Memoire 636953482626170897

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 76

ITE FELIX HOUPHOUËT-BOIGNY

Mathématiques et Informatique

Année Académique

·o 2014 - 2015
IIEMOIRE MASTER
Présenté devant

L'ill{IVERSITE FEUX HOUPHOUËT-BOIGNY


pour obtenir le Grade de Master

ention : Informatique
pécialité: MIAGE

par

LESSIEHI Ieolet Deborah


TITRE DU MEMOIRE :

ETUDE ET IMPLEMENTATION D'UN


SYSTEME DE CONTROLE D'ACCES AU
RESEAU INFORMATIQUE:
CAS DE NSIA-BANQUE

Soutenu publiquement le 27 Mai 2015


Le jury
Présidmt Professeur MONS.A\I
i" Vincent, Maître de conférences à l'UFR MI de l'Universi~ F.H.B d'Abidjan

Membres

Docteur MAIGA Abdoulaye, Docteur à l'UFR MI de l'Université F .H.B d'Abidjan

onsieur DIARRA Mamadou, Assistant à l 'UFR MI de l'Université F .H.B d'Abidjan

E.ncadru1 pé,dagocique Monsieur BROU Patrice, Assistant à l'UFR MI de l'Université F.H.B d'Abidjan

onsieur TRAORE Moussa, Chef adjoint au service réseau NS1A-Banque


DEDICACE

« A mes parents,

LESSIEHI Jonas et LESSIEHI Mariam

A mes sœurs

Maniph, Marlène et Jasmine

A mon regretté Frère Karim »

Présenté par Mémoire de fin de cycle pour l'obtention du


(1)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
REMERCIEMENTS
La rédaction de ce mémoire et sa soutenance marquent la fin d'un long
parcours qui a été possible grâce au soutien et la présence de nombreuses
personnes que je tiens à remercier.

Je souhaite adresser mes remerciements à mon père LESSIEHI Jonas, ma


mère LESSIEHI Mariam et mes sœurs Maniph, Marlène et Jasmine. Merci!

Je tiens à exprimer ma gratitude à la Direction des Systèmes d'information


de NSIA Banque, particulièrement le service réseau, pour m'avoir accueillie et
donnée accès aux outils nécessaires pour associer la théorie apprise durant ma
formation à la pratique.

Je tiens également à exprimer mes remerciements à la Direction de l'UFR


Mathématiques et Informatique, à l'Administration des filières
professionnalisées MIAGE-GI ainsi qu'à tous les enseignants qui ont assuré ma
formation.

Je tiens à remercier M. BROU Patrice, mon encadreur pédagogique,


pour tout le temps qu'il a bien voulu me consacrer, ses
précieuses orientations et pour la qualité de son suivi durant toute la rédaction
de mon mémoire.

Finalement, grand merci à vous mes amis.

Présenté par Mémoire de fin de cyde pour l'obtention du


LESSIEHI leolet Deborah [Il]
MASTER lnfonnatique option MIAGE
AVANT-PROPOS
L'université Félix HOUPHOUET-BOIGNY, acteur primordial du
développement socio-économique et culturel de la Côte d'Ivoire, a doté certaines
de ces Unités de Formations et de Recherches (UFR) dont celle de Mathématiques
et Informatique (MI) de filières professionnalisées. Ces filières ont pour objectifs
de rendre les étudiants opérationnels sur le marché de l'emploi dès leur sortie de
l'école. Pour cela, elles allient la théorie à la pratique.

L 'UFR de Mathématiques et Informatique disposent de plusieurs filières


professionnalisées parmi lesquelles nous avons :

- la filière "Génie Informatique (GI)": qui forme des informaticiens en


mesure de concevoir et de réaliser des systèmes informatiques à la fois
matériels et logiciels;
- la filière "Méthodes Informatiques Appliquées à la Gestion des Entreprises
(MIAGE)": qui forme des informaticiens capables de concevoir et de
mettre en oeuvre des systèmes informatiques notamment dans le domaine
de la gestion, en ulisant les outils les plus adaptés au traitement automatisé
de l'information.

