VPN Site Site102

1
SIGLE ET ABREVIATIONS
AAA : Authentication, Authorization, Accounting
ARPANET : Advanced Research Projetc Agency Network
ATM : Asynchronous Transfer Mode
BGP : Border Gateway protocol
CIDR : Classless Inter-Domain Routing
CO : Central téléphonique
CPE : Customer Premise Equipment
CSMA/CD : Carrer Sence Multi – Access/Collision Division
CSU : Channel Service Unit
D.O.D : Department of Defense
DCE : Data Circuit Equipment
DLCI : Data Link connection identifier
DMVPN : Dynamic Multipoint Virtual Private
DSL : Digital Subscriber Line
DSU : Data Service Unit
EGP : Exterior Gateway Protocol
EIGRP : Enhanced Interior Gateway Routing protocol
ETCD : Equipement terminal de Circuit de données
ETR : Early Token Release
ETTD : Equipement terminal de Traitement de données
FDDI : Fiber Distributed Data Intarface
FDM : Frequency Division Multiplexing
FLSM : Fixed length Subnet-Mask
FTP : File Transfer protocol

2
FTP : Foilded Twisted Pair
GRE : generic routing encapsulation
GSM : Global System Mobile
HTTP : Hyper text Transfer protocol
IANA : Internet Assigned Numbers Autority
ICANN : Internet Corporation for Assigned Names and Numbers
IEEE : Institut of Electrical and Electronics Enginering
IGP : Interior Gateway protocol
INTERNET : Interconnexion Network
IP : Internet Protocol
IS- IS : Intermediate system-to-intermediate system
ISO : International Oarganisation For Standardization
LAN : Local Area Network
MAC : Medium Access Control
MAU : Multiple Access Unit
MPLS : MultiProtocol Lable Switching
NHRP : Netx Hop Resoluation Protocol
OSI : Open System Interconnexion
OSPF : Open Shotest path First
PAN : Personal Area Network
PGP : Pretty good Privancy
PKI : Public Key Infrastructure
PVC : Circuit Virtuel Permanent
Radius : Remote Authentication Dial-in User Service
RG : Radio Guide
3
RIP : Routing Information Formation
RIRS : Registres régionaux
RNIS : Réseau Numérique à intégration de Service
RSA : Rivest, Shamir, Adleman
RTCP : Réseau téléphonique commuté public
SSH : Secure Shell
SSL : Secure Socket Layer
STP : Shielded Twisted Pair
SVC : Circuit Virtuel Commuté
TCP : Tranmission Control Protocol
TDM : Time Division Mutiplexing
TPDDI : Twisted Pair Distributed Data Interface
UTP : Unishileded Twisted Pair
VLSM : Variable Length subnet-Mask
VPN : Virtual Private Network
VSAT : Very Small Aperture Tareminal
WAN : Wide Area Network
INTRODUCTION
1. Présentation du sujet
Les entreprises ont besoin de moyens à la fois sécurisés, fiables et
économiques permettant d'interconnecter plusieurs réseaux, par
4
exemple pour que les filiales et les fournisseurs puissent se

connecter au réseau du siège de l'entreprise. De plus, avec
l'augmentation du nombre de télétravailleurs, les entreprises ont un
besoin croissant de moyens sécurisés, fiables et économiques de
connecter aux ressources présentes sur les sites de l'entreprise les
employés travaillant dans de petites structures ou des bureaux à
domicile (SOHO), ainsi qu'à d'autres emplacements distants. La
sécurité est un problème lorsque les entreprises utilisent le réseau
Internet public pour mener à bien leurs activités. Les réseaux privés
virtuels (VPN) sont utilisés pour garantir la sécurité des données sur
Internet. Un VPN sert à créer un tunnel privé sur un réseau public.
Les données peuvent être sécurisées à l'aide du chiffrement dans ce
tunnel via Internet et en utilisant une méthode d'authentification
destinée à protéger les données de tout accès non autorisé.
Le protocole GRE (Generic Routing Encapsulation) est un protocole

de Tunneling qui permet d’échanger des protocoles Layer 3 de
manière encapsulée entre deux terminaux ; ces données sont
émises dans un tunnel virtuel en utilisant uniquement le GRE, ces
données ne seront pas chiffrées. C’est la raison pour laquelle on
utilise GRE over IPSec, afin de chiffrer les données à l’aide d’IPSec.
2. Problématique
La Caisse générale d’épargne du Congo (CADECO) gère les épargnes
de la population, et a pour objectif d’apprendre à la population à
pratiquer l’épargne, et de financer les grands projets de
développement. En cela, l’entreprise gère plusieurs types
d’information sensible qui exige à un certain niveau la réorganisation
des traitements des données par des moyens requis.
Raison pour laquelle la CADECO doit se doter des moyens efficaces

et fiable pour arriver à faciliter les échanges d’informations entre le
quartier général et les différentes succursales en mettant en place
un système d’interconnexion solide basé sur des solutions de
sécurité à la hauteur de besoins de jeux de l’heure.
5
D’où la nécessité de l’élaboration de ce travail, et pour bien mener

notre étude, plusieurs questions sont posées et qui vont constituer
l’ensemble des réflexions que nous mènerons dans le fond de ce
travail scientifique
- Comment mettre en place une Interconnexion sécurisée au sein de

CADECO?
- Pour quoi le choix de GRE Over IPsec de type Hub and SPOKE et
Comment arriver à son déploiement?
3. Hypothèse
Au regard des questions posées au niveau de la
problématique, nous pouvons dire que :
- Notre proposition se focalise sur le déploiement d’une

interconnexion sécurisée par GRE Over IPSec, dans lequel il y a
l’utilisation de deux protocoles qui le GRE pour le Tunneling et
IPsec pour le cryptage des informations circulant sur le réseau
public ;
- Les premiers VPN étaient exclusivement des tunnels IP qui
n'incluaient ni l'authentification ni le chiffrement des données.
le protocole GRE est un protocole de tunneling développé par
Cisco, capable d'encapsuler une large variété de types de
paquets de protocole de couche réseau au sein de tunnels IP.
Cela crée une liaison point à point vers des routeurs Cisco au
niveau de points distants sur un inter réseau IP.
4. Choix et Intérêt du sujet

Le choix de ce travail trouve son vrai sens à partir du moment où
nous avons constaté l’inexistence d’une interconnexion entre les
différents sites au sein de la CADECO, empêchant les échanges
d’informations et cela présente un certain nombre des difficultés sur
la gestion de l’entreprise.
Pour ce qui est de l’intérêt, ce Travail permettra aux Ingénieur et

architecte réseau de savoir déployer des Interconnexions efficaces
basée sur des mécanismes de sécurité telle que le VPN pour
sécuriser les sites distants de l’entreprise.
6
5. Objectifs
Ce travail a pour objectif principal d’aider les Ingénieurs et

Architecte réseau a mieux déployer leur infrastructure réseau puis y
intégrer des solutions de sécurité vis-à-vis de l’ensemble d’activités
qui sont liées aux services de l’entreprise.
- Mettre en place un système d’interconnexion entre sites

distants d’une entreprise en passant par une infrastructure de
réseau public.
- Déployer de solutions sécurité pour garantir l’intégrité,
l’authentification, le contrôle d’accès, la non désaveu et
confidentialité.
6. METHODES ET TECHNIQUES UTILISEES
6.1. Méthodes utilisées
Les méthodes est définit comme étant l’ensemble d’opérations

intellectuelles par lesquelles une discipline cherche à atteindre les
réalités qu’elle poursuit, les démontrent et les vérifient. Tout au long
de notre travail nous aurons à utiliser les méthodes suivantes :
 Méthodes analytiques
Elle permettra de faire des analyses à la manière dont les

informations circulent dans les différents postes que possède la
CADECO.
 Méthodes descriptives
La description du lieu et le types d’outils que nous aurons à déployer

au sein de la CADECO ns l’entreprise.
 Méthodes historiques
Elle consiste à étudier le passé de la CADECO pour mieux cerner sa

situation actuelle afin de mieux préparer son évolution future ;
6.2. Techniques utilisées

7
Les techniques sont les moyens de résoudre les problèmes lorsque

ceux-ci sont précis, elles sont donc des outils mis à la disposition de
la recherche et organisées par les méthodes.
 La Technique d’interview
Cette technique nous a permis à poser un tas de questions à
l’interlocuteur pour pouvoir recueillir les informations nécessaires
nous préoccupant.
 La Technique documentaire
Elle nous a été utile dans le sens où nous avons eu le temps de

mieux nous documenter et comprendre les notions qui cadrent avec
notre sujet.
 Technique d'observation
Elle consiste à faire une analyse personnelle après avoir observé et

palpé les fonctionnements du système d'information de la CADECO.
Grâce à cette dernière, nous sommes descendus personnellement
sur terrain pour assimiler ce que font les acteurs pour comprendre et
tirer les conséquences.
7. DELIMITATION DU SUJET
Dans le temps nous nous sommes basés sur une période allant du
Février à Octobre 2021 et dans l’espace nous nous focalisons sur
L’Etude sur le Déploiement d’une Interconnexion Sécurisée
de type Hub and SPOKE par GRE Over IPsec cas la CADECO.
8. CANEVAS DU TRAVAIL
Hormis l’introduction et la conclusion, nous avons subdivisé notre

travail en quatre chapitres et qui se présente comme suit :
 Chapitre Premier : Outil d’interconnexion

 Chapitre Deuxième : Sécurité réseaux et VPN
 Chapitre Troisième : Etude D’opportunité
 Chapitre Quatrième : Etude de déploiement
8
CHAPITRE I. OUTILS D’INTERCONNEXION
I.1. Définition1
On entend par interconnexion : c’est la liaison physique et logique

des réseaux ouverts ou public passant par un même operateur ou un
opérateur diffèrent, afin de permettre aux utilisateurs d’un opérateur
de communique avec les utilisateurs du même operateur ou d’un
autre, ou bien d’accéder aux services fournir par un autres
operateur.
1
Stéphane LOHIER et Dominique PRESENT, Réseaux et Transmissions :
Protocoles, Infrastructure et Services, éd. Dunud, Paris,
9
L’interconnexion de réseaux locaux : est l’ensemble des solutions

permettant de relier les ordinateurs quel que soit la distance ou les
différences entre eux.
I.2. Principe d’interconnexion
Les trois principales catégories d’interconnexion peuvent être

séparées :
1. Les réseaux de campus qui comprennent les poste utilisateurs

connectes localement au sein d’un immeuble ou d’un groupe
d’immeubles,
2. Les réseaux étendus (MAN et WAN) qui relient entre eux les
réseaux de campus sur une échelle géographique variant du
niveau métropolitain au niveau planétaire.
I.3. Technologie WAN2
I.3.1. Couche physique des réseaux étendus
Les réseaux étendus et les réseaux locaux ont pour différence

principale qu’une organisation ou une entreprise doit s’abonner à un
fournisseur de services de réseau étendu tiers pour utiliser les
services de réseau d’un opérateur de réseau étendu. Un réseau
étendu utilise les liaisons de données fournies par un opérateur pour
accéder à Internet et connecter les sites d’une entreprise entre eux,
à des sites d’autres entreprises, à des services externes et à des
utilisateurs distants. La couche physique d’accès de réseau étendu
décrit la connexion physique entre le réseau d’entreprise et le
réseau du fournisseur de services. La figure illustre la terminologie
communément utilisée pour décrire des connexions de réseau
étendu physiques, notamment :
 Équipement d’abonné (CPE) : périphériques et câblage interne

situés chez l’abonné et connectés via le canal de
télécommunications d’un opérateur. L’abonné est propriétaire
de l’équipement ou le loue à son fournisseur de services. Dans
ce contexte, un abonné est une entreprise qui organise la
réception des services de réseau étendu offerts par un
fournisseur de services ou un opérateur.
2
Andrew S. TENENBAUM, Les réseaux locaux, 3rd édition (traduction française
2009) Ed. Prentice Hall, avril 2009,
1
0
 Équipement de communication de données (DCE) : également
appelé équipement de terminaison de circuit de données
(ETCD), l’équipement de communication de données comprend
des périphériques qui placent des données sur la boucle locale.
L’équipement de communication de données fournit
principalement une interface visant à connecter des abonnés à
une liaison de communication sur le nuage de réseau étendu.
 Équipement terminal de traitement de données (ETTD) :
périphériques de client qui transmet des données depuis le
réseau d’un client ou l’ordinateur hôte pour une transmission
sur le réseau étendu. L’équipement terminal de traitement de
données se connecte à la boucle locale grâce à l’équipement
de communication de données.
 Point de démarcation : point établi dans un bâtiment ou un
complexe pour séparer l’équipement du client de celui du
fournisseur de services. Physiquement, le point de démarcation
est le boîtier de raccordement de câblage, situé chez le client,
qui connecte les câbles de l’équipement d’abonné à la boucle
locale. Il est généralement placé de façon à faciliter son accès
par un technicien. Le point de démarcation physique est
l’endroit où la responsabilité en termes de connexion passe de
l’utilisateur au fournisseur de services. Ce point est très
important car en cas de problème, il est nécessaire de
déterminer si c’est l’utilisateur ou le fournisseur de services qui
est responsable du dépannage ou de la réparation.
 Boucle locale : câble téléphonique de cuivre ou à fibre optique
qui connecte l’équipement d’abonné sur le site de l’abonné au
central téléphonique du fournisseur de services. La boucle
locale est parfois appelée « last-mile ».
Central téléphonique (CO) : installation ou bâtiment de fournisseur

