MISE EN PLACE D'UN RESEAU VPN

AU SEIN D'UNE ENTREPRISE

Cas de la BRALIMA Sarl

2011-2012

REPUBLIQUE DEMOCRATIQUE DU CONGO

MINISTERE DE L'ENSEIGNEMENT SUPERIEUR, UNIVERSITAIRE

ET DE RECHERCHE SCIENTIFIQUE

INSTITUT SUPERIEUR DE COMMERCE

« I.S.C »
Cycle de licence
SECTION : SCIENCES COMMERCIALES, FINANCIERES ET INFORMATIQUES

DEPARTEMENT : INFORMATIQUE DE GESTION

B.P 16 596 KIN I

KINSHASA/GOMBE

BAHATI - SHABANI Eric

Mémoire de Fin d'Etudes présenté et défendu en vue de l'obtention du titre de licencié

en Informatique de Gestion

Option : RESEAU
Directeur : Prof. IVINZA LEPAPA A.C. Rapporteur : C.T. Jacques DISONAMA

EPIGRAPHE
"Les lionceaux éprouvent la disette et la
faim, mais ceux quicherchent l'Eternel ne
sont privés d'aucun bien".
Psaumes 34 : 11

DEDICACE
Ce travail, je le dédie à l'Eternel Dieu d'Abraham, d'Espérance MBAKADI, celui qui est la
source de toute intelligence et du savoir et sa grace m'avait accompagnée tout au long de
mon parcours estudiantin.

Je dédie également ce travail à toute ma famille et à tous ceux qui me sont chers, je dédie ce
travail.

BAHATI - SHABANI Eric

[4]
REMERCIEMENT
Je remercie l'Eternel Dieu, l'auteur de mon souffle qui ne cesse de renouveler ses bontés
chaque jour dans ma vie, pour m'avoir donné la force, la santé et l'intelligence nécessaires
pour accomplir ce travail et son amour combien si grand qu'il m'a offert ds mon jeune age
jusqu'à ce jour.

J'adresse mes remerciements aux autorités de l'Institut Supérieur de Commerce « I.S.C » en

sigle, DG KABAMBA MUEU, SG Professeur Ordinaire MVIBUDULU KALUYITUKAKO
ainsi que le corps académique pour les conseils et l'encadrement.

J'adresse mes remerciements à Monsieur Alphonse Christian IVINZA

LEPAPA, Professeur MIS des Universités qui a bien voulu assurer la direction de ce mémoire
et qui a toujours été à l'écoute et tres disponible tout au long de la réalisation de ce travail.
Ainsi, pour l'inspiration, l'aide et le temps qu'il a bien voulu me consacré et sans lequel, ce
mémoire n'aurait jamais vu le jour.

Ainsi qu'à Monsieur Jacques DISONAMA, Ingénieur Civil, ICT à l'OCHA et Chef des
Travaux, pour avoir accepté la tche de rapporteur et de ce travail tout au long de mes
recherches. Une mention particulière à ces deux personnes pour leurs encouragements, leur
compréhension et leur sympathie dans les moments difficiles.

Nous adressons nos sentiments de gratitude à nos enseignants : Professeur MBIKAYI

MPANYA, Professeur KANGA MATONDO, Professeur MAKINDU MASSAMBA Hilaire,
Professeur MAPHANA MA NGUMA, Professeur SABITI, Professeur KOLA, Professeur
BOOTO, C.T. NKUSU NDONGALA, C.T. MADEKO MIBWEYELE Hilaire, C.T.
MAYAMONA, pour la bonne formation.

Je remercie Monsieur Philémon Mizele pour m'avoir accueilli dans le Département

Informatique au sein de l'entreprise Bralima Sarl.

J'exprime ma gratitude en particulier à Monsieur Robert MATENDO, ICT à la Bralima Sari

malgré ces multiples occupations, qui a bien voulu assurer l'encadrement de ce mémoire, à
qui nous disons un grand merci.

J'exprime ma gratitude envers messieurs Pierrot Ramazani Ingénieur Civii ICT à l'Action
DAMIEN, Messieurs Roger MAYALA, Papy PAMBU et Michel ICT à la Bralima Sari pour
m'avoir fourni une aide précieuse ainsi que tous les renseignements nécessaires à ce travail.

J'exprime également ma gratitude en particulier aux Messieurs Fao KITSA et Ely KATEMBO
SHABANI qui ont bien voulu me soutenir matériellement et financièrement afin que ce
mémoire soit élaboré.

J'exprime également ma gratitude à Monsieur Jean-Claude KIZITO qui a bien voulu me

soutenir matériellement afin que ce mémoire arrive à son terme.

Les mots me manquent pour exprimer ma profonde reconnaissance à ma cousine Joyce

BIZIGE, pour m'avoir céder son laptop ; afin que ce mémoire soit élaboré.

Pour finir, une mention spéciale à tous mes collègues de service, Papy Mvondo, Yannick,
Cédric, Baby GUBEGELA, Christian, Serge, etc., pour avoir su imposer une ambiance toute
particulière à ces deux mois passés pour arriver à élaborer ce travail.

Un grand merci également à Madame KAT Matilde, Monsieur Potin FURUGUTA, Madame
MADO MPAMBU, Monsieur Charles, Madame Clotilde, Monsieur Martin LUMBU,
Monsieur TENDA, Monsieur BARUA, Monsieur Samy AKAFUMU, Monsieur Willy,
Monsieur Emmanuel KABENGELE pour leurs aides et encouragement.

Aux freres, soeurs, amis et connaissances, pour tous les biens faits, nous citons ici, Tante
KIZA et son mari, Oncle Jeannôt, Fabrice KAMBALE, Micheline KATUUTA, Grace
SHABANI, Tom MANENO, Antho KIHUGHO, Junior MANENO, Jeffrey KATUUTA, Passy
KIHUGHO, Anita KIHUGHO, Jean-Luc KATUUTA, Béni MANENO, Jean-Luc SHABANI,
Josué SHABANI, Annie KATUUTA et son époux

Hilaire MAKENGO, Da Seina MATONDO et son époux, Ange MANENO, Harmonie

SHABANI, Mireille SHABANI, MUSUBAO, Angel MAKAYA, Charly TABU, Chrispin ABEDI,
Madame Espérance KAJEJE HAMULI, Rachel HAMULI, Blaise KABUYAYA, Eric
KAYUNGU, Junior KASUSULA, Hélène SHOTSHA, Arielle BINTA, Claudine KUMUGO,
Cédric HAMULI, Dr. KABAMBA Paul, Madame Jolie, mon grand frère Ir. KENGAMU Elvis,
LUMBU Willy, Ir. KAHEMULA Gédéon, etc.; sans oublié mes camarades de promotion, nous
citons ici, Georges BUSHIRI, Papy NSHASHA, Alpha BALUME, Marchal KAMBALE,
Patience KIMWESA, Sylvain KASONGA, Jean-Jacques MATA, BOBO, Aline PILA, Nana
GEYANGALO, Nora MONFO, Marthe BUIKALA, Maman Marie -- Jeanne UMADJELA,
Maman Marie-- Claire, Maman Nénette, Tina ANADEMADE, Rebecca WONGANOMBE,
Nancy LUEMBA, Célestin MAYA, Jules ILONDO, Dicky YAMBA, WOOT-A-WOOT, Kabos
Kabala.

Enfin, tous ceux que je n'ai pas pu citer qui ont contribué à la réalisation de ce travail, je
pense notamment à mes fréres, soeurs, cousins et cousines, mes oncles et tantes, mes
camarades de promotion, je les exprime ma gratitude.

BAHATI -- SHABANI Eric

INTRODUCTION GENERALE
Aujourd'hui, Internet est largement utilisé dans le monde et est plus orienté métier. Les
organismes offrant la connexion Internet sont intéressés par la tarification où les clients
payent pour les ressources qu'ils consomment.

Indéniablement, ce grand réseau est rentré dans nos moeurs. A travers, lui tout un monde
parallèle s'est développé : des sites marchands ont fleuris, les services pour les particuliers
comme les guides d'itinéraire pour nos voyages nous simplifient bien la vie.

En effet, on en vient à échanger des données à travers des programmes d'échange de fichiers
et à « chater » entre internautes. Nous retiendrons de tout ça qu'Internet est un véritable outil
de communication. A la fois High-tech et démodé par sa technique ; internet n'a pas su
évoluer dans l'utilisation de ses protocoles, la plupart des protocoles utilisés ont plusieurs
années d'existence et certains n'ont pas été créé dans une optique où le réseau prendrait une
telle envergure. Les mots de passe traversent ainsi les réseaux en clair, et là où transitent des
applications de plus en plus critiques sur le réseau, la sécurité, elle, a peu évoluée. Il y a peu
de temps, les entreprises pouvaient encore se permettre de construire leurs propres LAN,
supportant leurs propres systèmes de nommage, système de messagerie, voire même leur
propre protocole réseau.

Enfin, cette solution peut être très couteuse, notamment si l'entreprise a plusieurs bureaux à
travers tout un pays. De plus, les réseaux privés manque de souplesse par rapport aux
situations que l'on peut rencontrer dans une entreprise.

En effet, si un représentant a besoin d'accéder à distance au réseau privé de son entreprise

alors qu'il est à des milliers de kilomètres de celle-ci, le coût de l'appel téléphonique sera
extrêmement élevé.

0.1. PROBLEMATIQUE
La nouvelle technologie de l'information et de la communication (NTIC) nous introduit dans
un siècle de vitesse en communiquant l'information au sein de nos organisations (entreprises).
C'est l'univers immatériel du savoir, de la gestion, de la prise de décision par objectif, du
contrôle, de la coopération, de la qualité et de la résolution des problèmes.

Aucune personne n'ignore l'importance de

l'information dans une organisation ou institution qui nécessite l'organisation, la fiabilité et le

bon fonctionnement du système d'information par la capacité de traiter ses informations.

Les applications distribuées font de plus en plus partie intégrante du paysage d'un grand
nombre d'entreprises. Ces techniques ont pu se développer grâce aux performances des
réseaux locaux.

En effet, si les applications distribuées deviennent le principal outil du système d'information

de l'entreprise. Voilà quelques questions que nous avons retenues qui traduisent et reflètent
nos préoccupations :

o Comment assurer les accès sécuritaires au sein de structures parfois reparties sur de grandes
distances géographiquement éloignés ?

o Concrètement, comment une succursale d'une entreprise peut - elle accéder aux données
situées sur un serveur distant de plusieurs milliers de kilomètres ?

o Quel serait alors l'impact de ce nouveau système d'information ?

o Quels protocoles et quelle configuration assurent-ils l'accès sécurisé à l'information à

travers ces technologies ?

0.2. HYPOTHESE DU SUJET

Nous essayons dans la mesure du possible d'envisager une politique optimale de partage des
informations afin que l'échange des ressources ne pose plus de problème au sein de
l'entreprise.

Dans le cadre de notre travail, nous avons jugé bon de joindre au système d'information
existant au sein de l'entreprise, les applicatifs de l'internet afin de lui permettre :

· Une bonne conservation et recherche aisée des informations en interne et externe ;

· L'échange des données entre les différentes directions de l'entreprise ;

· Enfin, une rapidité dans le traitement de l'information avec toutes les mesures de sécurité
garantie ;

· La récupération de l'information en temps réel.

En vue de remédier toujours aux inquiétudes soulevées au travers des questions posées ci-
haut, nous pensons qu'
o Il existerait un moyen d'échange de l'information qui serait adapté à la gestion efficace et
efficiente de la Bralima ;

o Une configuration appropriée existerait et des systèmes d'exploitation tels que Windows
Server, Unix, Linux...seraient mieux adaptés pour assurer l'accès sécurisé à l'information.

0.3. CHOIX ET INTERET DU SUJET

Vu l'objectif que l'entreprise a et l'estime qu'on lui accorde, nous avons jugé bon de porter
notre choix sur ce sujet qui s'intitule : « Mise en place d'un réseau VPN dans une entreprise
afin de faire profiter à l'entreprise cette étude et au monde scientifique nos connaissances
acquises durant notre parcours universitaire.

0.4. DELIMITATION DU SUJET

Il est affirmé qu'un travail scientifique, pour être bien précis, doit être délimité. Raison pour
laquelle, nous n'allons pas aborder toutes les questions liées à la conception d'un réseau VPN
car elles paraissent une matière très complexe. Ainsi, nous avons pensé limiter notre étude par
rapport au contenu, à l'espace et au temps.

+ Délimitation temporaire

Ce travail est le fruit de recherches menées au sein de l'entreprise Bralima Sarl durant la
période allant de mai 2012 à d'Octobre 2012.

+ Délimitation spatiale

Nous avons effectué nos recherches au niveau de la Direction Financière plus précisément
dans le Département Informatique, au sein de l'entreprise Bralima Sarl.

0.5. METHODES ET TECHNIQUES UTILISEES

Tout chercheur se focalise sur une méthode susceptible de l'orienter à atteindre son objectif au
problème qu'il étudie dans son travail ; en d'autres termes, les méthodes sont des voies qui
permettent au chercheur d'atteindre l'explication du phénomène à étudier.

En d'autres termes, une méthode est la mise en oeuvre d'un certain nombre d'étapes
(méthodologiques), une démarche, des principes, des outils (traces, papiers standardisés,
matériels informatiques, un vocabulaire, etc.).Pour mener à bien notre étude, nous avons
choisi d'utiliser la méthode Merise pour la mise en place d'un système d'information au sein
de la Bralima Sarl.

Pour recueillir les informations ayant servi à l'élaboration de ce mémoire, nous avons fait
recours aux méthodes et techniques.
o Méthode : C'est un ensemble des démarches raisonnées suivies pour parvenir à un but.

o Technique : C'est un ensemble d'instruments ou d'outils

qu'utilise la méthode enfin de réaliser un travail scientifique.

+ Méthode historique: Elle consiste à étudier le passé d'une

entreprise pour mieux cerner sa situation actuelle afin de mieux

préparer son évolution future ;

+ Méthode analytique: Elle nous a permis d'analyser en détail le composant du système

existant.

Elle consiste à décomposer les éléments du système existant enfin de le définir, les analyser et
d'en dégager les spécificités auxquelles le nouveau système fera face ;

+ Méthode descriptive: Par cette méthode, certains principes et concepts ont été décrits tout
simplement sans commentaire;

+ Technique d'observation: Elle consiste à faire une analyse personnelle après avoir observé
et palpé les fonctionnements du système d'information. Grâce à cette dernière, nous sommes
descendus personnellement sur terrain pour assimiler ce que font les acteurs pour comprendre
et tirer les conséquences ;

+ Technique d'interview: Elle consiste à interroger en vue d'avoir des points de vue avec les
différents employés du service qui nous a intéressé pour acquérir les informations dont on a
besoin. Cette technique nous a permis d'obtenir les renseignements sur l'étude de l'existant,
par un jeu des questionréponses ;

+ Technique documentaire: Elle a permis de consulter divers documents pour mieux

appréhender les activités qui se déroulent dans la Direction Informatique.

0.6. SUBDIVISION DU TRAVAIL

Vu la grandeur du sujet que nous avons abordé, notre travail sera subdivisé en deux grandes
parties et chaque partie est suivie de chapitres et des sections que nous allons développer dans
les lignes ci-dessous.

De façon non exhaustive ce travail, présentera d'abord le concept et l'architecture des VPN,
ensuite détaillera les fonctionnalités de différents protocoles de routage et leurs utilités dans la
conception de réseau VPN et enfin nous expliquerons comment un client VPN distant peut
s'authentifier sur une passerelle via le protocole IPSEC et comment on gérera son accès
contrôlé au réseau Internet à partir d'un serveur de base de données par exemple qui, dans
notre cas est NAVISION.
Chapitre I : GENERALITES SUR LES
RESEAUX INFORMATIQUES
I.1. Introduction

Les réseaux sont nés du besoin d'échanger des informations de manière simple et rapide entre
des machines. En d'autres termes, les réseaux informatiques sont nés du besoin de relier des
terminaux distants à un site central puis des ordinateurs

entre eux, et enfin des machines terminales, telles que les stations de travail à leur serveur1.

Dans un premier temps, ces communications étaient uniquement destinées au transport des
données informatiques, mais aujourd'hui avec l'intégration de la voix et de la vidéo, elles ne
se limitent plus aux données mêmes si cela ne va pas sans difficulté.

Avant de nous attaquer aux infrastructures réseaux, reprenons quelques notions théoriques de
base sur les réseaux informatiques en général. Un réseau permet de partager des ressources
entre des ordinateurs: données ou périphériques (imprimante, connexion Internet, sauvegarde
sur bandes, scanner, etc.).

I.2. Definition

Selon TanenboumAndrew, nous pouvons définir un réseau informatique comme étant un

ensemble de deux ou plusieurs ordinateurs interconnectés entre eux au moyen des médias de
communication avec pour objectifs de réaliser le partage des différentes ressources
matérielles et/ou logicielles2.

Autrement dit, un réseau est une collection d'ordinateurs et périphériques interconnectés les
uns aux autres afin qu'ils puissent partager des ressources c'est-à-dire des informations ou
données, imprimantes, etc.

1 PujolleGuy, Les Réseaux, 3e Edition mise à jour par Eyrolles, à Paris, 2000, Page 13

2 TanenbaumAndrew, Les réseaux, interdiction, 3ème Edition, 1998, Page 1.

I.3. Topologie des réseaux

La topologie est une façon d'agencer les équipements (postes, imprimantes, serveur, etc.)
interconnectés dans un réseau local. La topologie peut comporter deux aspects :

o La topologie logique:

Correspond à la manière de faire circuler le signal parmi les composantes physiques (on
parlera des méthodes d'accès au canal). Par opposition à la topologie physique, représente la
façon dont les données transitent dans les lignes de communication. Les topologies logiques
les plus courantes sont Ethernet, Token Ring et FDDI.
o La topologie physique:

Un réseau informatique est constitué d'ordinateurs reliés entre eux grâce à des lignes de
communication (câbles réseaux, etc.) et des éléments matériels (cartes réseau, ainsi que
d'autres équipements permettant d'assurer la bonne circulation des données).Correspond à la
façon dont les postes du réseau local sont câblés. Autrement dit c'est la configuration spatiale
du réseau.

On distingue généralement les topologies suivantes : topologie en bus

topologie en étoile

topologie en anneau

topologie en arbre

topologie maillée

La topologie logique est réalisée par un protocole d'accès3. Les protocoles d'accès les plus
utilisés sont:

Ethernet Token ring

3 www.commentcamarche.net

La façon de laquelle les ordinateurs sont

interconnectés physiquement est appelée topologie physique. Les topologies physiques

basiques sont:

La topologie en bus

La topologie en anneau La topologie en étoile

Topologie en bus

Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans une
topologie en bus tous les ordinateurs sont reliés à une même ligne de transmission par
l'intermédiaire de câble, généralement coaxial. Le mot « bus » désigne la ligne physique qui
relie les machines du réseau4.
Cette topologie a pour avantage d'être facile à mettre en oeuvre et de posséder un
fonctionnement simple. En revanche, elle est extrêmement vulnérable étant donné que si l'une
des connexions est défectueuse, l'ensemble du réseau en est affecté.

Topologie en étoile

Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système matériel
central appelé concentrateur (en anglais hub, littéralement moyen de roue)5.

Il s'agit d'une boîte comprenant un certain nombre de jonctions auxquelles il est possible de
raccorder les câbles réseau en provenance des ordinateurs. Celui-ci a pour rôle d'assurer la
communication entre les différentes jonctions.

Contrairement aux réseaux construits sur une topologie en bus, les réseaux suivant une
topologie en étoile sont beaucoup moins vulnérables car une des connexions peut être
débranchée sans paralyser le reste du réseau. Le point névralgique de ce réseau est le
concentrateur, car sans lui plus aucune communication entre les ordinateurs du réseau n'est
possible.

En revanche, un réseau à topologie en étoile est plus onéreux qu'un réseau à topologie en bus
car un matériel supplémentaire est nécessaire (le hub).

Topologie en anneau

Dans un réseau possédant une topologie en anneau, les ordinateurs sont situés sur une boucle
et communiquent chacun à leur tour.

En réalité, dans une topologie anneau, les

ordinateurs ne sont pas reliés en boucle, mais sont reliés à un répartiteur (appelé MAU, Multi-
station Access Unit) qui va gérer la communication entre les ordinateurs qui lui sont reliés en
impartissant à chacun d'entre-eux un temps de parole.
I.4. Caractéristiques physiques des réseaux

Il n'existe pas de classification générale des réseaux, mais deux critères importants permettent
de les caractériser : la technologie de transmission utilisée et leur taille.

Selon TanenbaumAndrew, cité par Joseph Dimandja ; qui illustre d'une manière acceptable
les différentes caractéristiques sur la classification des réseaux.

La distance entre les processus et leur localisation a constitué notre critère de base pour la
classification physique des réseaux6.

