HackMD
Audit informatique : bilan objectif de l'etat du parc informatique.
Europeaservices est constitué actuellement de deux sites se trouvant sur Paris 11 et à la Défense avec 500 salariés. Ils souhaitent évoluer en créant deux autres sites à Lyon et Nantes pour aggrandir la sociéte avec 200 salariés en plus.
Vérification de l'infrastructure du parc informatique
Matériels
Equipement utilisateurs
| La Défense | Paris 11 | Les 2 sites | |
|---|---|---|---|
| Salariés | 300 | 200 | 200 |
| PC Fix hp | 190 | 145 | 90 |
| iMAC | 100 | 50 | 100 |
| MacBook | 10 | 5 | 10 |
| Ecrans | 480 | 240 | 280 |
| Tél. Fixe | 300 | 200 | 200 |
| Modèle iMAC : 24 Pouces, i5, OS Mojave | |||
| Modèle MacBook : Macbook Pro Rétina 13 pouces (année 2015) | |||
| Modèle HP : Elite 8300 i5, 8Go, 256 Go HDD, Windows 7 | |||
| Modèle Tél Fixe : Alcatel 4038EE Ip Touch |
Nous avons constaté qu'un tier des salariés sont des développeurs travaillant sur iMAC avec un écran secondaire. Les membres de l'équipe de direction possèdent tous des macbook car ils sont souvent en réunion et en déplacement ce qui nécessite l'utilisation d'ordinateurs portables performants et érgonomiques. Les autres collaborateurs utilisent des PC fixes HP sous licence Windows 7 ainsi que deux écrans. Chaque utilisateur d'EuropeaService s'authentifie avec son identifiant et le mot de passe sur leur poste. Tous les utilisateurs ont un téléphone fixe à leur disposition. L'accès au batiment se fait au moyen d'une carte dont chaque employé est équipé. L'équipe de la DSI dispose d'une clé afin d'ouvrir la salle serveur avec un doublon confié à la renponsable de la DSI.
Equipement salle serveur
La défense
| Items | Quantité | Commentaire |
|---|---|---|
| Salle serveur | 1 | fermé à clé |
| Serveurs | 7 | DNS, DHCP (AD), Prod,Préprod, Impression, Librarie de sauvegarde |
| Routeurs | 1 | |
| Switch | 8 | 7 switchs niv. 2 (48p) + 1 switch niv.3 (48p) |
| Firewall | 1 | |
| Onduleur | 3 | |
| Cable ethernet | ||
| baies de serveur | 3 | pour serveurs + switch + firewall + routeur + onduleurs |
Paris 11
| Items | Quantité | Commentaire |
|---|---|---|
| Salle serveur | 1 | fermé à clé |
| Serveurs | 3 | DNS, DHCP (AD),Impression |
| Routeurs | 1 | |
| Switch | 5 | switchs niv. 2 (48p) |
| Firewall | 1 | |
| Onduleur | 3 | |
| Cable ethernet | ||
| baies de serveur | 1 | pour serveurs + switch + firewall + routeur + onduleurs |
Gestion Infrastructure Système
L'installation des machines, leurs paramétrages ainsi leurs administrattions sont gérés par une équipe dédié è cette tache au sein de la DSI. Concretemlent ils interviennent au moment de l'arrivée ou du départ d'un ou une salariés. Ils gerent l'installation des mises à jour ( OS et logiciels ) ainsi que le déploiement des patchs sur les outils interns.
La DSI gére également le logiciel de monitoring déployé sur l'intrégralité du matériel connecté utiulisés par EuropeaServices.
La DSI effectue regulierement un audit technique du système afin de s'assurer le bon fonctionnement à la fois à la législation en place ainsi la préconisation technique de la direction.
L'Infrastructure réseau
La défense
Paris 11
Pour modifier le schema: https://diagrams.visual-paradigm.com/?title=Copy of Network Security Diagram Template&client=1
Analyse de la sécurité physique du système, des solutions de sauvegarde et de sécurité des données ;
Solutions de sauvegarde
Le matériel en place :
-
La société EuropéaServices est actuellement présente sur deux sites. Les Sauvegardes sont centralisées au siège situé à la Defence dans la tour "Coeur Defence". Sur ce site est installé un SAN "Storage Area Network" servant à la fois de stockage pour les données ainsi que de back-up. Les données du second site sont stockées sur un SAN localement mais également sauvegardées sur le SAN de la Defence.