de services local dans lequel des câbles téléphoniques locaux relient
des lignes de communications grande distance, entièrement
numériques et à fibre optique via un système de commutateurs et
d’autres équipements.
I.3.2. Les périphériques Réseaux
Les réseaux étendus utilisent de nombreux types de périphériques

spécifiques des environnements de réseau étendu, notamment :
1
1
 Modem : module un signal d’opérateur analogique pour coder
des informations numériques et démodule le signal de
l’opérateur pour décoder les informations transmises. Un
modem à fréquence vocale convertit les signaux numériques
produits par un ordinateur en fréquences vocales qui peuvent
être transmises via des lignes analogiques du réseau
téléphonique public.
 CSU/DSU : les lignes numériques, telles que des lignes
d’opérateur T1 ou T3 requièrent une unité Channel Service Unit
(CSU) et une unité Data Service Unit (DSU). Ces deux unités
sont souvent combinées en une seule, que l’on appelle
CSU/DSU. L’unité CSU fournit la terminaison pour le signal
numérique et garantit l’intégrité de la connexion grâce à la
correction des erreurs et la surveillance de ligne. L’unité DSU
quant à elle convertit les trames de ligne de système multiplex
T en trames pouvant être interprétées par le réseau local, et
réciproquement.
 Serveur d’accès : concentre les communications utilisateur
entrantes et sortantes. Ils peuvent comporter un mélange
d’interfaces analogiques et numériques, et prendre en charge
des centaines d’utilisateurs simultanés.
 Commutateur de réseau étendu : périphérique
d’interconnexion multiport utilisé dans des réseaux
d’opérateur. Ces périphériques commutent généralement du
trafic tel que le relais de trames, ATM ou X.25, et opèrent au
niveau de la couche liaison de données du modèle de référence
OSI. Des commutateurs de réseau téléphonique public
commuté (RTPC) peuvent également être utilisés dans le
nuage pour les connexions à commutation de circuits telles que
le réseau numérique à intégration de services (RNIS) ou pour
une connexion commutée analogique.
 Routeur : fournit des ports d’interconnexion de réseaux et des
ports d’interface d’accès de réseau étendu utilisés pour se
connecter au réseau du fournisseur de services. Ces interfaces
peuvent être des connexions série ou d’autres interfaces de
réseau étendu. Certaines de ces interfaces peuvent nécessiter
un périphérique externe tel qu’une unité DSU/CSU ou un
modem (analogique, câble ou DSL) pour connecter le routeur
au point de présence (POP) local du fournisseur de services.
1
2
Routeur de cœur de réseau : routeur qui réside au milieu ou sur le
réseau fédérateur du réseau étendu plutôt qu’à sa périphérie. Pour
ce faire, un routeur doit pouvoir prendre en charge plusieurs
interfaces de télécommunications parmi les plus rapides utilisées
dans le cœur du réseau étendu, et transmettre des paquets IP à une
vitesse optimale sur toutes ces interfaces. Le routeur doit également
accepter les protocoles de routage utilisés dans le cœur de réseau
I.3.3. Concepts commutation
1. Commutation de circuits
Un réseau à commutation de circuits établit un circuit (ou canal)

dédié entre des nœuds et des terminaux avant que les utilisateurs
puissent communiquer.
Le chemin interne emprunté par le circuit entre les échanges est

partagé par un certain nombre de conversations. Le multiplexage
temporel (TDM) permet de partager la connexion à tour de rôle entre
chaque conversation. Le multiplexage temporel assure qu’une
connexion de capacité fixe soit mise à la disposition de l’abonné. Si
le circuit transporte des données informatiques, l’utilisation de cette
capacité fixe risque de ne pas être efficace. Cette variation
d’utilisation entre aucune et maximum est typique du trafic réseau
informatique. Comme l’abonné à l’utilisation exclusive de son
allocation de capacité fixe, les circuits commutés constituent
généralement une méthode coûteuse de transport des données.
RTPC et RNIS sont deux types de technologie à commutation de
circuits qui peuvent être utilisés pour implémenter un réseau étendu
dans une configuration d’entreprise.
2. Commutation de paquets
Contrairement à la commutation de circuits, la commutation de

paquets fractionne les données de trafic en paquets acheminés sur
un réseau partagé. Les réseaux à commutation de paquets ne
requièrent pas l’établissement d’un circuit et permettent à de
nombreuses paires de nœuds de communiquer sur le même canal. À
partir des informations d’adresse fournies dans chaque paquet, les
commutateurs d’un réseau à commutation de paquets déterminent
le lien vers lequel le paquet doit ensuite être envoyé. Il existe deux
1
3
approches à cette détermination des liaisons : sans connexion et
avec connexion.
 Les systèmes sans connexion, tels qu’Internet, transportent

des données d’adressage complètes dans chaque paquet.
Chaque commutateur doit évaluer l’adresse pour déterminer
où envoyer le paquet.
 Les systèmes avec connexion prédéterminent la route de
chaque paquet, qui n’a alors besoin que d’un identificateur.
Dans le cas du relais de trames, il s’agit des identificateurs de
contrôle de liaison de données (DLCI). Le commutateur
détermine la route à suivre en recherchant l’identificateur dans
des tables en mémoire. Le jeu d’entrées des tables identifie un
itinéraire ou circuit particulier sur le système. Si ce circuit
n’existe physiquement que lorsqu’un paquet se déplace
dessus, il prend le nom de circuit virtuel (CV).
3. Circuits virtuels
Les réseaux à commutation de paquets peuvent établir des routes

via les commutateurs pour des connexions de bout en bout
spécifiques. Ces routes sont appelées des circuits virtuels. Un circuit
virtuel est un circuit logique établi au sein d’un réseau entre deux
périphériques réseau. Il existe deux types de circuits virtuels :
 Circuit virtuel permanent (PVC) : circuit virtuel établi de façon

permanente constitué d’un mode : le transfert de données. Les
circuits virtuels permanents s’utilisent pour effectuer des
transmissions de données constantes entre les périphériques.
Ils consomment moins de bande passante lors de
l’établissement et de la fermeture des circuits, mais ils
augmentent les coûts en raison de leur continuité de service.
Ils sont généralement configurés par le fournisseur de services
lorsqu’une commande de service est effectuée.
Circuit virtuel commuté (SVC) : circuit virtuel établi de façon

dynamique sur demande et qui se ferme une fois la transmission
terminée. La communication sur un circuit virtuel commuté
s’effectue en trois phases : l’établissement du circuit, le transfert des
données et la fermeture du circuit
1
4
I.4. Routage IP3
I.4.1. Principe
Le routage est un processus réalisé au niveau de la couche 3 du

modèle OSI (couche réseau) par l’équipement appelé routeur. Il
permet de déterminer le meilleur chemin et le chemin pour atteindre
le réseau de destination.
- Un protocole de routage permet au routeur de transmettre des

données entre les nœuds de différents réseaux. Exemple RIP,
IGRP, OSPF, etc
- Un protocole routé ou routable doit impérativement permettre
d'attribuer un numéro de réseau et un numéro d'hôte à
chacune des machines. Exemple IPv4 et IPv6
I.4.2. type de routage
Il existe de type de routage :
- Routage statique ;
- Routage dynamique.
I.4.2.1. Routage statique
Avec le routage statique, l’administrateur configure manuellement le

chemin dans la table de atteindre le réseau de destination. Il est
utilisé pour système autonome de petite taille dont le nombre de
routeur ne dépasse pas 10.
Le routage statique est utilisé dans une situation où :
- Un réseau est constitué de peu des routeurs ;

- Un réseau connecté à l’Internet via un seul forunisseur
d’accès ;
- Un réseau large ayant la topologie Hub and spoke.
Il existe plusieurs types de routage statique, qui sont :
- Route statique réseau : une route statique qui pointe vers une
adresse réseau spécifique aussi connue sous le nom de préfixe
réseau ;
3
Guy PUJOLLE, Les Réseaux 6ème édition, édition Eyrolles, Paris
1
5
- Route statique hôte : une route statique qui pointe vers une
adresse IP spécifique ;
- Route statique par défaut : connue aussi sous nom de
passerelle du dernier ressort, ce type de routage est utilisé au
cas on n’a pas une connaissance spécifique sur le réseau de
destination donnée.
- Routage statique flottante : une route statique dont la distance
administrative est configurée plus élevée que celle de
protocole de routage lors qu’on crée un lien de sauvegarde.
I.4.2.2. Routage dynamique
Avec le routage dynamique, les protocoles de routage sont utilisés

pour expédier les paquets vers le réseau de destination en sélection
le meilleur chemin et le chemin le plus court.
Un protocole de routage est un ensemble de processus, algorithme

et messages qui sont utilisés pour échanger les informations de
routage par l’envoie de sa table de routage aux autres routeurs du
système autonome.
I.4.3. Protocole de routage
Il existe deux familles de protocoles de routage : les protocoles IGP

(Interior Gateway Protocol) et les protocoles EGP (Exterior Gateway
Protocol).
Les protocoles IGP acheminent les données au sein d'un système

autonome :
- Des protocoles RIP et RIPv2.

- Du protocole IGRP.
- Du protocole EIGRP.
- Du protocole OSPF.
- Du protocole IS-IS (Intermediate System-to-Intermediate
System).
Les protocoles EGP acheminent les données entre les systèmes

autonomes.
- Le protocole BGP.
Tableau 1.1. Type de protocole de routage
Interior Gateway protocol (IGP) Exterior Gateway protocol

1
6
(EGP)
Vecteur de distant Etat de lien Vecteur chemin
RIP OSPF BGP
IGRP IS-IS
EIGRP
1. IGP (Interior Gateway Protocol)
Nous avons deux catégories d’IGP qui sont :
- Vecteur de distant ;
- Etat de lien.
a) Vecteur de distant
Les protocoles de routage à vecteur de sont avertis comme vecteurs

de distance et de direction. La distance est définie par la métrique et
la direction est simplement le routeur du prochain saut. Le protocole
à vecteur distant utilise l’algorithme de Bellman-Ford pour le choix
du meilleur chemin.
Ils sont utilisés dans une situation où :
- Le réseau est simple et non hiérarchique ;

- L’administrateur n’a pas assez de connaissance des protocoles
de routage à état de lien ;
- Le réseau de type hub and spoke ;
- Réseau à faible temps de convergence.
b) Protocole de routage à état de lien
Ces protocoles créent une présentation (cartographie) complète de

la topologie du réseau. Ces protocoles ne font pas une mise à jour
période mais quand il y a changement dans le réseau et ils sont un
temps de convergence élevé.
Ils ont utilisé dans une situation où :
- Le réseau est hiérarchique ;

- L’administrateur à assez de connaissance des protocoles de
routages à Etat de lien ;
- Réseau à convergence rapide.
1
7
Tableau 1.2. Caractéristique des protocoles de routage
PROTOCOLE DE ROUTAGE A VECTEUR DE PROTOCOLE DE ROUTAGE A ETAT DE

DISTANT LIEN
Travaille avec l’algorithme de Bellman- Travaille avec l’algorithme de
ford hormis EIGRP qui utilise l’algorithme Dijkistra
DUAL
Ils font une mise à jour périodique La mise à jour se fait de façon
incrémentationelle
Echange la table de routage pleine Echange uniquement les routes qui
manquent
Fonctionne les plus souvent avec le Fonctionne avec le système classless
système Classfull (RIPv1) et classless
(RIPv2, EIGRP)
La mise à jour se fait en utilisant le La mise à jour se fait avec le
message de diffusion message de multidiffusion
Moins de surcharge Plus de surcharge
Facile à configurer Difficile à configurer
I.5. Internet4
I.5.1. Présentation
À la fin des années 1960, le Département américain de la Défense

décide de réaliser un grand réseau à partir d’une multitude de petits
réseaux, tous différents, qui commencent à foisonner un peu partout
en Amérique du Nord. Il a fallu trouver le moyen de faire coexister
ces réseaux et de leur donner une visibilité extérieure, la même pour
tous les utilisateurs. D’où l’appellation d’InterNetwork (interréseau),
abrégée en Internet, donnée à ce réseau de réseaux.
I.5.2. Architecture
L’architecture Internet se fonde sur une idée simple : demander à

tous les réseaux qui veulent en faire partie de transporter un type
unique de paquet, d’un format déterminé par le protocole IP. De
plus, ce paquet IP doit transporter une adresse définie avec
suffisamment de généralité pour pouvoir identifier chacun des
ordinateurs et des terminaux dispersés à travers le monde.
L’utilisateur qui souhaite émettre sur cet interréseau doit ranger ses
données dans des paquets IP, qui sont remis au premier réseau à
4
Jean François LEMAINQUE, Les réseaux et Internet, éd. DUNOD, Paris, 2014
1
8
traverser. Ce premier réseau encapsule le paquet IP dans sa propre
structure de paquet, le paquet A, qui circule sous cette forme jusqu’à
une porte de sortie, où il est décapsulé de façon à récupérer le
paquet IP. L’adresse IP est examinée pour situer, grâce à un
algorithme de routage, le prochain réseau à traverser, et ainsi de
suite jusqu’à arriver au terminal de destination. Pour compléter le
protocole IP, la Défense américaine a ajouté le protocole TCP, qui
précise la nature de l’interface avec l’utilisateur. Ce protocole
détermine en outre la façon de transformer un flux d’octets en un
paquet IP, tout en assurant une qualité du transport de ce paquet IP.
Les deux protocoles, assemblés sous le sigle TCP/IP, se présentent
sous la forme d’une architecture en couches. Ils correspondent
respectivement au niveau paquet et au niveau message du modèle
de référence.
I.6. Technologie des réseaux longue distance5
Parmi les technologies de réseaux longues distance, nous pouvons