Localisation Type des réseaux

Distance entre Processus
0,1 m Circuit imprimé Machine à flot de données (Réseau chargé
interne)
Millimètre
1,0 m Réseau système informatique
mainframe
10 m Salle
100 m Bâtiment Réseau local (LAN)
1000 m = 1 Km Campus
100.000 m = 100 Km Pays Réseau longue distance (WAN)
1.000.000 m = 1000 Km Continent
10.000.000 m = 10.000
Planète Internet
Km
100.000.000 m = 100.000
Système terre - lune Le satellite artificiel
Km
Tableau n°1 : Classification d'un réseau I.4.1.Techniques de transmission

Du point de vue général, nous distinguons deux types de technologies de transmission

largement répandues :

La diffusion (Bus, anneau et radio/satellite)

Le point- à - point (Etoile, boucle et maillé)
+ Les réseaux à diffusion

Un réseau à diffusion dispose d'un seul canal de transmission qui est partagé par tous les
équipements qui y sont connectés.

6 DimandjaJoseph, Mémoire, Conception et implémentation d'un intranet, ULK, 2006-

2007, Page 7
Sur un tel réseau, chaque message envoyé, appelé paquet dans certaines circonstances, est
reçu par toutes les machines du réseau. Dans le paquet, un champ d'adresse permet d'identifier
le destinataire réel.

A la réception d'un paquet, une machine lit ce champ et procède au traitement du paquet si
elle reconnait son adresse ou l'ignore dans le cas contraire. Cette transmission est appelée
multicast.

+ Les réseaux point-à-point

Par opposition au système précédent, le réseau point-à-point consiste en un grand nombre de

connexions, chacune faisant intervenir deux machines. Pour aller de sa source à sa
destination, un paquet peut transiter par plusieurs machines intermédiaires. Cette transmission
est appelée unicast.

A. LAN (Local Area Network) ou RLE (Réseau local d'Entreprise)

Le réseau local relie d'une manière générale des ordinateurs localisés dans une même salle,
dans un immeuble ou encore dans un campus. Sa matérialisation peut s'effectuer en tenant
compte des différentes topologies élaborées par l'IEEE (Institute Of Electrical and Electronics
Engineer) sous forme des normes7. Il s'agit de:

o IEEE 802.3: Ethernet (CSMA/CD);

o IEEE 802.4: Token bus (Jeton sur bus);

o IEEE 802.5: Token - ring (Jeton sur anneau); o IEEE 802.6: MAN (Metropol Area Network
);

o IEEE 802.7: FDDI (Fiber Distributed Data Interface);

o IEEE 802.9: ISOEnet (Réseau local à haut débit, multimedia);

o IEEE 802.10: Sécurité dans les réseaux;

o IEEE 802.11: Réseaux locaux sans fil (WIFI); o IEEE 802.12: 100 VG - Any LAN.

7 Prof. IVINZA LEPAPA A.C., Notes de cours de Télématique, L2 info, ISC-GOMBE,

2011 - 2012

B. WAN (Wide Area Network)

Réseau étendu à longue distance constitué par l'interconnexion de plusieurs réseaux et qui se
distingue des réseaux locaux et des réseaux métropolitains.

Il relie plusieurs ordinateurs notamment à travers une ville, un pays, continent ou encore toute
la terre.
Ici la communication s'effectue grace aux réseaux privés et/ où aux réseaux publiques.

I.5. Caractéristiques logiques des réseaux

La conception des premiers ordinateurs ont connu le problème d'hétérogénéité où les

concepteurs n'avaient tenu compte de l'aspect matériel au détriment de l'aspect logiciel en
oublient que les données dans les réseaux devaient provenir des différentes applications qui
pouvant être différent d'un ordinateur à un autre.

I.6. Modèle de référence OSI

Le modèle OSI (Open Systems Interconnection) a été adopté pour faciliter l'échange des
données provenant des matériels des différents constructeurs. Ce modèle de référence a été
défini en 7 couches pour communiquer entre elles. Il décrit le fonctionnement d'un réseau à
communication des paquets.

1. Couche physique: Elle assure l'établissement, le maintien de la liaison physique et le

transfert de bits sur le canal physique (support). Elle comprend donc les spécifications
mécaniques (connecteurs) et les spécifications électriques (niveaux de tension);

2. Couche liaison de données : Elle assure le maintien de la connexion logique, le transfert

des blocs de données (les trames et les paquets),le contrôle, l'établissement, le maintien et la
libération du lien logique entre entités ;

3. Couche réseau : Assure des blocs de données entre les deux systèmes d'extrémités, le
routage (choix du chemin à parcourir à partir des adresses), lors d'un transfert à travers un
système relais, l'acheminement des données (paquets) à travers les

différents noeuds d'un sous - réseau (routage)Et elle définit la taille de ses blocs ;

4. Couche de transport est le pivot du modèle OSI. Elle assure le contrôle du transfert de
bout en bout des informations (message) entre les deux systèmes d'extrémité.

Afin de rendre le transport transparent pour les couches supérieures.

Elle assure le découpage des messages en paquets pour le compte de la couche réseau et les
reconstitue pour les couches supérieures. Elle utilise les protocoles TCP et UDP ;

5. Couche session : Elle assure l'échange des données, et la transaction entre deux
applications distantes. C'est une interface entre les couches qui assurent l'échange de données
(transaction) entre les applications distantes. La fonction essentielle de la couche session est
la synchronisation et le séquencement de l'échange par la détection et la reprise de celui-ci en
cas d'erreur ;

6. Couche présentation : Elle assure la mise en forme des données; elle est une interface
entre les couches qui assurent l'échange de données et celle qui manipule, celle couche assure
la mise en forme de données, les conversions de code nécessaires pour délivrer à la couche
supérieure un message dans une syntaxe compréhensible par celle-ci ;
7. Couche application : Est la couche située au sommet des couches de protocoles TCP/IP.

Elle ne contient pas les applications utilisateurs, mais elle assure la communication, à l'aide
de processus, un ensemble de fonctions (entités d'application) permettant le déroulement
correct des programmes communicants (transferts des fichiers, etc.).

Ce modèle a pour objectifs, décomposer, structurer et assurer l'indépendance vis-à-vis du

matériel et du logiciel.

I.7. Modèle de référence TCP/IP

Le protocole TCP/IP (Transmission Control

Protocol/Internet Protocol) est le plus utilisé des protocoles parce que c'est lui qu'on emploi
sur les réseaux, c'est-à-dire Internet. Historiquement, le TCP/IP présente deux inconvénients
majeurs, à savoir la taille et sa lenteur. Les principaux protocoles qui le composent : l'Internet
protocole qui est un protocole de niveau réseau assurant un service orienté sous connexion :
Transmission contrôle protocole « TCP » et un protocole de niveau transport qui fournit un
service fiable avec connexion.

Le modèle de référence TCP/IP est un langage adopté dans l'internet pour communiquer entre
machines est le langage réseau TCP/IP.C'est un protocole très novateur dans le sens où il est
faiblement hiérarchisé.

Tous les ordinateurs sont égaux dans leurs possibilités. Le langage TCP/IP est très répandu
dans le monde des systèmes Unix et il est très facile de trouver des sources pour réaliser un
support TCP/IP sur n'importe quel système. TCP/IP est de fait le premier véritable langage
réseau indépendant de tout constructeur d'informatique, ce qui en fait son succès. Cependant,
Il faut distinguer les protocoles c'est à dire les « langages de réseau » et les entités
administratives.

En effet si un réseau parle «TCP/IP», il n'est pas forcément connecté à l'internet. Ce n'est pas
parce que je parle français que je suis français...Le réseau internet est en fait une fédération de
réseaux qui mettent en place une organisation commune. Cette organisation est très fédérale.

I.8. Comparaison entre les modèles

Les modelés OSI et TCP ont les points commun au niveau des fonctionnalités des couches
qui sont globalement les mêmes. Ils sont tous fondés sur le concept de pile de protocoles
indépendants.

Au niveau des différences, l'on peut remarquer la chose suivante : le modèle OSI fait
clairement la différence entre 3 concepts principaux, alors que ce n'est pas tout à fait le cas
pour le modèle TCP/IP.

Ces 3 concepts sont les services, interfaces et protocoles. En effet, TCP/IP fait peu la
distinction entre ces concepts ; et ce malgré les efforts des concepteurs pour se rapprocher de
l'OSI.
Cela est dû au fait que pour le modèle TCP/IP, ce sont les protocoles qui sont d'abord apparus
et ensuite le modèle ne fait finalement que donner une justification théorique aux protocoles,
sans les rendre véritablement indépendants les uns des autres.

Le modèle TCP/IP utilise que 4 couches, à savoir : application, transport, réseau et hôte -
réseau ; tant dis que le modèle OSI utilise 7 couches, à savoir : application, présentation,
session, transport, réseau, liaison de données et physique.

I.9.Architecture des réseaux

a. Définition

Est un ensemble des règles de composition et d'agencement des noeuds et équipements

connectés à un réseau informatique8.

b. Normalisation

Le modèle OSI offre des standards et protocoles pour se communiquer dans un réseau. Ce que
l'OSI adopte dans la conception et de rendre le réseau le plus indépendant possible des
supports physiques.

La normalisation émane de la volonté des gouvernements d'harmoniser les technologies afin

d'assurer la compatibilité des équipements.

C'est l'ISO (International Standardisation

Organisation) qui édite les normes dans tous les domaines informatiques (Réseaux,
applications, base de données, etc.).

8 MORVANPierre, LAROUSSE Références, Dictionnaire de l'informatique, Page 17, 1996

c. Mode d'accès

Nous disons qu'il est impératif pour qu'il ait communication entre les noeuds ; ces derniers
doivent utiliser le même support dont un câble ou un faisceau hertzien. Nous soulignons qu'il
y a deux technologies qu'on utilise, à savoir : le Jeton et la contraction.

+ Le jeton est utilisé dans la topologie logique en anneau. Il

consiste à donner l'occasion d'émettre à chacun son tour.

Pour cela, une trame circule en permanence dans le même sens en passant par chaque noeud.
Si une machine veut émettre, elle doit récupérer la trame, y ajouter ses données et l'adresse du
destinataire; le jeton devient alors occupé jusqu'à ce qu'il soit transmis à son destinataire.
Après l'envoi, le noeud émetteur attend un temps proportionnel au nombre total de noeuds
avant de recevoir à nouveau le jeton. Cette méthode est dite déterministe9;

+ CSMA/CD (Carrier Sense Multiple Access/Collision Detection) a été conçu pour optimiser
le rendement des réseaux à bus par une minimisation du temps d'attente d'une station faisant
une requête d'émission10, permet de détecter les perturbations, collisions et d'attendre qu'elles
se résorbent.

I.9.1. Architecture basée sur les Commutateurs

a. Introduction

Ce sont des architectures réseaux qui sont apparues suite à l'évolution de nouvelles
technologies. Elles permettent de segmenter le plus possibles le réseau par le commutateur,
ainsi ces derniers se comportent comme de pont, mais présentant plus les puissances et la
capacité de s'interconnecter avec un réseau à haut débit, il est à signaler que les commutateurs
remplissent le rôle de concentrateurs être celui de pont. Ils offrent ainsi :

9 ERNYPierre, les Réseaux d'entreprises, Edition Ellipse, 1998, Page 11

10 PHILIPPJacques, Systèmes et réseaux, Réseaux Intranet et Internet, Edition Ellipses,

Paris, Page 41

o à la fois des ports Ethernet 10 bits et 100 bits ;

o des ports Token-ring,

o la commutation entre ses ports (10 bits, 100 bits, FDDI et ATM).

Cependant, pour ce dernier point, nous trouvons dans certaines organisations la présence de
certains réseaux conçus sans un cahier de charge, donc, un amalgame d'appareils
interconnectés sans une finalité bien définit et ceci pose un sérieux problème du point de vue
gestion et même influence les décisions11.

b. Un commutateur

Un commutateur est un équipement informatique doté de nombreux ports d'entrée et de

sortie ; il transfert les paquets arrivant sur les ports d'entrée vers leur port de
sortie12.Autrement dit, un commutateur permet de relier divers éléments tout en segmentant le
réseau. Un commutateur, capable de supporter à la fois des services à bande étroite et à large
bande, doit satisfaire aux contraintes suivantes : très haut débit, très faible délai de
commutation, très faible taux de perte de cellules, possibilité de communication en
multipoint, modularité et extensibilité et enfin un faible coUt d'implémentation.

I.9.2.Architecture à longues distances

Les humains ont toujours voulu communiquer plus vite et plus loin. Les Gaulois, écrit Jules
César dans "La guerre des Gaules", avec la voix, de champ en champ, pouvaient transmettre
une nouvelle à 240 km de distance en une journée.

Dans les réseaux locaux, les exploitants sont, en général, propriétaires des lignes de
transmission suivants les divers types de médias. Ce qui est concevable sur des petites
distances. Mais lorsque les distances deviennent longues, il n'est plus possible de posséder les
lignes. Pour connecter deux ou plusieurs ordinateurs, on fera appel aux services des
opérateurs de télécommunication13.

11 PetitBertrand, Op. Cit, Page 21

12 PujolleGuy, Les Réseaux, 3e Edition mise à jour, Edition Eyrolles, à Paris, 2000, Page 23

13 Prof. IVINZA LEPAPAA.C., Notes de cours, Télématique II, L2 Info de gestion, ISC-
KIN, 2011-2012, Page 85

Section I. : Interconnexion des réseaux I.1. Définition

L'interconnexion est un mécanisme qui consiste à mettre en relation, indépendamment de la

distance qui sépare et des protocoles qu'elle utilise, des machines appartenant à des réseaux
physiquement distincts.

Selon LORENZ Pascal, cité par le Professeur MIS A.C. IVINZA LEPAPA dit que le
domaine des réseaux locaux était limite à l' origine au partage des périphériques lourds
(disques magnétiques, imprimantes), il a évolué aujourd'hui vers celui des applications
distribuées.

Des plus en plus, le besoin se fait sentir de raccorder des stations à des serveurs, mais
également des LAN voisins ou distincts, à travers des réseaux plus vastes (MAN, WAN)14.

La problématique de l'interconnexion consiste à déterminer la solution à mettre en oeuvre:

o Lorsque le réseau à créer dépasse les distances maximales imposées par la norme du réseau
à mettre en place,

o Lorsqu'on doit relier deux réseaux utilisant des protocoles différents.

L'interconnexion de deux réseaux d'architectures différentes nécessite un équipement

d'interconnexion spécifique dont la dénomination varie suivant les différentes couches de
l'OSI. Cette interconnexion est possible grâceà un certain nombre de dispositifs, qui sont au
nombre de quatre:

+ Répéteur

C'est un équipement servant à régénérer ou à remettre en forme un signal affaibli. Le répéteur

ne modifie pas le contenu du signal et n'intervient qu'au niveau physique du modèle OSI. Les
répéteurs sont des boitiers d'interconnexion qui n'apporte que des adaptations au niveau
physique.

Ils sont principalement utilisés dans les réseaux IEE 802.3. Ils servent à raccorder deux
segments de câbles ou deux

réseaux identiques (Ethernet) qui constituent alors un seul réseau logique15.

+ Pont

C'est un équipement permettant de relier plusieurs réseaux locaux de même typeou soit pour
étendre le réseau d'établissement, soit pour constituer un réseau étendu multiétablissements.
Le pont travail comme un filtre qui transmet d'un réseau à l'autre les trames dont l'adresse ne
figure pas dans le premier réseau.

Principes:

· Le pont se présente généralement sous forme de boitier empilable disposant d'un nombre
réduit d'interface: Ethernet, Token - ring et Wan. Certains ponts proposent un port RNIS
configurable au choix en tant que liaison principale ou liaison de secours ;

· Le pont (bridge) fonctionne dans la couche liaison du modèle OSI et assure la conversion du
format de la trame et adapte sa longueur. Il filtre les trames en fonction de l'adresse du
destinataire, positionne certains bits, segmente le trafic et élimine la congestion sur une partie
du réseau16.

+ Routeur

Il permet l'interconnexion de réseaux présentant des différences physiques des bits et de la

composition des trames, couche 1 et 2 du modèle OSI. Ils gèrent les en-têtes des trames et des
paquets jusqu'à la couche 3 (couche réseau).

15 Prof. IVINZA LEPAPAA.C., Notes de cours, Télématique II, L2 Informatique de

gestion, ISC-KIN, 2011-2012

16 Idem

Permettant de relier de nombreux réseaux locaux de telle façon à permettre la circulation de

données d'un réseau à un autre de la façon optimale. Contraire au pont, le routeur est concerné
par le routage de niveau paquet, ce qui lui confère des propriétés très différentes.

Il ne permet pas de constituer un réseau unique à partir de plusieurs sous-réseaux ; il a comme

fonction l'interconnexion de réseaux différents dans le sens où les adresses des utilisateurs des
réseaux distants ne sont connues que par leur adresse de niveau paquet et non par une adresse
de niveau physique17.

Outil logiciel ou matériel pour diriger les données à travers un réseau. Il s'agit souvent d'une
passerelle entre plusieurs serveurs pour que les utilisateurs accèdent facilement à toutes les
ressources proposées sur le réseau. Le routeur désigne également une interface entre deux
réseaux utilisant des protocoles différents.

Principes

· Les routeurs agissent au niveau de la couche réseau et effectuent le routage de paquets, c'est-
à-dire ils sont chargés de trouver le meilleur chemin pour acheminer les paquets vers le
destinataire.
· Les routeurs relient des sous structures qui sont des réseaux différents.Le routeur intègre le
plus souvent une fonction de passerelle (gateway) qui leur permet d'acheminer les paquets des
différentes architectures, par exemple IP vers X25.

Il est composé de deux parties, à savoir : Partie logicielle et partie matérielle18.

La partie logicielle a pour but d'acheminer les paquets vers l'interface correcte du routeur,
tandis que la partie matérielle du routeur est composée des ports appelés « interfaces » qui
reçoivent et émettent les paquets au format correspondant à l'architecture du réseau
destinataire (Ethernet, FDDI, Token Ring).

17 PujolleGuy, Les Réseaux, 3e Edition mise à jour, Edition Eyrolles, à Paris, 2000, Page 709

18 Prof. IVINZA LEPAPAA.C., OD. Cit., ISC-KIN, 2011-2012

+ Passerelle

Nous avons constaté que l'on ne peut pas concevoir aujourd'hui un réseau sans un passage
vers l'extérieur, c'est pourquoi, nous disons que la passerelle permet de relier des réseaux
locaux de types différents.

Il faut interconnecter les réseaux, pour qu'ils puissent s'échanger des informations. Le noeud
qui va jouer le rôle d'intermédiaire s'appelle passerelle ou « gateway ».

C'est un système de programmes assurant la compatibilité entre deux environnements,

logiciels ou matériels. En ce qui concerne l'interconnexion de réseaux, la passerelle met en
oeuvre les couches hautes du modèle OSI, contrairement aux ponts et aux routeurs19.

+ Protocole

Un protocole est une méthode standard qui permet la communication entre des processus
(s'exécutant éventuellement sur différentes machines), c'est-à-dire un ensemble de règles et de
procédures à respecter pour émettre et recevoir des données sur un réseau. Il en existe
plusieurs selon ce que l'on attend de la communication.

Certains protocoles seront par exemple spécialisés dans l'échange de fichiers (le FTP),
d'autres pourront servir à gérer simplement l'état de la transmission et des erreurs (c'est le cas
du protocole ICMP), etc.

Sur Internet, les protocoles utilisés font partie d'une suite de protocoles, c'est-à-dire un
ensemble de protocoles reliés entre-deux. Cette suite de protocole s'appelle TCP/IP.

Elle contient, entre autres, les protocoles suivants: HTTP, FTP, ARP, ICMP, IP, TCP, UDP,
SMTP, Telnet, NNTP.

19 LAROUSSE REFERENCES, de MorvanPierre, Dictionnaire de l'informatique, France,

1996
[28] Section II. Sécurité informatique II.1. Introduction

La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des
réseaux d'entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à
Internet. La transmission d'informations sensibles et le désir d'assurer la confidentialité de
celles-ci est devenue un point primordial dans la mise en place de réseaux informatiques.

La sécurité informatique c'est l'ensemble des moyens mis en oeuvre pour réduire la
vulnérabilité d'un système contre les menaces accidentelles ou intentionnelles. Il convient
d'identifier les exigences fondamentales en sécurité informatique.

La sécurité informatique, d'une manière générale, consiste à assurer que les ressources
matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.

II.1.1. Sécurité physique et environnementale20

La sécurité physique et environnementale concerne tous les aspects liés à la maitrise des
systèmes et de l'environnement dans lesquels ils se situent.

Cette sécurité repose sur:

( La protection des sources énergétiques et de la climatisation (alimentation électrique,

refroidissement, etc.) ;

( La protection de l'environnement (mesure ad hoc notamment pour faire face aux risqué
d'incendie, d'inondation, etc.) ;

( Des mesures de gestion et de contrôle des accès physiques aux locaux, équipements et
infrastructures (avec entre autres la traçabilité des entrées et une gestion rigoureuse des clés
d'accès aux locaux) ;
20
Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page
7

" Le plan de maintenance préventive (tests, etc.) et corrective (pièces de rechange, etc.) des
équipements ce qui relève également de la sécurité de l'exploitation des environnements ;

" Etc.

II.1.2. Sécurité logique et applicative21

La sécurité logique fait référence à la réalisation de mécanismes de sécurité par logiciel

contribuant au bon fonctionnement des programmes et des services offerts.

Elle s'appuie généralement sur une mise en oeuvre adéquate de la cryptographie, de

procédures de contrôle d'accès logique, d'authentification, de détection de logiciels
malveillants, de détection d'intrusions et d'incidents, mais aussi sur des procédures de
sauvegarde et de restitution des informations sensibles sur des supports fiables spécialement
protégés et conservés dans des lieux sécurisés.

