WURI - DEPARTEMENT IT

RESEAU ET SECURITE

Ange Marie TREY

AGEND
 Mission de la section

A reseau et sécurité

 L’Equipe

 Point de l’existant

 A rc h i t e c t u re Ré s e a u

 Sécurité

2
 INTRODUCTI
La République de Côte d’Ivoire a obtenu auprès de la Banque
ON
mondiale un financement au titre du Projet d’Identification
Unique pour l’Intégration Régionale et l’Inclusion en Afrique
de l’Ouest (WURI)-Côte d’Ivoire. Le Projet a pour objectif
d’augmenter le nombre de personnes qui disposent d’une
preuve d’identifiant unique et permanent reconnue par le
Gouvernement et qui facilite leur accès aux services tout en
créant une interopérabilité entre plusieurs autres systèmes
d’identification. Il s’inscrit dans le cadre de l’harmonisation
des politiques régionales en matière d’identification et
s’articule autour de trois composantes :
Composante 1: le renforcement du cadre juridique et
institutionnel ;
Composante 2: la mise en place d’un système
d’identification de base solide et inclusif ;
Composante 3: la promotion de l’accès aux services à
travers des documents d’identité.
Dans son atteinte des objectifs de développement, le WURI
nous a recruté pour la gestion du réseau et de la sécurité de
l’infrastructure qui sera mise en place.

3
 Mission du
Département
Notre mission est :

 Identification et anticipation des besoins des entreprises

 Organisation et définition de procédures adaptées
 Accompagnement des clients
 Gestion des situations de crise
 Rôle d’interface avec les prestataires externes
 Veille technologique et juridique

Mission et Objectifs Ministériels

Contribuer à l'élaboration, la Concevoir et déployer des

Acquérir une connaissance formalisation et la mise en mesures de sécurité pour la
approfondie des normes de gestion des données et des Adapter les bibliothèques Élaborer des normes de
Élaborer des normes de application de documents
sécurité et conduire une veille infrastructures, en garantissant sécurité et établir le référentiel
sécurité et établir le référentiel techniques tels que les cryptographiques logicielles
technologique constante sur leur confidentialité, leur intégrité
de sécurité. spécifications, les documents aux exigences du projet. de sécurité.
et leur disponibilité ; • Superviser
les solutions et infrastructures d'architecture, les documents la mise en place de l'architecture
de sécurité des données. d'exploitation. réseau.

Évaluer les solutions de Réaliser des évaluations des Rédiger et mettre à disposition
Assurer le bon fonctionnement
sécurité des données et des Déployer les services de risques, mettre en œuvre et différents guides tels que les Préparer les rapports d'activité
conforme aux enjeux et la
infrastructures, et définir les sécurité tels que suivre les plans de traitement ; manuels de procédures, les et effectuer le reporting auprès
sécurité des applications en
orientations pour l'utilisation l'authentification, le Produire des rapports guides de prise en main, les du Directeur Technique de
production et hors production,
des algorithmes chiffrement, la signature techniques et des documents chartes d'utilisation des l'UGP WURI.
et surveiller et alerter en cas
cryptographiques dans le électronique. sur les résultats des équipements.
de pare-feu
système d'identification. évaluations
L’équipe de la section reseau et sécurité

DIRECTEUR
TECHNIQUE

INGENIEUR
RESEAU ET
SECURITE

STAGIAIRE
INGENIEUR RESEAU STAGIAIRE SECURITE
INFORMATIQUE ET ET SUPERVISION
TELECOM
EXISTANT DU WURI

Description fonctionnelle et technique de

l’existant

La plupart des utilisateurs ont accès a Internet via le

Wifi et les points d'accès ne sont pas gérés de
manière centralisée. Plusieurs ordinateurs ne peuvent
se connecter au réseau informatique à cause de ce
que bons nombres de prises informatiques ne sont pas
fonctionnelles.

