--- title: "Dossier d'architecture" disqus: Brewal Rouille - Brice Allenet- Nathaniel Subias - Quentin Lemauf --- Dossier d'architecture | Solution e-commerce === > Brewal Rouille - Brice Allenet- Nathaniel Subias - Quentin Lemauf ## Table of Contents [TOC] ## Rappel de contexte Avant d'exposer les solution envisagées afin de répondre aux différentes problématiques qui nous ont été posées, nous souhaitons dans un premier temps rappeler le contexte et ces différents enjeux. Nous intervenons dans le cadre d'une entreprise commerciale basée à Vannes, qui vend et loue des articles nautiques. L'entreprise cherche actuellement à élargir sa clientèle au niveau européen en créant un site de e-commerce. Les principaux objectifs de ce site sont d'attirer de nouveaux clients, de communiquer les offres de produits, de vendre et de louer des biens et des services en ligne, et d'assurer le suivi des commandes et des livraisons en ligne. Nous avons été mandaté par le directeur de l'entreprise qui recherche une solution sûre et rentable pour mettre en œuvre ce plan. Pour rappel, l'entreprise dispose déjà d'un stock à Vannes, et est équipée d'ordinateurs de bureau, d'une liaison internet ADSL, d'une messagerie et d'un système de partage de fichiers en local. ## Analyse de risque --- En temps qu'étude préliminaire, nous avons réalisé une analyse de risque visant à déterminer les risques qui pourraient en majorité impacter l'entreprise. L'objectif était d'identifier ces risques afin de les traiter dans l'architecture. Cette partie traite des résultats obtenus lors de cette analyse. > Détails de l'analyse de risque [ici](https://docs.google.com/spreadsheets/d/1L6BcWxAgyjcF57x51AKxm6878hUnRjsJ/edit?usp=sharing&ouid=107849289346422152862&rtpof=true&sd=true). L'analyse de risque a permis d'évaluer les risques potentiels qui pèseraient sur le site web où serait hébergé la prestation de location de bateau. Les risques suivants ont été identifiés :  Pour réduire le niveau de vraisemblance de ces risques et donc améliorer le niveau de sécurité de la solution, les mesures suivantes ont été proposées : - Comptes nominatifs - Comptes admin dissociés du compte personnel - Utilisation de protocoles sécurisés et chiffrés - Accès restreints par authentification forte: mot de passe fort & MFA via une application mobile - Sauvegarde automatisé - Pare-feu - Répartiteurs de charge - Filtre des connexions par localisation / 802.1x - Limite du nombre de requêtes par intervalle de temps - Hachage des données - Gestion des clées secrètes Grâce à ces mesures, le niveau de vraisemblance descend. Cela permet de baisser le niveau de risque, comme le montre cette matrice avant/après la mise en place des mesures :  ## Nos propositions d'architectures --- Dans cette partie nous exposerons les architectures que nous avons déterminées afin de répondre au besoin de l'entreprise. Pour cela nous avons créé deux solutions : Une solution On Cloud et une solution On Premise. Nous détaillerons les deux différentes architectures et leurs avantages & inconvénients. # Architecture cloud --- ### Introduction La première proposition est donc celle d'une architecture cloud. L'objectif d'une telle infrastructure est de décentraliser l'hébergement afin d'en faciliter l'administration et de transmettre les responsabilités de disponibilité à un tiers extérieur. Dans notre cas nous proposons l'utilisation d'un CMS (Système de gestion de contenu) e-commerce. ### Architecture fonctionnelle Notre architecture sera décomposée de cette manière:  Cette architecture permettra d'assurer la sécurité, la conformité et la facilité d'utilisation pour l'entreprise et ses clients. ### Architecture technique L'architecture cloud proposée est la suivante:  En intégrant les mesures techniques de sécurité issues de la méthode EBIOS, cette architecture technique générale offre une solution robuste et sécurisée pour le e-commerce, tout en garantissant la conformité aux normes et réglementations en vigueur. ### CMS Un CMS (Content Management System) d'e-commerce est un système qui permet de gérer facilement une boutique en ligne. Parmi les avantages d'une telle plateforme, voici ceux que nous pouvons citer : 1. Gestion facile des produits : Les CMS d'e-commerce vous permettent de gérer facilement vos produits en ajoutant des descriptions, des images, des prix, etc. 1. Gestion des stocks : Vous pouvez suivre les niveaux de stock de vos produits et recevoir des alertes lorsque le stock est bas. 1. Gestion des commandes : Les CMS d'e-commerce vous permettent de suivre les commandes, de les traiter et de les expédier facilement. 