Les filières GI et MIAGE conduisent au Master Informatique après la


validation des différentes unités d'équivalences et la soutenance d'un mémoire.
Afin de soutenir mon mémoire de fin de cycle, j'ai effectué un stage du 19 Janvier
2015 au 18 Juillet 2015 au sein de NSIA-Banque.

Présenté par Mémoire de fin de cycle pour l'obtention du


LESSIEHI leolet Deborah [Ill]
MASTER Informatique option MIAGE
SOMMAIRE
DEDICACE !
REMERCIEMENTS Il
TABLE DES FIGURES VII

SIGLES ET ABBREVIATIONS VIII

INTRODUCTION 9

PARTIE 1 : GENERALITES 10
Chapitre 1 LE REFERENTIEL D'ETUDE 10
1. LA PRESENTATION DE LA STRUCTURE D'ACCUEIL 10
2. LES OBJECTIFS ET ACTIVITÉS DE NSIA BANQUE 11
2.1 Les objectifs de NSIA Banque 11
2.2 Les activités de NSIA Banque 11
3. L'ORGANISATION DE NSIA BANQUE 12
Chapitre 2 : LE CONTEXTE DE L'ETUDE 14
1. LES MOTIVATIONS 14
2. LA DEFINITION DES TERMES DE L'ETUDE 15
3. PROBLEMATIQUE 16
Chapitre 3: L'ANALYSE CONCEPTUELLE 17
1. DEFINITION 17
2. CARACTERISTIQUE DES RESEAUX LOCAUX 17
2.1 L'architecture physique 18
2.2 L'architecture logique 19
2.3 L'architecture organisationnelle 19
2.4 Les standards de transmission de données 20
3. LE MODELE OSI 20
4. LA SÉCURITÉ DES RESEAUX 21
Chapitre 4: ANALYSE DE L'EXISTANT 23
1. ETUDE DE L'EXISTANT 23
1.1 Présentation du réseau 23
1.2 Architecture organisationnelle 24
1.3 Architecture physique 26
2. ANALYSE DE L'EXISTANT 26
3. DIAGNOSTIQUE 27

Présenté par Mémoire de fin de cyde pour l'obtention du


[IV]
LESSIEHI leolet Deborah MASTER lnfonnatique option MIAGE
PARTIE 2: ETUDE TECI-INJQUE 28
Chapitre 5 : LES CONTROLES D'ACCES NAC 28
1. LES CONTROLES D'ACCES NAC 28
1.1 OpenNac 28
1.2 La solution NAP de Microsoft 28
1.3 La solution Cisco Identity Service Engine (ISE) 29
1.4 Tableau de synthèse 30
2. LE CHOIX DE LA SOLUTION 30
Chapitre 6 : EVALUATION DE LA SOLUTION NAC 32

1. LES FACTEURS HUMAINS ET LA DUREE DU PROJET 32

2. FACTEURS MATERIEL ET FINANCIER 33


PARTIE 3 : MISE EN ŒUVRE DE CISCO ISE 35
Chapitre 7 : FONCTIONNEMENT TECHNIQUE 35
1. ACTEURS 35
2. FONCTIONNALITES DE ISE 39
2.1 Le service d'authentification, d'autorisation et de comptabilité 40
2.2 La posture 40
2.3 Le profilage 42
2.4 Le monitoring et le reporting 45
2.5 La gestion des invités 45
Chapitre 8 : ARCHITECTURE DE DEPLOIEMENT DE ISE 46
1. Déploiement de petite taille 46
2. Déploiement de taille moyenne 47
3. Déploiement de grande taille 48

Chapitre 9: DEPLOIEMENT DE ISE 50


1. INSTALLATION DE ISE 50
1 .1 Les seveurs 50
1.2 Les switchs 52
1.3 Les terminaux SS
2. CONFIGURATION DE ISE 61
2.1 Le service de profilage 61
2.2 Le service de posture 65
2.3 Le service de protection des terminaux 67
CONCLUSION 70