citer :
- Lignes louées ;
- Accès Dialup ;
- RNIS (ISDN) ;
- Frame Relay ;
- ATM ;
- MPLS ;
- Ethernet WANs ;
- VSAT.
- DSL ;
- Modem câble ;
- Technologies sans fil
- Technologie cellulaire 3G/4G*
- VPN
I.6.1. Lignes louées
5
Philippe TALEIN, Notions fondamentales sur les réseaux informatiques, éd. ENI,
Paris, 2008
1
9
Les lignes louées offrent une connexion dédiée permanente et sont
largement utilisées pour construire des réseaux étendus. Elles
constituent traditionnellement le meilleur choix de connexion, mais
présentent plusieurs inconvénients. Les lignes louées offrent une
capacité fixe. Cependant, le trafic est souvent variable, laissant
inutilisée une partie de la capacité. Par ailleurs, chaque point
d’extrémité requiert une interface physique séparée sur le routeur,
ce qui augmente les coûts d’équipements. Toute modification de la
ligne louée nécessite généralement une intervention sur le site par
l’opérateur.
I.6.2. Dialup
Lorsque des transferts de données intermittents de faible volume

sont nécessaires, les modems et les lignes téléphoniques
commutées analogiques fournissent des connexions commutées de
faible capacité et dédiées. Cette rubrique décrit les avantages et les
inconvénients de l’utilisation d’options de connexion commutée
analogique, et identifie les types de scénarios professionnels qui
bénéficient le plus de ce type d’option. La téléphonie traditionnelle
utilise un câble de cuivre, appelé boucle locale, pour connecter le
combiné téléphonique situé dans les locaux de l’abonné au central
téléphonique (CO). Le signal de la boucle locale pendant une
communication est un signal électronique variant continuellement et
qui constitue une traduction de la voix de l’abonné. Les boucles
locales traditionnelles peuvent transporter des données
informatiques binaires par le réseau téléphonique vocal au moyen
d’un modem. Le modem module les données binaires en un signal
analogique à la source et démodule ce signal en données binaires
une fois arrivé à destination. Les caractéristiques physiques de la
boucle locale et sa connexion au RTCP limitent le débit de ce signal à
moins de 56 Kbits/s.
I.6.3. RNIS (réseau numérique à intégration de service)
Les réseaux RNIS constituent une technologie à commutation de

circuits qui permet à la boucle locale d’un RNIS de transporter des
signaux numériques, offrant ainsi des connexions commutées de
plus haute capacité. RNIS fait passer les connexions internes du
2
0
RTPC de signaux analogiques à des signaux numériques de
multiplexage temporel (TDM - Time Division Multiplexed). Le
multiplexage temporel permet le transfert de deux ou plusieurs
signaux ou flux de bits sous forme de sous-canaux dans un canal de
communication. Le réseau RNIS transforme la boucle locale en une
connexion numérique TDM, ce qui permet à la boucle locale de
transporter des signaux numériques offrant des connexions
commutées de plus haute capacité.
On distingue deux types d’interfaces RNIS :
 Interface de base RNIS (BRI) : le réseau RNIS est destiné aux

utilisateurs individuels et aux petites entreprises et offre deux
canaux B à 64 Kbits/s et un canal D à 16 Kbits/s. Le canal D du
BRI est conçu pour contrôler et est souvent sous-utilisé, car il
n’a que deux canaux B à gérer. C’est pourquoi certains
fournisseurs laissent le canal D transporter des données à bas
débit, telles que les connexions X.25 à 9,6 Kbits/s.
 Accès primaire (PRI) : le réseau RNIS est également disponible
pour des installations de plus grande taille. L’accès primaire
offre 23 canaux B à 64 Kbits/s et un canal D à 64 Kbits/s en
Amérique du Nord, pour un débit total jusqu’à 1,544 Mbits/s.
Ceci inclut une surcharge pour la synchronisation. En Europe,
en Australie et dans d’autres régions du monde, RNIS PRI offre
trente canaux B et un canal D, pour un débit total allant jusqu’à
2,048 Mbits/s, surcharge de synchronisation comprise. En
Amérique du Nord, PRI correspond à une connexion T1. Le
débit du PRI international correspond à une connexion E1 ou J1.
I.6.4. Frame Relay
Bien que la configuration réseau semble similaire à celle de la

technologie X.25, le relais de trames se distingue d’un réseau X.25
sur plusieurs points. Avant tout, il s’agit d’un protocole bien plus
simple, qui fonctionne au niveau de la couche liaison de données au
lieu de la couche réseau. Le relais de trames n’implémente aucun
contrôle d’erreur ou de flux. La gestion simplifiée des trames
entraîne une réduction de la latence et des mesures prises pour
éviter l’accumulation des trames sur les commutateurs
intermédiaires permettent de réduire les phénomènes de gigue. Le
2
1
relais de trames offre des débits de données pouvant aller jusqu’à
4 Mbits/s, certains fournisseurs proposant même des débits
supérieurs. Le relais de trames fournit un débit partagé moyen
pouvant transporter du trafic vocal et de données. La technologie de
relais de trames s’avère idéale pour connecter les réseaux locaux
d’entreprise.
I.6.5. ATM
ATM (Asynchronous Transfer Mode, mode de transfert asynchrone)

est capable de transférer la voix, la vidéo et les données par des
réseaux privés et publics. Elle est fondée sur une architecture à
cellules, et non une architecture à trames. Les cellules ATM
présentent toujours une longueur fixe de 53 octets. La cellule ATM
de 53 octets contient un en-tête ATM de 5 octets, suivi de 48 octets
de données utiles ATM. Les petites cellules de longueur fixe sont
bien adaptées au transport du trafic vocal et vidéo, car ce trafic ne
tolère pas les délais. En effet, le trafic vidéo et vocal n’a pas à
attendre la fin de transmission d’un paquet de données de plus
grande taille.
I.6.6. Ethernet WAN
Ethernet est développé était originellement développé pour être une

technologie d’accès LAN. Actuellement avec de support comme la
fibre optique, il peut atteindre de kilomètre cas d’IEEE 1000Base-LX
qui peut atteindre 5 km et IEEE 1000Base-ZX qui peut atteindre 70
km.
Le fournisseur de service offre maintenant de service WAN Ethernet

utilisant la fibre optique portant plusieurs noms tels que :
Metropolitan Ethernet (MetroEthernet), Ethernet over MPLS (EoMPLS)
et Virtual Private LAN service (VPLS).
I.6.6. MPLS (Multiprotocol Label Switching)
Multiprotocol Label Switching (MPLS) est une technologie WAN multi

protocole de haute performance qui dirige les données d'un routeur
à l'autre en fonction des étiquettes de court chemin plutôt que des
adresses de réseau IP.MPLS a plusieurs caractéristiques qui le
2
2
définissent. Il est multi protocole, ce qui signifie qu'il a la capacité
d’effectuer toute charge utile, y compris le trafic IPv4, IPv6, Ethernet,
ATM, DSL, et Frame Relay. Il utilise des étiquettes qui indiquent à un
routeur quoi faire avec un paquet. Les étiquettes identifient chemins
entre les routeurs distants plutôt que paramètres, et tandis que
MPLS réellement routes les Paquets IPv4 et IPv6, tout le reste est
commuté.
I.6.7. VSAT (Very Small aperture terminal)
Very Small Aperture Terminal (VSAT) est une solution qui crée un
WAN privé en utilisant les communications par satellite. Un VSAT est
une petite antenne parabolique semblable à ceux utilisés pour la
maison Internet et la télévision. VSAT crée un WAN privé tout en
assurant la connectivité dans des endroits éloignés.
I.6.8. Technologie DSL
DSL est une technologie de connexion permanente qui utilise les

lignes téléphoniques à paires torsadées existantes pour transporter
des données à haut débit et fournir des services IP aux abonnés. Un
modem DSL convertit un signal Ethernet provenant d’un
périphérique d’utilisateur en signal DSL, qui est transmis au central
téléphonique. Plusieurs lignes d’abonnés DSL sont multiplexées en
une liaison unique à haute capacité au moyen d’un multiplexeur
d’accès DSL (DSLAM) dans les locaux du fournisseur d’accès. Les
DSLAM incorporent la technologie TDM pour agréger un grand
nombre de lignes d’abonnés sur un support moins encombrant,
généralement une connexion T3/DS3. Les technologies DSL actuelles
utilisent des techniques de codage et de modulation sophistiquées
pour obtenir des débits de données pouvant atteindre 8,192 Mbits/s.
I.6.9. Modem câble

Le câble coaxial est très répandu dans les zones urbaines pour
distribuer des signaux de télévision. Un accès réseau est disponible
sur certains réseaux de télévision câblée. Il offre une bande
passante plus importante que la boucle locale téléphonique
conventionnelle. Les modems câble offrent une connexion
2
3
permanente et sont faciles à installer. L’abonné connecte un
ordinateur ou un routeur de réseau local au modem câble, qui
traduit les signaux numériques en fréquences à large bande utilisées
pour la transmission sur un réseau de télévision câblée. Le bureau
local de télévision câblée, appelé tête de réseau câblé, comprend le
système informatique et les bases de données requis pour fournir
l’accès Internet. Le composant le plus important situé au niveau de
la tête de réseau est le système de terminaison du modem câble
(CMTS), qui envoie et reçoit des signaux numériques du modem
câble sur un réseau câblé et est requis pour fournir des services
Internet aux abonnés du câble. Les abonnés au modem câble
doivent utiliser le FAI associé au fournisseur d’accès. Tous les
abonnés locaux partagent la même bande passante. À mesure que
des utilisateurs rejoignent le service, la bande passante disponible
peut être inférieure au débit attendu.
I.6.9. Technologie cellulaire 3G/4G

De plus en plus, le service cellulaire est une autre technologie WAN
sans fil utilisé pour connecter les utilisateurs et les localités
éloignées où aucune autre technologie d'accès WAN n’est disponible.
Beaucoup d'utilisateurs avec les smartphones et les tablets peuvent
utiliser des données cellulaires, courrier électronique, surfer sur le
Web, télécharger des applications, et regarder des vidéos. Les
concepts de l'industrie cellulaires communs incluent :
- Technologie sans fil 3G / 4G: Abréviation de troisième

génération et la quatrième génération cellulaire l'accès. Ces
technologies offrent un accès Internet sans fil.
Long term Evolution : Correspond à la technologie plus récente et

plus rapide et est considérée comme faisant partie de la quatrième
génération (4G) de la technologie.
2
4
CHAPITRE II : SECUTITE RESEAU ET VPN

II.1. SECURITE RESEAU
II.1.1. Introduction
La sécurisation du réseau de l’entreprise moderne et de

l’infrastructure informatique exige une approche de bout en bout et
une prise en compte ferme des vulnérabilités et des mesures de
protection associées. Bien que ces connaissances ne puissent pas
contrecarrer toutes les tentatives d’incursion de réseau ou d’attaque
du système, elles peuvent permettre aux ingénieurs de réseau
d’éliminer certains problèmes généraux, réduire considérablement
les dommages potentiels, et de détecter rapidement les brèches.
Avec le nombre sans cesse croissant et la complexité des attaques,
des approches vigilantes à la sécurité dans les petites et grandes
entreprises deviennent un devoir.
Ce chapitre examine les mécanismes fondamentaux de sécurité mis
en œuvre dans les réseaux, ainsi que différents Réseaux Privés
Virtuels existants.
II.1.2. Les services de sécurité 6
En informatique, le terme sécurité recouvre tout ce qui concerne la

protection des informations. L’ISO s’est attachée à prendre toutes
les mesures nécessaires à la sécurité des données durant leur
transmission.
6
G. PUJOLLE, Les réseaux, EYROLLES, Paris, 2008, p. 869 – 871
2
5
Cinq types de service de sécurité ont été définis :
 La confidentialité : qui doit assurer la protection des données

contre les attaques non autorisées.
 L’authentification : qui doit permettre de s’assurer que celui
qui se connecte est bien celui qui correspond au nom indiqué.
 L’intégrité : qui garantit que les données reçues sont
exactement celles qui ont été émises par l’émetteur autorisé.
 La non-répudiation : qui assure qu’un message a bien été
envoyé par une source spécifiée et reçu par un récepteur
spécifié.
 Le contrôle d’accès : qui a pour fonction de prévenir l’accès
à des ressources sous des conditions définies et par des
utilisateurs spécifiés.
II.1.3. Les mécanismes de chiffrement 7
Le chiffrement est un mécanisme issu d’une transformation

cryptographique. Le mécanisme inverse du chiffrement est le
déchiffrement. La normalisation dans ce domaine est quelque peu
complexe, pour des raisons essentiellement politiques.
Les principaux mécanismes de chiffrement normalisés par l’ISO sont
les suivants :
 Le mécanisme de bourrage de trafic : consiste à envoyer de
l’information en permanence en complément de celle déjà
utilisée de façon à empêcher les fraudeurs de repérer si une
communication entre deux utilisateurs est en cours ou non.
 L’authentification : utilise un mécanisme de cryptographie