Par exemple, pour interconnecter les machines, les

câbles réseaux ont été branchés de manière disparate
sur un switch de 8 ports situés sous leur bureau.
EXISTANT DU
WURI
Description fonctionnelle et technique de
l’existant

Ces câbles sont sans protection (absence de

gaines et goulottes) et se baladent sur le sol
dans un système de toile d’araignée.

Les câbles jonches le sol avec un important

risque d’écrasement, ne respectant aucune
norme et mettant même en danger l’intégrité
physique des utilisateurs et des équipements
car il côtoie les câbles électriques.
 Existant du WURI

Description fonctionnelle et technique de l’existant

Tous les postes ont accès à Internet sans passé par un firewall qui est le premier niveau de
sécurité d'un réseau et aussi il permet de mieux gérer la bande passante Internet.

La téléphonie n'est pas selon les normes de l'architecture moderne actuelle. Nous déplorons l’état
obsolète des prises réseau (téléphonique).

Les applications de bureautique installées sur les ordinateurs ne sont généralement pas sous
licence. Nous signalons l'absence d'anti-virus sur les postes de travail pendant qu'ils ont accès à
Internet, ce qui constitue un défaut de sécurité.

Il n'y a pas d'outil collaboratif comme teams, Zoom et autres et cloud professionnel pour la
sauvegarde centralisées de toute la doucumention.
 Existant du WURI

Description fonctionnelle et technique

de l’existant

Les mails professionnels sont moins utilisés

en faveur de mails personnels

La salle de réunion ne répond pas aux

normes actuelles, l'écran actuel n'a pas de
télécommandes donc ne peut être
paramétré correctement.

En termes de description fonctionnelle du

réseau existant, il est donc important de
préciser le fait qu’il n’y a pas de réseau
informatique en place exploitable dans un
système de monitoring,
 Critique de l’existant du WURI

Nous notons à cet effet :

 Les câbles réseaux isolés et classés de façon anarchique ;

 Les accès aux ressources ouverts à tous ;
 Le type d'ouverture (portes, fenêtres, …) menant aux ressources critiques ne sont pas
conformes ;
 Les accès sont non identifiés ;
 Utilisation de plusieurs imprimantes pendant qu’elles ont toutes des fonctionnalités réseaux,
 L'absence de caméras de surveillance à certains endroits critique ;

Toutes ces remarques sont autant d’éléments désavantageux montrant que le SI du WURI est à
améliorer.
 Recommendations

Réseau informatique
Le réseau doit être modulaire, hiérarchique, robuste, performant, évolutif, sécurisé et hautement
disponible.
Transmission
Chaque niveau (Rez de chaussé, 1er et 2ème étage) du bâtiment, doit avoir une boucle locale de
communication avec une capacité intra site entre 1 - 10 Gigabits (Ethernet et/ou Fibre Optique),
et une couche d’accès d’au moins 1 Gigabits.
Il faudra donc refaire le câblage informatique de tout le bâtiment.

Le réseau doit aisément transporter tous les services de données, voie, multimédia et services.
Les classes de service à implémenter ou à transporter sont :
 Les services de base du réseau
 DHCP (Dynamic Host Configuration Protocol) : permet d’attribuer des adresses IP aux machines
;
 DNS (Domain Name Server) : permet la résolution de nom de Domaine en adresse IP ;
 Tout autre service nécessaire à l’intégration et au fonctionnement des machines dans le
réseau.
 Les services et applications métiers sont les services nécessaires ou requis pour effectuer les
travaux quotidiens (SSH, Telnet, HTTPS, ICMP, SNMP, etc…).
RECOMMENDATIONS

Réseau informatique

Sécurité

Ce réseau doit allier sécurité (disponibilité, confidentialité, intégrité), performance et qualité de services. La
mise en service des Pare-feu de nouvelle génération (Next Generation Firewall) permettra techniquement de
relever certains défis sécuritaires pouvant menacer ce réseau.
Par ailleurs, nous recommandons fortement la rédaction et l’implémentation de la Politique de sécurité de
l’institution.