-
Une librairie de sauvegarde en cassette "Overland Storage NEOs T48" est également installée. Elle permet l'enregistrement sur bandes magnétiques des données de l'entreprise. Cette équipement dispose de 48 slot pour cassettes avec une capacité de stockage de 300TB, la version du produit étant la LTO-6. Cette équipement est administré par EuropéaService mais c'est une entreprise prestataire qui gère les cassettes une fois c'est dernières alimentées et récupérées. Plus de détails sur ce processus dans les parties suivantes.
-
La présence d'un seul est unique Back-up sur le site de la Defence servant pour deux sites pose un certains nombre de problèmes. Tout d'abord le site de Paris 11 est dépendant pour sa sauvegarde et donc sa restauration du site de la Defense et de son SAN dédié au Back-up. Au niveau de la restauration justement, si les deux sites ont besoin simultanément d'une restauration, le seul SAN présent à La Defense devra supporter l'intégralité de la charge comprennant un transfert de données potentiellement important sur un site distant.
Le plan de sauvegarde :
-
Le plan de sauvegarde actuel pour les 2 sites prévoit une sauvegarde mixte sur chaque site à savoir :
Une sauvegarde journalière différentielle
Une sauvegarde complète le vendredi
Une sauvegarde mensuelle conservée un an jusqu’au mois identique de l’année suivante
Une sauvegarde Hebdomadaire complète utilisant la librairie de sauvegardes. Les bandes magnétiques sous forme de cassettes sont ensuite confiées à un prestataire. -
Cette sauvegarde est en fait une copie des données présentes sur le SAN dans un disque différent de ceux utilisés pour le stockage des données et applications.
-
La sauvegarde ne concerne que les données présentes sur le SAN dans la partie stockage. Celles présentes sur les PC en locale ne sont pas concernées mais nous constatons un manque de communication à ce sujet vis-à-vis des utilisateurs qui pour certains ne copient pas leurs données sur le partage (présent sur le SAN) et se rendent vulnérables à la perte de ces données si leurs disques durs ne sont plus exploitables pour des raisons diverses. En cas de chocs violents par exemple.
-
Une sauvegarde est également effectuée le Vendredi à la Défence sur des bandes magnétique alimentant une bibliothèque de sauvegarde. Chaque Lundi un prestataire viens récuperer les bandes magnétiques et les stock dans un entrepot sécurisé. Il fourni de nouvelles cassettes vierges à EuropéaServices pour les sauvegardes suivantes.
-
La sécurité physique de ces données est donc garantie par un prestataire une fois ces dernières confiées. Cependant cela présente un ensemble de problèmes.
-
En cas de besoin immédiat de restauration utilisant des données antérieurs à celles disponibles localement il peut etre nécessaire de faire la demande au prestaire de restituer les données si le SAN present à la Defence est inexploitable. Cela inclut un délais supplémentaire et concrètement une perte financière pour l'entreprise.
Le plan de restauration :
- Le plan de restauration est divisé en deux parties :
. D'abord la récupération des données via la sauvegarde. Il y a deux cas de figure. Soit le SAN hébergeant la sauvegarde est intact est disponible, dans ce cas il peut permettre un accès aux sauvegardes ainsi qu'une réplication vers un ou plusieurs supports qui remplaceront ceux defectueux.
. Sinon il est nécessaire de faire appel au prestataire afin qu'il livre les cassettes contenant la sauvegarde hebdomadaire la plus récente. Cela signifie concrètement que si la panne à lieu un vendredi alors 5 jours ouvrés de données sont perdus. Il s'agit d'un risque majeur étant donnée la gravité d'une telle perte pour une entreprise de la taille d'EuropéaServices.
- Ce plan bien qu'acceptable pour une entreprise qui ne possède que deux sites et traite un nombre assez faible de données n'est pas satisfaisant dans le cadre de la refonte totale de systèmes informatiques. Notemment l'ajout de la virtualisation, la présence de deux nouveaux sites et donc un volume de données plus conséquent à traiter. De plus il est demandé de disposer d'une solution capable de faciliter la restauration sans dépendre du délais de livraison des bandes magnétiques ou de la disponibilité d'un site en particulier. CounterIT préconise donc des solutions permettant traiter ces problèmes via notemment l'utilisation de sauvegardes locale sur chaque site et une offre de Cloud.