1. Sécurité : Le CMS d'e-commerce garantit un haut niveau de sécurité et de conformité avec les réglementations en vigueur. 3. Intégration de paiement : Les CMS d'e-commerce sont souvent intégrés à des passerelles de paiement en ligne, ce qui facilite le traitement des paiements pour vos clients. 4. Suivi de la performance : Les CMS d'e-commerce peuvent fournir des données d'analyse pour vous aider à comprendre comment votre boutique en ligne fonctionne et comment vous pouvez l'améliorer. Ce type d'infrastructure permet donc de répondre aux risques que nous avions identifié lors de notre analyse de risques préalable. Dans notre cas, nous avons opté pour une solution française de CMS : "Prestashop". PrestaShop est un système de gestion de contenu (CMS) open-source utilisé pour créer des sites de commerce électronique. Fondé en 2007, il est actuellement l'un des systèmes les plus populaires pour la création de boutique en ligne. Prestashop propose un tarif dépendant du chiffre d'affaire annuel de l'entreprise. Dans cette exemple nous travaillerons sur une base de chiffre d'affaire n'excédent pas 60 000€, dans le cas ou cette valeur serait dépassée, le tarif proposé serait amené à évoluer. La formule utilisée a donc **un coût de 150€/mois HT**. Ce tarif inclus : * L'hébergement web * Le nom de domaine * L'installation * 3 modules marketing * 2 modules paiement et livraison * 1 module conformité légale * Une assistance téléphonique 6/7j de 9h à 20h Nous gardons donc une architecture simple sur le SI interne et nous déportons tous les serveurs du cloud Prestashop sur Internet. ### Cloisonnement réseau Pour SI locale de l'entreprise, nous avons choisi de conserver une architure simple. Nous avons choisi de segmenter le réseau de la façon suivante : * Un VLAN Serveur reservé à l'équipement technique interne nécessaire au bon fonctionnement du SI * Un VLAN Administrateur qui contient le PC admin qui est en charge de l'administration du SI Local et du cloud * Un VLAN Métier au sein du quel nous trouvons tous les postes éssentiels à l'activité de l'entreprise. Travailler avec une solution cloud implique d'être dépendant dans la connexion à Internet. Afin de pallier à ce problème nous avons choisi de garder l'annuaire Active Directory en local, cela permet, dans le cas d'une coupure web de continuer à avoir accès aux postes en local. Côté cloud, nous avons donc externalisé le CMS via Prestashop, les mails via office et le stockage de fichier via la solution sharepoint. Concernant les différents modules de ventes, tout est externalisé sur Prestashop, cela signifie que le module de vente, de suivi de commande, et de comptabilité est suivi dirrectement via le CMS. ### Sécurité Dans notre cas, nous utilisons un CMS *Prestashop*, la majorité de la sécurité est donc gérée de leur côté: * Gestion des clés * Gestion de la sécurité avec service d’archivage, service de répartition de charge et service d’horodatage * Sécurité de bout en bout avec confidentialité, intégrité, disponibilité, non-répudiation des transactions * Protection des données Cependant nous pouvons détaillé quelques points comme les points suivants: #### - Filrage et détection: D'un point de vue sécurité, la totalité des requêtes clientes auront lieu via le CMS 'Prestashop'. Autrement dit, le seul lien externe à considérer est le lien entre le SI interne de l'entreprise et Prestashop. Afin de sécuriser ce lien nous avons mis en place un firewall par site filtrant les connexion entrantes et sortantes et permettant également la connexion entre les deux sites. Utilisation de solutions de détection des intrusions (IDS) et de prévention des intrusions (IPS) pour identifier et bloquer les menaces en temps réel : * Mise en place de systèmes de surveillance et de logging pour détecter et analyser les incidents de sécurité * Utilisation d'antivirus et d'anti-malware pour protéger les serveurs et les postes de travail #### - Continuité des activités et résilience : Afin d'assurer la continuitée d'activité et la résilience de l'infrastrucutre, nous avons mis en place un service de redondance, notamment grâce à un serveur NAS permettant de stocker les demandes de commandes et donc de travailler en local en cas de besoin. Aussi, il sera important de mettre en place un plan de continuité d'activité (PCA) et un plan de relance de l'activité (PRA) afin de se préparer à une éventuelle interruption de fonctionnement de l'infrastructure. #### - Sécurité des données : Chiffrement des données