Cette sécurité repose sur :

o La robustesse des applications ;

o Des contrôles programmés ;

o Des jeux de tests ;

o Des procédures de recettes ;

o L'intégration de mécanismes de sécurité, d'outils

d'administration et de contrôle de qualité dans les applications ;

o La sécurité des progiciels (choix des fournisseurs, interfaces sécurité, etc.) ;

o Un plan d'assurances sécurité ;

o Etc.
21
Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page
8

II.1.1. La sécurité du système d'information22

L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne

puisse mettre en péril la pérennité de l'entreprise.

Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les
atteintes ou dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à
des coûts et des délais acceptables en cas de sinistre.

La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre.

Ce n'est rien d'autre qu'une stratégie préventive qui s'inscrit dans une approche d'intelligence
économique. Pour ce qui concerne les données et les logiciels, la sécurité informatique
implique qu'il faille assurer les propriétés suivantes:

la confidentialité (aucun accès illicite): maintien du secret de l'information et accès aux seules
entités autorisées; l'intégrité (aucune falsification): maintien intégral et sans altération des
données et programmes; l'exactitude (aucune erreur); la disponibilité (aucun retard): maintien
de l'accessibilité en continu sans interruption ni dégradation; la pérennité (aucune
destruction): les données et logiciels existent et sont conservés le temps nécessaire; la non-
répudiation (aucune contestation).
II.2. Mise en place d'une politique de sécurité

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès
aux données et ressources d'un système en mettant en place des mécanismes d'authentification
et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent
uniquement les droits qui leur ont été octroyés.

Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau
des utilisateurs et les consignes et règles deviennent de plus en plus compliquées au fur et à
mesure que le réseau s'étend.

Ghernaouti-Hélie S., Stratégie et protection des systèmes d'information, Page 20

22

Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les
utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils
puissent utiliser le système d'information en toute confiance.

C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique
de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes :

Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise
et leurs éventuelles conséquences ;

Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de
l'organisation pour les risques identifiés ;

Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des

failles sur les applications et matériels utilisés ;

Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une
menace.
o La confidentialité

La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les

seuls acteurs de la transaction. La confidentialité est la protection des données contre
divulgation non autorisée maintien de secret des informations23. Il existe deux types d'actions
complémentaires permettant d'assurer la confidentialité des données :

( Limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à les
modifier puissent le faire ;

( Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont pas
autorisées à les obtenir ou qui ne possèdent pas les moyens de les déchiffrer ne puissent les
utiliser.

Ghernaouti-Hélie S., Sécurité informatique et réseaux, 3emeédition, DUNOD, Page 4

23
o Intégrité

Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées
durant la communication (de manière fortuite ou intentionnelle).

o Authentification.

L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun

des correspondants que son partenaire est bien celui qu'il croit être.

Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra
être crypté) l'accès à des ressources uniquement aux personnes autorisées.

L'authentification doit permettre de vérifier l'identité

d'une entité afin de s'assurer entre autres, de l'authenticité de celleci et qu'elle n'a pas fait
l'objet d'une usurpation d'identité24.

Avant de chiffrer des données il est nécessaire de s'assurer que la personne avec laquelle on
communique et bien celle qu'elle prétend être. Plusieurs méthodes d'authentification sont
possibles.

Il a été démontré qu'il existait des algorithmes symétriques et asymétriques pour chiffrer un
message. De la même manière, il existe des algorithmes symétriques et asymétriques pour
assurer l'authentification.

II.3. Chiffrement ou Cryptographie

Le chiffrement des données (la cryptographie) est l'outil fondamental de la sécurité

informatique. En effet, la mise en oeuvre de la cryptographie permet de réaliser des services
de confidentialité des données transmisses ou stockées, des services de contrôle d'intégrité des
données et d'authentification d'une entité, d'une transaction ou opération25. Le chiffrement est
l'opération par laquelle on chiffre un message, c'est une opération de codage.

24 Prof. IVINZA LEPAPA A.C., Notes de cours de Télématique II, L2 info, ISC-GOMBE,
2011 - 2012, Page 4 25Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition
DUNOD, Paris, 2011, Page 131

Chiffrer ou crypter une information permet de la rendre incompréhensible en l'absence d'un

décodeur particulier.

La cryptographie est une science qui consiste à écrire l'information (quelle que soit sa nature :
voix, son, textes, données, image fixe ou animée) pour la rendre inintelligible à ceux ne
possédant pas les capacités de la déchiffrer26.

La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la

compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est
caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est
inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité
doit être abordée dans un contexte global et notamment prendre en compte les aspects
suivants :

La sensibilisation des utilisateurs aux problèmes de sécurité ; La sécurité logique, c'est-à-

dire la sécurité au niveau des données, notamment les données de l'entreprise, les
applications ou encore les systèmes d'exploitation ;

La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux

d'accès, etc. ;

La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles

sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des
personnels, etc.
II.4. Algorithmes symétriques

Les algorithmes à clé symétrique ou secrète sont des algorithmes où la clé déchiffrement peut
être calculée à partir de la clé de déchiffrement ou vice versa. Dans la plupart des cas la clé de
chiffrement et la clé de déchiffrement sont identiques. Pour de tels algorithmes, l'émetteur et
le destinataire doivent se mettre d'accord sur une clé à utiliser avant d'échanger des messages
chiffrés.

Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, P.

26

132

[34] II.5. Algorithmes asymétriques

Les algorithmes asymétriques ou clé publique, sont différents. Ils sont conçus de telle manière
que la clé de chiffrement soit différente de la clé de déchiffrement. La clé de déchiffrement ne
peut pas être calculée à partir de la clé de déchiffrement.

Ce sont des algorithmes à clé public car la clé de chiffrement peut être rendue publique.
N'importe qui peut utiliser la clé de chiffrement pour chiffrer un message mais seul celui qui
possède la clé de déchiffrement peut déchiffrer le message chiffré.

La clé de chiffrement est appelée clé publique est la clé de déchiffrement est appelée clé
privée. Dans les algorithmes à clé secrète, tout reposait sur le secret d'une clé commune qui
devait être échangée dans la confidentialité la plus total, alors que la cryptographie à clé
publique résout ce problème.

L'algorithme asymétrique permet de réaliser

plusieurs fonctions de sécurité relatives à la confidentialité, l'intégrité, l'authentification et à la

non-répudiation.

CHAPITRE II: VPN (Virtual Private Network) Section I. Généralités

I.1. Définition

a. Réseau privé

Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des données
confidentielles à l'intérieur de l'entreprise. De plus en plus, pour des raisons d'interopérabilité,
on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. On appelle alors ces
réseaux privés « intranet >>. Y sont stockés des serveurs propres à l'entreprise en l'occurrence
des portails, serveurs de partage de données, etc.

En général, les machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-
ci. L'inverse n'étant pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder
au réseau internet.

b. Réseau privé virtuel

Dans les réseaux informatiques et les

télécommunications, le réseau privé virtuel (Virtual Private Networking en anglais, abrégé en

VPN) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on
peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux
locaux via une technique de « tunnel >>. Nous parlons de VPN lorsqu'un organisme
interconnecte ses sites via une infrastructure partagée avec d'autres organismes.

Il existe deux types de telles infrastructures partagées : les « Publiques >> comme Internet et
les infrastructures dédiées que mettent en place les opérateurs pour offrir des servicesde VPN
aux entreprises.

C'est sur internet et les infrastructures IP que se sont développées les techniques de « tunnel
>>27.

Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé ou public,
selon un mode qui émule une liaison privée point à point.

27 http://fr.wikidedia.org/wiki/Réseau_privé_virtuel/2012/17h45'

Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux
distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de
transmission. Un bon compromis consiste à utiliser Internet comme support de transmission
en utilisant un protocole de "tunnellisation" (en anglais tunneling), c'est-à-dire encapsulant les
données à transmettre de façon chiffrée.

Nous parlons alors de réseau privé virtuel pour désigner le réseau ainsi artificiellement créé.

I.2. Concept de VPN

Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation,
c'est-à-dire que les liaisons entre machines appartiennent à l'organisation. Ces réseaux sont de
plus en plus souvent reliés à Internet par l'intermédiaire d'équipements d'interconnexion.
Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec des filiales, des
clients ou même des personnels géographiquement éloignés via internet. Pour autant, les
données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur
un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance, ce qui
signifie que les données empruntent une infrastructure réseau publique appartenant à
différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit
écouté par un utilisateur indiscret ou même détourné.

Il n'est donc pas concevable de transmettre dans de telles conditions des informations
sensibles pour l'organisation ou l'entreprise. La première solution pour répondre à ce besoin
de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons
spécialisées.

Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison
non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du
VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une liaison
sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux.

En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée
dans la mesure où le réseau physique est public et donc non garanti.

I.3. Fonctionnement

Le VPN repose sur un protocole de tunnellisation, c'est-à-dire un protocole qui permet le

passage de données cryptées d'une extrémité du VPN à l'autre grâce à des algorithmes28. Nous
employons le terme « tunnel » pour symboliser le fait que les données soient cryptées et de ce
fait incompréhensible pour tous les autres utilisateurs du réseau public (ceux qui ne se
trouvent pas aux extrémités du VPN).

Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant
de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus
généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de
l'organisation. De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel,
sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau
distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête
de façon chiffrée.

L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va
transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les
données seront déchiffrées, puis transmises à l'utilisateur. Pour émuler une liaison point à
point, les données sont encapsulées, ou enrobées, à l'aide d'un en-tête qui contient les
informations de routage pour leurs permettre de traverser le réseau partagé ou public jusqu'à
leur destination finale.

Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les
paquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de
décryptage. La liaison servant à l'encapsulation et au cryptage des données privées est une
connexion VPN.
Ainsi, tous les utilisateurs passent par le même "portail", ce qui permet de gérer la sécurité
des accès, ainsi que le trafic utilisé par chacun.

En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau principal
vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles.

Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille
prise par le réseau étendu.

I.4. Méthode de connexion I.4.1. Le VPN d'accès

Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau
privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN.

Il existe deux cas:

o Bralima demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur
distant :

o il communique avec le Nas du fournisseur d'accès et c'est le Nas qui établit la connexion
cryptée ;

o Bralima possède son propre logiciel pour le VPN auquel il établit directement la
communication de manière cryptée vers le réseau de l'entreprise.

Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :

La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs

tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution
VPN choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée
ce qui peut poser des problèmes de sécurité.

Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera
cryptée dès l'établissement de la connexion29. Par contre, cette solution nécessite que chaque
client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée.

29 GHERNAOUTI HélieSolange, Guide de cyber sécurité pour les pays en

développement, Edition DUNOD, 2008.

Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien
l'importance dans le VPN d'avoir une authentification forte des utilisateurs.
Figure 1 : VPN connectant un utilisateur distant à un intranet privé I.5. Topologie des V.P.N

Figure 2 : VPN connectant un utilisateur distant à un intranet privé

Les VPN s'appuient principalement sur Internet comme support de transmission, avec un
protocole d'encapsulation et un protocole d'authentification, au niveau des topologies, on
retrouve des réseaux privés virtuels en étoile, maillé ou partiellement maillé.

Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce
niveau qu'on retrouve le serveur d`accès distant ou serveur VPN, dans ce cas de figure tous
les employés du réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi
accéder aux ressources qui se situent sur l'intranet.

Figure 4 : V.P.N maillé

Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site
seront considérés comme des serveurs d'accès distant, les ressources ici sont décentralisées
sur chacun des sites autrement dit les employés pourront accéder aux informations présents
sur tous les réseaux.

I.5. Intérêt d'un VPN

La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des
ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le
même réseau local.

Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de
se connecter au réseau d'entreprise hors de leur lieu de travail. Nous pouvons facilement
imaginer un grand nombre d'applications possible:

o Les connexions VPN offrent un accès au réseau local (d'entreprise) à distance et de façon
sécurisée pour les travailleurs nomades.
o Les connexions VPN permettent d'administrer efficacement et de manière sécurisé un
réseau local à partir d'une machine distante ;

o Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou depuis
d'autres sites distants d'accéder à distance à un serveur d'entreprise par l'intermédiaire d'une
infrastructure de réseau public, telle qu'Internet ;

o Les connexions VPN permettent également aux entreprises de disposer de connexions

routées partagées avec d'autres entreprises sur un réseau public, tel qu'Internet, et de continuer
à disposer de communications sécurisées, pour relier, par exemple des bureaux éloignés
géographiquement ;

o Une connexion VPN routée via Internet fonctionne logiquement comme une liaison de
réseau étendu (WAN, Wide Area Network) dédiée.

Les connexions VPN permettent de partager des fichiers et programmes de manière sécurisés
entre une machine locale et une machine distante.

Section II. Protocoles utilises et sécurité des VPN

Il existe plusieurs protocoles dit de tunnellisation qui permettent la création des réseaux VPN
à savoir :

Comme nous allons le voir, les technologies les plus utilisés pour la création de tunnels
sécurisés pour tous types de flux sont PPP, PPTP, L2F, L2TP et IPSec.

Pour la sécurisation par service, par application, nous pouvons aussi utiliser des solutions du
type HTTPS. Toutes ces méthodes vont être détaillées dans ce qui suit.

Les tunnels permettent d'envoyer des données d'un réseau à un autre. Ces données peuvent
être des paquets ou des trames, qui seront encapsulés dans un entête supplémentaire par le
protocole qui implémente le tunnel. Cet entête fourni les informations de routage pour
l'acheminement de la charge utile encapsulé, dans le réseau intermédiaire. Les tunnels sont
donc des chemins logiques emprunter au sein du réseau intermédiaire.

Les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulée par le protocole
de tunneling, et décapsulé par ce même protocole à l'arrivée.

Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la
transmission et la désencapsulation.

La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation d'un même
protocole aux ordinateurs communicants (PPTP, L2TP, IPSec).Le tunnel peut être créé de
deux manières différentes :

Le tunnel volontaire : crée sur demande explicite d'un client pour la mise en place d'un VPN,
dans ce mode de tunnel le client est un point final du VPN.
Le tunnel d'office : Crée d'office par le serveur d `accès réseau qui implémente le protocole
d'accès réseau VPN, dans ce cas l'ordinateur client n'est pas un point final du VPN. Le client
est le serveur d'accès réseau.

Figure 5 : Entête du réseau de transition a. PPP (Point To Point Protocol)

Le protocole PPP (Point To Point Protocol) est un ensemble de protocoles standard

garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs.

Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un
serveur PPP standard de l'industrie. PPP permet également à un serveur d'accès à distance de
recevoir des appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant
d'autres éditeurs, conformes aux normes PPP.

Les normes PPP autorisent également des fonctions avancées qui ne sont pas disponibles avec
d'anciennes normes, notamment SLIP.

Le protocole PPP prend en charge plusieurs méthodes d'authentification ainsi que la

compression des données et leur cryptage. La plupart des versions du protocole PPP
permettent d'automatiser l'ensemble de la procédure d'ouverture de session.

Le protocole PPP prend également en charge plusieurs protocoles de réseau local. Nous
pouvons utiliser TCP/IP ou IPX comme protocole réseau. Toutefois, le protocole IPX/SPX
n'est pas disponible sur Windows XP 64-Bit Edition.

PPP est le fondement des protocoles PPTP et L2TP utilisés dans les connexions VPN (Virtual
Private Network) sécurisées. PPP est la principale norme de la plupart des logiciels d'accès
distant.

b. PPTP (Point To Point Tunneling Protocol)

PPTP est un protocole réseau permettant un transfert sécurisé entre un client distant et un
serveur privé.

Ceci est réalisé à l'aide d'un VPN basé sur TCP/IP. La technologie utilisée est une extension
du protocole PPP permettant l'accès à distance.

PPTP et les VPN :

PPTP permet la création de VPN sur demande à travers des réseaux basés sur TCP/IP. Il peut
de même être utilisé pour créer VPN entre deux ordinateurs dans le même réseau local.

PPTP est un protocole qui encapsule les paquets PPP dans des datagrammes IP pour la
transmission sur internet ou un autre réseau public basé sur IP. Il peut même être utilisé pour
des liaisons LAN to LAN.Les différents rôles que le protocole PPTP peut assurer son listées
ci- dessous :

a) PPTP permet la création des VPN sur demande sur des réseaux basé sur TCP/IP.

b) PPTP peut être utilisé sur un même réseau local entre deux machines.

c) PPTP peut utiliser comme support pour la création de VPN aussi bien Internet que le
réseau téléphonique public (PSTN).

d) PPTP offre une communication encryptée, sûr à travers ces deux réseaux publics.

e)

PPTP simplifie les accès longs distances pour les utilisateurs distants.

Scénario typique d'une connexion PPTP.

a) Besoin d'un client (client PPTP), distant ou mobile de se connecter au réseau privé de
l'entreprise

b) Connexion du client au serveur NAS de l'ISP (1èreconnexion PPP).

c) Création de la liaison VPN appelé tunnel, avec le serveur PPTP, cette liaison est
matérialisée par une deuxième connexion au PPP sur la première connexion déjà existante.

d) Envoi de donnée dans le tunnel sous forme de datagrammes IP, contenant des paquets PPP.

Figure 6 : Entête du réseau de transition

Le tunneling est le processus qui permet l'envoie de données dans un réseau public, depuis un
client PPTP vers un serveur PPTP qui est connecté tant au réseau public qu'au réseau privé de
l'entreprise.

Lorsque le serveur reçoit des paquets PPTP par le biais du réseau public, il les analyse et
détermine dans le paquet PPP encapsulé, l'adresse de l'ordinateur à qui ils sont destinés. Les
paquets encapsulés peuvent contenir plusieurs protocoles qui sont TCP/IP, IPX, etc.
 Figure 7 : Entête du réseau de transition

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau
public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole PPTP
(Point To Point Tunneling Protocol).

Le protocole PPTP autorise le transfert sécurisé des données d'un ordinateur distant vers un
serveur privé en créant un réseau privé virtuel entre des réseaux de données TCP/IP. Le
protocole PPTP prend en charge les réseaux privés virtuels multi protocoles à la demande sur
des réseaux publics, tels qu'Internet. Développé en tant qu'extension du protocole PPP (Point
To Point Protocol), PPTP lui confère un niveau supplémentaire de sécurité et de
communication multi protocoles sur Internet.

Ainsi, grâce au nouveau protocole EAP (Extensible Authentication Protocol), le transfert des
données par l'intermédiaire d'un réseau privé virtuel compatible PPTP est aussi sûr qu'au sein
d'un réseau local d'entreprise.

PPTP encapsule (fait passer par un tunnel) les protocoles IP ou IPX dans des datagrammes
PPP.

Autrement dit, nous pouvons exécuter à distance des programmes tributaires de protocoles
réseau déterminés. Le serveur tunnel exécute l'ensemble des contrôles de la sécurité et des
validations, et active le cryptage des données, rendant ainsi beaucoup plus sûr l'envoi
d'informations sur des réseaux non sécurisés. Nous pouvons aussi recourir au protocole PPTP
pour mettre en communication des réseaux locaux privés.

Figure 8: Illustration d'une connexion VPN utilisant PPTP

c. L2F (Layer TwoForwarding)

C'est un protocole de niveau 2, développé par Cisco Systems, Northern Telecom et Shiva. Il
est désormais quasiobsolète.

d. L2TP (Layer Two Tunneling Protocol)

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau
public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole L2TP
(Layer Two Tunneling Protocol). L2TP est un protocole de tunneling standard utilisé sur
Internet qui possède pratiquement les mêmes fonctionnalités que le protocole PPTP (Point To
Point Tunneling Protocol).

La version de L2TP mise en oeuvre dans Windows XP est conçue pour s'exécuter en mode
natif sur des réseaux IP. Cette version de L2TP ne prend pas en charge l'encapsulation en
mode natif sur des réseaux X.25, Frame Relay ou ATM.

Sur la base des spécifications des protocoles L2F (Layer TwoForwarding) et PPTP (Point To
Point Tunneling Protocol), Nous pouvons utiliser le protocole L2TP pour configurer des
tunnels entre les réseaux concernés.

À l'instar de PPTP, L2TP encapsule les trames PPP (Point To Point Protocol)qui encapsulent
ensuite les protocoles IP ou IPX et permettent aux utilisateurs d'exécuter à distance des
programmes qui sont tributaires de protocoles réseau déterminés.

Figure 9: Illustration d'une connexion VPN utilisant L2TP

e. IPSEC (Internet protocol security)

1) Présentation et fonctionnement d'IPsec

IPSec (Internet Protocol Security) est un protocole fournissant un mécanisme de sécurisation

au niveau de la couche réseau du modèle OSI. Il assure la confidentialité (grâce au cryptage),
l'authentification (qui permet d'être certain de l'identité de l'émetteur) et l'intégrité des
données permettant de s'assurer que personne n'a pu avoir accès aux informations. IPSec
permet de protéger les données et également l'en-tête d'une trame, en masquant le plan
d'adressage grace à l'ajout d'un en-tête IPSec à chaque datagramme IP30.

IPSec de par sa position, il agit sur chaque datagramme IP et permet ainsi d'offrir une
protection unique pour toutes les applications.