Sécurité Physique :
Equipement anti-incendie / sureté du personel
Détecteur de fumées, de flammes, capteurs de températures et d'humidité disposés au plafond, au niveau du sol et dans les faux planchés techniques. Sur le site de la défense, il n'y a pas de risque d'inondation car les bureaux sont dans le 14ème étage.
Sur le site de Paris la salle serveur est située au rez-de-chaussée en dehors d'une zone inondable.
Présence d'une alarme visuelle ainsi que d'une alarme sonore intérieure et éxtérieure de la salle serveur. Dans la salle serveur mise à disposition de masques disposant de cartouches d'oxygène et système anti-incendie ( Armoire avec extincteurs + système de sprinkler au plafond ) pour mieux protéger les utilisateurs présent dans la salle et le matériel.
Système d'évacuation de l'air une fois la salle vide de tout occupant pour permettre y pénétrer à nouveau sans risque d'intoxication.
Maintenance de sécurité pour vérification de l'état de fonctionnement du matériel deux fois par an effectuée par un prestataire en charge de la sureté des batiments.
Sécurité des locaux
La nuit et le week-end les locaux sont inaccessibles pour les salariés, les portes sont vérrouillées et il faut un badge spéciale ainsi que les codes pour désactiver l'alarme pour rentrer sans déclencher l'intervention de la sécurité.
Ces informations ne sont connues que du chef de la DSI, ainsi que de certains cadres des services d'information afin de permettre en cas d'urgence d'accéder aux serveurs la nuit ou le week-end. Chaque entrée et sortie dans ces périodes doit être renseignée et justifiée auprès de la direction et de la société de sécurité.
Une société de sécurité assure des rondes en cas de déclenchement des alarmes en fonction la nuit.
Un système de video surveillance est en place dans la salle serveur et au niveau des accès principaux des locaux.
Cette vidéo-surveillance est gérée par la société prestataire Sri-lankaise Chettamehrs qui héberge les services dans ses locaux.
En temps normal un cahier est disponible afin d'indiquer la raison de l'entrée dans la salle des serveurs, l'heure et la date ainsi que le nom de l'intervenant.
–––––––––––––––OLD–––––––––––
Réseaux
Niveau réseau
Le PC sont connectés uniquement en cable ethernet (Fibre) et une borne wifi pour le mobile.
Il y a trois switch 24 ports sur le site de La Défense et deux sur Paris.
Boitier internet (Orange).
Un routeur sur chaque site.
Serveurs a La Défense: DNS, DHCP (AD), Back-up, Impression, Application, Preprod.
Les cameras de videosurveillance son gérer par un entreprise prestater.
VPN entre Paris 11 et La Défense.
Paris 11 : Constituer de NAS et d'un Back Up
La Défense : Constituer de NAS et d'un Back UP de La Défense et Paris 11
Niveau Sécurité
La salle est fermer a clé.
la salle serveur est corretement climatisser.
Le système d'incendie est correct, performant et géré par la tour.
Le cablage est correct.
Alimentation éléctrique
L'entreprise EuropaeService de la défense est aujourd'hui installé dans la tour de Coeur Défense donc le système d'alimentation est totalemen géré par la tour.
Gestion des mises à jour du Parc Informatique
Les mises à jour du système d'operation sont gérés par les administrateurs qui prevoient des MAJ automatiques le soir.
Les maj windows sont faciles à gérer car il n'y a pas d'autres OS.
Pas de maj de l'anti-virus.
Lots Obligatoires :
-Audit des sauvegardes : https://hackmd.io/AvccIkblRzC2GxahtvEIYg
Analyse et critique de l'existant
- Manque de segmentation des données sensibles vis-à-vis des données plus communes.
- La connexion entre les différents serveurs de sauvegardes n'est pas suffisement sécurisée, afin de mettre en place une solution de type RAID 5 les serveurs de sauvegarde présents sur chaque sites doivent pouvoir être joignables depuis tous les sites pour effectuer une restauration.
- Formation des utilisateurs à la sécurité.
- Dépendance vis-à-vis des prestataires.
- Solutions de back-up serveur (sauvegarde, stockage, applications)
Solution
- Schema de l'infrastructure existant
- Schema de l'infrastructure proposés
Autre Lot
A faire : plan d’adressage IP
Lot 3 :
Nous proposons la mise en place de plusieurs protocols :
-
Le PVST : Utile dans un réseau commuté avec plusieurs VLAN, STP (spanning tree protocol) peut fonctionner de façon indépendante sur chacun des VLAN séparément. Ce mode de fonctionnement a été baptisé PVST(+) par Cisco. C'est le mode par défaut sur les commutateurs de la marque.