sensibles, à la fois au repos et en transit (avec la mise en place d'un certificat SSL). Les comptes d'accès au CMS sont directement gérés via Prestashop. Pour les connexions distantes, la mise en place d'un VPN diminue le risque en cas de télétravail. #### - Authentification et contrôle d'accès : La mise en place d'un système d'authentification unique (SSO) et d'authentification à deux facteurs (2FA) type Microsoft Authenticator pour les utilisateurs et les employés permet de limiter le risque de mauvaise utilisation des comptes. L'application d'une politique d'accès stricte pour les ressources sensibles et les données personnelles des clients (conformément à la CNIL et au RGPD). Également, une revue régulière des comptes et des droits qui leur sont associés, doit être réalisée régulièrement tout comme il doit être établi une procédure de gestion des départs de collaborateur. ### Prix et justification Modèles équipements | Nom | Modèle | Prix | Total | |:----------------- | -------------------- | -------------------- |:--------- | | Pare feu siège | Pare-feu UTM SN160 | 495,79 | 495,79 | | Pare feu entrepôt | Pare-feu UTM SN160 | 495,79 | 991,58 | | Switch siège x2 | CISCO CBS350-48FP-4G | 1 416,62 /unité | 4 320,61 | | Switch entrepôt x2 | Netgear GS116LP | 169,99 /unité | 4 660,59 | | AP wifi | Aruba AP-515 | 833,29 | 5 493,83 | Abonnements | Nom | Modèle | Prix | Total | |:----------- | ---------- | -------------------- |:--------- | | CMS | Prestashop | 150€/mois HT | 1 800€/an | | Office 365 | Business | 8,80€/ans/comptes HT | 1 320€/an | Nous avons donc opté pour des technologies qui ont fait leurs preuves tels que Cisco pour les switch et Stormshield pour les pares-feux. En plus d’être des technologies fiables, elle nous permettent la configuration en Vlan. Nous avons également doublé les switch siège et entrepôt pour un soucis de redondance. A noter que nous gérons dans cette architecture la partie backbone et non la partie de distribution, dans le cas d'un bâtiment ne comportant pas de précablage il faudra prendre en compte la distribution du réseau jusqu'aux terminaux. Évidemment, les tarifs présentés ici ne prennent pas en compte une possible récupération de l'infrastructure existante qui pourrait être réutilisée dans le cas où elle correspondrait aux informations techniques du materiel proposé ici. Enfin pour l’AP Wifi (qui pourra servir au réseau guest) nous avons choisi un matériel fonctionnant en PoE (power over Ethernet) ce qui facilite son déploiement et également qui permet du multibande ce qui permet d’augmenter la possibilité de connexion dessus. Bien sûr pour une couverture optimal du réseau Wifi, il faudrait réaliser une étude des bâtiments pour sélectionner le nombre optimal de borne et leur configuration, mais pour cette première version de l’infrastructure, un seul AP positionné intelligemment suffira. # Architecture On-Premise --- ## Introduction Une infrastructure On-Premise (ou sur site) est une architecture informatique dans laquelle tous les équipements, serveurs, applications et données sont installés et gérés localement dans les locaux de l'entreprise. Contrairement à une infrastructure cloud, où les ressources informatiques sont hébergées et gérées par des prestataires externes et accessible via Internet, l'infrastructure On-Premise est complètement isolée et n'utilise pas les services de fournisseur tiers. Cette approche peut offrir à une entreprise un contrôle total sur sa configuration et sa sécurité, mais elle nécessite des investissements initiaux plus importants en termes d'équipements et de maintenance pour assurer un fonctionnement optimal. Notre proposition d'architecture On-Premise est basée sur des technologies open-source et gratuites, ce qui permet de limiter les coûts tout en permettant à l'entreprise de mieux comprendre les technologies utilisées. ## Spécifications techniques ### Cloisonnement réseau La première mesure de sécurité que nous avons mise en place est la création d'une DMZ (zone démilitarisée), qui est une zone intermédiaire entre Internet et notre réseau interne. Cette DMZ contient uniquement les serveurs qui doivent être accessibles depuis Internet, en l'occurrence notre **serveur web et notre serveur de messagerie relais**. Les flux entrants sur la DMZ passent par un pare-feu, qui va filtrer le trafic en fonction des règles de sécurité prédéfinies. Ce pare-feu va permettre de bloquer tout le trafic non autorisé, en limitant les attaques de type DDoS (Distributed Denial of Service) et les tentatives d'intrusion. Nous