Présenté par Mémoire de fin de cyde pour l'obtention du


bESSIEHI leolet Ceborah M MASTER Informatique option MIAGE;
BIBLIOGRAPHIE 71

Présenté par Mémoire de fin de cycle pour l'obtention du


[VI)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
TABLE DES FIGURES
Figure 2 : Les couches du modèle OSJ 21
Figure 3: Architecture réseau NSIA-Banque 23
Figure 4: Architecture physique NSIA-Banque 26
Figure 5 : Tableau de synthèse des contrôles d'accès NAC 30
Figure 6: Tableau des effectifs et des missions de la DLP et du service réseau 32
Figure 7: Diagramme de Gantt de la durée des tâches du projet 33
Figure 8 : Evaluation du matériel 34
Figure 9: Interface d'administration 36
Figure 10: Interface du PSN 38
Figure 11 : Classification des équipements avec ISE Profiler 43
Figure 12: Utilisation du profilage pour la mise en place des règles d'autorisation 44
Figure 13 : Déploiement de petite taille 47
Figure 14 : Déploiement de taille moyenne 48
Figure 15 : Déploiement de grande taille 49
Figure 16: Ecran d'installation de CISCO ISE 51
Figure 17 : Ecran de configuration du serveur 52
Figure 18 : Ecran d'activation des fonctions AAA 53
Figure 19: Ecran d'activation de l'authentification 802.lX 53
Figure 20 : Ecran de définition du VLAN par défaut 54
Figure 21: Ecran de définition des ACL locales par défaut 54
Figure 22 : Ecran de configuration automatique de réseau câblé 55
Figure 23: Ecran d'activation de 802.lXpour les cartes réseaux Ethernet 56
Figure 24: Ecran de protection des propriétés 57
Figure 25 : Ecran des paramètres Avancés 58
Figure 26: Ecran d'installation de l'agent Cisco NAC 59
Figure 27: Ecran d'installation du certificat de l'autorité de certification 60
Figure 28: Ecran d'activation du service de profilage 62
Figure 29 : Ecran de configuration des sondes pour le profilage 63
Figure 30 : Ecran de configuration des politiques de profilage 64
Figure 31 : Ecran de configuration du ravitaillement de la machine cliente 66
Figure 32 : Ecran de configuration du profile agent 67
Figure 33: Ecran d'activation des services de protection des terminaux 69
Figure 34 : Organigramme de NSJA-Banque 75

Présenté par Mémoire de fin de cyde pour l'obtention du


LESSIEHI leolet Deborah [VII]
MASTER Informatique option MIAGE
SIGLES ET ABBREVIATIONS
AAA Authentification Autorisation Accounting
ACL Access Control List
API Application Programming Interface
BIAO-CI Banque Internationale pour l'Afrique Occidentale en Côte d'Ivoire
BRVM Bourse Régionale des Valeurs Mobilières
BYOD Bring Your Own Service
Carrier Sense Multiple Access : Accès Multiple par écoute de la
CSMA porteuse)
DSI Direction des Systèmes <l'Information
EAP Extensible Authentication Protocol
Institution de Prévoyance Sociale - Caisse Nationale de Prévoyance
IPS-CNPS Sociale
ISE Identity Services Engine
LAN Local Area Network
MAC Media Access Control
NAC Network Access Control
NAP Network Access Protection
NSIA Nouvelle Société d'Assurance
OSI Open System Interconnection
PC Personnal Computer
UEMOA Union Économique et Monnétaire Ouest Africaine
VLAN Virtual Local Area Network
WIFI Wireless Fidelity

Présenté par Mémoire de fin de cycle pour l'obtention du


[VIII)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
INTRODUCTION

Toutes les entreprises, peu importe leur taille et leurs domaines d'activités,
ont pour mission la coordination rationnelle de tous leurs moyens et outils en vue
d'atteindre les objectifs qu'elles se sont fixées. Les entreprises ont recourent à
l'informatique dont l'évolution sans cesse croissante offre de nombreuses
opportunités.