normalisé par la série de normes ISO 9798 à partir d’un cadre
conceptuel défini dans la norme ISO 10181-2. Dans cette
normalisation, des techniques de chiffrement symétrique et à
clés publiques sont utilisées.
 L’intégrité : consiste à prouver que les données n’ont pas été

modifiées. Elles ont éventuellement pu être copiées, mais
aucun bit ne doit avoir été changé.
 La signature numérique : est un mécanisme appelé à se

développer de plus en plus. Pour le moment, la normalisation
7
PUKUTA MAMBUKU Jean, Notes de cours de sécurité réseaux,
Informatique, ESMICOM, G3, 2019 - 2020
2
6
s’adapte aux messages courts, de 320 bits ou moins. Elle
donne l’ajout à la vérification de l'intégrité ou l'origine des
données.
 La gestion des clés peut également être mise en œuvre dans

les mécanismes de sécurité. Elle comprend la création, la
distribution, l’échange, le maintien, la validation et la mise à
jour de clés publiques ou secrètes.
 Etc.
II.1.4. La sécurité dans l’environnement IP
L’absence d’authentification de la provenance des paquets IP rend

possible de nombreuses attaques, comme les dénis de service
(denial of service), c’est-à-dire le refus ou l’impossibilité pour un
serveur de fournir l’information demandée. Il existe des nombreuses
familles d’attaques dans le réseau Internet.
III.1.4.1. Les attaques par Internet
Les attaques concernent deux grands champs : celles qui visent les
équipements terminaux et celles qui visent le réseau Internet lui-
même. Elles ne sont pas totalement décorrélées puisque les
attaques des machines terminales par Internet utilisent souvent des
défauts d’Internet.
 Les attaques par ICMP
Le protocole ICMP (Internet Control Message Protocol) est utilisé par
les routeurs pour transmettre des messages de supervision
permettant, par exemple, d’indiquer à un utilisateur la raison d’un
problème.
 Les attaques par TCP
Le protocole TCP travaille avec des numéros de port qui permettent
de déterminer une adresse de socket, c’est-à-dire d’un point d’accès
au réseau. Cette adresse de socket est formée par la concaténation
de l’adresse IP et de l’adresse de port. À chaque application
correspond un numéro de port, par exemple 80 pour une application
HTTP.
2
7
Figure 2.1. Les attaques par TCP
 Les attaques par cheval de Troie

Dans l’attaque par cheval de Troie, le pirate introduit dans la station
terminale un programme qui permet de mémoriser le login et le mot
de passe de l’utilisateur. Ces informations sont envoyées à
l’extérieur par le biais d’un message vers une boîte aux lettres
anonyme.
Diverses techniques peuvent être utilisées pour cela, allant d’un

programme qui remplace le gestionnaire de login jusqu’à un
programme pirate qui espionne ce qui se passe dans le terminal.
 Les attaques par dictionnaire

Beaucoup de mots de passe étant choisis dans le dictionnaire, il est
très simple pour un automate de les essayer tous. De nombreuses
expériences ont démontré la facilité de cette attaque et ont mesuré
que la découverte de la moitié des mots de passe des employés
d’une grande entreprise s’effectuait en moins de deux heures.
Une solution simple pour remédier à cette attaque est de
complexifier les mots de passe en leur ajoutant des lettres
majuscules, des chiffres et des signes comme !, ?, &, etc.
 Les autres attaques
Le nombre d’attaques possibles est bien trop grand pour que nous
puissions les citer toutes. De plus, de nouvelles procédures
d’attaque s’inventent chaque jour.
II.1.4.2. La sécurité dans les protocoles
Les attaques sur les protocoles de gestion ou de contrôle peuvent
facilement arrêter le fonctionnement d’un réseau. Il suffit, par
exemple, de faire croire aux accès que le réseau est saturé ou que
les nœuds sont en panne pour que les performances du réseau
s’effondrent totalement.
a) La sécurité dans SNMP
2
8
Les principales attaques dont SNMP peut être l’objet sont les
suivantes :
 Modification de l’information : une entité peut altérer un
message en transit généré par une entité autorisée pour
modifier une opération de type comptabilité, configuration ou
opération.
 Mascarade : une entité prend l’identité d’une entité
autorisée.
 Modification à l’intérieur d’un flot de messages : SNMP
est construit pour gérer un protocole de transport en mode
sans connexion. Les messages peuvent être réordonnés
d’une façon différente de celle d’origine et détruits ou
rejoués d’une autre manière. Par exemple, un message qui
redémarre une machine peut être copié puis rejoué
ultérieurement.
 Ordre de secret : une entité peut observer les échanges
entre un manager et son agent et apprendre les valeurs des
objets gérés. Par exemple, l’observation d’un ensemble de
commandes capables de modifier un mot de passe
permettrait à un utilisateur de modifier le mot de passe et
d’attaquer le site.
b) IPsec (IP sécurisé)8

Le monde TCP/IP permet d’interconnecter plusieurs millions
d’utilisateurs, lesquels peuvent souhaiter que leur communication
reste secrète. Internet transporte de plus un grand nombre de
transactions de commerce électronique, pour lesquelles une certaine
confidentialité est nécessaire, par exemple pour prendre en charge
la transmission de numéros de carte bancaire.
Dans un tunnel IPsec, tous les paquets IP d’un flot sont transportés
de façon totalement chiffrée. Il est de la sorte impossible de voir les
adresses IP ni même les valeurs du champ de supervision du paquet
IP encapsulé. La figure 3.2. illustre un tunnel IPsec.
8
N. DORASWAMY, D. HARKINS – IPSec: La nouvelle norme de sécurité
pour Internet, Intranet et le Réseau Privé Virtuel, Pearson
Education, 2003
2
9
Figure 2.2. un tunnel IPsec.

II.1.5. Les pare-feu
Un pare-feu un élément (logiciel ou matériel) du réseau informatique

contrôlant les communications qui le traversent. Il a pour fonction de
faire respecter la politique de sécurité du réseau, celle-ci définissant
quels sont les communications autorisés ou interdits. N'empêche pas
un attaquant d'utiliser une connexion autorisée pour attaquer le
système. Ne protège pas contre une attaque venant du réseau
intérieur (qui ne le traverse pas).
Figure 2.3. le pare-feu dans le VPN.
Les pare-feu peuvent être de deux types, proxy et applicatif. Dans le

premier cas, le pare-feu a pour objectif de couper la communication
entre un client et un serveur ou entre un client et un autre client. Ce
type de pare-feu ne permet pas à un attaquant d’accéder
directement à la machine attaquée, ce qui donne une forte
protection supplémentaire. Dans le second cas, le pare-feu détecte
les flots applicatifs et les interrompt ou non suivant les éléments
filtrés.
II.2. VIRTUAL PRIVATE NETWORK (VPN)

II.2.1. Introduction9
La croissance de l’utilisation d'Internet donne lieu à des nouveaux
modes de travail tel que le télétravail, l'échange d'informations
privilégiées entre différentes filiales d'une entreprise, ou encore la
consultation de sites web et des systèmes informatiques de ses
9
Mark LEWIS, Comparing, designing, and deploying VPNS, éd. Cisco Press,
Californie, 2006, Pg.
3
0
fournisseurs ou clients. Les applications et les systèmes distribués
font de plus en plus partie intégrante du paysage d'un grand nombre
d'entreprises. Ces technologies ont pu se développer grâce aux
performances toujours plus importantes des réseaux locaux. Mais le
succès de ces applications a fait aussi apparaître un de leur écueil.
En effet si les applications distribuées deviennent le principal outil du
système d'information de l'entreprise, comment assurer leur accès
sécurisé au sein de structures parfois réparties sur de grandes
distances géographiques ? Quand on parle de sécurité, c'est en
faisant référence aux pirates, virus, vers, cheval de Troie... qui
profitent des failles des protocoles, du système, mais surtout du fait
que le réseau n'était pas développé dans une optique « sécurité ».
Concrètement comment une succursale d'une entreprise peut-elle
accéder aux données situées sur un serveur de la maison mère
distant de plusieurs milliers de kilomètres ? Les Réseaux Privés
Virtuels Virtual Private (en anglais Virtual Private Networks « VPN »)
ont commencé à être mis en place pour répondre à ce type de
problématique et sont de plus en plus utilisés. Mais d'autres
problématiques sont apparues et les VPN ont aujourd'hui pris une
place importante dans les réseaux informatique et l'informatique
distribuées.
L'objet de cette partie sera donc, de présenter les différents types de
VPN existants, nous nous intéresserons ensuite aux protocoles
permettant leurs mises en place, mais aussi d'en proposer quelques
cas d’utilisation.
II.2.2. Caractéristiques d'un VPN
Un système de VPN doit pouvoir mettre en œuvre les fonctionnalités
suivantes :
 Authentification des utilisateurs
Pour certains VPN, (dans le cas du télétravail par exemple), il est
important de savoir quels sont ceux qui participent au processus afin
d'éviter les problèmes de sécurité liés à L'usurpation d'identité et par
la même à l'accès illicite aux réseaux privés. De plus, un historique
des connexions et des actions effectuées sur le réseau doit être
conservé.
 Cryptage des données
Le chiffrement assure que le contenu des données transmises sur le
réseau public n'est connu que des parties qui échangent
l'information. De ce fait, un tiers interceptant le trafic du VPN n'aura
pas la possibilité d'en déterminer la teneur.
3
1
 Gestion d'adresses
Chaque client sur le réseau doit avoir une adresse privée qui restera
confidentielle. Un nouveau client doit pouvoir se connecter
facilement au réseau et recevoir une adresse.
 Gestion de clés
Les clés de cryptage pour le client et le serveur doivent pouvoir être
générées et régénérées après un certain temps bien déterminé par
l’administrateur.
 Prise en charge multi protocole
La solution VPN doit supporter les protocoles les plus utilisés sur les
réseaux publics en particulier le protocole IP.
 Intégrité des données
Le chiffrement et le hachage assurent que les données reçues au
travers du VPN par le destinataire sont identiques à celles envoyées
par l'expéditeur : il n'y aura ainsi aucune possibilité, pour une tierce
partie, de changer les données en transit dans le VPN.
Le VPN ne décrit pas L’implémentation effective de ces
caractéristiques. C'est pourquoi il existe plusieurs produits différents
sur le marché dont certains sont devenus standards.
II.2.3. Fonctionnement d'un VPN10
Un VPN utilise la cryptographie pour assurer la confidentialité,
l'intégrité et l’authentification des données, même si celles-ci sont
envoyées sur l'Internet. Il existe à ce jour plusieurs standards et
implémentations dans les VPN. Principe général
Un réseau VPN repose sur un protocole appelé "protocole de
tunneling". Ce protocole permet de faire circuler les
informations de l'entreprise de façon cryptée d'un bout à
l’autre du tunnel. Ainsi, les utilisateurs ont l’impression de se
connecter directement sur le réseau de leur entreprise. Le principe
de tunneling consiste à construire un chemin virtuel après avoir
identifié l'émetteur et le destinataire. Par la suite, la source chiffre
les données et les achemine en empruntant ce chemin virtuel. Afin
d'assurer un accès aisé et peu coûteux aux intranets ou aux
extranets d'entreprise, les réseaux privés virtuels d'accès simulent
un réseau privé, alors qu’ils utilisent en réalité une infrastructure
d'accès partagée, comme Internet. Les données à transmettre
Laurent BLOCH et christophe WOLFHUGEL, sécurité informatique : principes et