Ce protocole est indissociable d`IPv6 est utilisable aussi sur IPv4 si le fournisseur a choisi de
l'implanter dans son produit31.

Les concepteurs, S. Kent et R. Atkinson de chez IETF (Internet Engineering Task Force) ont
proposé une solution en novembre 1998 afin de répondre aux besoins directs du
développement des réseaux en matière de sécurité.

En effet, en sécurisant le transport des données lors d'échanges internes et externes, la

stratégie IPSec permet à l'administrateur réseau d'assurer une sécurité efficace pour son
entreprise contre toute attaque venant de l'extérieur.
2) Concept de base d'IPSec

Le protocole IPSec est destiné à fournir différents services de sécurité.

Il permet grâce à plusieurs choix et options de définir différents niveaux de sécurité afin de
répondre de façon adaptée aux besoins de chaque entreprise.

La stratégie IPSec permettant d'assurer la

confidentialité, l'intégrité et l'authentification des données entre deux hôtes est gérée par un
ensemble de normes et de protocoles :

o Authentification des extrémités : Elle permet à chacun de s'assurer de l'identité de chacun

des interlocuteurs. Précisons que l'authentification se fait entre les machines et non entre les
utilisateurs, dans la mesure où IPSec est un protocole de couche 3.

o Confidentialité des données échangées : Le contenu de chaque paquet IP peut être chiffré
afin qu'aucune personne non autorisée ne puisse le lire.

o Authenticité des données : IPSec permet de s'assurer que chaque paquet a bien été envoyé
par l'hôte et qu'il a bien été reçu par le destinataire souhaité.

o Intégrité des données échangées :IPSec permet de vérifier qu'aucune donnée n'a été
altérée lors du trajet.

o Protection contre les écoutes et analyses de trafic : Le mode tunneling permet de chiffrer
les adresses IP réelles et les en-têtes des paquets IP de l'émetteur et du destinataire. Ce mode
permet ainsi de contrecarrer toutes les attaques de ceux qui voudraient intercepter des trames
afin d'en récupérer leur contenu.

o Protection contre le rejet : IPSec intègre la possibilité d'empêcher un pirate d'intercepter

un paquet afin de le renvoyer à nouveau dans le but d'acquérir les mêmes droits que
l'envoyeur d'origine.

Ces différentes caractéristiques permettent à l'hôte A de crypter ses données et de les envoyer
vers l'hôte B via le réseau, puis à l'hôte B de les recevoir et de les décoder afin de les lire sans
que personne ne puisse altérer ou récupérer ces données.

3) Application de l'IPSec au modèle OSI

Le mode tunneling d'IPSec est un protocole de couche 3 fournissant ses services pour
sécuriser l'IP qui est de même couche.

Il a pour avantage d'offrir la protection des protocoles de couches supérieurs TCP/IP. Il

s'étend également aux protocoles de couches 2 comme L2TP et PPTP.Il est utilisé:

o entre deux routeurs, il permet de créer des VPN

sécurisés, au-dessus d'un réseau public pas forcément réputé pour sa fiabilité (comme
l'internet) ; par exemple pour protéger les échanges entre les différents sites ;

o entre un serveur et un poste individuel relié par

internet, il permet à un utilisateur d'accéder à des données internes sans réduire le niveau de
sécurité; par exemple pour un administrateur désirant administrer ses machines lorsqu'il est en
congé;

o En interne pour protéger une machine

particulièrement sensible et pour réaliser un contrôle d'accès fort; par exemple pour limiter
l'accès à une autorité de certification à quelques postes de travail bien identifiés et en protéger
les communications32.

4) Modes de transit des données : transport et tunnel

Ces deux modes permettent de sécuriser les échanges réseau lors d'une communication.
Néanmoins, le niveau de sécurité le plus élevé est le mode tunnel.

+ Le mode transport offre essentiellement une protection aux protocoles de niveaux

supérieurs. En effet, ce mode ne modifie pas l'en-tête initial dans la mesure où il ne fait que
s'intercaler entre la couche IP et la couche transport ;

+ Le mode tunnel intègre les fonctionnalités du mode transport et permet de protéger un ou

plusieurs flux de données entre utilisateurs internes ou connectés via un VPN (Virtual Private
Network). Lorsqu'un paquet de données est envoyé sur le réseau, le paquet est lui-même
encapsulé dans un autre paquet.

32 http://www.ietf.org/html.charters/ipsec

On crypte alors le corps de ce nouveau paquet à l'aide d'algorithmes de sécurités adéquats et

on ne laisse en clair que l'entête contenant les adresses IP publiques de l'émetteur et du
destinataire.Le mode tunnel propose 2 protocoles de sécurité :

o PPTP (Point to Point Tunneling Protocol) : Ce protocole standard dans l'industrie a été pris
en charge pour la première fois par Windows NT 4.0. PPTP est une extension du protocole
PPP (Point to Point Protocol) qui s'appuie sur les mêmes mécanismes d'authentification, de
compression et de cryptage que PPP.

o L2TP / IPSec : Celui-ci gère tous les types de trafic pour assurer l'encapsulation des
données. Il encapsule les paquets d'origine dans une trame PPP, en effectuant une
compression d'entête si possible, puis encapsule de nouveau dans un paquet de type UDP.
IPSec et L2TP sont associés afin d'assurer la sécurité et la tunnellisation des paquets sur
n'importe quel réseau IP. Leur association représente également une option garantissant la
simplicité, la souplesse d'utilisation, l'interaction et la sécurité.
 Figure10 : Principe d'encapsulation des paquets

5) Principe d'échange de clés Internet (IKE)

La gestion des clés et la négociation des paramètres de sécurité est faite par IKE (Internet Key
Exchange). Dans le contexte des réseaux privés virtuels.

IPSec permet donc de garantir la confidentialité, l'authenticité ainsi que l'intégrité des données
véhiculées à travers un tunnel33.

Le protocole IKE gère la sécurité en établissant un premier tunnel entre les 2 machines (le
tunnel IKE). La deuxième phase consiste à établir d'autres tunnels secondaires pour la
transmission de données utilisateur entre les 2 machines.

L'authentification utilise les certificats d'ordinateur pour vérifier que les ordinateurs sources et
de destination s'approuvent mutuellement.

Si la sécurité du transport IPSec est correctement établie, L2TP négocie le tunnel, ainsi que la
compression et les options d'authentification de l'utilisateur, puis procède à un contrôle
d'accès basé sur l'identité de l'utilisateur.

6) Le piloteIPSec

Nommé IPSEC.sys, le pilote IPSec doit également être présent sur chaque poste Windows
Client. Il permet de contrôler les paquets IP et d'effectuer les vérifications avec les stratégies
de sécurité locale et les filtres IP mis en place.

7) Processus d'établissement d'une connexion

Afin de mettre en place un processus d'établissement d'une connexion, faisons l'étude d'un cas
d'égal à égal :

L'hôte A est un utilisateur itinérant qui se connecte via une liaison spécialisée vers l'hôte B
qui est un serveur de base de données interne à son entreprise. Cette connexion pour des
raisons de confidentialité et de sécurité doit être protégée.

La sécurité IPSec est alors déployée afin de garantir le cryptage des données et
l'authentification des 2 hôtes. La connexion va donc se dérouler en 6 étapes :
 Figure 11 : Processus d'établissement d'une connexion

+ 1ère étape : L'hôte A cherche à télécharger des données situées sur le serveur FTP. Pour ce
faire, il lance une transaction vers ce dernier. Le pilote IPSec de l'hôte A signale au service
ISAKMP/Oakley que la stratégie de sécurité nécessite l'IPSec. On utilise alors les stratégies
utilisées par l'agent de stratégie dans la base de registre ;

+ 2ème étape : Le Service ISAKMP/Oakley des deux hôtes génère une clé partagée et une
association de sécurité (contrat de confiance) ;

·:
· 3ème étape : Les pilotes IPSec des deux hôtes prennent chacun la clé et l'association ;

·:
· 4ème étape : Les données envoyées par l'hôte A sont cryptées grâce à la clé (processus géré
par le pilote IPSec) ;

·:
· 5ème étape : Le serveur hôte B reçoit les données et les décrypte grâce au pilote IPSec qui
connaît la clé partagée et l'association de sécurité ;

+ 6ème étape : Les données sont ensuite transmises à la couche d'application (couche 7 du
modèle OSI).

f. Comparaison des différents protocoles

Chaque protocole présenté permet de réaliser des solutions performantes de VPN. Nous
allons ici aborder les points forts et les points faibles de chacun de ses protocoles.

+ VPN-Ssl

Présentée comme la solution miracle pour permettre aux itinérants de se connecter aux
applications réparties de l'entreprise les VPN-Ssl souffrent de problèmes principalement liés
aux navigateurs web utilisés. Le but d'utiliser des navigateurs web est de permettre aux
utilisateurs d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration
supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le
renouveler.
De plus sur la majorité des navigateurs web la consultation des listes de certificats révoqués
n'est pas activée par défaut : toute la sécurité de Ssl reposant sur ces certificats ceci pose un
grave problème de sécurité. Rien n'empêche de plus le client de télécharger une version
modifiée de son navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins,
plugins,...). Rien ne certifie que le navigateur n'a pas été modifié et que son autorité de
certification en soit bien une.

Enfin Un autre problème lié à l'utilisation de navigateurs web comme base au VPN est leur
spécificité au monde web. En effet par défaut un navigateur n'interceptera que des
communications HTTPS ou éventuellement FTPS. Toutes les communications venant d'autre
type d'applications (Microsoft Outlook, Lotusnotes, ou une base de données par exemple) ne
sont pas supportées. Ce problème est généralement contourné par l'exécution d'une
application dédiée dans le navigateur.

Mais ceci implique également la maintenance de cette application (s'assurer que le client
possède la bonne version, qu'il peut la télécharger au besoin).

L'idée suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès
VPN est donc sérieusement à nuancer.

+ PPTP

PPTP présente l'avantage d'être complètement intégré dans les environnements Windows.
Cependant comme pour beaucoup de produits Microsoft, la sécurité est le point faible:

o Mauvaise gestion des mots de passe dans les environnements mixtes Windows 95/NT ;

o Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du mot de
passe au lieu d'être entièrement générées au hasard. (facilite les attaques « force brute ») ;

o Identification des paquets non implémentée : vulnérabilité aux attaques de type « spoofing »

+ L2tp / IPSec

Les mécanismes de sécurité mis en place dans IPSec sont plus robustes et plus reconnus que
ceux mis en place par Microsoft dans PPTP. Par défaut le protocole L2tp utilise le protocole
IPSec. Cependant si le serveur distant ne le supporte pas L2tp pourra utiliser un autre
protocole de sécurité. Il convient donc de s'assurer que l'ensemble des équipements d'un VPN
L2tp implémente bien le protocole IPSec.IPSec ne permet d'identifier que des machines et
non pas des utilisateurs. Ceci est particulièrement problématique pour les utilisateurs
itinérants.

Enfin IPsec à cause de la lourdeur des opérations de cryptage/décryptage réduit les

performances globales des réseaux. L'achat de périphériques dédiés, coûteux est souvent
indispensable.

CHAPITRE III. : PRESENTATION DE

L'ENTREPRISE
Notre 3ième chapitre sera notre miroir en ce sens qu'il nous aidera à avoir une vision d'ensemble
sur la BRALIMA. C'est dans cette partie que nous parlerons des points tels que : la situation
géographique, l'historique, l'objectif, mission, l'activité principale, activité secondaire et la
structure organique de l'entreprise Bralima.

Nous ne pouvons pas commencer avec tous ces détails sans vous signifier d'où est venu le
mot « Bralima » ; en effet, BRALIMA signifie : Brasserie, Limonaderies et Malterie ».

III.1. Situation géographique et juridique

La BRALIMA est une industrie chimique alimentaire de 3ème catégorie dont ses installations
de Kinshasa sont situées au n° 1 de l'avenue du Drapeau dans la Commune de Barumbu.La
BRALIMA est une société à caractère privé, à savoir une société par action à responsabiliser
limité (Sarl).

III.2. Historique

Après la première guerre mondiale, quelques hommes d'affaires belges cherchent à placer des
capitaux au Congo - Belge. Etant suffisamment informé du projet du gouvernement général
qui consiste à l'introduction d'une boisson alcoolique adéquate aux indigènes afin de
remplacer pour ainsi dire l'alcool distillé <notamment le lotoko, le Aggénet> se fermentant
dans les conditions douteuses dont la consommation produit des effets nuisibles à l'organisme
humain.

Avec l'appui de la Banque de Bruxelles, un capital de 4.000.000 Fc (franc congolais) fut

financé en date du 23 octobre 1923 afin de créer une brasserie nommée « Brasserie de
Léopoldville », le staff comptait 30 nationaux, 2 belges, 1 français, 1 suisse et Monsieur
DUMOULAIN était le premier directeur.

Presque 3 ans après ces financements, les congolais du Congo - Belge pouvaient déjà siroter
la première bière produite ici à Léopoldville dont la sortie officielle le 24 décembre 1926 avec
une production de 35.000 bouteilles de bière par mois, chiffre qui est passé à 125.000
bouteilles à 1945. A partir de 1950, la BRALIMA subit une expansion spectaculaire en
installant des brasseries à l'intérieur du pays avec des agences ci-après :

1. Bukavu en 1950

2. Kisangani en 1957

3. Boma en 1958

4. Mbandaka en 1972

5. Lubumbashi en 1992

Sans oublier que la société créa aussi d'autres brasseries en dehors du pays tels que : à
Brazzaville (1952), à Bujumbura (1954), etc.

Nous avons précisé que la société était depuis sa création sous le contrôle d'industriels belges.
Mais en 1987, cette société appartenait désormais au groupe Heineken (créé à Amsterdam,
Pays-Bas, 15/2/1964 par Mr Gérard Adrian Heineken) ; qui est devenu actionnaire
majoritaire.

Le progrès est tellement visible si bien que de 1992 à 1998, la BRALIMA achète d'autres
sociétés concurrentes telles que :

La C.I.B (Compagnie industrielle de Boissons), embouteilleur des boissons Coca Cola en

1992 ; l'usine de l'UNIBRA de Kisangani en 1996, la société BONAL (Boissons nationales),
embouteilleur des boissons Pepsi Cola et Mirinda en 1998.

A noter que malgré ces progrès, la société a enregistré aussi beaucoup de cas de difficultés
depuis sa création jusqu'aux années 1933 dont nous allons brosser quelques cas
échantillonnés :

L'interdiction de la vente de la bière aux indigènes par le gouvernement général ;

La qualité de la bière locale était moins bonne par rapport à d'autres bières importées de
l'époque ;
Le prix de la bière était fortement élevé (presque à 5,75 Francs par bière), alors que le
paiement journalier d'un travailleur était à 2 Francs ;

Le manque de pasteurisation de la bière (ce qui signifie qu'elle ne devait être consommée
qu'à Léopoldville et non en dehors de la ville et à l'époque, précisément en 1925, la ville
comptait 27.000 habitants dont 1.500 non africains) ;

La crise économique mondiale qui battait son plein avec tous ces revers.
Mais la situation changera avec l'arrivée du 2è Directeur de la société, Monsieur VISEZ qui
dirigea la brasserie de 1933 à 1956. Il redressa la qualité, la bière fut désormais pasteurisée.

Il y a eu donc possibilité de la vendre à l'intérieur du pays. C'est ce qui a fait qu'on atteignit la
production de 1.500.000 bières par an.

C'est pourquoi, malgré le mouvement de

l'indépendance des années 1960, les dirigeants de la BRALIMA comme un seul homme
entonnèrent leur devise : « Nous sommes au Congo-Léopoldville à Brazzaville, au Rwanda et
au Burundi pour y rester ». Par conséquent, l'outil doit être entretenu, les cadres encouragés,
assuré le recrutement, faire prospérer les marchés et s'investir pour une période meilleure.
Mais avec la zaïrianisation du système économique du pays des années 1970 les choses n'ont
pas été aussi bonnes ainsi pour l'entreprise car il y a eu rétrocession.

III.3. Objectif et mission

La société BRALIMA Sarl a comme objectifs :

- la fabrication et la commercialisation de la bière (toute sa

gamme), des boissons gazeuses et de l'eau de table ;

- la production et la commercialisation des blocs de glace et

par la fermentation de la bière. Elle produit aussi le CO2

(gaz carbonique).

Par son bon fonctionnement et son activité, la BRALIMA contribue à soutenir l'économie et
la politique nationale car pour la fabrication de ses produits, la BRALIMA utilise la main
d'oeuvre locale, paie les impôts lui attribués à l'Etat congolais.

En outre, la BRALIMA par le souci du développement du grand Congo travaille en

partenariat avec des prestataires des services qui évoluent dans le secteur de PME (petites et
moyennes entreprises) qui lui fournissent des services et aussi des matières premières tels que
: entretien de ses machines, la décoration des espaces publicitaires, riz, etc.

La BRALIMA assure un paiement régulier de salaire à ses agents et par cet acte elle coopère
avec l'idée du gouvernement qui dans son plan a établi un plan dans la lutte contre le chômage
et la pauvreté.

III.4. Activités

C'est dans cette rubrique que nous allons vous exposer ce que fait concrètement la
BRALIMA.

Dans la gamme de ses produits de marque et vous allez y remarquer peut-être certaines
précisions en rapport avec les dates de fabricants du produit.

En cela, nous avons souhaité vous présenter l'activité de la BRALIMA en 2 volets : le premier
vous parlera sur son activité principale et le second sera consacré à son impact social que
nous qualifierons ici de l'activité secondaire.

III.4.1. Activité principale

Comme nous l'avons dit ci-haut, la BRALIMA produit une diversité des boissons, telles que :
les bières, les limonades, eau de table. Ajoutons à cela la fabrication et la commercialisation
des blocs de glace. Dans sa gamme des bières elle produit les marques ci-après classées par
leurs années de parution :

- Primus parue en 1926

- Mützig parue en 1989

- Guinness parue en 1993

- Amstel parue en 1995

- Légend parue en 2008

- Turbo King

- et la bière Heineken de la firme Heineken (bière importée).

Dans sa gamme des limonades, nous avons : Coca-Cola, Fanta ananas, Fanta rouge, Fanta
grenadine, Sprite, Schweppes Soda, Schweppes Tonic, Vital'o grenadine, Maltina (2000), eau
de table Vital'o et Fayrouz (Ananas et pommes) en mars 2012.

Les étapes du processus dans la fabrication sont assurées par des machines industrielles
pilotées par des automates programmables industriels dont l'ensemble favorise et assure
l'hygiène et la propreté des produits jusqu'à leurs étapes de finissage. La tâche du processus
de la fabrication jusqu'à la livraison au magasin est appelée : Ligne, et la BRALIMA en
compte 5 ici dans son emplacement actuellement à Kinshasa.

La 3ème fut inaugurée par Monsieur GIZENGA, le premier Ministre honoraire du

gouvernement de la 3e République.

A titre d'information, pour fabriquer la bière, la

BRALIMA utilise des matières premières comme le malt, des céréales, du sucre, du houblon
et de l'eau qui doivent passer en 4 stades afin d'avoir la bière en produit finie. Ces 4 étapes
sont : le brassage, la fermentation, la garde et la filtration.

Le brassage : C'est l'opération qui consiste à concasser et à cuire le malt et les céréales afin
d'obtenir un jus sucré, un peu amère stérile et stable qu'on appelle « Moût ».

La fermentation et la garde : Le moût est refroidi et oxygéné puis fermenté par la levure. La
fermentation est anaérobie et exothermique et conduit à la formation de la bière.

Puis cette bière est dépouillée de levures et gardée en basse température afin d'affirmer son
goUt.

La filtration : consiste à clarifier, donc rendre la bière brillante puis c'est dans cette étape
qu'on injecte le CO2 dans la bière afin de la protéger contre l'oxydation et maintenir le
goUt, d'où l'expression "carbonatation" est souvent utilisée.
III.4.2. Activité secondaire

Par activité secondaire, nous sous-entendons ce que la BRALIMA fait dans le cadre social. La
BRALIMA oeuvrant en son sein avec un grand nombre d'ouvriers et ayant comme
consommateurs de ces produits, la population ; ne reste pas insensible dans ce secteur social.

A part le paiement de salaires à ses travailleurs et le paiement de leurs avantages sociaux, la

BRALIMA est parmi les entreprises premières dans la lutte contre le VIH/Sida.

La BRALIMA a initié un programme d'information et de sensibilisation des employés et des

membres de leur famille contre le Sida et elle met en place des activités de prévention et
assure la prise en charge des personnes séropositives.

La Bralima a mis à la disposition de tous ses employés et de leurs familles un centre médical
moderne leur permettant de bénéficier des soins de qualité.

La présence de la Bralima se fait sentir aussi dans des dons en fournitures scolaires, dans
l'aide aux nécessiteux (dans des orphelinats, hôpitaux, homes de vieillards, enfants de la rue)
par le biais de la Fondation Bralima.

Depuis plusieurs années avec Primus, la BRALIMA sponsorise les plus grandes stars de la
musique congolaise et s'investit dans la promotion des jeunes talents de la musique
congolaise.

III.5. Structure organique de l'Entreprise :

La Bralima est dirigée par un Administrateur Délégué qui constitue l'organe de référence pour
la bonne marche de la société. Dans l'exécution de ses multiples tâches.