Pour tirer parti de ces innovations technologiques NSIA Banque, structure


sur laquelle portera notre étude, s'est dotée d'un réseau informatique permettant
l'échange d'informations en interne et avec l'extérieur. Cependant la sensibilité
des informations véhiculées au travers de ce réseau nécessite un contrôle de son
accès. C'est à ce titre que le thème« Etude et implémentation d'un système de
contrôle d'accès au réseau informatique: cas de NSIA Banque» a été proposé.
La solution informatique qui se dégagera de cette étude permettra d'améliorer
l'accès au réseau.

La présente étude débutera par des généralités. Il s'ensuivra une étude


conceptuelle portant sur les contrôles d'accès. Puis une étude technique sera faite
sur le contrôle d'accès au réseau informatique de NSIA-Banque. Les faiblesses
de ce contrôle d'accès seront dégagées. Notre étude se terminera sur la proposition
et la mise en œuvre d'une solution qui renforcera le contrôle d'accès au réseau de
la banque.

Présenté par Mémoire de fin de cyde pour l'obtention du


LESSIEHI leolet Deborah (9)
MASTER lnfonnatique optton MIAGE

(3 06
PARTIE 1 : GENERALITES
Chapitre 1 LE REFERENTIEL D'ETUDE

1. LA PRESENTATION DE LA STRUCTURE
D'ACCUEIL
NSIA Banque est à la fois notre structure d'accueil et notre cadre de
référence.

En 1906, est ouverte à Grand-Bassam la première agence de la BIAO-Cl.


En 1934, l'agence est transférée à Abidjan. Et par arrêté n°1648 du ministère de
l'économie, des finances et du plan, l'agence devient, le 30 décembre 1980, une
banque dénommée BIAO-CI, avec un capital détenu à 35% par l'Etat de Côte
d'Ivoire.

Le 25 janvier 2000, la BIAO-CI est privatisée. Son capital est cédé à 80%
à la BELGOLAISE, l'Etat de Côte d'Ivoire ne détenant plus que 20% de ce
capital.

Depuis septembre 2006 la BIAO-CI est devenue NSIA Banque. En effet,


les 80% d'actions détenues par la BELGOLAISE ont été reprises par un
consortium formé par la Nouvelle Société d'assurance en Côte d'Ivoire (groupe
NSIA) et l'Institution de Prévoyance sociale (IPS-CNPS).
Ainsi le groupe NSIA représenté par NSIA Participations devient actionnaire
majoritaire et l'Etat de Côte d'Ivoire conserve ses 20%. C'est donc une banque
au capital détenu entièrement par des ivoiriens.

Présenté par Mémoire de fin de cyde pour l'obtention du


[10]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
NSIA Banque est une société anonyme au capital de 20.000.000.000 de F
CFA et à son siège social au 8-10, Avenue Joseph Anoma (rue des banques).

2. LES OBJECTIFS ET ACTIVITÉS DE NSIA


BANQUE

2.1 Les objectifs de NSIA Banque


Les objectifs de NSIA Banque sont centrés autour de quatre principaux
points que sont:

- l' exécuteion des opérations bancaires tant à l'intérieur du pays qu'à


l'extérieur pour le compte de sa clientèle;
- la collecte des ressources ;
- l'octroi des crédits sous diverses formes (prêts accordés aux agents
économiques, particuliers, entreprises etc.) ;
- la mise à disposition des clients de services de conseils et de
renseignements

2.2 Les activités de NSIA Banque


NSIA Banque est une Banque Commerciale qui intervient dans tous les
domaines d'activités (agriculture, élevage, industrie, commerce etc. en
privilégiant en particulier les secteurs productifs). Elle collecte les dépôts de sa
clientèle et les met à la disposition d'autres clients sous forme de prêts.