10
méthodes, éd. Eyrolles, Paris, 2ème édition

3
2
peuvent être prises en charge par un protocole différent d'IP. Dans
ce cas, le protocole de tunneling encapsule les données en ajoutant
un en-tête. Le tunneling est L’ensemble des processus
d’encapsulation, de transmission et de désencapsulation.
II.2.4. Différents catégories des VPN
IL existe 3 grandes catégories de VPN :
a. VPN pour l'accès à distance :
Ce type de VPN peut être utilisé pour accéder à certaines ressources
prédéfinies d'une entreprise sans y être physiquement présent.
Cette opportunité peut ainsi être très utile au commercial ou au
cadre qui souhaite se connecter au réseau de son entreprise lors
d'un déplacement. En général, l’utilisateur de ce type de VPN
possède un accès Internet chez un fournisseur d'accès standard
(ISP). Il permet à des utilisateurs itinérants d'accéder au réseau
privé. L’utilisateur se sert d'une connexion Internet pour établir La
connexion VPN. IL existe deux cas:
 L’utilisateur demande au fournisseur d'accès de lui établir une
connexion cryptée vers Le serveur distant : il communique
avec le NAS (Network Access Server) du fournisseur d'accès et
c'est le NAS qui établit la connexion cryptée. l’utilisateur
possède son propre logiciel client pour le VPN auquel cas il
établit directement la communication de manière cryptée vers
le réseau de l'entreprise.
Les deux méthodes possèdent chacune Leurs avantages et Leurs
inconvénients :
- La première permet à l’utilisateur de communiquer sur
plusieurs réseaux en créant plusieurs tunnels, mais nécessite
un fournisseur d'accès proposant un NAS compatible avec la
solution VPN choisie par l'entreprise. De plus, la demande de
connexion par le NAS n'est pas cryptée ce qui peut poser des
problèmes de sécurité.
- La deuxième méthode, ce problème disparaît puisque
L’intégralité des informations sera cryptée dès L’établissement
de la connexion. Par contre, cette solution nécessite que
chaque client transporte avec lui le logiciel, lui permettant
d’établir une communication cryptée. Nous verrons que pour
pallier à ce genre de problème certaines entreprises mettent
en place des VPN à base du protocole SSL, technologie
implémentée dans la majorité des navigateurs Internet du
marché.
3
3
Quelle que soit la méthode de connexion choisie, ce type
d’utilisation montre bien l'importance dans le VPN d'avoir une
authentification forte des utilisateurs. Cette authentification peut se
faire par une vérification "Login / mot de passe", par un algorithme
dit "Tokens sécurisés" (utilisation de mots de passe aléatoires) ou
par certificats numériques.
Figure 2.4. VPN pour l'accès à distance.
b. VPN Intranet
L'intranet VPN est utilisé pour relier au moins deux intranets entre
eux (par exemple les réseaux de plusieurs filiales). Ce type de
réseau est particulièrement utile au sein d'une entreprise possédant
plusieurs sites distants. Le plus important dans ce type de réseau est
de garantir la sécurité et l'intégrité des données. Certaines données
très sensibles peuvent être amenées à transiter sur le VPN (base de
données clients, informations financières...). Des techniques de
cryptographie sont mises en œuvre pour vérifier que les données
n'ont pas été altérées. Il s'agit d'une authentification au niveau
paquet pour assurer la validité des données, de L'identification de
Leur source ainsi que leur non-répudiation. La plupart des
algorithmes utilisés font appel à des signatures numériques qui sont
ajoutées aux paquets. La confidentialité des données est aussi basée
sur des algorithmes de cryptographie. La technologie en la matière
est suffisamment avancée pour permettre une sécurité quasi
parfaite des données en transit.
c. VPN Extranet
Une entreprise peut utiliser le VPN pour communiquer avec ses
clients et ses partenaires d'accéder à certaines données d'une
entreprise. Elle ouvre alors son réseau local à ces derniers. Dans ce
cadre, il est fondamental que l'administrateur du VPN puisse tracer
les clients sur le réseau et gérer Les droits de chacun sur celui-ci.
3
4
La plupart des sites « e-commerce » ainsi que Les banques offrent
ce type de connexion sécurisée à leurs clients.
Figure 2.5. VPN Extranet.
II.2.5. Quelques protocoles de base utilisés dans le VPN

Nous pouvons classer les protocoles que nous allons étudier en deux
catégories, à savoir:
- Les protocoles de niveau 2 tels que Le PPTP et Le L2TP
- Les protocoles de niveau 3 tels qu’IPSec et MPLS
Il existe en réalité trois protocoles de niveau 2 permettant de
réaliser des VPN : PPTP (de Microsoft), L2F (celui développé par
CISCO) et enfin L2TP. Nous n'évoquerons, pour notre étude que PPTP
et L2TP : Le protocole L2F ayant aujourd'hui quasiment disparut. Le
protocole PPTP aurait sans doute lui aussi disparut sans le soutien de
Microsoft qui continue à l'intégrer à ses systèmes d’exploitations
Windows. L2TP est une évolution de PPTP et de L2F, reprenant les
avantages des deux protocoles. Les protocoles de couche 2
dépendent des fonctionnalités spécifiées pour PPP (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le
fonctionnement de ce protocole.
II.2.5.1. Rappels sur PPP
Le protocole PPP (Point to Point Protocol) est par définition, le
protocole qui permet d’établir une relation d'un point à un autre,
c'est un protocole qui permet de transférer des données sur un Lien
synchrone ou asynchrone. Il est full duplex et garantit l'ordre
d'arrivée des paquets. IL encapsule les paquets IP et IPX dans des
trames PPP, puis transmet ces paquets encapsulés au travers de la
liaison point à point. PPP est employé généralement entre un client
d'accès à distance et un serveur d'accès réseau (NAS). On peut donc
considérer un tel protocole comme « équivalent » à une « Liaison
3
5
téléphonique », qui ne permet à un même instant de n'être en
relation qu'avec une personne.
 Les différentes phases d'une connexion PPP
Toute connexion PPP commence et finit par une phase dite de
"Liaison morte". Dès qu'un événement externe indique que la
couche physique est prête, la connexion passe à la phase suivante, à
savoir l’établissement de la liaison. Comme PPP doit être supporté
par un grand nombre d'environnements, un protocole spécifique a
été élaboré et intégré à PPP pour toute la phase de connexion ; il
s'agit de LCP (Link Control Protocol). LCP est un protocole utilisé pour
établir, configurer, tester, et terminer la connexion PPP. Il permet de
manipuler des tailles variables de paquets et effectue un certain
nombre de tests sur la configuration. Il permet notamment de
détecter un lien bouclé sur lui-même. La connexion PPP passe
ensuite à une phase d'authentification. Cette étape est facultative et
doit être spécifiée lors de la phase précédente. Si l'authentification
réussie ou qu’elle n'a pas été demandée, la connexion passe en
phase de "Protocole réseau". C'est lors de cette étape que les
différents protocoles réseaux sont configurés. Cette configuration
s'effectue séparément pour chaque protocole réseau. Elle est
assurée par le protocole de contrôle de réseau (NCP) approprié. A ce
moment, le transfert des données est possible. Les NCP peuvent à
tout moment ouvrir ou fermer une connexion. PPP peut terminer une
liaison à tout moment, parce qu'une authentification a échouée, que
la qualité de la ligne est mauvaise ou pour toute autre raison. C'est
le LCP qui assure la fermeture de la liaison à l'aide de paquets de
terminaison. Les NCP sont alors informés par PPP de la fermeture de
la Liaison.
II.2.5.2 Le protocole PPTP
C'est un protocole qui utilise une connexion PPP à travers un réseau
IP en créant un réseau privé virtuel (VPN). Microsoft a implémenté
ses propres algorithmes afin de l'intégrer dans ses versions de
Windows. Ainsi, PPTP est une solution très employée dans les
produits VPN commerciaux à cause de son intégration au sein des
systèmes d’exploitation Windows. PPTP est un protocole de niveau 2
qui permet l'encryptage des données ainsi que leur compression. Le
principe du protocole PPTP est de créer des paquets sous Le
protocole PPP et de les encapsuler dans des datagrammes IP. PPTP
crée ainsi un tunnel de niveau 3 défini par le protocole GRE (Generic
Routing EncapsuLation). Le tunnel PPTP se caractérise par une
initialisation du client, une connexion de contrôle entre le client et le
serveur ainsi que par la clôture du tunnel par le serveur. Lors de
l’établissement de la connexion, le client effectue d'abord une
3
6
connexion avec son fournisseur d'accès Internet. Cette première
connexion établie une connexion de type PPP et permet de faire
circuler des données sur Internet. Par la suite, une deuxième
connexion dial-up est établie. Elle permet d’encapsuler les paquets
PPP dans des datagrammes IP. Tout trafic client conçu pour Internet
emprunte la connexion physique normale, alors que le trafic conçu
pour le réseau privé distant, passe par la connexion virtuelle de
PPTP.
II.2.5.3. Le protocole L2TP (Layer 2 Tunneling Protocol)
L2TP est le successeur version « IETF » des protocoles de tunneling
propriétaires, comme ATMP (Ascend Tunneling Management
Protocol). Ce protocole est issu de la convergence des protocoles
PPTP et L2F. Il est actuellement développé et évalué conjointement
par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres
acteurs clés du marché des réseaux. Il permet l’encapsulation des
paquets PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP).
Lorsqu’il est configuré pour transporter les données sur IP, L2TP peut
être utilisé pour faire du tunneling sur Internet. L2TP repose sur deux
concepts : Les concentrateurs d'accès L2TP (LAC : L2tp Access
Concentrator) et les serveurs réseau L2TP (LNS : L2TP Network
Server). L2TP n'intègre pas directement de protocole pour le
chiffrement des données. C'est pourquoi l'IETF préconise l’utilisation
conjointe d'IPSec et L2TP.
 Concentrateurs d'accès L2TP (LAC : L2tp Access
Concentrator)
Les périphériques Lac fournissent un support physique aux
connexions L2TP. Le trafic étant alors transféré sur les serveurs
réseau L2TP. Ces serveurs peuvent s'intégrer à la structure d'un
réseau commuté RTC ou alors à un système d'extrémité PPP prenant
en charge le protocole L2TP. Ils assurent le fractionnement en
canaux de tous les protocoles basés sur PPP. Le Lac est l'émetteur
des appels entrants et le destinataire des appels sortants.
 Serveur réseau L2TP (LNS : L2tp Network Server)
Les serveurs réseau L2TP ou LNS peuvent fonctionner sur toute
plateforme prenant en charge la terminaison PPP. Le LNS gère le
protocole L2TP côté serveur. Le protocole L2TP n’utilise qu'un seul
support, sur lequel arrivent les canaux L2TP. C'est pourquoi, les
serveurs réseau LNS, ne peuvent avoir qu'une seule interface de
réseau Local (LAN) ou étendu (WAN). Ils sont cependant capables de
terminer les appels en provenance de n'importe quelle interface PPP
du concentrateur d'accès Lac : async, RNIS, PPP sur ATM ou PPP sur
3
7
relais de trame. Le LNS est l'émetteur des appels sortants et le
destinataire des appels entrants. C'est le LNS qui sera responsable
de l'authentification du tunnel.
II.2.5.4. Le protocole IPSec
IPSec est un protocole qui vise à sécuriser l'échange de données au
niveau de la couche réseau. Le réseau Ipv4 étant largement déployé
et la migration vers IPV6 étant inévitable, mais néanmoins longue, il
est apparu intéressant de développer des techniques de protection
des données communes à IPV4 et IPV6. Ces mécanismes sont
couramment désignés par le terme IPSec pour IP Security Protocols.
IPSec est basé sur deux mécanismes. Le premier, AH, pour
Authentification Header vise à assurer l'intégrité et l’authenticité des
datagrammes IP. Il ne fournit par contre aucune confidentialité : Les
données fournies et transmises par ce "protocole" ne sont pas
encodées. Le second, ESP, pour « Encapsulating Security Payload »
peut aussi permettre l'authentification des données mais est
principalement utilisé pour le cryptage des informations. Bien
qu'indépendants ces deux mécanismes sont presque toujours
utilisés conjointement. Enfin, le protocole Ike permet de gérer les
échanges ou les associations entre protocoles de sécurité. Avant de
décrire ces différents protocoles, nous allons exposer les différents
éléments utilisés dans IPSec.
 Fonctionnement du protocole IPsec
On distingue deux situations :
 Trafic sortant
Lorsque la "couche" IPSec reçoit des données à envoyer, elle
commence par consulter la base de données des politiques de
sécurité (SPD) pour savoir comment traiter ces données. Si cette
base lui indique que le trafic doit se voir appliquer des mécanismes
de sécurité, elle récupère les caractéristiques requises pour la SA
correspondante et va consulter la base des SA (SAD). Si la SA
nécessaire existe déjà, elle est utilisée pour traiter le trafic en
question. Dans le cas contraire, IPSec fait appel à IKE pour établir
une nouvelle SA avec les caractéristiques requises.
 Trafic entrant
Lorsque La couche IPSec reçoit un paquet en provenance du réseau,
elle examine l'en-tête pour savoir si ce paquet s'est vu appliquer un
ou plusieurs services IPSec et si oui, quelles sont Les références de
la SA. Elle consulte alors la SAD pour connaître les paramètres à
utiliser pour la vérification et/ou le déchiffrement du paquet. Une fois
3
8
le paquet vérifié et/ou déchiffré, la SPD est consultée pour savoir si
l’association de sécurité appliquée au paquet correspondait bien à
celle requise par les politiques de sécurité. Dans le cas où le paquet
reçu est un paquet IP classique, la SPD permet de savoir s'il a
néanmoins le droit de passer. Par exemple, les paquets IKE sont une
exception. Ils sont traités par Ike, qui peut envoyer des alertes
administratives en cas de tentative de connexion infructueuse.
 Inconvénients
L'inconvénient de ce mode réside dans le fait que l’en-tête extérieur
est produit par la couche IP c'est-à-dire sans masquage d'adresse.
De plus, le fait de terminer les traitements par la couche IP ne
permet pas de garantir la non- utilisation des options IP
potentiellement dangereuses. L'intérêt de ce mode réside dans une
relative facilité de mise en œuvre. Dans le mode tunnel, les données
envoyées par l’application traversent la pile de Protocol jusqu'à la
couche IP incluse, puis sont envoyées vers le module IPSec.
L’encapsulation IPSec en mode tunnel permet le masquage
d'adresses. Le mode tunnel est utilisé entre deux passerelles de
sécurité (routeur, firewall,...) alors que le mode transport se situe
entre deux hôtes.
II.2.5.5. Le Protocole ESP (Encapsulating Security Payload)