Il est assisté et soutenu par différentes directions dont nous survolons les attributions.

III.6.Attribution et tâches

a) L'Administrateur Délégué :

Engage la société envers l'Etat, les entreprises étatiques et privées ainsi que les tierces,
manage la politique de l'entreprise.

Contrôle la réalisation des objectifs.

b) La Direction Financière:

Gère les finances (entrées et sorties des fonds à assurer le paiement. C'est dans cette direction
que se trouve le service de l'informatique où nous avions passé notre stage.
Achats, stockage et distribution des matières premières, pièces de rechange, emballage,
équipement et divers à Kinshasa ainsi vers les sièges.

L'importation de certaines matières premières (houblon, le malt, etc.) et autres, vers l'intérieur
(siège) la livraison.

c) La Direction Marketing et commerciale :

Fait l'étude du marché (proposition) et la promotion des produits finis

S'occupe de la vente et de la distribution commerciale des produits finis (chaîne commerciale,

c'est-à-dire suivi de la commande au changement).

e) La Direction des ressources humaines S'occupe de:

La gestion du personnel et familles (salaires, congés et voyages) engagement, formation,

licenciement, promotion et retraite des actes sociaux des agents : naissance, mariage et décès
d'agents, membres de famille.

Sécurité des patrimoines (matériels et humains).

f) La Direction technique ou (technical management) :

La production de tous les produits Bralima, c'est-à-dire de la fabrication à l'embouteillage

(le stockage et la gestion des magasins).

L'entretien des équipements et maintenance des machines. L'assainissement de

l'environnement de travail.
g) La Coordination médicale:

La santé du personnel et les membres de leur famille. f) La Direction « Executive

Engineering »:
Investissements et de tous les projets techniques (de la conception à la réalisation).

Suivi de l'exécution des travaux neufs liés aux projets, etc.

Toutes ces directions sont nettement classées par des liaisons hiérarchique et fonctionnelle
comme le montre cet organigramme de la Bralima selon la révision du 4 février 2005 que
nous avons reçue de la Direction de Ressources humaines.

[63]

ll

Cost Contr

Sp
rta

An

Na Te c.C M

Ma

Ma g on

vent

sse

Admo

III.8. Analyse de l'existant

Une bonne compréhension de l'environnement informatique aide à déterminer la portée du

projet de conception d'une solution informatique.

En effet, ces informations affectent une grande partie des décisions que nous allons prendre
dans le choix de la solution et de son déploiement. Cette étude consiste à mettre à découvert,
de façon aussi claire que possible, l'analyse du fonctionnement actuel du réseau informatique.

Cette analyse a pour but de recueillir les données qui vont servir pour élaborer le diagnostic
en vue de la recherche et de choix des solutions ou de la solution34.

En d'autres termes, cette analyse de l'existant a pour but la recherche des points forts et des
points faibles du système actuel, c'est-à-dire le système que la Bralima utilise.

III.9. Description des LANs existants

La Bralima Sarl manipule fortement et grandement dans son ensemble les données et les
informations dont elle se sert entre ces différentes directions et départements, pour cela elle
ne dispose pas malheureusement d'un réseau informatique fiable et sUr en son sein comme
nous le remarquerons ici.

III.8.1. Topologie et type de média

Etant une société qui ne veut pas aussi être en déphasage en arrière par rapport aux avancées
technologiques, la Bralima utilise la topologie en étoile avec son réseau Ethernet (IEEE
802.3) avec ses différents noeuds ou concentrateurs.

Et comme média, la Bralima utilise d'une part le cable T568B à paire torsadée catégorie 5 de
la norme IEEE 802.3 10/100 base configurée en câble droit ou en câble croisé selon le besoin
de l'utilisation qui se présente sur terrain.

Et d'autre part à certains endroits, il y a la présence du câblage en fibre optique multimédia

accompagné des "convertisseurs FE 10/100 Tx-100 Base Fx3T" situés à des différents
bâtiments où ils sont placés afin de procéder à la conversion du signal lumineux de la fibre
optique en signal électrique de la paire torsadée et vice-versa. C'est à cause des avantages ci-
après que la présente la fibre optique par rapport à l'UTP :

- une grande bande passante

- une faible alternation

- bonne adaptation de liaison entre répartiteur (liaison

centrale entre plusieurs bâtiments)

- immunité au bruit

- bon débit (100 Mbps)

- pas de mise sur écoute.

1. Câble coaxial35

ANGELINE KONE., Mémoire : « Conception et déploiement d'une architecture réseau

35

sécurisé», 2011.

Le câble coaxial est largement utilisé comme moyen de transmission. Ce type de câble est
constitué de deux conducteurs concentriques : un conducteur central, le coeur, entouré d'un
matériau isolant de forme cylindrique, enveloppé le plus souvent d'une tresse conductrice en
cuivre.

L'ensemble est enrobé d'une gaine isolante en matière plastique. Il est utilisé pour les
transmissions numériques en bande de base sur quelques kilomètres avec une impédance
caractéristique de 50 Ohm. On en fait également usage de ce support pour les transmissions
analogiques en mode large bande avec une impédance caractéristique de 75 Ohm. Deux types
de ce support se distinguent:

> gros coaxial : 10 base 5 ; il peut faire cas d'une épine dorsale de 100 stations maximum par
segment, 5 segments maximum, 500 m maximum et 2,5 m minimum ;

> coaxial fin : 10 base2 ; 230 stations maximum par segment, 5 segments maximum, 185 m
maximum et 50 cm minimum.

Si vous câblez en coaxial fin, il faut vérifier que les cartes possèdent un connecteur BNC ou
prise vampire.

Il faut placer un bouchon à chaque extrémité du réseau (donc deux bouchons) ils sont
indispensables pour des raisons d'indépendance. Le câble coaxial offre de bons débits (de
l'ordre des Gbits/s), une bonne immunité par contre les équipements utilisés sont onéreux et
leur mises en place difficile.

2. Câble paire torsadée36

Celui-ci est un ancien support de transmission utilisé depuis très longtemps pour le
téléphone ; il est encore largement utilisé aujourd'hui.

Ce support est composée de deux conducteurs en cuivre, isolés l'un de l'autre et enroulés de
façon hélicoïdale autour de l'axe de symétrie longitudinale.

Cet enroulement autour de l'axe de symétrie permet de réduire les conséquences des
inductions électromagnétiques parasites provenant de l'environnement dans lequel la paire

torsadée remplit sa fonction de transmission. Couramment ; il est utilisé pour desservir les
usagers du service téléphonique abonnées du service public ou usagers des réseaux privés.
Les signaux transmis par l'intermédiaire des paires torsadées peuvent parcourir plusieurs
dizaines de kilomètres sans amplification ou régénération.

Quand plusieurs paires torsadées sont rassemblées dans un même câble, les signaux
électriques qu'elles transportent interfèrent plus ou moins les uns sur les autres par
rayonnement : phénomène de diaphonie.

Elle est souvent blindée à fin de limiter les interférences, de ce fait on distingue cinq types de
paires torsadées:

o Paire torsadée non blindée (UTP en anglais): Dénomination officielle (U/UTP); elle n'est
pas entourée d'un blindage protecteur. Ce type de câble est souvent utilisé pour le téléphone et
les réseaux informatiques domestiques ;

o Paire torsadée blindée (STP en anglais):Dénomination officielle U/FTP. Chaque paire

torsadée est entourée d'une couche conductrice de blindage, ce qui permet une meilleure
protection contre les interférences. Elle est fréquemment utilisée dans les réseaux token ring ;
o Paire torsadée écrantée (FTP en anglais) officiellement connu sous la dénomination F/UTP.

L'ensemble des paires torsadées ont un blindage commun assuré par une feuille d'aluminium,
elle est placée entre la gaine extérieure et les quatre paires torsadées. On en fait usage pour le
téléphone et les réseaux informatiques ;

o Paire torsadée écrantée et blindée (SFTP en anglais), nouvelle dénomination S/FTP. Ce

câble est doté d'un double écran commun à toutes les paires ;

o Paire torsadée super blindée (SSTP en anglais), nouvellement connu sous la dénomination
S/FTP. C'est un câble STP doté en plus d'un écran commun entre la gaine extérieur et les
quatre paires.

La bande passante d'un câble à paire torsadée dépend essentiellement de la qualité de ses
composants, de la nature des isolants et de la longueur du câble.

L'UTP est normalisé en diverses catégories qui sont ratifiées par les autorités internationales
de normalisation ANSI/TIA/EIA. Ces catégories sont :

Catégorie 1 : câblage abonné, destinée aux communications téléphoniques ; elle n'est plus
d'actualité ;

Catégorie 2 : câblage abonné, offrant une transmission des données à 4 Mbit/s avec une
bande passante de 2Mhz ; utilisé pour les réseaux token ring ;

Catégorie 3 : offre une bande passante de 16Mhz, elle est reconnue sous la norme
ANSI/TIA/EIA-568B. utilisée pour la téléphonie analogique que numérique et aussi pour
les réseaux Fast Ethernet (100Mbps), il est aujourd'hui à l'abandon au bénéfice de la
catégorie 5e;

Catégorie 4 : permettant une bande passante de 20 Mhz, elle fut utilisée dans les réseaux
token ring à 16 Mbps ;

Catégorie 5 : permettant une bande passante de 100Mhz et un débit allant jusqu'à 100
Mbps ;

Catégorie 5e : elle peut permettre un débit allant jusqu'à 1000 Mbps avec une bande
passante de 100 Mhz, apparue dans la norme TIA/EIA-568B ;

Catégorie 6 : permettant une bande passante de 250 Mhz et plus ;

Catégorie 6a : une extension de la catégorie 6 avec une bande passante de 500 Mhz,
permettent le fonctionnement du 10 GBASE-T sur 90mètres ;

Catégorie 7 : elle offre une bande passante de 600 MHz ; Catégorie 7a : elle offre une
bande passante de 1 Ghz, avec un débit allant jusqu'à 10 Gbps.
L'utilisation de la paire torsadée nécessite des connecteurs RJ45. Son câblage universel
(informatique et téléphone), son faible coût et sa large plage d'utilisation lui permet d'être le
support physique le plus utilisé.

3. Fibre optique37

Documentation technique du Département Informatique à la Bralima Sarl

37

L'intégration de la fibre optique dans le système de câblage est liée au fait que celle-ci résout
les problèmes d'environnement grâce à son immunité aux perturbations électromagnétiques
ainsi qu'à l'absence d'émission radioélectrique vers l'environnement extérieur. De par ses
caractéristiques, l'introduction de la fibre optique a été intéressante pour des applications
telles l'éloignement des points d'utilisation, l'interconnexion des sites multibâtiments, la
confidentialité pour des applications sensibles.

La fibre optique est composée d'un cylindre de verre mince : le noyau, qui est entourée d'une
couche concentrique de verre : la gaine optique. Deux types de fibre optique:

+ La fibre multimode : composée d'un coeur de diamètre variant entre 50 et 62.5 microns.
Principalement utilisée dans les réseaux locaux, elle ne s'étend pas sur plus de deux
kilomètres. Sa fenêtre d'émission est centrée sur 850, 1300 nanomètres ; Elle supporte de très
larges bandes passantes, offrant un débit pouvant aller jusqu'à 2.4Gbps ; aussi elle peut
connecter plus de station que ne le permettent les autres câbles. L'inconvénient est qu'il est
onéreux et difficile à installer ;

+ La fibre monomode : elle a un coeur extrêmement fin de diamètre 9 microns. La

transmission des données y est assurée par des lasers optiques émettant des longueurs d'onde
lumineuses de 1300 à 1550 nanomètres et par des amplificateurs optiques situés à intervalles
régulier. Les fibres monomodes les plus récentes sont compatibles avec la technologie de
multiplexage dense en longueur d'ondes DWDM. C'est celle que l'on utilise sur les liaisons à
longue portée car, elles peuvent soutenir les hauts débits sur des distances de 600 à 2000 km
par contre son câblage est onéreux et difficile à mettre en place.

certains cas la nécessité d'un autre support de communication se fait sentir. Ainsi, pouvons
également utiliser une:

+ Liaison radio LAN (R-LAN - WIFI) qui utilise une bande de fréquence de 2.4 Ghz. Ce lien
est utilisé dans des architectures en étoile où les stations sont équipées d'une carte PCMCIA et
le concentrateur d'une antenne (borne sans fil), est connecté au réseau câblé. Ces liaisons sont
régies par la norme IEEE 802.11 et la distance maximale station-borne se situe entre 50 et
200 m. En fonction des spécifications, les débits maximales sont de l'ordre de : 11 Mbits/s,
partagé (802.11b) ; 54 Mbits/s (802.11a).

L'usage de ce type de support est fait à l'intérieur de bâtiment pour assurer une liaison
provisoire (portables, salle de conférence), pour des locaux anciens où il est impossible
d'effectuer un câblage). Les problèmes liés à ce support sont le débit limité qu'il offre et la
sécurité qui n'est pas fiable (contrôle de l'espace de diffusion, etc.). Lorsque ce support est
déployé pour les MAN, on parle de boucle local radio ;

+ Liaison laser : Il permet d'implémenter des liaisons point à point (interconnexion des
réseaux), la distance entre les sites peut varier de 1 à 2 km sans obstacles ; les débits pouvant
aller de 2 à 10 Mbits/s.
Elle n'est pas soumise à des conditions météorologiques par contre le réglage de la direction
des faisceaux reste problématique ;

+ La liaison laser peut être mise place essentiellement dans le cas d'un environnement ouvert,
sans obstacle. Tandis que la liaison radio s'applique à toute sorte de configuration.

Cette fibre optique relie les tronçons : de

l'informatique à : La Direction commerciale, la DRH, la DG/SEM jusqu'au Centre médical,

Magasin logistique, Magasin pleins, Magasins vides, Garage, Mera, la fabrication, la
Direction Technique, EBAC, la sécurité et au Mera où il y a un WLAN qui fait la liaison avec
la Boukin.

III.8.2. Le Service Informatique :

De l'Administrateur délégué en passant par d'autres directions jusqu'à la sécurité (à la sortie

du dépôt). Tous les bureaux de la Bralima sont reliés entre eux par un réseau local qui
contribue grandement au progrès de cette société.

Le service informatique à sa dimension a un impact lié au destin de la société, car son apport
est tellement présent et visible dans l'interchangeabilité des données et de l'information au
sein de la Bralima, dans la conception et l'élaboration des programmes répondant au besoin de
l'entreprise, etc.

III.8.3. Structure interne :

Le Service de l'informatique étant une entité travaillant au sein de la Bralima, il bénéficie en

son sein d'une organisation bien élaborée que nous voulons présenter : A la tête du Service, il
y a un ICT Manager dont le rôle sert à dicter la politique du département en matière de
nouvelles technologies et implémentation de nouveaux progiciels.

Coordonne, centralise, supervise et rapporte auprès de la direction de finance et générale. Le

service de l'informatique contient 4 sous services :

Projet Manager :

+ Aide le chef de Service à l'élaboration du budget ;

+ S'occupe de nouveaux projets de centralisation du groupe HEINEKEN ;

+ conseil ISHA.

Consulting ISHA & Développement : qui travaille dans la maintenance et développement

des progiciels, et de chaîne commerciale (ISHA) qui est un logiciel des données intégrée
(comptabilité, commerciale, production, etc.) ;

Système, communication et exploitation :

 ++ Assure l'exploitation
installation journalière
et suivie des logicielsdedelacommunication
chaîne commerciale (ISHA)
du Groupe ;
HEINEKEN et de
l'environnement générale logiciels (installation, mise à jour, maintenance).

Maintenance & réseau : qui s'occupe de l'étude, déploiement et suivi du réseau

informatique d'une part et de l'entretien et maintenance des équipements informatiques
d'autre part.
III.8.4. Organigramme :

Comme nous l'avons évoqué ci-haut, voici comment se constitue l'organigramme du Service
de l'informatique :

III.10. Matériels et logiciels utilisés

Voici ci-dessous le tableau présentant les matériels utilisés dans différentes Directions,
Départements et Services au sein de la Bralima.

Nbre des Pcs Marques Types HDD Imprimantes Mémoires

Direction RAM
Dir. Générale 18 Dell P IV 40 GO 2 LaserJets 512 MB
1 Deskjet
Dir. RH 13 Dell P IV 80 GO 4 LaserJets 512 MB
1 Deskjet
Dir. Techn 58 Dell P IV 40 GO 4 LaserJets 512 MB
1 Deskjet
DMC 48 Dell P IV 40 GO 10 LaserJets 512 MB

6 Deskjets
Dir. Fin. 63 Dell P IV 80 GO 7 LaserJets 512 MB

3 Deskjets
Dir. Méd 10 Dell P IV 40 GO 3 LaserJets 512 MB
1 Deskjet

III.9.1. Logiciels utilisés

Système d'exploitation : Windows Srvice Pack III ;

Pcs Marques Types HDD Imprimantes MémoiesSystème d'exploitation réseau : Windows

2003 Server ;

RAM

IV 40 GO 2 512 MB

Microsoft Office 2010 ;

Adobe Réader 9.0 ; Antivirus Norton ;

De P I
Microsoft Navision ; Lotusnotes.

III.11. Réseaux informatiques existants

III.12. Critiques de l'existant

La critique de l'existant est un jugement objectif portant sur l'organisation actuelle de

l'entreprise qui vient d'être présenté38.

Comme nous pouvons le constater sur ce schéma décrit ci-haut, nous remarquons que cette
architecture manque d'autres éléments importants et il est mal représenté par rapport à la
réalité de l'entreprise.

Ce réseau doit être plutôt subdivisé en trois secteurs, à savoir : Bralima LAN, la DMZ et
Kimpoko LAN. La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau
constitué principalement des ordinateurs serveurs et isolée par un pare-feu, comprenant des
machines se situant entre un réseau interne (LAN) et un réseau externe. Elle permet à des
machines d'accéder à Internet et/ou de publier les services sur internet sur le contrôle de Pare-
feu externe.

Dans notre cas, nous devons avoir un serveur de fichiers (FTP), un serveur de données, un
serveur d'impression, un serveur d'antivirus, un serveur de DNS, un serveur de messagerie
(lotusnotes) ils assurent tous l'échange des informations entre les employés de l'entreprise, un
serveur de Navision, etc.

Le parc informatique qui est constitué des ordinateurs de bureau et des ordinateurs portables.

Les informations de l'entreprise arrivent par l'antenne VSAT situé sur le bâtiment abritant la
direction financière, elles sont directement envoyées au commutateur qui lui, les envoient à
un serveur en fonction bien entendu de la nature de l'information (données, etc.) à son tour le
serveur concerné route l'information à l'ordinateur au destinataire. Les informations provenant
du réseau externe (internet) sont préalablement analysées par le pare-feu avant d'être acceptée
dans le réseau ou tout simplement rejetée.

III.11.1. Besoins de l'entreprise

L'information est à la base de toutes prises de décisions que ce soit pour mesurer le taux de
satisfaction de la clientèle et surtout d'accroitre la vente afin d'atteindre l'objectif. C'est la
raison pour laquelle la Bralima ne peut que tirer avantage de se doter d'un réseau VPN site-à-
site, moyen efficace dans le traitement de l'information.

III.13. Proposition des solutions retenues

Nous avons opté pour la solution VPN site-à-site qui consiste à mettre en place une liaison
permanente, distante et sécurisée entre deux ou plusieurs sites de la Bralima ; afin de résoudre
au mieux aux différentes préoccupations manifestées par les responsables informatiques de la
Bralima et aussi pour pallier aux différents problèmes relevés au niveau de la critique de
l'existant.

Mettre en avant le nombre d'utilisateurs potentiels du lien VPN, les applications concernées et
le débit maximum à consommer.

Faire un monitoring des flux de données et une gestion des priorités doit s'adapter aux
différents usages et aux remontées des utilisateurs ; la gestion de la bande passante et des
équipements ; mettre en place un mécanisme de surveillance et de détection de connexion
suspecte qui s'établie sur un lien VPN.

Il est néanmoins important de préciser que la solution retenue garantie la confidentialité, la

sécurité et l'intégrité des données sur des canaux privés. Cette solution VPN site-à-site permet
d'obtenir une liaison sécurisée à moindre coUt, si ce n'est la mise en oeuvre des équipements
terminaux.

La solution VPN site-à-site permet de mettre à niveau, à moindre coût, les architectures
multipoints utilisant le réseau commuté limité en bande passante et généralement obsolètes,
employée par la Bralima.

La mise en place d'un VPN permettra de distribuer un accès à Internet et des applications
Web depuis leurs emplacements. Les VPN site-à-site étendent le WAN à moindre coût et en
toute sécurité vers des entités non desservies, telles que des succursales et des partenaires
commerciaux (extranet).

La solution VPN site-à-site de Cisco, totalement intégrée et composée d'un équipement

unique, peut être déployée et configurée en toute simplicité.

Chapitre IV. : CONCEPTION DU NOUVEAU SYSTEME D'INFORMATION

Lors de l'analyse de l'existant, notre souci majeur était celui de déceler les anomalies et de les
corriger; c'est ce que nous venons de faire en concevant un nouveau système d'information.

IV.1. Les différents types de flux

Un réseau intersites est généralement amené à véhiculer des données issues de différentes
applications générant plusieurs types de flux39.