-
Le ISL : Cisco Inter-Switch Link (ISL) est un protocole propriétaire de Cisco qui permet de transférer des trames ethernet avec leur numéro de VLAN entre deux commutateurs ethernet ou entre un commutateur et un routeur. Il est nécessaire au protocole PVST.
Mise en place de la redondance de liens entre les équipements réseaux. Créations de VLAN et configuration des ports des Switch (tag, trunk).
Redondance des routeurs FAI et pare-feu sur chaque site. Protocoles d'encapsulation (NAT-PAT) pour gérer les accés aux serveurs d'un site à l'autre.
Enfin la présence d'un switch coeur de réseau (niveau 3) afin de permettre aux clients de VLAN différents de ne pas passer par le routeur pour communiquer.
Lot 4 :
Mise en place du VPN MPLS sur les 4 sites afin permettre la communication inter-site. Cela nécessite l'achat de routeurs FAI compatible MPLS. Orange en propose un.
La configuration sera faite avec le FAI choisi pour répondre aux besoins de votre entreprise. Cette solution permet une communication entre des sites distants.
Lot 5 :
Un active directory existe déjà sur un seveur physique.
Nous prevoyons de le virtualiser, il sera repliqué avec le MPLS sur un autre site.
Afin d'améliorer l'AD existant, nous conseillons une meilleure gestion des stratégies de groupes, et la création de groupes d'utilisateurs par services afin de gérer notemment les accès aux fichiers du cloud, aux partages et aux archives.
De plus il faudra mettre en place la sauvegarde des données de l'active directory. Sur Windows server cela est possible avec windows server back-up. Les sauevardes seront disponibles depuis les SAN et le cloud.
Lot 6 :
Actuellement l’entreprise Europea Service possède un NAS servant de serveur de fichier sur le site de la Défense donc il n’y a pas de réplication ni de redondance.
Dans le cadre de la refonte des systèmes, nous prevoyons l'achat de deux SAN qui serviront de serveurs de fichiers. Le NAS déjà présent servira à stocker les VM, l'achat d'un second NAS permettra de faire la. redondance. La sauvegarde s'effectuera normalement.
Lot 7 :
Les mises à jour du système d’opération sont actuellement gérées par les administrateurs et ils prévoient des MAJ automatique le soir. Afin de simplifier ce processus nous proposons l’uilisation de windows server update service (WSUS).
Vous allez ainsi pouvoir télécharger les mises à jour de votre parc une seule fois via votre serveur WSUS (qui se connectera aux serveurs de Microsoft), puis décider de comment déployer et distribuer ces mises à jours.
Pour les utilisateurs sous Mas OS, la fréquence de mises à jour étant bien plus faible, la mise à disposition de procédures sera suffisante pour assurer le maintient à jour des Mac.
Enfin pour le deploiement d'images, l'outil AOMEI Image Deploy, un freeware permet de repondre au besoin d'EuropeaService gratuitement.
AOMEI Image Deploy est un logiciel permettant le déploiement d'images et le clonage en réseau qui permet de faire ces opération sur plusieurs machines du réseau simultanément. Il permet de gagner du temps en offrant la possibilité d'agir sur plusieurs centaines de PC et serveurs simultanément.
Lot 8 :
Actuellement l’entreprise Europea Service possède quelques bornes wifi pour une connexion internet sur mobile avec une connexion limitée et une couverture incomplète des espaces de travail.
Afin de pouvoir évoluer en OpenSpace, nous proposons aux utilisateurs une meilleur couverture réseau dans toute l’entreprise en rajoutant des bornes wifi et en les répartissant. Ainsi ceux équipés d’ordinateurs portables pourront profiter de leur mobilité tout en gardant une bonne connexion à internet. De plus ils disposeront d’une connexion wifi dédiée aux utilisateurs internes et une aux visiteurs.
La borne Wi-fi Cisco Aironet 1815 Series Access Points coutant 182.71€ répond aux besoin de votre entreprise avec un débit de 1Gb/s
La NETGEAR ORBI PRO Système Wifi Mesh amplificateur ultra puissant pour l'entreprise SRK60 appartient à la gamme supérieur et offre une couverture théorique de 350 m2 pour 529,99€ (15 Neufs dès 428,47 € TTC chez Darty).