D’un point de vue global, elle permettra d’adresser les trois (03) grands axes du contrôle et de la maîtrise de
la sécurité de l’information, à savoir :

Le plan administratif qui décline la vision sécuritaire du management de l’administration. Ceci à travers :

Document de politique de sécurité ;

Chartes ;
Procédures ;
Standard et normes ;
ERP (Enterprise Resource Planning) est un type de logiciel que les entreprises utilisent pour gérer leurs
activités quotidiennes
RECOMMENDATIONS

Réseau informatique

Sécurité

Le plan Technique suivra par l’implémentation sur les technologies de sécurité des recommandations
administratives :
Pare-feu de nouvelle génération ;
IDS/IPS ;
Serveur Antivirus ;
Système de gestion des informations et des événements de sécurité (SIEM)
Outil de supervision avec une console unique
Outil de sauvegardes et de récupération des données
Solution de chiffrement et de cryptage des données
Solution de prévention des pertes de données (DPL)
Solution de sécurité cloud
Proxy web
Solution d’authentification forte
Un réseau WiFi sécurisé avec une gestion centralisés des points d’accès.

Le plan physique qui viendra implémenter le contrôle physique et environnemental des salles critiques et
autres :
Camera ;
Contrôle d’accès biométrique ;
RECOMMENDATIONS
Postes de travail

Applications et services

 Utiliser des applications (bureautiques ou autres) sous licences.

 Prévoir un mécanisme de verrouillage automatique de session en cas de non-utilisation du poste

pendant un temps donné.

 Installer un « pare-feu » (« firewall ») logiciel sur le poste et limiter l’ouverture des ports de
communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le
poste de travail.

 Utiliser des antivirus régulièrement mis à jour.

 Déployer les mises à jour de sécurité au plus tôt, le cas échéant après les avoir testées. Les mises à
jour venant corriger des failles critiques publiques doivent d’autant plus être installées sans délais.

 Limiter les droits des utilisateurs au strict minimum en fonction de leurs besoins sur les postes de travail.
RECOMMENDATIONS

Postes de travail

Applications et services

 Favoriser le stockage des données des utilisateurs sur un espace de stockage régulièrement sauvegardé
accessible via le réseau interne de l’organisme plutôt que sur les postes de travail. Dans le cas où des
données sont stockées localement, fournir des moyens de synchronisation ou de sauvegarde aux
utilisateurs et les former à leur utilisation.

 Effacer de façon sécurisée les données présentes sur un poste préalablement à sa réaffectation à une autre
personne.

 Pour les supports amovibles (ex. : clés USB, disques durs externes) :
 sensibiliser les utilisateurs aux risques liés à l’utilisation de support amovibles, en particulier s’ils
proviennent de l’extérieur ;
 limiter la connexion de supports mobiles à l’indispensable ;
 désactiver l'exécution automatique (« autorun ») depuis les supports amovibles.
Recommendation
s
Réseau téléphonique

Lé réseau informatique devra être convergent pour prendre en charge la vois (téléphonie)

 Mettre en place une solutions de téléphonie IP permettra aux terminaux employés (téléphones, tablettes,
smartphones ou ordinateurs) de communiquer via le réseau Internet (réseaux câblés ou Wi-Fi) avec
d'autres terminaux, y compris des terminaux mobiles et fixes connectés au réseau des opérateurs
de téléphonie (réseau mobile ou RTC).

Imprimantes et copieurs

Comme pour le partage de connexion internet, celui de l’imprimante peut aussi s’effectuer en réseau. Pour
le partage de l’imprimante, deux options s’offrent aux utilisateurs:
• Soit par le réseau Ethernet, il s’agira de mettre un câble sur l’imprimante afin de la connecter au réseau
• Soit par le Wifi, dans ce cas, il faudra connecter l’imprimante au réseau Wifi du WURI.