IV.2. Les flux de type conversationnels

Les applications conversationnelles sont les plus courantes dans les mondes Unix et TCP/IP.
Le protocole de niveau session est Telnet. Le principe repose sur l'envoi d'un caractère avec
écho distant. Une session étant établie entre un poste de travail et une machine, tout caractère
frappé au clavier est envoyé à la machine, traité par cette dernière et enfin renvoyé tel quel
pour affichage, et éventuellement avec d'autres attributs. Chaque caractère peut en effet
déclencher une action comme l'affichage d'une fenêtre40.

Figure n°12 : Les flux conversationnels

Le type de flux qui en résulte est par conséquent irrégulier, dépend de l'activité de l'utilisateur
et est composé de trames courtes. Le temps de réponse est donc primordial pour ce type
d'application. Celui-ci se doit d'être le plus régulier possible, le principe étant qu'un utilisateur
s'habitue à un temps de réponse, même mauvais, pourvu qu'il soit régulier.

IV.2. Les flux de type transactionnels

Les applications transactionnelles sont les plus courantes pour les grandes applications ;
historiquement elles sont les premières. La technique consiste à envoyer un écran de saisie
vers un terminal, de réaliser la modification en local, puis de renvoyer les données modifiées
vers le site central. Ces opérations sont contrôlées par un logiciel appelé moniteur
transactionnel41.

Figure n°13 : Les flux transactionnels

Les flux générés sont caractérisés par un trafic descendant (site central vers terminal) plus
important que le trafic montant (les données modifiées à destination du site central). La ligne
est mobilisée peu souvent (une à trois transactions par minute) le transfert d'un écran (2 à 4
Ko) requiert la presque totalité de la bande passante pendant quelques millisecondes42.

IV.3. Les flux de type transferts de fichiers

Ces flux sont caractérisés par des échanges soutenus et des trames longues. Leurs occurrences
peuvent être prévisibles, dans la mesure où la majorité des transferts de fichiers sont souvent
associés à des traitements automatiques qui ont lieu en dehors des heures ouvrées, par
exemple lors de la sauvegarde ou de la synchronisation de bases de données43.
41
J.L. MONTAGNIER, Architectures des réseaux longues distances, Page, Page 297

Idem, Page 297

42

MONTAGNIERJ.L., Pratique des réseaux d'entreprise : du câblage à l'administration, du

43

réseau local aux réseaux télécom, Eyrolles, Paris, 97, Page 298

Flux contenu de données

Machine B
Machine A

Figure n°14 : Les flux de type transferts de fichiers

IV.4. Les flux clients/serveurs

Le concept client/serveur se décline en réalité en plusieurs modèles :

La base de données et la logique applicative sont situées sur le serveur. Le poste client soumet
une requête et attend les résultats, qui, seuls, transitent par le réseau.

Le serveur héberge la base de données, et la logique applicative réside sur le poste client. La
puissance de traitement est donc reportée sur les postes clients. Les échanges sur le réseau
sont aussi fréquents que les manipulations de la base.

La logique applicative et les données sont réparties entre le serveur et le client. La procédure
d'interrogation consiste à extraire tout ou partie de la base de données centrale, puis à opérer
des traitements complexes sur la base de données locale.

Le réseau n'est sollicité que lors des extractions de la base de données. La synchronisation des
bases peut intervenir en dehors des heures ouvrées44.

1. Démarche pour la conception d'un réseau

Le choix d'un réseau dépend souvent d'un compromis coût/performance, les éléments
techniques étant indissociables des éléments économiques, qui constituent des arguments
décisifs pour le choix d'une solution45.
44
Idem, Page 298

J.L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration,

45

du réseau local aux réseaux télécom, Eyrolles, Paris, 1997, Page 300.

2. Identification des applications

Cette phase consiste à synthétiser les résultats de l'analyse de l'existant et à traduire

qualitativement ces données sous forme de flux prévisionnels. Il s'agit ici de caractériser les
flux de chaque application (type, périodicité) et d'identifier les acteurs qui émettent et ceux
qui reçoivent.46

Tableau 1 : Caractériser les flux applicatifs

De < - >Vers
Objet Type de flux Système Périodicité
Application
DG <-> Base de Mise a jour TLN
Client
Base de données Kimpoko référence Unix, Win Consultation TU
/Serveur
a la DG 5P2
 Messagerie Intra-Région Gestion de Transfert de Lotusnotes Echange entre
et Inter- l'annuaire fichiers bureaux toutes
Regions centralisée (Word, les 30 min
Excel, etc.)
IV.1.2. Estimation de la volumétrie

Les flux doivent ensuite être quantifiés, soit à partir de données existantes, soit sur la base
d'hypothèses. Si on part d'un réseau existant, soit pour l'optimiser, soit pour le faire évoluer, le
consultant peut s'appuyer sur des statistiques indiquant les volumes échangés entre deux
sites47.

La volumétrie est calculée différemment selon le type de flux. Souvent, elle doit ~tre
extrapolée à partir d'informations

D V bj T d Sè Pédiié
partielles.

Ce travail doit donc être réalisé indépendamment ase de Mse à jour TLN

pour chaque application que le réseau intersites sera susceptible de

Kimpoko référencevéhiculer. Ces résultats doivent ensuite être consolidés sous forme

nées Client /Seveur Unx, Win Consultation TLJ à DG

de matrice de flux présentant les volumes échangés entre chaque

SP2

site. L'échelle de temps généralement utilisée est le mois ; cette périodicité permet en effet de
lisser les variations.

Intra-Région Gstion de Transfert de

La volumetrie globale pour un site est generalement issue d'une volumétrie unitaire estimée
pour un utilisateur et Régions centralisée Excel, etc les min calculée par la formule48 :

Vj = Vu x U

J.L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration,

47

du réseau local aux réseaux télécom, Eyrolles, Paris, 1997, Page 300.

Vj : est le volume journalier à calculer pour un site ; Vu: est le volume journalier estimé pour
un utilisateur ; U : est le nombre d'utilisateurs pour un site donné.

Tableau 2 : Estimation de la volumétrie

Estimation de la volumétrie Calcul de capacité de

Applications fichier/jour
Messagerie 8 messages par utilisateur et par jour 1600 Ko
Transferts de 60 % des utilisateurs ou 40 % des 6000 Ko
fichiers applications = 100 Ko par jour
Total 7600 Ko
IV.1.3. Volumétrie liée à la messagerie

Les volumes de données générés par une messagerie bureautique peuvent être modélisés sur
la base des hypothèses suivantes :

Environ 8 messages par jour et par utilisateur à destination d'un autre site (20 % des
messages sont à destination d'un site extérieur, 80 % restent locaux) ;

Environ 100 Ko par message. Cette valeur dépend beaucoup de l'utilisation qui est faite de
la messagerie au sein de la société. Plus celle-ci est utilisée, plus les messages ont tendance
à être importants (pièces jointes) ;

La taille de l'annuaire est basée sur 100 octets par utilisateur ; Synchronisation
hebdomadaire (voire toutes les nuits) de l'annuaire : transfert depuis les sites distants vers
le siège (si la gestion est décentralisée), consolidation de l'annuaire, puis transfert depuis le
siège vers les sites distants.
Les messageries bureautiques transportent les messages sous forme de copies de fichiers entre
les serveurs bureautiques. La périodicité des échanges dépend du paramétrage ; elle est
généralement comprise entre 5 et 30 minutes.

Ces transferts de fichiers occupent donc

régulièrement la bande passante des liens.

IV.1.4. Volumétrie liée aux transferts de fichiers

La volumétrie liée aux transferts de fichiers dépend des applications présentes au sein de la
société. Son évaluation repose donc sur une analyse précise de l'existant et/ou des besoins.
Elle peut être modélisée sous la forme 60 % des utilisateurs réalisant l'équivalent d'un
transfert de 6000 Ko par jour à destination d'un site distant.

IV.1.5. Volumétrie liée aux applications transactionnelles site central.

Dans la plupart des cas, on peut estimer qu'un utilisateur échange 100 à 200 écrans de 2 Ko à
4 Ko par jour avec le site central. Cette évaluation est bien sûr éminemment variable selon le
contexte à considérer. La taille des écrans varie, par exemple, en fonction des applications, et
la fréquence des échanges en fonction du type de travail de l'utilisateur (saisie intensive,
consultation, etc.). Il convient donc d'estimer la volumétrie moyenne à partir de tests.

IV.1.6. Volumétrie liée aux applications transactionnelles

Même remarque que pour les applications

transactionnelles, sauf que la taille des pages varie entre 4 Ko et 100 Ko, une page pouvant
contenir des images GIF (fixes ou animées).
En prenant en compte les fichiers GIF, JPG et HTML, la moyenne constatée est de 4 Ko. Si
l'on se réfère aux transferts de fichiers réalisés à partir d'Internet (documents .pdf, .docx ou
txt), la moyenne constatée est de 100 Ko.

IV.1.7. Volumétrie liée à d'autres services

Différents services peuvent emprunter le réseau intersites, notamment en provenance de sites

rattachés dans le cas où les passerelles de communication sont centralisées.

IV.1.8. Dimensionnement des liens49

Le mode de calcul de la bande passante requise pour une application dépend du type de flux
qu'elle génère. Elle est basée sur la volumétrie estimée lors de la phase précédente.

Pour dimensionner une liaison, il convient tout d'abord d'estimer les besoins en termes de
débit instantané. La formule généralement admise pour le calculer est la suivante :

Bp = Vj x Th x Ov x x x (8 x 1,024)

L'explication des paramètres est la suivante :

Bp : est la bande passante instantanée que l'on veut calculer

pour une liaison et qui est exprimée en Kilo bits par secondes (Kbps)

Vj : est le volume journalier estimé en kilo - octets (Ko). Cette

valeur est la somme des flux devant circuler sur le lien considéré et le maximum pris entre les
flux montant et descendant.

Th : est le coefficient permettant de calculer le trafic ramené à

l'heure chargée.

Ov : est l'over Head dO aux protocoles de transport.

Tu : est le taux maximum d'utilisation de la bande passante du

lien.

Le rapport 1/3600 permet de ramener la volumétrie sur une heure en secondes tandis que le
rapport 8 * 1,024 permet de convertir les kilobits (1 octet = 8 bits, 1 Ko = 1024 octets et 1000
bits = 1Kb)50.
Calculer les débits

Pour dimensionner une liaison, il convient d'estimer les besoins en termes de débit instantané.
La formule de calcul généralement admise est la suivante :

49
J. L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration,
du réseau local aux réseaux télécom, Eyrolles, Paris, 1997, Page 302 - 303
50
J. L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration,
du réseau local aux réseaux télécom, Eyrolles, Paris, 1997,, Page 303

La signification des paramètres est la suivante :

Bp : est la bande passante instantanée calculée pour une liaison exprimée en Kbit/s.

Vj : est le volume journalier, estimé en Ko. Cette valeur représente la somme des flux devant
circuler sur le lien considéré (le maximum pris entre les flux montants et descendants).

Th : est un coefficient permettant de calculer le trafic ramené à l'heure chargée. On considère

généralement que le trafic journalier est concentré sur une heure chargée.

Cette hypothèse part du constat que, sur 8 heures de travail, les utilisateurs sont les plus actifs
sur deux périodes de pointe, entre 08 h et 11 h, et entre 15 h et 16 h. Les valeurs généralement
admises sont comprises entre 20 % et 30 % du trafic journalier concentré sur une heure.

Ov est l'overhead généré par les protocoles de transport (TCP, IP, PPP). Ce coefficient est
généralement affecté d'une valeur de 20 %. Il tient compte des en-têtes et des paquets de
service (acquittements, etc.).

Le taux maximal d'utilisation de la bande passante du lien. Cette correction permet de prendre
en compte le fait que l'on utilise rarement 100 % du débit nominal d'un lien.

Ce taux est généralement fixé à 80 % de la bande passante, ce qui donne un

surdimensionnement du lien de l'ordre de 25 %. Pour des liaisons à haut débit, ce taux peut
atteindre 90 %.

Le rapport 1/3600 permet de ramener la volumétrie sur une heure en secondes, tandis que le
rapport 8*1024 permet de convertir les kilo-octets en kilobits (1 octet = 8 bits, 1 Ko = 1024
octets et 1000 bits = 1 kilobit). Si l'on prend la valeur standard pour ces paramètres, la
formule devient :

Bp : 7600 x 30% x 20% X (8x1,024)

Bp : 7600 x 0,3 x 0,2 x 1,25 x 0,00028 x 8,192 Bp : 1,307443 Kbps

Pour ce faire, la bande passante sera de 1,307443 Kbps.

En ce qui concerne le cas de notre réseau, il y aura un certain nombre des routeurs tout en
sachant qu'un réseau VPN site-à-site, qu'il soit en mode infrastructure.

La communication entre les différentes la Direction générale et le site s'effectue par le moyen
de la tunnellisation, configurée dans un réseau en mode infrastructure et au niveau des
stations dans un réseau VPN site-à-site.

Le VPN IPsec, reposant sur le protocole de cryptage IPsec. Dans ce cas, il n'y a pas
séparation logique, mais création d'un tunnel crypté qui garantit la confidentialité des
informations vis-à-vis des autres utilisateurs.

IV.1.9. Choix du réseau de transport

Le choix d'un réseau de transport est souvent le résultat d'une étude de coUt. L'approche peut
être réalisée de plusieurs façons.

Le choix d'un réseau de transport dépend essentiellement du mode de facturation (basé sur la
volumétrie et/ou des temps de connexion), des débits souhaités et aussi de la topologie
retenue51.

Etant donné que les fournisseurs du réseau de transport (Providers) en République

Démocratique du Congo définissent ou proposent au préalable une bande passante eu égard
au nombre des machines à utiliser, nous étions obligés dans le cadre de ce projet d'adopter
cette façon de voir les choses.

Cela étant, nous avons pu visiter l'entreprise Fournisseur d'Accès Internet, qui est la Global
Broadband Solutions ; qui a attiré notre attention par rapport aux renseignements qui nous ont
été fournis lors de notre passage.

IV.1.10. Choix des matériels

Techniquement, la meilleure solution repose sur les routeurs Cisco dans le cas de notre projet,
d'autant plus que ces matériels permettent également le pontage.

L'intérêt du routeur est de segmenter l'espace d'adressage des protocoles routables et de

permettre un contrôle précis des flux grâce à ses fonctionnalités de filtrage et de priorité.

Ces dernières technologies apportent une nette amélioration dans l'efficacité du contrôle de
flux réseaux.

Outre les mécanismes de filtrage, les routeurs Cisco peuvent également se voir dotés de
mécanismes de sécurité permettant l'utilisation d'un réseau public non sûr comme lien de
transit, tout en assurant la confidentialité, l'intégrité des informations et l'authentification de
l'émetteur.
IV.3. Conception d'une solution d'administration

La mise en place d'une administration de réseau doit être menée comme tout projet, avec
rigueur et méthode. Avant toute mise en oeuvre préalable doit répondre à la question : «
l'administration, pour quoi faire ? »52.

MONTAGNIER J. L., Pratique des réseaux d'entreprise : Conception d'une solution

52

d'administration, Eyrolles, Paris, 1997, Page 334

4.3.1. Administration des équipements

L'administration est une tâche qui requiert que le réseau soit fonctionnel et que les différents
services soient implémentés. Avant d'entrer dans le vif du sujet il serait primordial de rappeler
ce qu'il faut administrer dans le réseau : les hommes (administrateurs et utilisateurs), la
configuration des équipements, le dépannage, les stations d'administration, la sécurité. Ces
tâches d'administration peuvent être d'après l'ISO, reparties sur cinq axes :

o La gestion de la configuration réseau (configuration

management) : il convient de gérer la configuration matérielle et logicielle du réseau pour en

optimiser l'utilisation ; de permettre des configurations à distance via des outils adéquats et le
stockage des différentes configurations ; les serveurs ftp sont très souvent sollicités pour cette
tâche ;

o La gestion des anomalies: l'administration a pour objectif d'avoir un réseau opérationnel

sans rupture de service, ce qui définit une certaine qualité de service ; on doit être à mesure de
localiser le plus rapidement possible toute panne ou défaillance pour pouvoir y remédier ;

o La gestion des performances (performance management) : consiste à contrôler à tout

moment le réseau pour observer s'il est en mesure d'écouler le trafic pour lequel il a été conçu.
Le délai, le débit, le taux d'erreur, la disponibilité sont autant des paramètres à prendre en
compte pour l'évaluation ;

o La gestion de la sécurité (security management) : on gère ici les contrôles d'accès au réseau,
la confidentialité des données qui y transitent, leur intégrité et leur authenticité pour pouvoir
les protéger contre tout dysfonctionnement, toute inadvertance ou toute malveillance. Un
enregistrement de l'activité des utilisateurs plus précisément les événements significatifs, les
actions interdites ou sensibles peut s'avérer nécessaire ;

o La gestion de la comptabilité (accounting management) : Evaluation de la consommation

des ressources réseaux en fonction de la durée, du volume à des fins de facturation ou
d'identification des stations saturant la bande passante.

Dans un réseau d'envergure, l'administration est fondamentale. Lors de la surveillance sur le

réseau, les relevés du trafic doivent rester confidentiels afin d'éviter toute atteinte à la vie
privée des utilisateurs.

Nous pouvons utiliser des outils pour l'administration du réseau car il en existe une panoplie
tant du domaine privé que public. Chaque outil ayant un but particulier, il incombe à
l'administrateur de bien savoir ce qu'il veut obtenir.

1. Spécification technique

La mise en place d'un réseau VPN site-à-site doit être structurée et la plus simple possible. La
vue topologique du réseau doit permettre de visualiser la constitution des réseaux et leurs
interconnexions, d'un point de vue géographique par site. L'aspect opérationnel doit être
également abordé, c'est-à-dire savoir quel est le volume des données échangées entre
utilisateurs, etc.

2. Organisation de l'exploitation

La définition et la mise en place d'une structure d'exploitation est intimement liée au contexte
de l'entreprise53.

Le but est ici d'indiquer la manière d'appréhender les impacts techniques d'une organisation et
non pas la définition ellemême.

3. Architecture du réseau

Nous avons jugé bon d'utiliser le réseau centralisé ou en étoile dans lequel tous les sites,
qualifié de distants sont raccordés à un même site54.Pour mettre en place cette architecture
nous allons nous attarder sur deux grandes parties :

1. Les différentes configurations, à savoir : De Bralima (SITE1), de Kimpoko (SITE2), de

l'interface WAN, de l'interface LANs, du NAT. Ici, nous utiliserons le protocole IPSec,
principal protocole permettant d'implémenter et de déployer des VPN.;

MONTAGNIERJ.L., Architectures des réseaux longues distances, 1997, Paris, Page 350
53

Idem, Page 285

54

2. La configuration du serveur DNS plus particulièrement son module « Active Directory »

car c'est celui-ci qui nous permettra de gérer le temps de connexion des utilisateurs dans le
système et à l'internet.

A. Aspects matériels

Pour mener à terme ce projet, plusieurs ressources matérielles seront sollicitées. Outre le
dispositif à prévoir pour la connexion entre les sites et le siège, l'achat de nouveaux
ordinateurs à qui on donnera des rôles précis est à envisager.

Le souci de haute disponibilité peut être satisfait entre autres, par la mise en place d'un réseau
VPN site-à-site dont l'avantage est la sécurité.

Un routeur CISCO System, un ordinateur serveur, Connexion internet, Wireless, link,

Network, Switch, Desktop, Laptop.
B. Aspects logiciels
Nous avons utilisé le système d'exploitation Microsoft Windows 2003 Serveur pour
l'implémentation de la solution. Nous avons privilégié Microsoft Windows 2003 Serveur pour
mettre en place nos serveurs à cause de sa simplicité.

Afin de communiquer sur le réseau la carte doit être configurée. Nous ne verrons ici que le
paramétrage utilisant le protocole TCP/IPv4.

Pour ce qui concerne les systèmes d'exploitation utilisés, Microsoft® Windows 2003 ServerTM
est actuellement installé sur les serveurs de messagerie, de Navision, de base de données et le
Windows SPIII pour les différents postes clients. Concernant le progiciel utilisé; Microsoft
Navision est un outil de base adapté dans un environnement distant.

C. Aspects techniques

Lorsque nous avons pris connaissance de matériels que la Bralima utilise dans son réseau,
cela nous a amené à proposer un certain nombre d'équipements répondant aux aspects
techniques pour que la solution VPN site-à-site puisse être mise en place afin que la fiabilité
et la sécurité des informations échangées soient en permanence au sein de la Bralima.

Etude de faisabilité et configurations ; Etude de faisabilité

Pour avoir une interconnexion des réseaux à faible coût mais pour un fort niveau sécurité,
nous choisirons de travailler avec un VPN site-à-site. Le coût d'un VPN est un avantage pour
différentes raisons :

Pas de liaisons physiques comme les LAN (Local Area Network) ;

Pas de points d'accès comme les Wireless ;

Les différents LAN d'un VPN sont connectés sur Internet mais selon le cas de l'Entreprise
et de sa taille : ADSL, RTC, RNIS ; donc pas de problème de budgétisation ; Passage de
l'Entreprise à une phase de gestion dynamique, collaborative et en temps réel: donc, plus
fiable et constructive.
La réalisation de notre projet de mise en place d'un réseau VPN site-à-site dépend de
plusieurs facteurs, humains, financiers, matériels et logiciels. Gérer ce projet nous amène à
l'organiser avec la méthode appropriée, de sorte que l'ouvrage réalisé par le maître d'oeuvre
réponde aux attentes du maître d'ouvrage et qu'il soit livré dans les conditions de coût et de
délai prévus initialement. Pour ce faire, la gestion de projet a pour objectifs d'assurer la
coordination des acteurs et des tâches dans un souci d'efficacité et de rentabilité.

a) Facteur humain

Le maître d'oeuvre est l'auteur du projet ; il assure la direction des travaux et peut en être
l'architecte.