Lot 9 :
Actuellement l’entreprise Europea Service propose à ces utilisateurs un téléphone fix sur leur bureau. Cette solution n'est pas compatible avec les nouvelles methodes de travail (open space par exemple). Les telephoes sont encombrant et ne peuvent pas être deplacés à volonté.
Nous proposons donc un logiciel de softphonie nommé AIRCALL qui permet d’être libre de déplacement et recevoir les appels partout dans l’entreprise. Le cout d'ouverture d'une ligne est de 35€ HT. Ce logiciel est disponible pour tous les OS. Il suffit ensuite d'y connecter un casque equipé d'un micro comme ceux vendus par JABRA.
Lot 13 :
Nous avons constaté que les documents physiques sont classés et archivés dans des classeurs triés et stockés dans les locaux. Cette solution n'est pas pratique conte tenu du manque d'accessibilité des documents et de la nécessité de recherche.
Afin de proposer une meilleure solution nous allons mettre en place un server SharePoint. SharePoint permet aux organisations de créer des sites web. Vous pouvez l’utiliser pour stocker, organiser, partager et consulter des informations de façon sécurisée à partir de la n’importe quel appareil. Vous avez simplement besoin d’un navigateur web, comme Microsoft Edge, Internet Explorer, Chrome ou Firefox.
Sharepoint Permet également d'archiver les mails, il est donc conseiller de l'utiliser surtout pour les communications importantes. Le serveur sharepoint est accessible depuis tous les devices depuis un lien internet.
Lot 14 :
La société 2IIBM Tech avec laquelle nous avons eu locasion de travailler par le passé propose des services d'installation et de gestion de la video surveillance dans vos locaux.
Nous préconisons l’utilisation des cameras 360° afin de remplacer les caméras rotatives obsolètes actuellement en place. Cette solution permettra d’avoir une vision optimale des couloirs et des entres/sortie de la salle serveur et donc de compléter sa sécurisation.
Voilà un lien vers leur site :
https://www.2iibm-tech.fr/portfolio-view/installateur-video-surveillance/
lot 15 :
Aujourd’hui les salariés d’EuropeaServices utilisent GMAIL comme messagerie.
Nous proposons l’utilisation de la messagerie Outlook inclue dans le pack Office. Chaque utilisateur disposera en plus avec cette offre de l'intégralité du pack Office.
Nous préconisons l'achat de licences Office 365. Il s'agit de la dernière version du pack-office qui est régulièrement mise à jour. L'offre office 365 Business Premium au prix de 10,50 € HT par utilisateur/par mois (abonnement annuel) inclue également Sharepoint que nous proposons pour le lot consernant l'archivage.
lot 17 :
Nous proposons la solution Citrix offrant aux utilisateurs une liaison sécurisée avec un serveur citrix. Afin de supporter 1500 utilisateurs il faudra un nombre equivalent de licenses utilisateurs et l'achat de plusieurs serveurs citrix pour la répartions des charges.
Afin d'assurer la redondance les serveurs seront séparés en deux cluster, l'un sur le site de La Defence et l'autre à Paris 11. Le VPN MPLS permet quand à lui la connexion aux serveurs depuis n'importe lequel des 4 sites. Chaque utilisateur disposera d'un client citrix installé sur son poste, il se connectera à son server avec un login un mot de passe qui lui aura été attribué.
lot 18 :
à faire la PRA
lot 19 :
EuropeaServices ne possède pas de solutions de plateforme cloud, donc nous suggérons l’installation d’OVH qui est un Cloud privé. C'est un fournisseur de cloud très fiable proposant de nombreuses offres.
Il a l'avantage d'etre européen et pas américain comme AWS de Amazon. Cela signifie qu'il obéit au RGPD ce qui doit absolument être pris en compte dans le choix d'un Cloud privé.
En effet considérant le volume des données stockées sur ce cloud, il est nécessaire d'être protégé par une reglementation clair en cas de contentieux avec le fourniseur.
OVH prend en charge la sauvegarde et la restauration des données hebergées.
lot 20 :
L’entreprise travail aujourd’hui avec Windows Operations manager pour administrer et analyser les rapports de sécurité; nous proposons donc de continuer sur cette solution.