Avantage: L’utilisation d’une imprimante réseau représentent une méthode très efficace pour minimiser les
dépenses matérielles (nombres d’imprimantes et aussi de cartouches d’encre)

NB: Pour palier au souci d’indisponibilité Internet; nous recommandons au moins deux fournisseurs d’accès
différents.
SCHEMA SYNOPTIQUE DE L’ARICHECTURE
CIBLE
Description

Comme signalé plus haut, le premier niveau de sécurité est le firewall.

Un pare-feu est une appliance physique ou logiciel de protection du réseau qui surveille le trafic entrant et
sortant, et décide d'autoriser ou de bloquer une partie de ce trafic en fonction d'un ensemble de règles de
sécurité prédéfinies.

Dans notre architecture nous aurons deux firewall physique en haute disponibilité,
Chaque équipement physique sera virtualisé, il y aura alors 3 firewalls virtuels:
• Un firewall Internet (Wan)
• Un firewall Utilisateur (User)
• Un firewall Serveur (Servers)

,
SCHEMA SYNOPTIQUE DE L’ARICHECTURE
CIBLE
Description

L'architecture à mettre en place dans l’implémentation des travaux sollicités doit prendre en compte un
système d’architecture composé de trois (03) couches. De la plus basse vers la plus élevée nous avons :

 La couche d’accès : elle permet aux utilisateurs d’accéder au réseau à partir de leurs équipements finaux
(Ordinateurs, PDA, Tablettes, Smartphones) via les Switch d’accès déployés à tous les étages sollicités du
bâtiment et aussi dans les différentes salles de réunions.

 La couche Distribution : elle est constituée de trois Switch de distribution, (au ray de chaussés, et aux 1 er et
2ème étages). Cette couche permet de limiter les zones de diffusion, de router les données entre VLAN,
d’éviter le transit de certaines données vers certains VLAN.

 La couche cœur de réseau : c’est le cœur du réseau, il est chargé de transférer les données le plus
rapidement possible. Cette couche est principalement constituée de deux Pare-feu de nouvelles
générations dont un à la salle serveur et l'autre au niveau de la DSI.
SCHEMA SYNOPTIQUE DE L’ARICHECTURE
CIBLE
Description

Cette répartition en couche a pour avantage :

 L’évolutivité : pouvoir agrandir le réseau de façon simple et en temps voulu ;

 La redondance : permet la disponibilité des services et applications 24h/24 ;

 La performance : permet d’éviter les goulottes d’étranglement ;

 La Sécurité : permet de sécuriser les accès et les données de bout en bout ;

 L'administration simplifiée ;

 La facilité de maintenance en raison de la modularité du réseau.

NB: Les équipements devrons être en haute disponibilité

SCHEMA SYNOPTIQUE DE L’ARICHECTURE
CIBLE

Switchs WAN

Vdom
Wan

Vdom Vdom Firewalls

users Servers

Switchs Cœur

Switch de distribution

Switch d’accès
BESOINS EN MATERIELS ET SOLUTIONS
SOLUTIONS MATERIELS ET LOGICIELS Editeur et modèle QUANTITE

Switch niveau 2 HPE ARUBA / CX 6300 16P 2

Switch niveau 2 HPE ARUBA / CX 6300 24P 3
Switch niveau 3 HPE ARUBA / CX3810 24P 2
Firewall FORTINET / FG-101F 2
Anti-virus
Système des informations et des évènements (SIEM: LOGPOINT /
Security Information and Event Management)
Solution de sauvegarde et de récupération de données VEEAM
Solutions de chiffrement et de cryptage
Solution de prévention de perte de données (DLP: Data Lost
Prevention)
Solution de sécurité cloud
Solution d’authentification forte
Soultion WiFi sécurisé avec gestion centralisée

Solution de supervision avec console unique

 THANK YOU

Ange Marie TREY atrey@wuri,ci

Ingénieure Réseau et Sécurité