Le protocole ESP peut assurer au choix, un ou plusieurs des services
suivants :
 Confidentialité (confidentialité des données et protection
partielle contre l’analyse du trafic si l'on utilise le mode tunnel).
Intégrité des données en mode non connecté et
authentification de l'origine des données, protection contre le
rejet. La confidentialité peut être sélectionnée
indépendamment des autres services, mais son utilisation sans
intégrité/authentification (directement dans Esp ou avec AH)
rend le trafic vulnérable à certains types d'attaques actives qui
pourraient affaiblir le service de confidentialité.
II.2.5.6. Le protocole MPLS11
Le protocole MPLS est un brillant rejeton du "tout IP". Il se présente
comme une solution aux problèmes de routage des datagrammes IP
véhiculés sur Internet. Le protocole MPLS fut initialement développé
pour donner une plus grande puissance aux commutateurs IP, mais
Bob VACHON et Rick GRAZIANI, Accessing the WAN :CCNA exploration

11
Compagnion Guide, éd. CISCO Press, 2008, Indianapolis

3
9
avec l'avènement de techniques de commutation comme CEF (Cisco
Express Forwarding) et la mise au point de nouveaux ASIC
(Application Specific Interface Circuits), les routeurs IP ont vu leurs
performances augmenter sans le recours à MPLS.
 Principe de fonctionnement de MPLS
Le principe de base de MPLS est La commutation de labeLs. Ces
Labels, simples nombres entiers, sont insérés entre les en-têtes de
niveaux 2 et 3, les routeurs permutant alors ces Labels tout au long
du réseau jusqu'à destination, sans avoir besoin de consulter l'entête
IP et leur table de routage.
 Commutation par labels
Cette technique de commutation par Labels est appelée Label
Swapping. MPLS permet de définir des piles de Labels (Label stack),
dont l'intérêt apparaîtra avec Les VPN. Les routeurs réalisant les
opérations de Label swapping sont appelés LSR pour Label Switch
Routers.
Les routeurs MPLS situés à la périphérie du réseau (Edge Lsr), qui
possèdent à La fois des interfaces IP traditionnelles et des interfaces
connectées au backbone MPLS, sont chargés d'imposer ou de retirer
les Labels des paquets IP qui les traversent. Les routeurs d'entrée,
qui imposent les Labels, sont appelés Ingress Lsr, tandis que les
routeurs de sortie, qui retirent les Labels, sont appelés Egress LSR.
 Utilisation du MPLS pour les VPN
Pour satisfaire les besoins des opérateurs de services VPN, la gestion
de VPN-IP à L'aide des protocoles MPLS a été définie dans une
spécification référencée. Des tunnels sont créés entre des routeurs
MPLS de périphérie appartenant à l'opérateur et dédiés à des
groupes fermés d'usagers particuliers, qui constituent des VPN. Dans
l'optique MPLS/VPN, un VPN est un ensemble de sites placés sous la
même autorité administrative, ou groupés suivant un intérêt
particulier.
 Routeurs P, PE et CE
Une terminologie particulière est employée pour désigner les
routeurs (en fonction de leur rôles) dans un environnement MPLS /
VPN :
 P (Provider) : ces routeurs, composant le coeur du backbone
MPLS, n'ont aucune connaissance de la notion de VPN. Ils se
contentent d'acheminer les données grâce à La commutation
de labels ;
4
0
 PE (Provider Edge) : ces routeurs sont situés à La frontière du
backbone MPLS et ont par définition une ou plusieurs interfaces
reliées à des routeurs clients ;
 CE (Customer Edge) : ces routeurs appartiennent au client et
n'ont aucune connaissance des VPN ou même de la notion de
Label. Tout routeur « traditionnel » peut être un routeur CE,
quel que soit son type ou la version d'OS utilisée.
 Routeurs Virtuels : VRF

La notion même de VPN implique L’isolation du trafic entre sites
clients n'appartenant pas aux mêmes VPN. Pour réaliser cette
séparation, les routeurs PE ont la capacité de gérer plusieurs tables
de routage grâce à la notion de VRF (VPN Routing and Forwarding).
Une VRF est constituée d'une table de routage, d'une FIB
(Forwarding Information Base) et d'une table CEF spécifiques,
indépendantes des autres VRF et de la table de routage globale.
Chaque VRF est désignée par un nom (par ex. RED, GREEN, etc.) sur
les routeurs PE. Les noms sont affectés Localement et n'ont aucune
signification vis-à-vis des autres routeurs.
Chaque interface de PE, reliée à un site client, est rattachée à une
VRF particulière. Lors de la réception de paquets IP sur une interface
client, le routeur PE procède à un examen de la table de routage de
la VRF à laquelle est rattachée l'interface et donc ne consulte pas sa
table de routage globale. Cette possibilité d’utiliser plusieurs tables
de routage indépendantes permet de gérer un plan d'adressage par
sites, même en cas de recouvrement d'adresses entre VPN
différents.
 Aspect sécuritaire
La séparation des flux entre clients sur des routeurs mutualisés
supportant MPLS est assurée par le fait que seul la découverte du
réseau se fait au niveau de la couche 3 et qu'ensuite le routage des
paquets est effectué en s'appuyant uniquement sur le mécanisme
des Labels (intermédiaire entre la couche 2 et la couche 3). Le
niveau de sécurité est Le même que celui de Frame Relay avec les
DLCI au niveau 2.
II.2.5.7. Le protocole SSL
Récemment arrivé dans le monde des VPN, les VPN à base de SSL
présente une alternative séduisante face aux technologies
contraignantes que sont les VPN présentés jusqu' ici. Les VPN SSL
présentent en effet le gros avantage de ne pas nécessiter du coté
client plus qu'un navigateur Internet classique. En effet le protocole
4
1
SSL utilisé pour la sécurisation des échanges commerciaux sur
Internet est implémenté en standard dans les navigateurs modernes.
SSL est un protocole de couche 4 (niveau transport) utilisé par une
application pour établir un canal de communication sécurisé avec
une autre application. SSL a deux grandes fonctionnalités :
L'authentification du serveur et du client à l’établissement de la
connexion et le chiffrement des données durant la connexion.
CHAPITRE III ETUDE D’OPPORTUNITE
III.1. SITUATION GEOGRAPHIQUE

La CADECO est située au numéro 38 de l’avenue CADECO, dans la
commune de la GOMBE à KINSHASA.
III.2. LES MISSIONS DE LA CADECO La CADECO
La CADECO a pour missions :
- Collecter l’épargne des personnes physiques et morales ;

- Assurer la promotion de l’épargne sur toute l’étendue du
territoire national ;
- Drainer les fonds collecté dans le financement du
développement social et économique, par l’octroi des prêts et
crédits aux différents secteurs de la vie économique ;
- Effectuer toutes les opérations bancaires généralement
reconnues aux banques commerciales.
III.3. HISTORIQUE DE LA CADECO
La première caisse d’Epargne au Congo fut créée par le décret par le

décret royal du 9 décembre 1891. Elle était réservée exclusivement
aux blancs. Elle recevait essentiellement les dépôts des
fonctionnaires de l’administration publique coloniale belge en
activité au Congo. Elle était placée sous la garantie de l’Etat.
La caisse d’Epargne pour les indigènes fut créée par l’Ordonnance
du 24 Mars 1915. En 1947, l’Administration coloniale belge demanda
à la Caisse d’Epargne et de retraite de Belgique (CGER) en sigle
d’étudier les possibilités d’installer une nouvelle caisse d’épargne au
Congo à dimension élargie. Ainsi, le 10 Juin 1950 fut créée par le
décret-loi la Caisse d’Epargne du Congo Belge et du Rwanda-
Burundi. L’article 36 du décret-loi du 10 Juin 1950 stipule ce qui suit :
4
2
« la caisse d’Epargne, sous la garantie de l’Etat créée par le décret
du 9 décembre. 1891 et la caisse d’Epargne pour les indigènes
instituée par l’ordonnance du 24 Mars 1915 sont supprimées. Leur
actif et leur passif sont repris sont repris pat la caisse d’Epargne du
Congo et du Rwanda-Burundi ». L’article 37 ajoute ce qui suit : « les
avoirs d’Epargne constitués en vertu de l’article 33 de l’ordonnance
du 26 avril 1935, de l’article 10 de l’ordonnance du 12 octobre 1939
et de l’article 40 de l’ordonnance 12 décembre 1947 seront versés à
la Caisse d’Epargne du Congo Belge du Rwanda et Burundi. Ils
seront soumis aux conditions ordinaires de dépôts et de retrait de la
Caisse. L’article 1 du décret du 10 Juin 1950 est ainsi libellé : il est
créé une Caisse d’Epargne du Congo Belge et du Rwanda. Burundi
désignée ci-après par les mots : « la caisse ». A l’occasion de
l’indépendance du Congo, du Rwanda et Burundi, la caisse fut
scindée en trois institutions financières distinctes c’est la naissance
de la Caisse d’Epargne du Congo, CADECO en 1950.
En 1971, à la suite du changement de l’appellation du pays, le
Congo étant devenu la Zaïre, la Caisse d’Epargne du Congo est
devenue la Caisse d’Epargne du Zaïre, en sigle CADEZA. Avec
l’arrivée de l’AFDL, le nouveau pouvoir proclama solennellement le
changement de nom du pays, et la caisse reprit son appellation de la
Caisse Générale ’Epargne du Congo « CADECO » en sigle.
Conformément à l’article 4 de la loi n° 08/007 du 07 Juillet 2008 et le
décret n° 09/12 du 24 avril 2009, la CADECO, ayant pour actionnaire
unique l’Etat, est devenue d’abord une SARL (Société par Actions à
responsabilité Limitée) avant d’être finalement transformée en une
Société Anonyme Unipersonnelle (SAU) avec un Conseil
d’Administration régie de l’Acte uniforme révisé le 30 Janvier 2014.
Son nouveau registre de commerce port le n° KG/9. 107/4 et
l’indentification Nationale par le n° 01-610-N59769N.
III.3 STRUCTURE ORGANISATIONNELLE
Conformément aux nouveaux statuts, la structure de la CADECO SAU

se présente comme suit :
 L’Assemblée Générale ;
 Le Conseil d’Administration ;
 Direction générale ;
 Le Collège des Commissaires aux comptes.
4
3
III.3.1 L’Assemblée Générale
Les Assemblée Générales de l’actionnaire unique sont convoquées et

délibèrent les conditions de l’acte uniforme révisé relatif au droit des
sociétés commerciales et des groupements d’intérêts économiques
sous réserve des dispositions spécifiques propres aux entreprises
publiques issues notamment du décret n° 13/002 du 15 Janvier 2013
portant organisation de la représentation de l’actionnaire unique au
sein de l’Assemblée Générale d’une entreprise publique transformée
en Société commerciale. Les Assemblées Générales sont convoquées
soit par le Conseil d’Administration, soit par les commissaires aux
comptes, soit par un mandataire désigné en justice dans les
conditions prévues à cet effet par l’acte uniforme révisé relatif au
droit des sociétés commerciales et des groupements d’intérêts
économiques.
L’Assemblée est présidée par le Président du Conseil
d’Administration ou en cas d’empêchement de celui-ci, par le doyen
en âge des administrateurs présents.
III.3.2 Le Conseil d’Administration
La Société est Administrée par un Conseil d’Administration composé

de trois membres au moins et de douze membres au plus,
personnes physiques ayant statut de mandataires publics
remplissant les conditions prévues par l’article 11 de la loi n° 08/0
10 du 07 Juillet 2008. Le Conseil d’Administration détermine les
orientations de l’activité de la société et veille à leur mise en œuvre.
- Préciser les objectifs de la société et l’orientation qui droit être
donnés à son administration ;
- Exercer un contrôle permanent de la gestion assurée par le
Directeur Générale ;
- Procéder aux contrôles et vérification est tenu de communiquer
à chaque administrateur tous les documents et informations
nécessaires à l’accompagnement de la mission ;
- Autoriser les, conventions réglementées, cautionnements,
avals, garanties dans les conditions fixées par la loi et les
présents statuts ;
- Arrêter les comptes de chaque exercice, les états financiers ; et
les rapports de gestion sur l’activité de la société qui sont
soumis à l’approbation de l’Assemblée unique ;
- Déterminer, par période annuelle, des indicateurs quantitatifs
et qualitatifs permettant d’évaluer les performances ainsi que
celles de ses dirigeants ;
4
4
- Convoquer l’Assemblée Générale de l’actionnaire unique et en
déterminer l’ordre du jour ;
- Modifier exceptionnellement les statuts dans seul cas et
suivant les conditions prévues par l’acte uniforme révisé et les
statuts.
- Le Président du Conseil d’Administration préside les réunions
du Conseil d’Administration et les Assemblées Générales. Il
doit veiller à ce que le Conseil d’administration assume le
contrôle de la gestion de la société confiée au Directeur
Général.
III.3.3. La Direction Générale
Le Directeur Générale assure la gestion journalière de la société et

l’exécution des décisions du Conseil d’ Administration auquel il rend
compte de sa gestion.
III.3.4. Le collège des commissaires aux comptes
Deux commissaires aux comptes sont nommés par le Président de la