Une fois son projet validé par le maître d'ouvrage qui auprès de lui tient un rôle de patron, le
maître d'oeuvre est responsable du bon déroulement des travaux et joue un rôle de conseil
dans le choix des entreprises qui vont les réaliser.
Il est responsable du suivi des délais et des budgets selon les modalités définies dans le cahier
des clauses administratives particulières. Dans notre cas, à la Bralima, le Département
Informatique de la Direction financière tient ce rôle pour ce qui est du projet réel de
conception d'un réseau VPN site-àsite. Le maître d'ouvrage reviendra à la Bralima.

Dans le cadre de notre travail, le maître d'oeuvre est assuré par l'entreprise Global Broadband
Solution Congo.

Le maître d'ouvrage est tenu par la Bralima, qui se comporte dans ce cas comme le
commanditaire du projet. Une fois le projet réalisé et livré, il est important de déléguer la
responsabilité du suivi du système mis en place à un personnel spécial du Département
Informatique.

b) Contraintes matérielles

Pour mener à terme ce projet, plusieurs ressources matérielles seront sollicitées. Outre le
dispositif à prévoir pour la connexion entre les sites et le siège, l'achat de nouveaux
ordinateurs à qui l'on donnera des rôles précis.

Le souci de haute disponibilité peut être satisfait entre autres, par la mise en place d'un réseau
VPN site-à-site dont l'avantage est la sécurité.

Dans l'optique de prévenir des pannes liées au niveau des indicateurs de performance, les
serveurs sur lesquels seront implémenter les opérations devront avoir un minimum de
performances considérées comme ligne de base.

Il faudra aussi penser aux interruptions de courant électrique. Pour ce faire, l'achat
d'onduleurs pour les ordinateurs et d'un groupe électrogène serait d'une grande nécessité.

d) Contraintes financières

Les difficultés financières dépendent des besoins matériels, logiciels et humains.

En effet, pour mener au bout un projet de réseau VPN site-à-site entre sites distants, il faut
s'assurer de la possibilité du budget alloué de pouvoir entre autres :

+ avoir une connexion internet stable et constante ;

+ avoir un dispositif adéquat pour l'interconnexion ;

+ mettre en place une liaison permanente, distante et sécurisée ; + avoir des ordinateurs
respectant une certaine ligne de base ;

+ un monitoring des flux et une gestion des priorités doit

s'adapter aux différents usages ;

+ avoir un personnel formé pour assurer la maintenance à la fois matérielle et logicielle de la

solution ;
+ organiser les priorités des différents flux;

+ la gestion de la bande passante et des équipements.

Chapitre V : REALISATION DU PROJET

Ce chapitre nous permet de faire une étude de fonds en comble du projet qui a été soumis à
notre étude. Nous ne pouvons bien évidement pas revenir sur les détails de l'étude complète
d'un projet, mais nous travaillerons sur les parties fondamentales faisant ressortir les points
saillants du travail qui nous a été confié.

L'infrastructure VPN site-à-site est de nos jours très peu répandu pourtant elle apporte une
nouvelle approche dans la méthode de transfert des données, elle revêt ainsi un caractère
novateur pour les entreprises qui ont opté pour un partage optimal et sécurisé de leur
information.

Partant du fait que le nombre de personnes et le budget alloués à ce projet sont très bas, il sera
considéré comme un petit projet malgré le fait que sa durée soit relativement élevée.

Section I : Cadrage du projet I.1. Identification du projet

A. Intitulé du projet :

Mise en place d'un réseau VPN site-à-site est une solution peut être déployée et configurée en
toute simplicité.

B. Définition :

Il est question ici de proposer un moyen sécurisé et sûr d'échange de données entre deux hôtes
différents avec la possibilité de gérer l'accès de connexion à l'internet des utilisateurs.

C. Cahier de charge

Définit comme un acte, le cahier de charge est un document de référence qui permet à un
dirigeant d'entreprise, d'une organisation de préciser les conditions ou les exigences d'un
projet à accomplir ou une tâche à exécuter par un consultant en vue de résoudre un problème
spécifique ou améliorer une situation donnée tout en déterminant les résultats.

D. Motif :

L'engouement qu'engendre l'architecture VPN/IPSec se fait de plus en plus présent dans les
entreprises de la place et surtout chez celles qui ont ce besoin naturel de fidéliser leur clientèle
en leur proposant un service toujours disponible et de meilleures qualités.

Il est nécessaire de noter ici que la solution VPN/IPSec ou plus précisément le protocole
IPSecsera implémenter aux extrémités de chaque réseau sur le routeur servant de passerelle
entre l'intranet et internet.
I.2. Objectifs

Notre projet vise plusieurs buts, mais il existe deux

principaux :

( Permettre à la Bralima Sarl d'échanger de manière fiable et sécurisée les informations entre
ses différents réseaux à partir du serveur sur lequel les utilisateurs s'authentifieront ;

( Permettre aux clients de la Bralima Sarl ou aux clients VPN d'accéder au réseau internet de
façon contrôlée.

La réalisation du projet soumis à notre étude s'échelonne sur une période de 16 semaines (4
mois) à compter du 1 mars 2011. Date de début : 1 Juillet 2012 et date de fin au plus tard : 31
Octobre 2012.

I.3. Les moyens

Ici, il est question de moyens financiers concernant le coût de réalisation de ce projet qui est
reparti entre le coût des appels téléphoniques, les déplacements et le matériel indispensable.

Le présent tableau apporte un résumé des dépenses effectuées en termes de matériels :

Designation Prix unitaire/$ Prix

Quantité total/$
2 Routeur Cisco System 1800 Series 1.200 2.400
2 Switch Fla net de 8 ports 150 300
7 Serveur HP Prolion ML 350 5.400 37.800

Desktop Pentium 4(microprocesseur

2,7Ghz, écran 21" SVGA, HOD 500 Gb,

6 ports USB, DvD-RW+ 40/56X,

modèle boitier ATX, Ram SDRAM DIMMS 4 Gb, 5

Baies pour stockage externe)
6 Desktop P4, marque DELL, (microprocesseur 2,7Ghz, 850 5.100
écran 17", HDD 250 Gb, 6 ports USB, DvD-Rom,
modèle boitierATX, Ram SDRAM 2 G b)
2 Seconde Carte réseau pour le serveur 85 170
2 Firewall Check point 105 210
4 Catalyst 4507 R - E Cisco 175 700
2 AntenneVSATl.2m 4.200 8.400
2 OnduleurAPCSmartUPSVT2OKVA 870 1.470
1 Carton de cable UTP RJ4S 150 150
2 Hub 24 Ports pour connexion LAN 175 300
Total hors taxes (THT) 57.000
TVA(16%) 9.120
Total toute taxe comprise (TTC) 66.120
Qté Designation Caractéristique Prix Prix
unitaire/$ total/$
1 Système d'exploitation Windows 2003 Serveur Edition 1.150 1.150
Entreprise
pour le serveur Cisco
1 Système d'exploitation Windows XP SP3 Edition 450 450
familiale
pour le poste de travail
2 Norton Antivirus 2012 pour work
station. CPU: Pentium IV ou
plus, Espace disque : 64 MB,
Antivirus Espace mémoire : 128 MB, 350 700
compatible Windows

XP/NT/Vista/Seven
1 Provider Global Broad Band Solution 1200
Total hors taxes (THT) 3.500
TVA (16 %) 560
Total toute taxe comprise (TTC) 4.060

Le présent tableau apporte un résumé des dépenses effectuees pour la formation des agents de
la Bralima Sarl.

Prix par erveu 50 Total/$

Utilisateurs oitation Windo
rise

utilisateurs
ploitation Cadres ti 4 45

1.250
e travai fam
6 1.250
Subalternes
orton Anivirus 2012 Total général 2.500
Coût global du projet
IV o plus, Esp

D'une façon synthétique, nous présentons toutes les Windows

sommes que les autorités de la Bralima doivent mobiliser pour XP/NT/Vista/eve

ovider Global BroadBd Solution 1200

l'acquisition des matériels, logiciels et pour la formation des utilisateurs :

[98]
Coût total matériels : 66.120 $ USD

1. Coût total logiciels : 4.060 $ USD

2. Coût total formation : 2.500 $ USD

3. Total = 66.120 $ USD + 4.060 $ USD + 2.500 $ USD

72.680 $ USD

4. Imprévu 10 % du montant total = 7.268 $ USD

5. Total général = 79.948 $ USD

Le montant total en lettre : Septante neuf mille neuf cent quarante-huit dollars
américains.

Rappelons que ce coût est dérisoire, car il ne prend pas en compte le coût de l'élaboration d'un
cahier de charges de façon complète et professionnelle ainsi que celui du travail technique
effectué. En effet, il s'agit ici d'un projet qui s'inscrit dans le cadre de la rédaction d'un
mémoire académique de fin d'étude.

+ Les échéances intermédiaires

Pour mesurer l'évolution du projet, nous ferons des comptes rendus hebdomadaires.

I.3. La technique

Pour réaliser ce projet, nous nous sommes appuyés non seulement sur les expériences
acquises au cours de notre formation, de quelques personnes ressources, sur internet, mais
aussi sur les forums ou la plupart de nos difficultés ont été étayés.

I.5. Management du projet

Maîtrise d'ouvrage : BRALIMA SARL

Maîtrise d'oeuvre : Global Broadband Solution

Experts : Monsieur Robert MATENDO

I.6. Planification

Le diagramme de GRANTT permet de planifier le projet et de rendre plus simple le suivi de

son avancement. Cette méthode visuelle est efficace lorsqu'il s'agit de lister une vingtaine de
tâches.

Nous avons utilisé GANTT pour notre planification, mais bien avant nous avons nommé les
différentes tâches, leurs durées ainsi que leurs précédences. Le tableau ci-après illustre les
dites tâches, il est suivi du tableau de niveaux ainsi que de celui de la répartition des
ressources.

Désignations Précédences Durées /Jrs

Tâches
A Prise de contact - 1
B Analyse de l'existant A 12
C Critique de l'existant B 7
D Proposition de solution B,C 7
E Etude de faisabilité D 7
F Elaboration du cahier de charge E,F 7
G Appel d'offre G 10
H Dépouillement des offres H 2
I Acquisition des matériels F,G 35
J Mise en place de la solution proposée I,J 11
K Mise au point et test K 3
L Lancement du système L 1
M Formation du personnel M 25
Ce planning donne une décomposition purement statique, il ne tient pas compte du temps et
par conséquent ne s'attache pas à l'ordonnancement des activités. Il permet une présentation
analytique, le projet est décomposé jusqu'à obtention des activités bien définies et faciles à
gérer.

I.7.Planning prévisionnel de la réalisation du projet

Il est important à tout ingénieur dans le domaine de réseau, de planifier les différentes tâches
qui doivent être réalisées, afin de déterminer la date à laquelle le projet doit se réaliser, son
délai d'exécution et par conséquent en connaitre le coUt55.

55 Prof. MBIKAYIJeampy, Cours Inédit Modèle Conceptuel de Projet, L2 informatique

ISS/KIN, 2011-2012

I.7.1. Ordonnancement

Pour mener à bon port notre travail, nous avons opté pour l'ordonnancement qui est un outil
de la recherche opérationnelle nous permettant dans ce cas d'élaborer le planning, de
déterminer l'intériorité des tâches, de définir la durée de chaque tâche56.

A ce niveau, l'objectif est la minimisation de la durée de réalisation du projet, ceci aurait un

avantage significatif en gain de temps et du coût. Pour ce faire, nous nous sommes servis de
la méthode GANTT.

P.O. Mvibudulu A., Méthodes de conduite de projet, ISC- Kinshasa, année 2011-2012
56

I.7.2. Calendrier de réalisation du projet

Désignation Date fin

Date début
Lundi 02/07/2012 Prise de contact Lundi 02/07/2012
Mardi 03/07/2012 Analyse de l'existant Mardi 16/07/2012
Lundi 17/07/2012 Critique de l'existant Mardi 24/07/2012
Mardi 25/07/2012 Proposition de solution Mercredi

01/08/2012
Jeudi02/08/2012 Etude de faisabilité Jeudi 09/08/2012
Vendredi10/08/2012 Elaboration du cahier de charge Mercredi

17/08/2012
Lundi20/08/2012 Appel d'offre Mercredi

29/08/2012
Jeudi30/08/2012 Dépouillement Vendredi

31/08/2012
Lundi03/09/2012 Acquisition des matériels Mercredi

05/09/2012
Lundi 08/10/2012 Mise en place de solution proposée Jeudi 18/10/2012
Vendredi19/10/2012 Mise au point et test Lundi 22/10/2012
Mardi23/10/2012 Lancement du système Mercredi
 23/10/2012
Jeudi24/10/2012 Formation du personnel Jeudi 28/11/2012

[102]

I.7.3. Le diagramme de GANTT

ée

Début Termin

Section II : Conduite du projet II.1. Problématique

Lorsque nous appelons, envoyons un courrier traditionnel ou un fax d'un site vers un autre, les
communications téléphoniques, les services de colis postaux ou de télécopie ne sont pas
sécurisés. Pourquoi ne pas mettre sur pied un système qui rendra plus fiable et sécurisé le
transfert de ces informations entre utilisateurs ou avec nos correspondants?

Dès notre arrivée à la Bralima Sarl, nous avons constaté que le trafic inter-réseau était non
sécurisé, toutes les informations du réseau de l'entreprise circulaient en claires sur internet et
ont certainement pu être interceptées à un moment ou à un autre par des personnes non
connues.

La première solution pour répondre à ce besoin de communication sécurisée consiste à relier

les réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne
peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est
parfois nécessaire d'utiliser Internet comme support de transmission.

Un bon compromis consiste à utiliser Internet comme support de transmission à partir d'un
protocole "d'encapsulation" (en anglais tunneling, d'où la prononciation impropre parfois du
terme "tunnellisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée.
On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private
Network) pour désigner le réseau ainsi artificiellement créé.

Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison
non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du
VPN peuvent "voir" les données.

Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coUt, si ce n'est la
mise en oeuvre des équipements terminaux. En contrepartie, il ne permet pas d'assurer une
qualité de service comparable à une ligne louée dans la mesure où le réseau physique est
public et donc non garanti.

II.2. Mise en place de l'architecture VPN

Comme mentionné plus haut, Global BroadBand Solution est une entreprise qui fournit la
connexion et bien d'autres services, son but est d'offrir continuellement des services pour
satisfaire sa clientèle en permettant à ses employés de communiquer et de partager les
informations, mais aussi de satisfaire son environnement externe en proposant des
technologies toujours innovatrices pour faciliter le développement et la croissance des
entreprises. Notre principal boulot était dans un premier temps de mettre en place
l'architecture VPN site-à-site pour permettre aux utilisateurs de l'entreprise d'échanger de
façon sécurisée leurs données, mais aussi à travers cette architecture de permettre aux futurs
utilisateurs du réseau internet d'avoir accès à internet et de manière contrôlée.

Nous devons mentionner ici que cette architecture est nouvellement déployer à la Bralima ;
toutefois il est primordial pour nous d'étudier l'existant autrement dit la topologie du réseau en
place et la disposition des différents équipements présents dans le réseau de l'entreprise pour
mieux appréhender et anticiper les difficultés que nous pourrons rencontrer lors de la mise en
place de la solution. L'implémentation du protocole IPSec se fera au niveau du routeur
CISCO.

II.3.Architecture à mettre en place

Ce schéma très simplifié nous présente la manière

dont les utilisateurs pourront avoir accès aux ressources dont ils ont besoin. Les utilisateurs
devront au préalable s'authentifier sur le serveur DNS avant d'avoir accès aux ressources
situées derrière celui-ci.

Comme nous pouvons le constater sur ce schéma, le réseau de la Bralima est subdivisé en
deux sites : La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué
principalement d'un serveur, des ordinateurs (Bralima LAN) et un réseau externe (Kimpoko
LAN).

Le parc informatique qui est constitué des ordinateurs de bureau et des ordinateurs portables.
Les informations de l'entreprise arrivent directement par l'internet ce que nous voyons sur le
schéma, elles sont directement envoyées au commutateur qui lui, les envoie à un serveur de
données. La DMZ en fonction bien entendu de la nature de l'information (données, fichiers,
etc.) à son tour le serveur concerné, route l'information à l'ordinateur destinataire.

Les informations provenant du réseau externe (internet) sont préalablement analysées par le
firewall avant d'être acceptée dans le réseau ou tout simplement rejetée.

II.4. Installation et configuration

Dans la suite de notre travail, nous considérerons que les configurations de cette
interconnexion sont faites et nous nous limiterons aux limites de l'étude de notre thème. Nous
pourrons simplement montrer en pratique la procédure d'une connexion cliente à un réseau
VPN site-à-site.

Pour parvenir à mettre en place la solution proposée, il y a de préalables qu'il faut remplir ou
l'on disposer d'un certain nombre de composantes, à savoir :

Des connexions Internet hautes vitesses (au sein de

l'entreprise) ;

Des routeurs identiques offrant le support VPN. De préférence le routeur de marque Cisco
 1800 Séries ;
La solution VPN site-à-site de Cisco, est totalement intégrée et composée d'un équipement
unique, peut être déployée et configurée en toute simplicité.

II.4.1. Configurations

Site-to-Site IPsec VPN

Qu'il s'agisse de sécuriser une connexion ou encore de créer une liaison entre deux sites au
travers d'un réseau non sécurisé tel qu'Internet, le passage par un tunnel VPN se révèle être
une arme redoutable. Chaque site étant une image d'un petit réseau disposant d'un accès à
internet au travers d'un NAT overload...Voilà comment se présente la topologie :

Configuration de base de SITE1 Configuration de l'interface WAN > interface Serial0/0

> ip address 80.1.0.2 255.255.255.252

> ip nat outside

> clock rate 2000000

Configuration de l'interface LAN

> interface Loopback0

> ip address 192.168.0.0 255.255.255.0 > ip nat inside

Configuration du NAT

access-list 100 deny ip 192.168.0.0 0.0.0.0 192.168.0.64

0.0.0.192

access-list 100 permit ip 192.168.0.0 0.0.0.255 any

ip nat inside source list 100 interface Serial0/0 overload

Note: l'access-list est déjà préparée pour la création du VPN, c'està-dire qu'on exclut les
communications entre les deux LANs de la règle NAT.

Configuration de la route par défaut

ip route 0.0.0.0 0.0.0.0 80.1.0.1

Configuration de base de SITE2 Configuration de l'interface WAN o interface Serial0/0

o ip address 80.2.0.2 255.255.255.252 o ip nat outside

o clock rate 2000000

Configuration de l'interface LAN o interface Loopback0

o ip address 172.16.0.1 255.255.255.192 o ip nat inside

Configuration du NAT

" access-list 100 deny ip 192.168.0.64 0.0.0.192 192.168.0.0

0.0.0.255

" access-list 100 permit ip 192.168.0.64 0.0.0.192 any

" ip nat inside source list 100 interface Serial0/0 overload

Note: l'access-list est déjà préparée pour la création du VPN, c'està-dire qu'on exclut les
communications entre les deux LANs de la règle NAT.

o Configuration de la route par défaut o ip route 0.0.0.0 0.0.0.0 80.2.0.1

o Principe de mise en place du tunnel VPN

La mise en place du tunnel VPN peut paraître complexe, mais il s'agit plutôt d'une tâche qui
demande beaucoup de rigueur.

En effet, il va falloir s'assurer qu'aux deux bouts du tunnel la configuration des différents
paramètres soit identique.Voici le détail de la configuration sur SITE1:

Activation de ISAKMP (le protocole qui gère l'échange des clés,

etc.) SITE1 (config)# crypto isakmp enable

Création d'une stratégie de négociation des clés et d'établissement de la liaison VPN :

SITE1(config)# crypto isakmp policy 10

 SITE1(config-isakmp)# encryption aes

SITE1(config-isakmp)# authentication pre-share SITE1(config-isakmp)# hash sha

On crée donc ici une stratégie avec un numéro de séquence 10. Ce numéro indique la priorité
de l'utilisation de la stratégie. Plus petit est ce nombre plus la priorité est grande. On défini
ensuite les paramètres:

- Encryptage AES

- Authentification par clé pré-partagées

- Algorithme de hachage SHA (valeur par défaut)

Méthode de distribution des clés partagées DH-2 (Algorithme de clé asymétriques Diffie-
Hellman 1024bits)

Durée de vie 86400 secondes (valeur par défaut)

On définit ensuite si on identifie le routeur par son adresse ou par son hostname (ici l'adresse),
l'identification par hostname peut être utile si on fonctionne avec une adresse publique
dynamique, ce qui permet d'éviter trop de modifications de configuration en cas de
changement d'adresse.