Indépendamment de ces deux fonctions principales, NSIA Banque offre


une gamme de services tels que :

- les transferts de fonds ;

Présenté par Mémoire de fin de cyde pour l'obtention du


(11]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
- les opérations d'import-export;
- le financement des campagnes des produits agricoles (Café, Cacao,
Coton etc.).

Outre, l'offre personnalisée d'épargne et de gestion bancaire courante,


NSIA Banque propose à sa clientèle privée un service d'intermédiation financière
et de gestion patrimoniale. Ce service est géré par une filiale spécialisée de la
banque appelée NSIA-FINANCE & ASSOCIES. NSIA-FINANCE &
ASSOCIES exerce ses activités dans le cadre du marché financier de l 'UEMOA,
plus particulièrement à travers la Bourse Régionale des Valeurs Immobilières
(BRVM). Son métier s'articule autour de cinq (05) pôles majeurs :
- la conservation de titres ;
- la négociation en bourse ;
- la gestion de portefeuille ;
- les conseils ;
le développement progressif d'activité de conseils en ingénierie
financière.

3. L'ORGANISATION DE NSIA BANQUE


NSIA Banque a un Conseil d 'Administration et est organisée en Directions
qui sont subdivisées en Départements. Toutes les Directions de NSIA Banque sont
coiffées par une Direction Générale.

Chaque département est constitué de services parmi lesquels figurent le


service Réseau et Télécom appartenant au Département Infrastructures et
Administration des Systèmes de la Direction des Systèmes <l'Information (DSI).

Le service Réseau est le service qui nous a accueilli dans le cadre de notre
stage.

Présenté par Mémoire de fin de cyde pour l'obtention du


LESSIEHI leolet Deborah (12]
MASTER Informatique option MIAGE
L'organisation (cf annexe) de NSIA-Banque est composée des entités
suivantes:

- un Conseil d' Administration (CA);


- une Direction Générale (DG);
- un Contrôle de Gestion (CG) ;
- un Département du Contrôle Permanent (DCP) ;
- une Direction de I'Audit Interne et de la Conformité (DAIC);
- une Direction des Risques et du Crédit (DRC) ;
- une Direction des Opérations (DOP);
- une Direction de la trésorerie et des Institutions financières (DTIF) ;
- une Direction de la Clientèle et des Entreprises (DCE) ;
- une Direction du réseau et des Particuliers (DRP) ;
- une Direction Financière et Comptable (DFC) ;
- une Direction de la Logistique et du Patrimoine (DLP) ;
- une Direction des Systèmes <l'Information (DSI);
- une Direction des Ressources Humaine (DRH) ;
- une Direction Juridique et du Recouvrement (DJR) ;
- une Direction de l'Organisation et des projets (DPO).

Présenté par Mémoire de fin de cyde pour l'obtention du


LESSIEHI leolet Deborah [13]
MASTER Intormatloue option MIAGE
- ., . •
•...
.l
"'"',Jl:
°" 'liI IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

Chapitre 2 : LE CONTEXTE DE L'ETUDE


1. LES MOTIVATIONS
Le développement rapide des technologiques informatiques rendent les
banques de plus en plus dépendantes de la fiabilité et de la disponibilité de leurs
systèmes informatiques. Cependant, la sécurité zéro des systèmes informatiques
n'existant pas, les banques sont de plus en plus confrontées à des risques
d'intrusions dans leur système informatique. Ces risques d'intrusion peuvent
entraîner:

- le non-transfert de fonds qui empêchera la banque de remplir à court terme


ses obligations vis-à-vis de ses clients ou de ses confrères ;
la perte d'informations, due à la destruction totale ou partielle de ses fichiers
stratégiques ou de sa "mémoire", ou encore la divulgation d'informations
confidentielles (fichiers clients, positions stratégiques, ... ) ;
des fraudes, conduisant à des pertes de valeurs ( coûts économiques des
détournements).

A ces coûts économiques, outre le remplacement des matériels et logiciels


perdus et les pertes financières afférentes, viennent, en général, s'ajouter des coûts
indirects ( temps "perdu" de réinstallation du système d'information et de
reconstitution des données, pertes d'exploitation ou de patrimoine, responsabilité
civile éventuelle, perte de la crédibilité ... ).

