# RNCP Bloc 1 [TOC] # Consignes ## Temporalité  ## Détails bloc 1   - jaune = obligatoire - bleu = recommandé https://www.francecompetences.fr/recherche/rncp/35078/ --- # Le client École privée type Ynov - salles de cours - accès internet (WiFi & RJ45) - logs - site web de l'école, type moodle ou gestion du planning et des notes - sauvegardes - partie employés (administration du campus) - sauvegardes - vidéosurveillance - sauvegardes ## Contexte ESIB Ecole Supérieure d'Ingénierie de Bordeaux Ils sont propriétaire d'un des deux locaux, et louent l'autre Plan des locaux : - Campus principal (propriétaire) - RDC - Partie Administration - Open space - Bureau du directeur - Salle de réunion - Salle serveur - WC hommes + WC femmes - Cafétariat avec cuisine - Salle de pause - 1er étage - 6 salles de cours - WC hommes + WC femmes - 2ème étage - 6 salles de cours - WC hommes + WC femmes - Annexe (locataire) - ## Besoin du client L'**ESIB** est une école privée formant des étudiant sur divers domaines comme : - L'informatique - Le commerce - L'architecture - L'audiovisuel L'école compte dans ses rangs plus de 200 étudiants répartis sur deux sites dans la ville de Bordeaux. Elle souhaite, au vu des récentes déconvenues avec des étudiants, élever son niveau de sécurité informatique pour assurer la tracabilité des actions des étudiants sur le réseau de l'école, mais aussi lorqu'ils utilisent les ordinateurs mis à leur disposition. C'est la raison pour laquelle l'**ESIB** nous a contactés (HyperSec). L'**ESIB** n'a pas de plan d'action défini mais le technicien a connaissance de quelques failles. Nous allons les accompagner dans cette démarche de modernisation. La priorité de l'**ESIB** lors de la mise en place des différentes améliorations est que la transition se fasse de manière transparente pour ses utilisateurs. Il faudra éviter au maximum les pertes de données et de service. ## Matériel ### Salle serveur - 1 baie Lenovo 42U Enterprise Rack (252U) - 1 CSS326-24G-2S+RM - 3 Dell PowerEdge R730 2U - 2x Intel Xeon E5-2650 V4 - 12-Core 24-Threads 2.20GHz - 8x 32GB - DDR4 2133MHz (PC4-17000LR, 4Rx4) - 1x H730 1GB - 2x 240GB - SATA-3 (6Gb/s) SSD - Crucial BX500 - New - 6x 2TB - SATA-3 (6Gb/s) HDD - 1x 1GbE (Quad Port) RJ45 Ethernet - Dell I350 - 2x Dell PowerEdge 'Platinum' Hot-Swap PSU 750W - 1x CSS326-24G-2S+RM - 1x NETGATE 8200 MAX PFSENSE+ SECURITY GATEWAY - 1x box FAI ### Administration - 11x Lenovo ThinkPad E14 Gen 4 - 1x Cisco CBS220-24T-4G - 1x imprimantes Brother DCP-L3550CDW ### Bureau de la direction - 1x Lenovo IdeaPad 3 15ALC6 - 1x imprimantes Brother DCP-L3550CDW ## Humain 20 pax - Administration - 1 directeur(rice) - 1 assistant(e) de direction - 1 DSI - 1 comptable - 1 responsable pédagogique - 1 responsable d'admission - 1 responsable relation entreprise-étudiants - 1 DRH - 4 responsables de filière - 1 community manager - 1 alternant(e) - Externe - intervenants - personnel de ménage ## Processus - Inscription des clients : - collecte des informations de base sur les clients - création de comptes pour chaque client - enregistrement de leurs informations de paiement - Configuration des serveurs - définition des configurations de serveur pour chaque client - vérification des exigences en matière de bande passante et de stockage - mise en place du système d'exploitation et des logiciels nécessaires - mise en place des sauvegardes - Gestion des tickets de support - gestion des demandes de support des clients - priorisation des demandes - résolution des problèmes - communication avec les clients - Facturation et renouvellement des abonnements - facturation des clients pour les services d'hébergement de serveur - gestion des renouvellements d'abonnement - gestion des paiements en souffrance - Maintenance et mises à jour - planification et réalisation de la maintenance régulière et des mises à jour des serveurs et des logiciels associés - Sécurité - mise en œuvre de mesures de sécurité pour protéger les données des clients - surveillance du système pour détecter les anomalies et les attaques potentielles - mise en œuvre de politiques de sauvegarde pour les données clients ## Logiciel - Moodle - Windows pro Version 21H2 - Windows server 2012 R2 - ESXI 6.3 --- # C1.1. Elaborer la stratégie du SI à partir du diagnostic des besoins - faire interview - Téléphone perso - Quels sont les objectifs et les besoins du client ? - élever son niveau de sécurité : à nous de détailler car Intrin Sec n'a pas d'idée plus détaillée. - Pour ce faire : entretiens avec les départements pertinents (direction, DSI, équipes, etc.) - Comprendre les processus métiers ? - État des lieux du SI existant - état de fonctionnement actuel ? - pertinence par rapport aux besoins identifiés ? - Quelles sont les opportunités d'amélioration ? - A nous de le dire suite à l'audit : BLOC C1.7 (obligatoire) - Quelles sont les orientations stratégiques ? - prendre en compte les tendances technologiques - prendre en compte les évolutions du marché - Élaboration d'un plan d'action - voir C1.9 - Mise en place de processus de suivi et d'évaluation - voir C1.9 La stratégie doit être régulièremment révisée pour s'assurer qu'elle reste pertinente et adaptée aux besoins changeants du client --- # C1.3. Etablir un plan d’activité et/ ou un plan d'urbanisation du SI Tout les équipements sont vieux (switch, routeur, etc...) - Quels sont les objectifs stratégiques du client ? - voir C1.1 - Quel est l'état actuel du SI ? - Il faut réaliser un audit de l'existant pour identifier les ressources existantes, les besoins, les contraintes et opportunités - forces ? - faiblesses ? - opportunités ? - menaces ? - Quels sont les besoins en matière de SI ? - Quelles sont les exigences fonctionnelles ? - Quelles sont les exigences non fonctionnelles ? - Quels sont les processus ? - Quels sont les rôles et responsabilités ? - Élaboration du plan d'urbanisation du SI - décrit les étapes à suivre pour atteindre les objectifs définis - description des projets - étapes de déploiement - ressources nécessaires - délais - coûts - indicateurs de performance - Mise en place d'une méthodologie de gestion de projet - objectif : s'assurer que les projets sont gérés de manière efficace et que les étapes définies dans le plan d'urbanisation sont respectées - Suivi et évaluation - objectif : s'assurer que les objectifs sont atteints, et apporter des ajustements si nécessaire - mise en place de mécanismes de gestion des risques, d'audit et de reporting pour s'assurer que le plan d'urbanisation est respecté Le plan d'urbanisation doit être régulièrement révisé pour s'assurer qu'il reste pertinent et adapté aux besoins changeants du client --- # C1.4. Identifier les projets d’évolution du SI réaliser un plan d'évolution du SI - Quels sont les besoins du client ? [DONE] - => opportunités d'amélioration - => contraintes à prendre en compte - Analyse des tendances et évolutions du marché - => opportunités d'innovation - => technologies à adopter - Quels sont les projets en cours ? - s'assurer qu'ils sont alignés avec les objectifs du client et les besoins en matière de SI - Quels sont les besoins des utilisateurs ? - => opportunités d'amélioration de l'expérience - Quelles opportunités d'intégration avec d'autres systèmes ou applications - => amélioration de l'efficacité et de la productivité - Quelles opportunités de rationnalisation ? - => réduction des coûts - => amélioration de l'efficacité - Quelles opportunités de sécurité ? - => renforcement de la sécurité des données et des systèmes - Quelles opportunités de scalabilité ? - => répondre aux besoins à venir - Quelles opportunités de réglementation ? - respect des normes et règlementations en vigueur Une fois les projets d'évolution du système d'information identifiés, ils doivent être évalués en fonction de leur pertinence, de leur faisabilité, et de leur coût pour établir un plan d'action qui priorise les projets les plus importants. --- # C1.5. Estimer les coûts de la mise en œuvre du SI facture Taux TJM Plusieurs méthodes pour estimer les coûts : - Méthode de décomposition des coûts - décomposer le projet en différentes étapes et à estimer les coûts de chaque étape - Méthode du coût par point - estimer le coût total du projet en fonction du nombre de fonctionnalités ou de points