SITE1 (config)# crypto isakmp identity address

On crée ensuite la clé pré-partagée, ici « CiscoLab » qu'on associe avec l'adresse de l'autre
bout du tunnel donc 80.2.0.2

SITE1 (config) # crypto isakmp key 0 CiscoLab address 80.2.0.2

Le 0 indique qu'on définit la clé en texte clair, en opposition avec une clé déjà cryptée si on la
copie d'un « show run » d'un routeur ou l'encryptage des mots de passe sont activé.

On a maintenant terminé la configuration de la partie qui gère la négociation des clés etc. La
deuxième partie consiste à définir comment les données seront cryptées. Tout d'abord on crée
la méthode de cryptage (transform-set) que l'on nomme VPNSET.

SITE1 (config)# crypto ipsec transform-set VPNSET esp-aes esp-

sha-hmac.

Esp-aes est la méthode de cryptage, esp-sha-hmac est la méthode d'authentification. On

définit ensuite la durée de vie de la clé de cryptage :
SITE1 (config) # crypto ipsec security-association lifetime kilobytes 4096

La durée de vie est ici limitée par un volume en kilobytes (4096), on peut également définir
une durée de vie en secondes (ex:crypto ipsec security-association lifetime seconds 3600).

Il faut maintenant créer une accès-list qui servira à identifier le traffic à traiter par le tunnel
VPN. Pour SITE1, ce sera le traffic originaire de 192.168.0.0/24 à destination de
172.16.0.0/24. (Ce sera l'inverse pour SITE2). On crée donc une access-list étendue:

( SITE1(config)# ip access-list extended VPN

" SITE1 (config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 192.168.0.64 0.0.0.192

Reste maintenant à créer une Crypto-map dont le but est de rassembler les différents éléments
configurés pour pouvoir les appliquer enfin à une interface.

" SITE1 (config)# crypto map VPNMAP 10 ipsec-isakmp ( SITE1(config-crypto-map)#

match address VPN

( SITE1(config-crypto-map)# set peer 80.2.0.2

( SITE1(config-crypto-map)# set transform-set VPNSET

On a donc créé ici une Crypto-map nommée VPNMAP dans laquelle on intègre une séquence
10 (une seule crypto-map par interface, mais on peut ajouter plusieurs maps en leur indiquant
des numéros de séquence différents), avec les paramètres suivants:

Activée pour le trafic correspondant à l'access-list VPN Destination du tunnel 80.2.0.2

Cryptage selon le transform-set VPNSET

La dernière étape consiste à appliquer cette cryptomap à l'interface WAN de SITE1.

( SITE1 (config)# interface serial 0/0

( SITE1(config-if)# crypto map VPNMAP

( SITE est prêt. Reste à faire l'équivalent sur SITE2. " Configuration sur SITE2:

Parmi les points important, SITE2 soit avoir une stratégie isakmp identique à celle de SITE1
et l'access-list qui identifie le trafic à traiter par le tunnel VPN est inversée d'un point de vue
de la source et de la destination.

( SITE2 (config)# crypto isakmp enable

( SITE2(config)# crypto isakmp policy 10

( SITE2 (config-isakmp)# encryption aes

( SITE2(config-isakmp)# authentication pre-share ( SITE2 (config-isakmp)# hash sha

( SITE2 (config-isakmp)# group 2

( SITE2 (config-isakmp)# lifetime 86400

( SITE2(config)# crypto isakmp identity address

( SITE2(config)# crypto isakmp key 0 CiscoLab address 80.1.0.2

( SITE2 (config)# crypto ipsec transform-set VPNSET esp-aes espsha-hmac

( SITE2(config)# crypto ipsec security-association lifetime

kilobytes 4096

" SITE2(config)# ip access-list extended VPN

" SITE2 (config-ext-nacl)# permit ip 172.16.0.0.255 192.168.0.0 0.0.0.255

" SITE2 (config)# crypto map VPNMAP 10 ipsec-isakmp

" SITE2(config-crypto-map)# match address VPN

" SITE2(config-crypto-map)# set peer 80.1.0.2

" SITE2(config-crypto-map)# set transform-set VPNSET

" SITE2 (config)# interface serial 0/0

" SITE2(config-if)# crypto map VPNMAP

Vérification du tunnel VPN, une fois le tunnel configuré, deux commandes permettent de
vérifier si le tunnel

fonctionne:

# show crypto isakmp sa # show crypto ipsec sa

Toutefois, pour que l'on puisse vérifier le

fonctionnement il faut que le VPN soit établi, et pour cela il faut que du trafic soit envoyé au
travers de ce tunnel. Ici le test est effectué à l'aide d'un « ping » étendu:

· SITE1#ping
· Protocol [ip]:

· Target IP address: 172.16.0.1

· Repeat count [5]:

· Datagram size [100]:

· Timeout in seconds [2]:

· Extended commands [n]: y

Source address or interface: 192.168.0.1

· Type of service [0]:

· Validate reply data? [no]:

· Data pattern [0xABCD]:

Sending 5, 100-byte ICMP Echos to 192.168.0.64, timeout is 2 seconds:

Packet sent with a source address of 192.168.0.64!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 144/156/176 ms

SITE1#

On peut maintenant vérifier si le tunnel à bien

fonctionné :

o SITE1#sh crypto isakmp sa

o IPv4 Crypto ISAKMP SA

o dst src state conn-id slot status

o 80.2.0.2 80.1.0.2 QM_IDLE 1001 0 ACT

o IPv6 Crypto ISAKMP SA

o SITE1#

o SITE1#sh crypto ipsec sa

o interface: Serial0/0

o Crypto map tag: VPNMAP, local addr 80.1.0.2 o protected vrf: (none)

o local ident (addr/mask/prot/port):

(192.168.0.64/255.255.255.0/0/0)

o remote ident (addr/mask/prot/port):

(192.168.0.0/255.255.255.0/0/0)

o current_peer 80.2.0.2 port 500

o PERMIT, flags={origin_is_acl,}

o #pkts encaps: 19, #pkts encrypt: 19, #pkts digest: 19 o #pkts decaps: 19, #pkts decrypt: 19,
#pkts verify: 19 o #pkts compressed: 0, #pkts decompressed: 0

o #pkts not compressed: 0, #pkts compr. failed: 0

o #pkts not decompressed: 0, #pkts decompress failed: 0 o #send errors 1, #recv errors 0

o local crypto endpt.: 80.1.0.2, remote crypto endpt.: 80.2.0.2 o path mtu 1500, ip mtu 1500,
ip mtu idb Serial0/0

o current outbound spi: 0xE912A86D(3910314093)

Les deux lignes en bleu indiquent les paquets reçus et envoyés par le tunnel VPN. Pour
conclure voici une capture réalisée par WireShark sur la liaison entre SITE1 et VPN lors de
l'envoi de requêtes ICP de 192.168.0.0 à 192.168.0.64:
Il est ici impossible de voir qu'il s'agit de paquets ICMP, la seule chose visible c'est qu'il y a
un trafic crypté d'un bout à l'autre du tunnel.

CONCLUSION GENERALE
Le secteur des technologies de l'information étant en constante mutation, le présent travail fait
état des résultats obtenus lors de la mise place d'un réseau VPN site-à-site à la Bralima. Nous
avons en effet grâce à cette nouvelle technologie permis aux employés de partager de façon
sécurisée leurs données via le protocole IPSec qui est le principal outils permettant
d'implémenter les VPN, ce partage était possible en interne pour les utilisateurs du réseau
local de l'entreprise, mais aussi en externe pour les utilisateurs dit « distants » situés en dehors
du réseau local.

En effet, nous avons présenté un travail divisé en deux parties, à savoir l'approche théorique
qui était subdivisé deux chapitres dont le premier a porté sur les généralités sur les réseaux
informatiques ; le second a porté sur le VPN (Virtual Private Network) où nous avons brossé
de façon claire les notions, le fonctionnement ainsi que les différents protocoles utilisés pour
la mise en oeuvre de réseau VPN et la deuxième partie intitulée conception du nouveau
système d'information qui était aussi subdivisé en trois chapitres dont le premier a porté sur
l'étude préalable dans laquelle nous avons présenté l'entreprise et nous avons fait l'analyse de
l'existant, critique de l'existant et proposé une solution VPN site-à-site qui consiste à mettre
en place une liaison permanente, distante et sécurisée entre deux ou plusieurs sites de la
Bralima ; le second a porté sur conception du nouveau système d'information et enfin le
troisième, la réalisation du projet.

En effet, la mise en place de VPN site-à-site permet aux réseaux privés de s'étendre et de se
relier entre eux au travers d'internet. Cette solution mise en place est une politique de
réduction des coUts liés à l'infrastructure réseau des entreprises. Il en ressort que la
technologie VPN basé sur le protocole IPSec est l'un des facteurs clés de succès qui évolue et
ne doit pas aller en marge des infrastructures réseaux sécurisés et du système d'information
qui progressent de façon exponentielle.

En tout état de cause, dans le cadre d'un accès restreint et plus sécurisé à l'internet, nous
pourrons nous retourner sur le VPN ou le cryptage du réseau.
En définitive, comme tout travail scientifique, nous n'avons pas la prétention de réaliser un
travail sans critique et suggestion de la part de tout lecteur afin de le rendre plus meilleur.

LISTE DES ABREVIATIONS

ATM : Asynchronous Transfer Mode.

ADSL : Asymmetrical bit rate Digital Subscriber Line.

AES : Advanced Encryption Standard

ANSI : American National Standard Institute.

API : Application Programming Interface

ARP : Adress Resolution Protocol

ASP : Application Service Provider

ANSI : American National Standard Institute

ADSL : Asymmetrical bit rate Digital Subscriber Line

AES : Application Environment Service

BGP : Border Gateway Protocol

BOUKIN : Bouteillerie de Kinshasa

BRALIMA : Brasserie Limonaderies et Malterie CIB : Compagnie industrielle de Boissons

CDMA : Code Division Multiple Access

CSMA/CD : Carrier Sense Multiple Access / Collision Detection.

CBR : Constraint-Based Routing

DHCP : Dynamic Host Configuration Protocol

DNS : Domain Name System/Service

DMZ : DeMilitarized Zone

DES : Data Encryption Standard

DWDM : Dance Wavelength Data Multiplexing

EAP : Extensible Authentication Protocol

EDI : Electronic Data Interchange.

EIA : Electrical Industries Association

ERP : Enterprise Resource Planning

ETCD : Equipement Terminal de Circuit de Données

FAT : File Allocation Table

FDDI : Fiber Distributed Data Interface.

FDMA : Frequency Division Multiple Access

FAI : Fournisseur d'Accès Internet

FTP : File Transfer Protocol

GIF : Graphics Interchange Format

GBS : Global BroadBand Solution

JPG : Joint Photographic Group

HTTP : Hyper Text Transfer Protocol

HTML : Hyper Text Markup Language

IP : Internet Protocol

IKE : Internet Key Exchange

ISO : International Standards Organisation.

ISP : Internet Service Provider

IETF : Internet Engineering Task Force

IEEE : Institute of Electrical and Electronics Engineers

ICMP : Internet Control Message Protocol

IPX : Inter-network Protocol eXchange

IPSEC : Internet Protocol Security

 ISAKMP :Internet Security Association and Key Management Protocol

LAN : Local Area Network ou réseau local)

L2F : Layer Two Forwarding

L2TP : Layer Two Tunneling Protocol

LSP : Label-Switched Path

LDP : Label Distribution Protocol

LIB : Label Information Base

MAC : Message Authentification Code

MAU : Multistation Access Unit

NT : New Technology

NAT : Network Adress Traduction

NAS : Network Attached Storage

NIC : Network Information Center

NNTP : Network News Transfer Protocol

NTIC : Nouvelles Technologies de l'Information et de la Communication

OSI : Open Systems Interconnection

PPP : Point To Point Protocol

PoE : Power over Ethernet

PKI : Public Key Infrastructure

PPTP : Point-to-Point Protocol

PDU : Protocol Data Unit

PING : Packet INternet Groper.

PKI : Public Key Infrastructure

PPTP : Point To Point Tunneling Protocol

PME : Petites et Moyennes Entreprises

PSTN : Public Switched Telephone Network

QoS : Quality Of Service

RA : Registration Authority

RFC : Request For Comments

RSA : Rivest Shamir Adleman

RIP : Routing Information Protocol

RNIS : Réseau Numérique à Intégration de Services

RTC : Real Time Clock

SHA : Secure Hash Algorithm

SSL : Secure Socket Layer

STP : Shielded Twisted Pair

SFTP : Simple File Transfer Protocol

SA : Security Association

SSL : Secure Socket Layer

SPX : Sequence Packet exchange

SPKI : Simple Public Key Infrastructure

SLIP : Serial Line Internet Protocol

SNMP : Simple Network Management Protocol.

SARL : Société par Actions à la Responsabilité Limité

TCP : Transport Layer Protocol

TLS : Transport Layer Security

TIA : Thanks In Advance

TCP/IP : Transmission Control Protocol/Internet Protocol

UDP : User Datagram Protocol

UTP : Unshielded Twisted Pair

VPN : Virtual Private Network

VSAT : Very Small Aperture Terminal

WAN : Wide Area Network ou réseau Etendu

WIFI : Wireless Fidelity

WWW : World Wide Web

BIBLIOGRAPHIE Les Ouvrages

1. Bertrand Petit, Op. Cit. ;

2. ERNYPierre, les Réseaux d'entreprises, Edition Ellipse, 1998 ;

3. Dromard Danièle et SERET Dominique, Architectures des réseaux, Pearson, Paris ;

4. Ghernaouti-HélieS., Stratégie et protection des systèmes d'information, Edition DUNOD,

Paris, 2011 ;

5. Ghernaouti-HélieS., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011 ;

6. Ghernaouti-HélieS., Guide de cyber sécurité pour les pays en développement,

EditionDUNOD, 2008 ;

7. LORENZ Pascal, Architectures des réseaux et

télécommunications, Ellipses, Technosup, Paris, 2001 ;

8. PujolleGuy, Les Réseaux, 3e Edition mise à jour par Eyrolles, Paris, 2000 ;

9. TanenbaumAndrew, Les réseaux interdiction, 3ème Edition, 1998 ;

10. MORVANPierre, LAROUSSE Références, Dictionnaire de l'informatique, 1996 ;

11. MONTAGNIERJ.L., Pratique des réseaux d'entreprise : du câblage à l'administration, du

réseau local aux réseaux télécom, Eyrolles, Paris, 1997 ;

12. MONTAGNIERJ.L., Architectures des réseaux longues

distances, 1997 ;

13. MONTAGNIERJ. L., Pratique des réseaux d'entreprise : Conception d'une solution
d'administration, Eyrolles, Paris, 1997 ;

14. PHILIPPJacques, Systèmes et réseaux, Réseaux Intranet et Internet, Edition Ellipses,

Paris.

SITEWEBS CONSULTES

1. http://fr.wikidedia.org/wiki/Réseau_privé_virtuel;

2. http://www.ietf.org/html.charters/ipsec;

3. http://www.commentcamarche.net;

4. http://www.urec.cnrs.fr/ipv6;

5. http://www.cisco.com/go/evpn;

6. http://www.cisco.com/go/pix;

MEMOIRES CONSULTES

1. ANGELINE KONE, Mémoire : << Conception et déploiement d'une architecture réseau

sécurisé», 2010 - 2011 ;

2. Joseph DIMANDJA, Mémoire, Conception et implémentation d'un intranet, ULK, 2006-

2007;

3. MBOYO BOKEKE, Mémoire : << Projet de conception d'un intranet VPN au sein d'une
entreprise publique», ULK, L2, 2007 - 2008.

NOTES DE COURS

1. IVINZA LEPAPA A.C., Télématique II, L2 Informatique de gestion, ISC-KIN, 2011-

2012 ;

2. MVIBUDULU KALUYIT A., Méthodes d'Analyse Informatique, ISC- Kinshasa, année

2004-2005 ;

3. MVIBUDULU KALUYIT A., Méthodes de conduite de projet, ISC- Kinshasa, année

2011-2012 ;

4. MBIKAYI Jeampy, Modèle Conceptuel de Projet, L2

informatique ISS/KIN, 2010-2011.

AUTRES DOCUMENTS

> Documentation technique du Département Informatique à la Bralima Sarl

[120]
TABLE DES MATIERES
INTRODUCTION GENERALE 7

0.1.PROBLEMATIQUE 7

0.2.HYPOTHESE DU SUJET 8

0.3.CHOIX ET INTERET DU SUJET 9

0.4.DELIMITATION DU SUJET 9

0.5.METHODES ET TECHNIQUES UTILISEES 10

0.6.SUBDIVISION DU TRAVAIL 11

Chapitre I : GENERALITES SUR LES RESEAUX INFORMATIQUES 12

I.1. Introduction 12

I.2. Définition 12

I.3. Topologie des réseaux 13

I.4. Caractéristiques physiques des réseaux 16

I.4.1.Techniques de transmission 16

A. LAN (Local Area Network) ou RLE (Réseau local d'Entreprise) 17

B. WAN (Wide Area Network) 18

I.5. Caractéristiques logiques des réseaux 18

I.6. Modèle de référence OSI 18

I.7. Modèle de référence TCP/IP 20

I.8. Comparaison entre les modèles 20

I.9. Architecture des réseaux 21

I.9.1. Architecture basée sur les Commutateurs 22

a. Introduction 22

b. Un commutateur 23
I.9.2. Architecture à longues distances 23

Section I. : Interconnexion des réseaux 24

I.1. Définition 24

Section II. Sécurité informatique 28

II.1. Introduction 28

II.1.1. Sécurité physique et environnementale 28

II.1.2. Sécurité logique et applicative 29

II.1.1. La sécurité du système d'information 30

II.2. Mise en place d'une politique de sécurité 30

o La confidentialité 31

o Intégrité 32

o Authentification. 32

II.3. Chiffrement ou Cryptographie 32

II.4. Algorithmes symétriques 33

II.5. Algorithmes asymétriques 34

CHAPITRE II: VPN (Virtual Private Network) 35

Section I. Généralités 35

I.1. Définition 35

a. Réseau privé 35

b. Réseau privé virtuel 35

I.2. Concept de VPN 36

I.3. Fonctionnement 37

I.4. Méthode de connexion 38

I.4.1. Le VPN d'accès 38

I.5. Topologie des V.P.N 39

I.5. Intérêt d'un VPN 40

Section II. Protocoles utilises et sécurité des VPN 41

a. PPP (Point To Point Protocol) 42

b. PPTP (Point To Point Tunneling Protocol) 43

c. L2F (Layer TwoForwarding) 46

d. L2TP (Layer Two Tunneling Protocol) 46

e. IPSEC (Internet protocol security) 47

f. Comparaison des différents protocoles 52

CHAPITRE III. : PRESENTATION DE L'ENTREPRISE 55

III.1. Situation géographique et juridique 55

III.2. Historique 55

III.3. Objectif et mission 57

III.4. Activités 58

III.4.1. Activité principale 58

III.4.2. Activité secondaire 60

III.5. Structure organique de l'Entreprise : 60

III.6. Attribution et tâches 61

a) L'Administrateur Délégué : 61

III.9. Description des LANs existants 64

III.8.1. Topologie et type de média 64

III.8.2. Le Service Informatique : 71

III.8.3. Structure interne : 71

III.8.4. Organigramme : 72
III.10. Matériels et logiciels utilisés 72

III.9.1. Logiciels utilisés 73

III.11. Réseaux informatiques existants 74

III.12. Critiques de l'existant 74

III.11.1. Besoins de l'entreprise 75

III.13. Proposition des solutions retenues 75

Chapitre IV. : CONCEPTION DU NOUVEAU SYSTEME D'INFORMATION 77

IV.1. Les différents types de flux 77

IV.2. Les flux de type conversationnels 77

IV.2. Les flux de type transactionnels 78

IV.3. Les flux de type transferts de fichiers 78

IV.4. Les flux clients/serveurs 79

IV.1.3. Volumétrie liée à la messagerie 82

IV.1.4. Volumétrie liée aux transferts de fichiers 83

IV.1.5. Volumétrie liée aux applications transactionnelles site central. 83

IV.1.6. Volumétrie liée aux applications transactionnelles 83

IV.1.7. Volumétrie liée à d'autres services 83

IV.1.8. Dimensionnement des liens 84

IV.1.9. Choix du réseau de transport 86

IV.1.10. Choix des matériels 86

IV.3. Conception d'une solution d'administration 87

4.3.1. Administration des équipements 88

1. Spécification technique 89

2. Organisation de l'exploitation 89
3. Architecture du réseau 89

A. Aspects matériels 90

B. Aspects logiciels 90

C. Aspects techniques 91

Etude de faisabilité et configurations ; 91

Etude de faisabilité 91

Chapitre V : REALISATION DU PROJET 94

Section I : Cadrage du projet 94

I.1. Identification du projet 94

A. Intitulé du projet : 94

B. Définition : 94

C. Cahier de charge 94

D. Motif : 94

I.2. Objectifs 95

I.3. Les moyens 95

I.3. La technique 98

I.5. Management du projet 98

I.6. Planification 99

I.7.Planning prévisionnel de la réalisation du projet 99

I.7.1. Ordonnancement 100

I.7.2. Calendrier de réalisation du projet 101

I.7.3. Le diagramme de GANTT 102

Section II : Conduite du projet 103

II.1. Problématique 103