avons également ajouté un système d'IPS (Intrusion Prevention System) basé sur CrowdSec, qui va surveiller les connexions entrantes pour détecter les tentatives d'intrusion et les bloquer en temps réel. Le serveur web, opéré par la version gratuite de Prestashop est exposé sur la DMZ. Il n'a pas accès directement à notre réseau interne. Pour garantir la sécurité de notre réseau, nous avons créé un VLAN dédié au serveur de base de données, qui est utilisé par le serveur web. Ce VLAN permet d'isoler le serveur de base de données et d'empêcher tous les accès directs depuis l'extérieur. Le serveur de base de données est situé sur le réseau interne. Nous avons également le serveur de relais mail qui se trouve dans la DMZ, physiquement sur le même serveur que le serveur web Prestashop. Il est en lien avec le serveur mail principal qui lui se trouve dans le réseau interne, afin de maximiser la sécurité de ce dernier. L'usage des mails servira aux tâches quotidiennes de l'entreprise, à l'envoi des newsletters, etc.. Le serveur mail et la base de données du serveur web se trouvent physiquement sur la même machine afin d'optimiser les coûts, la demande en charge étant trop faible pour justifier l'usage de 2 serveurs distincts. Ils sont cependant cloisonnés par Docker pour garantir un cloisonnement optimal. Ils sont dispatchés sur 2 VLANs différents gérés par le NAT interne au serveur hôte de ces 2 services. Pour renforcer la sécurité de notre réseau, nous avons mis en place un second pare-feu, qui est positionné entre la DMZ et notre réseau interne. Ce pare-feu va permettre de contrôler les flux entrants et sortants, en bloquant tout le trafic non autorisé. Nous avons choisi d'utiliser deux pare-feux dos-à-dos de technologies différentes, afin de varier et bloquer les potentielles attaques dépendantes du matériel. Ces deux pare-feux ont un mode IPS activé en mode blocage. L'accès à notre réseau interne depuis Internet se fait uniquement par VPN (Virtual Private Network) via OpenVPN. Ce choix de sécurité permet de garantir que seules les personnes ayant les droits d'accès pourront se connecter à notre réseau interne. À l'intérieur de notre réseau interne, nous avons créé plusieurs VLAN pour cloisonner les différents services et applications. Ainsi, nous avons un VLAN dédié aux services internes tels que l'infrastructure de PKI (Public Key Infrastructure), le NAS (Network Attached Storage), le serveur de messagerie et le serveur Active Directory. Enfin, nous avons une VLAN dédiée à l'administration, qui permet de gérer notre parc informatique et de monitorer nos systèmes via Centreon. ### Authentification Tous les services accessibles depuis l'extérieur, c'est à dire Office 365, OpenVPN ainsi que le site de Prestashop posséderont une authentification à 2 facteurs. Cette option permet de maximiser la sécurité au niveau de l'authentification, afin de se prémunir face à de potentiels vols de mots de passe notamment. ### Sécurité des serveurs Tous les serveurs sont munis d'un anti-malware. De plus, les options d'anti-phishing et d'anti-spam sont activés sur les serveurs de messagerie, afin de filtrer au maximum les tentatives de phishing qui pourraient survenir. ### Sécurité des postes de travail Les postes de travail sont tous équipés d'un anti-malware. De plus, un blocage par GPO est effectué pour limiter la possibilité d'y brancher des clés USB. ### Wi-Fi Une borne Wi-Fi est mise en place au sein de l'entreprise. Pour la sécuriser, le 802.1x est mis en place, afin de ne limiter qu'aux machines autorisées la connexion au réseau. ### Nomadisme Une passerelle OpenVPN sera mise en place sur les firewalls pour accéder au réseau interne de l'entreprise lors de déplacement ou de télétravail. Cette passerelle sera sécurisée à l'aide d'une authentification à double facteurs. ### Sécurité physique Les serveurs seront stockés dans une salle serveur protégée par un système de contrôle d'accès, afin de ne limiter qu'au strict minimum l'accès physique aux serveurs. Seul le personnel dûment autorisé devra y avoir accès. ### Protection des données La base de données qui héberge les données du site Internet est chiffrée à l'état de l'art. N'étant pas située dans la DMZ, les données à caractère personnel qu'elle pourra héberger sont donc protégées des attaques depuis l'extérieur. La clé privé de cette base de données sera stockée dans la PKI de l'Active Directory. ### Reprise d'activité Dans le cas où une attaque de type ransomware aurait lieu, nous avons également ajouté un serveur de sauvegarde géré par