République pour un mandat de deux ans renouvelables. Leur rôle est
de contrôler la gestion financière de l’entreprise. Ils vérifient les
comptes sociaux de l’entreprise et certifient la sincérité et la
régularité des états financiers.
III.35. Les Directions, Départements autonomes, Succursales,
Agences et Aubettes
Pour la réalisation de son objet social, la CADECO dispose de huit

directions et trois départements qui sont rattachés à la Direction
Générale et qui ont le rang de sous-direction. Il s’agit des Directions
et Départements suivants :
• La Direction Technique ;
• La Direction Financier ;
• La Direction d’Audit ;
• La Direction des Ressources Humaines ;
• La Direction des Crédits ;
• La Direction des Services Généraux ;
• La Direction de Formation ;
• La Direction de Contrôle de Gestion ;
• Le Département de l’Informatique ;
• Le Département Juridique et Recouvrement ;
• Le Département de Communication.
Elle dispose aussi des succursales, Agences et Aubettes.
4
5
III.3.5. LES ATTRIBUTIONS DES DIRECTIONS ET DES

DIRECTIONS ET
DEPARTEMENT, AUTONOMES, SUCCURSALES, AGENCES ET
AUBETTES
1. LES DIRECTIONS
a) Direction de l’épargne
Cette direction a notamment pour fonctions principales :
- La collecte de l’épargne, la supervision, la coordination et le

contrôle des opérations de l’épargne et comptes bancaires au
niveau national, ainsi que des opérations en monnaies
étrangères pour l’ensemble des succursales, agences et
aubettes de la CADECO ;
- La production des documents relatifs aux opérations ne
monnaies locales et étrangère, l’élaboration des codes,
l’attribution des numéros, des séries des comptes aux
nouvelles agences et autres ;
- L’élaboration des études des marchés, de rentabilité et des
coutes d’investissements ;
- La centralisation, l’analyse et la critique des statistiques
épargne et des comptes bancaires provenant de l’ensemble
des siège de la CADECO ;
- La conception et la production des rapports publicitaires et le
maintien des contacter avec la presse écrite et audio-visuelle ;
- La création, le maintien et l’accroissement des relations avec
le monde des caisses d’épargne et autres organismes
internationaux par délégation du pouvoir du Président Délégué
Général ;
- Le maintien des contacts avec la bancaire Centrale du Congo
et avec les autres banques commerciales en ce qui concerne
notamment la réglementation dans le secteur ou la caisse
opère ;
- La motivation et l’accroissement des opérations commerciales
de l’ensemble de la CADECO ;
- La gestion des comptes spéciaux ;
- Le contrôle et l’expédition des listings de capitalisation ;
- L’élaboration des rapports annuels et mensuels considérés de
l’épargne de tous les sièges de la CADECO, etc.
4
6
Cette Direction a trois Départements et un secrétariat à savoir :
- Le Département de Développement ;
- Le Département des Succursales et agences ;
- Département de la Centralisation des Opérations ;
- le Secrétariat de Direction.
b) La Direction Financière
Celle-ci a pour missions :
- La gestion des finances de la CADECO conformément aux

instructions en la matière ;
- L’application de la politique financière et budgétaire de la
CADECO ;
- La production des états financiers de la CADECO ;
- La centralisation de la comptabilité de tous les sièges ;
- L’élaboration des prévisions budgétaires de la CADECO
conformément aux directives de la tutelle ;
- Le contrôle budgétaire des recettes et des dépenses de la
CADECO suivant les normes prévisionnelles retenues.
Cette Direction comprend deux départements et son secrétariat :
- Département de la Comptabilité Générale et ;

- Département de la Gestion Financière ; - Secrétariat de
Direction.
c) La Direction de l’Audit Interne
Cette direction a notamment pour fonctions principales de :
- Veiller à l’application des instructions de la haute direction et

l’application des règles des procédures prévues en différents
domaines ;
- Veiller à la sauvegarde de l’entreprise par un système de contre-
contrôle ;
- Relever toutes les anomalies relatives à la gestion financière et
administrative de la CADECO ;
- Proposer à l’Administrateur Délégué Général, sur base des
anomalies et imperfections constatées et même préventivement,
4
7
des projets, tant de nouvelles notes de service que celles
existantes, ou d’organisation et de fonctionnement de services ;
- Le contrôle sur pièces et sur place des activités des sièges et des
directions de la CADECO. Cette Direction n’a pas de département.
Elle travaille en pool.
d) La Direction des Ressources Humaines
La Direction des Ressources Humaines a pour fonction :
- La gestion de l’ensemble du personnel de la CADECO ;

- L’application des textes légaux réglementaires relatifs au droit du
travail et à la légalisation sociale ;
- L’application des règles et procédures en matière de gestion du
personnel ;
- L’application de la politique sociale au sein de la CADECO ;
- L’application des dispositions du statut ou de la convention
collective ;
- Le calcul des salaires ;
- L’administration des soins de santé préliminaires au personnel et
le transfert des malades vers d’autres hôpitaux de référence en
cas de nécessité.
-
Cette Direction comprend deux départements à savoir :
- Le Département de la Gestion du Personnel ;

- Le Département Médical ;
- Le Secrétariat de Direction.
e) Direction des Services Généraux
Les fonctions de cette Direction sont :
- La Gestion du patrimoine des biens meubles et immeubles de la

CADECO ;
- Les achats et suivis de commandes de la CADECO ;
- La Gestion des Stocks de l’économat Générale, des succursales et
agences en imprimés, fournitures de bureau et autres bien
suivant les instructions en matière ;
- La location, l’équipement de l’entretien des immeubles de la
CADECO et ceux loués par elle ;
4
8
- L’application et le contrôle de l’exécution des instruments en
matière de contrats de loyer ;
- La gestion de l’ensemble du charroi automobile de la CADECO.
Elle a deux départements :
- Département d’achat et approvisionnement ; - Département

des biens patrimoniaux.
f) Direction des Crédits
Cette Direction a pour fonctions principales :
- La conception et l’application de la politique de la CADECO en

matière d’octroi et de recouvrement des crédits ;
- La centralisation des opérations des crédits effectués par les
succursales et agences ;
- La sélection et l’étude des dossiers des demandes de crédits
introduits par les différents opérateurs économique en vue de les
présenter au comité de crédit ;
- L’examen de formalités en vue de la conclusion des contrats des
prêts ;
- La gestion du portefeuille ;
- Le recouvrement des crédits en cours ;
- La collecte des renseignements sur l’endettement du candidat
emprunteur auprès du système bancaire ;
- La communication à la centrale des risques des enseignements
sur les utilisations des lignes de crédit ainsi que les impayés.
Elle englobe dans son sein deux départements qui sont :
- Le Département d’ Etudes et Gestion des risques ;

- Le Département de Gestion des statistiques et Recouvrement.
g) La Direction de Formation Celle-ci a pour fonctions :
- L’accroissement du niveau intellectuel et le perfectionnement des

cadres et agents de la
- CADECO ;
4
9
- La collecte des besoins en formation, séminaires, stage des
agents de la CADECO, notamment auprès des institutions et
autres maisons, spécialisées en matière ;
- Le recyclage du personnel ;
- L’élaboration des programmes de formation et perfectionnement
professionnel et civique ;
- L’encadrement des stagiaires pratiques et les recherches des
étudiants.
Cette direction a un seul département :
- Le Département de la Formation.
h) La Direction de Contrôle de Gestion
Cette direction s’occupe de :
- La coordination de l’exécution des prévisions budgétaires pour

l’ensemble des directions, succursales, agences et aubettes de la
CADECO ;
- Le contrôle des réalisations par rapport aux objectifs arrêtés
traduits par le budget de l’exercice.
2. DEPARTEMENTS
a) Le Département Juridique et Recouvrement
Ce département a pour fonctions notamment de :
- Etudier les divers dossiers judiciaires ;

- Contacter les avocats conseils, les cours et tribunaux ;
- Préparer les dossiers judiciaires pour l’avocat-conseil ;
- Défendre les intérêts de la CADECO devant les instances
judiciaires ;
- Recouvrer les diverses créances de la CADECO auprès des clients
douteux ou récalcitrants ;
- Contribuer aux éclaircissements et intervenants juridiques
sollicités par une direction ou un service de la CADECO ;
- Travailler en étroite collaboration avec la Direction de l’Audit
interne pour des éclaircissements juridiques.
Il englobe en son sein deux bureaux qui sont :

5
0
- Le Service contrats et assurances ;
- Le Service contentieux.
b) Le Département Informatique
Ce Département a pour fonctions principales de :
- Organiser et traiter par ordinateur les diverses données en

provenance de différentes directions, succursales, agences et
aubettes de la CADECO ;
- Concevoir et élaborer les études d’organisation ;
- Etudier, comparer, et chercher les méthodes d’analyse et de
programmation.
Ce Département comprend deux services :
- Le service d’études et projets ; - Le service exploitation.
c) Le Département de la Communication Ce Département a

pour fonctions :
- L’expédition et la réception du courrier ;

- Le protocole pour l’Administrateur Directeur Général ;
- Les relations publiques avec l’autorisation de l’A.D.G ;
- Assurer les relations publiques avec l’autorisation de l’A.D.G. pour
le compte du Conseil d’Administration et du Compoté de gestion.
En plus de ces directions et départements ; il existe divers

secrétariats qui sont rattachés aux organes des hautes directions à
savoir :
a) Le Secrétariat du Président du Conseil
d’Administration Ce Secrétariat a pour fonctions
principales :
- La préparation des réunions du Conseil d’Administration et du

Comité de Gestion ;
- La réalisation de différents travaux à soumettre au Conseil
d’Administration et du Comité de Gestion ;
- La documentation et l’information à communiquer aux différents ;
5
1
- Administrateurs, services et Directions au nom du Président du
Conseil d’Administration et Direction Générale ;
- La Centralisation, la coordination et l’élaboration des rapports du
Conseil d’Administration et du Comité de Gestion ;
- L’expédition ou la transmission de différents documents ou
courrier signés par les différentes directions de la CADECO et aux
ministères de tutelle.
b) Le Secrétariat du Directeur Général
Ce secrétariat à pour fonctions :

- La réception, le dépouillement, l’enregistrement des courriers
destinés au Directeur Général ;
- La centralisation et la préparation de tous les courriers, de tous
les documents ou messages à soumettre à la signature du
Directeur Général ;
- L’expédition ou la transmission du courrier et de divers
documents signés par le Directeur Général et destinés aux
différentes directions de la CADECO et aux tiers ;
- La documentation et l’information à communiquer à différentes
directions avec l’autorisation et pour le compte du Directeur
Général ;
- La gestion des archives et de services dépendants directement du
Directeur Général ; - La supervision de tous les travaux
demandés par le Directeur Général.
-
3. LES SECCURSALES, AGENCES ET AUBETTES
Elles ont pour fonctions :
- Récolter l’épargne des ménages, des entreprises et des

collectivités locales ;
- Gérer les comptes épargne et bancaires des clients ;
- Promouvoir les activités de l’épargne et des comptes bancaires
dans leurs ressort respectifs ;
- Appliquer sous la surveillance de la Direction de l’Epargne, les
règles, instructions, directives et recommandations émanant du
Conseil d’Administration ; du comité de gestion et de
l’Administrateur Délégué Général ;
- Avoir droit de regard sur le fonctionnement des agences et des
aubettes de son ressort.
5
2
14
1.4.7 . Organigramme de la Caisse Générale d’Epargne du Congo
Assemblée Générale
Conseil d’A dministration

Secrétariat
Direction de Générale
Départements Autonos Secrétariat
Informatique
Juridique
Communication
Dir. Technique Dir. Finance Dir. Ressources Dir. Audit Dir. Service Dir. Siege
Dir. Crédit Dir. Contrôle Dir. Formation
Humaine In terne de Gestion Généraux Central
Dpt. Dpt.
Centralisation Comptabilité Dpt. Du Dpt. Appro et
des opérations Dpt. Clientèle
Générale Personnel Achat
Dpt. Etranger
Dpt. Dpt. De Gestion Dpt. Médical Dpt. Matériel
Succursales Dpt. Crédit
Financière et Intendance
Dpt. Comptabilité
Dpt. Développement
III.4. analyse de l’existant
III.5. critique de l’existant
III.6. recommandation aux changements
CHAPITRE IV ETUDE DE DEPLOIEMENT

IV.1. Schéma de principe
Figure 4.1. Schéma d’Interconnexion
IV.2. Etat de besoins
Sur chaque site avoir un réseau Local ayant les équipements

suivants :
Equipements Fabriquant SE exécuté NIC

Des Ordinateurs HP (Core Duo, Windows 8 Pro Marvell Yukon 88E8042 PCI-
Fixes 2Gio RAM et (32 bits), E Fast Ethernet Controller
250 Gio HDD Windows 10
Pro (32 bits)
Laptop HP (I5, RAM : Windows 10 Broadcom 802.11n Network
4 Gio, HDD : (32 bits) Adapter
500 Gio)
Laptop HP (I5, RAM : Ubuntu Broadcom 802.11n Network
8 Gio, HDD : Desktop 16.04 Adapter
500 Gio) LTS (64 bits)
Switchs Switch Cisco IOS 15.04 24 Interfaces Fast Ethernet
Manageable et 2 Interfaces Gigabits
Catalyst de la Ethernet + port Console
série 2560
Router Cisco de la Cisco Cisco IOS Software, C2900 Software (C2900-
série 2911 UNIVERSALK9-M), Version 15.1(4)M4,
RELEASE SOFTWARE (fc2)
Technical Support:
http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems,
Inc.
Compiled Thurs 5-Jan-12 15:41 by pt_team
- connexion Internet d’un FAI ou Opérateur Télécoms