à développer - Méthode de la charge de travail - estimer le coût en fonction de la charge de travail nécessaire pour mettre en place le SI - Méthode de la comparaison - comparer les coûts d'un projet similaire mis en place dans d'autres entreprises pour estimer les coûts de ce projet - Méthode des experts - faire appel à des experts du domaine pour estimer les coûts du projet L'estimation des coûts est souvent incertaine, il est donc important de prévoir des marges d'erreur et de prévoir des scénarios de contingence pour faire face aux imprévus. Il faut également mettre en place un suivi et une évaluation régulière pour s'assurer que les coûts restent conformes aux prévisions. --- # C1.6. [OBLIGATOIRE] Participer à la définition de la stratégie de sécurité du SI Faire de la gourvenance SSI DICT - Identification des risques (pour le SI et les données qu'il gère) - matrice de risques - analyse des menaces - Évaluation des risques - gravité - probabilité - Définition des politiques et des procédures - politique des gestion des mdp - politique de sécurité des données - gestion des incidents - etc. - Mise en place des contrôles pour gérer les risques identifiés - outils de sécurité (pare-feux, IDS, etc.) - etc. - Mise en place d'un plan de réponse aux incidents - procédures pour identifier, répondre et récupérer après une violation de sécurité - Mise en place d'un plan de surveillance et de suivi La participation à la définition de la stratégie de sécurité du SI nécessite une collaboration entre les différents départements de l'entreprise, notamment les services informatiques, les services juridiques, les services de sécurité, les services de gestion de risques et les services de gestion de la conformité. ## Définir la stratégie de sécurité du SI La stratégie de sécurité du système d'information (SI) est un plan d'action formel qui définit les objectifs, les mesures et les procédures de sécurité pour protéger les données et les ressources informatiques d'une entreprise. Elle inclut des éléments tels que la gestion des accès, la protection des données sensibles, la gestion des incidents de sécurité et la sensibilisation à la sécurité. La stratégie de sécurité du SI est importante pour garantir la confidentialité, l'intégrité et la disponibilité des données de l'entreprise, ainsi que pour prévenir les violations de sécurité et les atteintes à la vie privée. --- # C1.7. [OBLIGATOIRE] Collaborer à la réalisation d’un audit du SI de l’entreprise Rapport d'audit bullshit - Préparation : récupération de documents pertinents, préparation de questionnaires et de listes de contrôle, coordination des dates avec les différents intervenants - Planification : tâches à effectuer, dates et intervenants - Exécution : récupération de données, interview des employés, vérification des enregistrements, analyse des données, etc - Rédaction du rapport - Suivi : s'assurer que les actions sont menées dans les délais impartis et que les résultats sont en conformité avec les objectifs de l'audit --- # C1.8. Piloter la production d’un PCA et/ou d’un PRA Connaitre les besoins en terme de disponibilités du client. Puis ensuite définir si ils ont besoins d'un PCA ou d'un PRA ou des deux. --- # C1.9. Participer à la production d’un plan d’action Comment mettre en oeuvre notre projet - actions à entreprendre pour mettre en place la stratégie définie - définir les ressources et les indicateurs de performance permettant de suivre l'évolution et l'efficacité de la stratégie - mettre en place des processus de suivi et d'évaluation pour s'assurer que la stratégie est mise en œuvre de manière efficace et pour apporter des ajustements si nécessaire --- # C1.10. Conduire le plan d’évolution du SI Faire un Kanban des étapes à mener pour l'évolution du SI Conduire, etapes majeures pour continuer de faire évoluer le SI --- # Ordre des sous-blocs 1. C1.7. Collaborer à la réalisation d’un audit du SI de l’entreprise 2. C1.3. Etablir un plan d’activité et/ ou un plan d'urbanisation du SI 3. C1.4. Identifier les projets d’évolution du SI 4. C1.6. Participer à la définition de la stratégie de sécurité du SI 5. C1.1. Elaborer la