio 2012................................................................................... 87 Figure 32 Exchange prérequis VStudio 2013................................................................................... 87 Figure 33 Programme d’installation d’Exchange 2013 .................................................................... 88 Figure 34 Vérifier les mises à jour ................................................................................................... 88 Figure 35 Ecrans d’information et contrat de licence. ..................................................................... 88 Figure 36 Ecran paramètres recommandés. ..................................................................................... 89 Figure 37 Ecran Rôles et emplacement d’installation. ..................................................................... 89 Figure 38 Activation de l’anti-logiciel malveillant. ......................................................................... 89 Figure 39 Test de validation. ............................................................................................................ 90 Figure 40 Etape installation effective d’exchange. .......................................................................... 90 Figure 41 Fin de l’installation d’exchange 2013. ............................................................................. 90 Figure 42 Vérification de l’installation d’exchange 2013. ............................................................... 91 Figure 43 Vérification du journal de l’installation d’exchange 2013............................................... 91 Figure 44 Vérification de la montée de version, nommage.............................................................. 91 Figure 45 Vérification de la montée de version, configuration. ....................................................... 92 Figure 46 Vérification de la montée de version, attribution. ............................................................ 92 Figure 47 Configuration Outlook Anywhere. .................................................................................. 93 Figure 48 Configuration Outlook OWA. ......................................................................................... 93 Figure 49 Configuration ECP. .......................................................................................................... 94 Figure 50 Configuration des certificats. ........................................................................................... 96 Figure 51 Exchange 2013 réplication DAG ..................................................................................... 96 Figure 52 Exchange 2013 Création du DAG ................................................................................... 97
105
Liste des tableaux
Tableau 1 : Applications au Sytral ................................................................................................... 16 Tableau 2 : Serveurs à migrer .......................................................................................................... 19 Tableau 3 : Partages utilisateurs à migrer ........................................................................................ 27 Tableau 4 : Dimensionnement des serveurs Exchange .................................................................... 36 Tableau 5 : Configuration des répertoires virtuels externe. ............................................................. 94 Tableau 6 : Configuration des répertoires virtuels interne. .............................................................. 95 Tableau 7 : Configuration des enregistrements DNS publics ........................................................ 100 Tableau 8 : Configuration des enregistrements DNS internes ....................................................... 100
106
Optimisation et sécurisation du système d’information du SYTRAL : Mise à jour,
sécurité, bonnes pratiques, protection des données.
Mémoire d'Ingénieur C.N.A.M., Lyon 2019
_________________________________________________________________
RESUME
Le projet de mise à jour des systèmes et logiciels du système d’information du
Sytral a pour but d’identifier les priorités et commencer les migrations des applications et
des systèmes les plus anciens. Nous l’avons fait pour garder le support des constructeurs et
des éditeurs et aussi afin de pouvoir appliquer les correctifs de sécurité. Nous avons
documenté les installations, les procédures et créé les schémas d’infrastructure. Nous
avons revu la configuration des équipements et des accès. Nous finalisons la mise à jour de
la messagerie Exchange. La mise en place de nouveaux outils d’administration et le suivi
de bonnes pratiques a amélioré notre pilotage du SI au quotidien.
Avec le RGPD, nous avons commandé une prestation externe qui est encore en
cours pour contrôler notre conformité. Nous avons appliqué des bonnes pratiques afin
d’améliorer la sécurité rapidement. Avec le retour de cette prestation, nous allons planifier
les éléments à mettre en œuvre pour augmenter la sécurisation des données personnelles et
du SI en général.
Mots clés : Mise à jour, sécurité, bonnes pratiques, protection des données.
Optimization and securing of the SYTRAL information system: Update, safety, good
practices, data protection.
_________________________________________________________________
SUMMARY
Sytral’s system and information system software update project aims to identify
priorities and start the migration of the oldest applications and systems. This project was
motivated by the will to keep having the manufacturers and publishers’ support, but also to
apply security features. Sytral has documented the facilities and procedures while
infrastructure plans have been created. Equipment and access configuration has been
revised as well. The company is now finalizing the update of the Exchange messaging
service. The implementation of new administration tools and the follow-up on the good
practices have been improving the management of the information system.
As a result of the introduction of the GDPR (General Data Protection Regulation)
to the EU Regulation, Sytral has ordered an external provision that is still underway to
check its compliance. The company has been applying good practices to improve safety
quickly. The inspection feedback will enable Sytral to plan the elements to be implemented
in order to increase the protection of data privacy as well as the information system in
general.
Keywords: Update, safety, good practices, data protection.