(VODANET, Orange, etc.)
Figure 4.2. Schéma synoptique de déploiement
IV.3. configuration
Périphériqu Interfac Masque de Passerelle

e e Adresse IP sous-réseau par défaut
G0/0 10.0.0.1 255.0.0.0 N/A

S0/0/0 209.165.118.2 255.255.255.252 N/A
INTERNET
Tunnel 0 192.168.0.1 255.255.255.252 N/A
Tunnel 1 192.168.0.5 255.255.255.252 N/A
G0/0 172.16.0.1 255.255.252.0 N/A
R_CA S0/0/0 64.100.13.2 255.255.255.252 N/A
Tunnel 0 192.168.0.2 255.255.255.252 N/A
G0/0 172.16.4.1 255.255.252.0 N/A
R_CB S0/0/0 64.102.46.2 255.255.255.252 N/A
Tunnel 0 192.168.0.6 255.255.255.252 N/A
Partie 1 : vérification de la connectivité du routeur
Étape 1 : envoyez une requête ping à R_CA et R_CB à partir

de INTERNET.
a. À partir de INTERNET, envoyez une requête ping à l'adresse IP

de S0/0/0 sur R_CA.
b. À partir de INTERNET, envoyez une requête ping à l'adresse IP
de S0/0/0 sur R_CB.
Étape 2 : envoyez une requête ping à Server1 à partir de L2

et de PC3.
Essayez d'envoyer une requête ping à l'adresse IP de Server1 à

partir de L2. Nous recommencerons ce test après avoir configuré le
tunnel GRE sur IPsec. Quels étaient les résultats des requêtes ping ?
Pourquoi ?
Étape 3 : envoyez une requête ping à PC3 à partir de L2.
Essayez d'envoyer une requête ping à l'adresse IP de PC3 à partir

de L2. Nous recommencerons ce test après avoir configuré le tunnel
GRE sur IPsec. Quels étaient les résultats des requêtes ping ?
Pourquoi ?
Partie 2 : activation des fonctions de sécurité
Étape 1 : activez le module securityk9.
La licence du pack technologique de sécurité doit être activée pour

pouvoir effectuer cet exercice.
a. Exécutez la commande show version en mode d'exécution

utilisateur ou en mode d'exécution privilégié pour vérifier que la
licence du pack technologique de sécurité est activée.
----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
-----------------------------------------------------------------
ipbase ipbasek9 Permanent ipbasek9
security None None None
uc None None None
data None None None
Configuration register is 0x2102
b. Si ce n'est pas le cas, activez le module securityk9 pour le

prochain démarrage du routeur, acceptez la licence, enregistrez
la configuration et redémarrez.
R1(config)# license boot module c2900 technology-package

securityk9
<="" p="">
INTERNET(config)# end
INTERNET# copy running-config startup-config
INTERNET# reload
c. Après le redémarrage, exécutez à nouveau la commande show

version afin de vérifier l'activation de la licence du pack
technologique de sécurité.
Technology Package License Information for Module:'c2900'

----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
-----------------------------------------------------------------
ipbase ipbasek9 Permanent ipbasek9
security securityk9 Evaluation securityk9
uc None None None
data None None None
d. Répétez les Étapes 1a à 1c avec R2 et R3.
Partie 3 : configuration des paramètres IPsec
Étape 1 : identifiez le trafic intéressant sur INTERNET.
a. Configurez la liste de contrôle d'accès 102 afin

d'identifier le trafic issu du LAN sur INTERNET vers le
LAN sur RLIMETE comme étant le trafic intéressant. Ce
trafic intéressant déclenchera le réseau privé virtuel
IPsec à implémenter, pour autant qu'il y ait du trafic
entre les LAN de RLIMETE et de RPK. Tout autre trafic
provenant des LAN ne sera pas chiffré. Rappelez-vous
qu'en raison de l'instruction deny any implicite, il n'est
pas nécessaire d'ajouter l'instruction à la liste.
INTERNET(config)# access-list 102 permit ip 10.0.0.0

0.255.255.255 172.16.0.0 0.0.3.255
b. Répétez l'étape 1a pour configurer la liste de contrôle

d'accès 103 en vue d'identifier le trafic sur le LAN de R3
comme étant le trafic intéressant.
Étape 2 : configurez les propriétés ISAKMP de phase 1 sur

R1.
a. Configurez les propriétés 102 de la stratégie de chiffrement

ISAKMP sur R1avec la clé de chiffrement partagée cisco. Les
valeurs par défaut ne doivent pas être configurées et par
conséquent seules les méthodes de chiffrement, d'échange de
clés et DH doivent être configurées.
INTERNET(config)# crypto isakmp policy 102

INTERNET(config-isakmp)# encryption aes
INTERNET(config-isakmp)# authentication pre-share
INTERNET(config-isakmp)# group 5
INTERNET(config-isakmp)# exit
INTERNET(config)# crypto isakmp key cisco address
64.100.13.2
b. Répétez l'Étape 2a afin de configurer la stratégie 103. Modifiez

l'adressage IP, le cas échéant.
Étape 3 : configurez les propriétés ISAKMP de phase 2 sur

INTERNET.
a. Créez le transform-set VPN-SET de manière à utiliser esp-

aes et esp-sha-hmac. Créez ensuite la carte de
chiffrement VPN-MAP qui lie ensemble tous les paramètres
de phase 2. Utilisez le numéro d'ordre 10 et identifiez-le
comme étant une carte ipsec-isakmp.
INTERNET(config)# crypto ipsec transform-set R1_R2_Set esp-
aes esp-sha-hmac
INTERNET(config)# crypto map R1_R2_Map 102 ipsec-isakmp
INTERNET(config-crypto-map)# set peer 64.100.13.2
INTERNET(config-crypto-map)# set transform-set R1_R2_Set
INTERNET(config-crypto-map)# match address 102
INTERNET(config-crypto-map)# exit
b. Répétez l'Étape 3a afin de configurer R1_R3_Set et

R1_R3_Map. Modifiez l'adressage, le cas échéant.
Étape 4 : configurez la carte de chiffrement sur l'interface

de sortie.
Enfin, liez les cartes de chiffrement R1_R2_Map et R1_R3_Map à

l'interface Serial 0/0/0 de sortie. Remarque : cet exercice n'est pas
noté.
INTERNET(config)# interface S0/0/0

INTERNET(config-if)# crypto map R1_R2_Map
INTERNET(config-if)# crypto map R1_R3_Map
Étape 5 : configurez les paramètres IPsec sur R2 et R3.
Répétez les Étapes 1 à 5 sur R2 et R3. Utilisez les mêmes listes de

contrôle d'accès, paramètres et noms de cartes que pour R1.
Remarquez que chaque routeur ne nécessite qu'une seule connexion
chiffrée à R1. Il n'y a aucune connexion chiffrée entre R2 et R3.
Partie 4 : configuration de tunnels GRE sur IPsec
Étape 1 : configurez les interfaces de tunnel de R1.
a. Accédez au mode de configuration du tunnel 0 de R1.
INTERNET(config)# interface tunnel 0
b. Configurez l'adresse IP comme indiqué dans la table

d'adressage.
INTERNET(config-if)# ip address 192.168.0.1 255.255.255.252

c. Définissez la source et la destination des points
d'extrémité du tunnel 0.
INTERNET(config-if)# tunnel source s0/0/0

INTERNET(config-if)# tunnel destination 64.100.13.2
d. Configurez le tunnel 0 de manière à transmettre le trafic
IP sur GRE.
INTERNET(config-if)# tunnel mode gre ip
e. L'interface du tunnel 0 devrait déjà être active. Si ce

n'est pas le cas, traitez cette interface comme n'importe
quelle autre.
CONCLUSION
Ce travail scientifique intitulé : « L’Etude sur le Déploiement

d’une Interconnexion Sécurisée de type Hub and SPOKE par
GRE Over IPsec cas la CADECO» présente les concepts et les
processus relatifs aux réseaux GRE, ainsi que les avantages des
implémentations de GRE et des protocoles sous-jacents nécessaires
à la configuration du GRE.
Le protocole GRE est un protocole de tunneling développé par Cisco,

capable d'encapsuler une large variété de types de paquets de
protocoles au sein de tunnels IP, en créant une liaison point à point
virtuelle vers des routeurs Cisco au niveau de points distants sur un
inter réseau IP. Le tunneling IP à l'aide du protocole GRE permet
l'extension du réseau au sein d'un environnement fédérateur à
protocole unique. Il réalise cette opération en connectant des sous-
réseaux multi protocole dans un environnement fédérateur à
protocole unique.
Dans ce travail, nous avions d’abord commencer par les outils

d’interconnexion dont se fonde l’internet qui est le réseau public par
excellence, en suite nous avions parlé de la sécurité réseau et le VPN
d’où nous avions largement présenté les mécanisme et algorithme
de chiffrement puis les technologies liées aux cryptages des
informations échangées plus précisément le VPN, la CADECO a fait
l’objet de notre étude de cas puis un prototype d’une
implémentation logique pour nous aider à comprendre la
configuration du Tunnel GRE OVER IP sec.
Nous ne pouvions finir ce travail scientifique sans demander votre

indulgence aux erreurs qui seront décelées tout au long de la lecture
de ces notes, car comme toute œuvre humaine, elle est soumise à
ce principe naturel de la science.
BIBLIOGRAPHIE
1. Ouvrages
[1]. Andrew S. TENENBAUM, Les réseaux locaux, 3rd édition
(traduction française 2009) Ed. Prentice Hall, avril 2009
[2]. Bob VACHON et Rick GRAZIANI, Accessing the WAN :CCNA

exploration Compagnion Guide, éd. CISCO Press, 2008, Indianapolis
[3]. Guy PUJOLLE, Les Réseaux 6ème édition, édition Eyrolles, Paris.
Jean François LEMAINQUE, Les réseaux et Internet, éd. DUNOD,
Paris, 2014
[4]. Laurent BLOCH et christophe WOLFHUGEL, sécurité
informatique : principes et méthodes, éd. Eyrolles, Paris, 2 ème
édition
[5]. Mark LEWIS, Comparing, designing, and deploying VPNS, éd.
Cisco Press, Californie, 2006, Pg.
[6]. N. DORASWAMY, D. HARKINS – IPSec: La nouvelle norme de
sécurité pour Internet, Intranet et le Réseau Privé Virtuel, Pearson
Education, 2003
[7]. Philippe TALEIN, Notions fondamentales sur les réseaux

informatiques, éd. ENI, Paris, 2008
[8]. Solange GHERNAOUTI, Sécurité informatique et Réseaux, éd.
Dunod, Paris, 2008
2. Notes de cours
[9]. PUKUTA MAMBUKU Jean, Notes de cours de sécurité réseaux,
Informatique, ESMICOM, G3, 2019 - 2020

VPN Site Site102

Transféré par

Droits d'auteur :

Formats disponibles

VPN Site Site102

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

VPN Site Site102

Transféré par

Droits d'auteur :

Formats disponibles

1

AAA : Authentication, Authorization, Accounting

ARPANET : Advanced Research Projetc Agency Network

ATM : Asynchronous Transfer Mode

BGP : Border Gateway protocol

CIDR : Classless Inter-Domain Routing

CPE : Customer Premise Equipment

CSMA/CD : Carrer Sence Multi – Access/Collision Division

CSU : Channel Service Unit

D.O.D : Department of Defense

DCE : Data Circuit Equipment

DLCI : Data Link connection identifier

DMVPN : Dynamic Multipoint Virtual Private

DSL : Digital Subscriber Line

DSU : Data Service Unit

EGP : Exterior Gateway Protocol

EIGRP : Enhanced Interior Gateway Routing protocol

ETCD : Equipement terminal de Circuit de données

ETR : Early Token Release

ETTD : Equipement terminal de Traitement de données

FDDI : Fiber Distributed Data Intarface

FDM : Frequency Division Multiplexing

FLSM : Fixed length Subnet-Mask

FTP : File Transfer protocol

FTP : Foilded Twisted Pair

GRE : generic routing encapsulation

GSM : Global System Mobile

HTTP : Hyper text Transfer protocol

IANA : Internet Assigned Numbers Autority

ICANN : Internet Corporation for Assigned Names and Numbers

IEEE : Institut of Electrical and Electronics Enginering

IGP : Interior Gateway protocol

INTERNET : Interconnexion Network

IS- IS : Intermediate system-to-intermediate system

ISO : International Oarganisation For Standardization

LAN : Local Area Network

MAC : Medium Access Control

MAU : Multiple Access Unit

MPLS : MultiProtocol Lable Switching

NHRP : Netx Hop Resoluation Protocol

OSI : Open System Interconnexion

OSPF : Open Shotest path First

PAN : Personal Area Network

PGP : Pretty good Privancy

PKI : Public Key Infrastructure

PVC : Circuit Virtuel Permanent

Radius : Remote Authentication Dial-in User Service

RIP : Routing Information Formation

RIRS : Registres régionaux

RNIS : Réseau Numérique à intégration de Service

RSA : Rivest, Shamir, Adleman

RTCP : Réseau téléphonique commuté public

SSH : Secure Shell

SSL : Secure Socket Layer

STP : Shielded Twisted Pair

SVC : Circuit Virtuel Commuté

TCP : Tranmission Control Protocol

TDM : Time Division Mutiplexing

TPDDI : Twisted Pair Distributed Data Interface