stratégie du SI à partir du diagnostic des besoins 4. C1.8. Piloter la production d’un PCA et/ou d’un PRA X. C1.9. Participer à la production d’un plan d’action 5. C1.5. Estimer les coûts de la mise en œuvre du SI X. C1.10. Conduire le plan d’évolution du SI ~~C1.2. Déterminer la politique de sous-traitance et partenariale à mettre en place~~ --- # Choses qu'on veut mettre - Doubler liaison réseau (LACP) - Doubler les switchs - Réseau dédié d'administration avec VPN pour accéder au différents serveur (et non pas le même réseau) - RSTP - Mise en place d'un SOC qui supervise à la fois les PC. - Outil de centralisation de l'administration des postes de l'entreprise => Mise en place d'un AD => bitlocker, PSSI - The Bastion - Firewall - Sensibilisation humaine - Collecter les logs de tous les serveurs --- # Audit - Les serveurs sont chez le client, dans une salle serveur - voir exo Thierry => potentiellement pas mal de choses à dire - Une seule ligne internet que ce soit dans les bureaux ou dans la salle serveur - Les liens entre les équipements sont simples, il faudrait mettre en place du LACP entre les différents switchs des bureaux et aussi vers le routeur, ainsi que dans le datacenter entre les équipements. - Les regles de filtrage inter vlan ne sont pas correctement configuré - Les disques des postes nomades ne sont pas chiffré (Ex. Bitlocker) - Le serveur de partage de fichier (nextcloud) est exposé sur internet pour le télétravail. --- # C1.2. [ÇA DÉGAGE] Déterminer la politique de sous-traitance et partenariale à mettre en place - Quels sont les besoins en matière de sous-traitance et de partenariats ? - Se baser sur les objectifs stratégiques et les activités clés du client - Quels sont les avantages de sous-traitance et de partenariat ? - réduction de coût ? - accès à des compétences spécifiques ? - Quels sont les risques de sous-traitance et de partenariat ? - perte de contrôle sur les activités sous-traitées ? - baisse de la valeur ajoutée ? - Quels sont les critères de sélection des sous-traitants et des partenaires ? - réputation - compétences - références - capacité financière - règlementations éventuelles - Élaboration d'une stratégie de gestion des sous-traitants et des partenaires - les relations doivent être efficaces - les engagements doivent être respectés - les risques doivent être bien gérés - Mise en place des processus de suivi et d'évaluation - objectif : s'assurer que les relations sont efficaces, et apporter des ajustements si nécessaire - Mise en place d'un processus de gestion des risques, d'audit et de reporting - objectif : s'assurer du respect des engagements pris, en termes de qualité, de coûts, de délais et de respect des règlementations La politique de sous-traitance et de partenariats doit être régulièrement révisée pour s'assurer qu'elle reste pertinente et adaptée aux besoins changeants du client # Ordre des sous-blocs pour l'oral 1. C1.7. Collaborer à la réalisation d’un audit du SI de l’entreprise - Présentation de l'audit du SI et de ses conclusions 3. C1.3. Etablir un plan d’activité et/ ou un plan d'urbanisation du SI - Présentation du plan d'activité et/ou plan d'urbanisation du SI qui découle de l'audit 5. C1.4. Identifier les projets d’évolution du SI - On présente les projets d'évolution 7. C1.6. Participer à la définition de la stratégie de sécurité du SI - On redéfinie la stratégie de sécurité du SI 9. C1.1. Elaborer la stratégie du SI à partir du diagnostic des besoins - En fonction de l'audit on améliore la stratégie du SI en fonction de l'évolution des besoin du client 4. C1.8. Piloter la production d’un PCA et/ou d’un PRA - Présentation d'un PCA/PRA potentiel pour le client X. C1.9. Participer à la production d’un plan d’action Plan d'action qu'on propose de mener au client. 5. C1.5. Estimer les coûts de la mise en œuvre du SI - Notre estimation des couts de mise en oeuvre X. C1.10. Conduire le plan d’évolution du SI - Tableau Kanban du plan d'évolution avec les différentes phases et echéances 2 Minutes par bloc = 16 minutes 2 Minutes présentation du client = 18 minutes ça fait 2 minutes de rab si il y'a 20 minutes max d'oral.