Veaam qui ne sera branché au réseau qu'une fois toutes les 2 semaines afin de sauvegarder les données, avant d'être éteint. Cette précaution permettra, en cas de ransomware, de récupérer l'intégralité des données de l'entreprise. Nous n'avons pas jugé utile d'incorporer de la redondance pour le serveur web, la demande en terme de disponibilité étant jugée plutôt faible, et il sera toujours possible de le mettre en place dans le futur. ## Pour résumer En résumé, cette architecture On-Premise met en place une série de mesures de sécurité pour cloisonner notre réseau et protéger notre SI contre les menaces potentielles. Nous avons créé une DMZ pour exposer les serveurs nécessaires depuis Internet, mis en place deux pare-feux pour filtrer les flux entrants et sortants, utilisé un VLAN pour isoler le serveur de base de données, et créé plusieurs VLAN pour cloisonner les différents services et applications de notre réseau interne. Schéma simplifié de l'architecture proposée :  ## Budget ### Equipements | Nom | Modèle | Prix (en €) | Total | |:----------------- | -------------------- | -------------------- |:--------- | | Pare-feu externe | pare-feu UTM SN160 | 495,79€ | 495,79€ | | Pare feu interne | pare-feu UTM SN160 | 495,79€ | 991,58€ | | Serveur web et relais mail | Dell PowerEdge T150 (M83C9) | 1 033,29€ | 2 024,87€ | | Serveur de base de données et serveur mail | Dell PowerEdge T150 (M83C9) | 1 033,29€ | 3 058,16€ | | Switch siège | CISCO CBS350-48FP-4G | 1 416,62 € | 4 474,78€ | | Switch entrepôt | Netgear GS116LP | 169,99 € | 4 644,77€ | | AP Wi-Fi | Aruba AP-515 | 833,29€ | 5 478,06€ | | Système de contrôle d'accès | BT-Security Kit de contrôle d'accès autonome code et badge | 220,83 € | 5 698,89€ | | Système de sauvegarde | Dell PowerEdge T150 (M83C9) + SEAGATE - Disque dur Interne - BarraCuda - 8To - 5400trs/min - 3,5" | 1033,29€ + 158€95 | 6 891,23€ | | **TOTAL** | | | **6 891,23€** | ### Abonnements | Nom | Modèle | Prix | Total | |:----------- | ---------- | -------------------- |:--------- | | CMS | Prestashop | Gratuit | 0€ | | Module 2FA pour Prestashop | Module Back Office Security and Two-Factor Authentication 2FA | 75,99€/an, puis 24,00€/an | 75,99€/an, puis 24,00€/an | | Office 365 | Business | 8,80€/ans/comptes HT | 1320€/an | | Anti-malware | ESET Detection and Response Essential | 15€/licence/3 ans HT | 775€/an | | Remplacement des 2 serveurs tous les 5 ans | Dell PowerEdge T150 (M83C9) | 2066,58€/2 unités/5 ans | 413,32€/an | | **TOTAL** | | | **2584,31€/an** puis **2532,32€/an** | # Conclusion Pour conlure nous avons proposé deux architecture opposées dans la philosophie. L'adoption d'une architecture cloud offre de nombreux avantages par rapport à une architecture on-premise. En effet, l'utilisation d'une architecture cloud réduit considérablement les coûts d'investissement initiaux et les coûts d'exploitation, car les services cloud sont facturés à l'utilisation et ne nécessitent pas d'acheter et de maintenir des équipements coûteux. De plus, la mise en place d'une architecture cloud simplifie l'administration en permettant la gestion centralisée des ressources et des données, ainsi qu'une automatisation accrue des tâches quotidiennes. Cela permet de limiter les erreurs humaines et d'augmenter l'efficacité opérationnelle. Également, une architecture cloud décharge la responsabilité de l'infrastructure vers un tiers extérieur qui vous est lié contractuellement en temps que prestataire et donc qui est soumis à un taux de disponibilité minimal (SLA) Enfin, dans un soucis d'expansion à l'étranger et d'évolution rapide, une architecture cloud offre une évolutivité et une flexibilité accrue. Cela peut vous permettre de rester compétitif dans un marché en constante évolution. Cependant, si vous le souhaitez, une architecture On-Premise peut être mise en place. L'utilisation d'une architecture on-premise peut présenter certains avantages par rapport à une architecture cloud. Tout d'abord, en ayant un contrôle total sur les infrastructures, les applications et les données, une entreprise peut assurer une sécurité et une confidentialité accrues de ses informations. Egalement, l'architecture on-premise peut offrir des performances supérieures, car les ressources sont directement disponibles sur site, sans avoir à passer par des connexions réseau potentiellement plus lentes ou des limitations de bande passante. Tous ces incovénients ont été pris en compte lors de la proposition de l'architecture Cloud qui selon nous est aujourd'hui plus pertinente pour votre entreprise.