Afin de minimiser tout risque d'intrusion dans son système d'information,


il est nécessaire pour les banques de procéder à l'acquisition de système leur
permettant d' éléver leur niveau de sécurité.

Présenté par Mémoire de fin de cycle pour l'obtention du


[14]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
1,a
UflDl

nwon,ni1't
U"'6U,TIQr.l'U.

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE AHur,ulC~ & Banque.

2. LA DEFINITION DES TERMES DE L'ETUDE


Notre étude porte sur l'implémentation d'un contrôle d'accès au réseau
informatique de NSIA Banque. Mm de mieux cerner notre thème de mémoire,
nous en définirons les mots clés.

Pimplémeutationl'! : consiste à implémenter son résultat. Implémenter est


le fait d'installer un programme particulier sur un ordinateur.
un contrôle d'accès121 : est un mécanisme de limitation de l'utilisation
d'une ressource aux seules entités autorisées.
un réseau informatlquelêl: est un ensemble d'équipements reliés entre eux
pour échanger des informations.

Des définitions des termes de notre thème d'étude, il ressort que nous nous
attèlerons d'une part à étudier la mise en oeuvre d'une solution qui autorisera ou
pas l'accès aux informations. Et d'autre part, nous procéderons à son installation
sur tout notre réseau informatique.

Plusieurs solutions de contrôle d'accès au réseau informatique ont été


développées. Nous procéderons à une analyse de quelques unes de ces
propositions de solutions.

1
1 1 Dictionnaire Le Petit Robert de la langue française, 2006
121
Sécurité des Systèmes d'information: Contrôle d'accès technique au réseau, Eli MABO, Janvier 2012
13 1 http://www.solutioninfomediacom/equipement

Présenté par Mémoire de fin de cycle pour l'obtention du


LESSIEHI leolet Deborah [15)
MASTER Informatique option MIAGE
~=~.-;:•rI
1
UflOl

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

3. PROBLEMATIQUE
Le système de contrôle d'accès au réseau informatique de la banque lui
permettait de gérer l'accès à son réseau. Il n'autorisait cependant pas l'accès au
réseau aux équipements n'appartenant pas au domaine de la banque.

Tout système de contrôle d'accès présente des failles. La faille du système


de contrôle d'accès au réseau de la banque a été mise à jour en janvier 2011. En
effet, la banque a été à cette date victime d'un piratage informatique à l'intérieur
de ses locaux. Près de 500.000.000 FCFA ont été emportés lors de ce piratage
sans que le système de contrôle d'accès ne puisse fournir les données nécessaires
pour élucider cet acte.

Face à un tel constat, nous sommes amenés à nous demander comment


mieux protéger le contrôle d'accès au réseau informatique de la banque.

Notre tentative de réponse à notre problématique nous a conduit à une


étude ayant pour thème : Etude et implémentation d'un système de contrôle
d'accès au réseau informatique: cas de NSIA-Banque.

Présenté par Mémoire de fin de cycle pour l'obtention du


(16]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
,_:~=.:r •rI
UfltOl

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Anuranct"S g, Banqu~

Chapitre 3 : L'ANALYSE CONCEPTUELLE


1. DEFINITION
Un réseau-" permet à un ensemble d'équipements informatiques de
communiquer en utilisant des liens de transmission. Un équipement informatique
peut être un ordinateur, une imprimante, ou tout autre équipement capable
d'émettre ou de recevoir des données générées par d'autres équipements.

Les réseaux locaux[5l ( en anglais LAN : Local Area Network) sont des réseaux
de communication qui utilisent des liens de transmission haut débit pour
interconnecter des équipements informatiques sur une zone géographique limitée.
En général, ils interconnectent les équipements d'une même entreprise, d'un
même étage d'un bâtiment, ou voire simplement les équipements se trouvant dans
un bureau.

2. CARACTERISTIQUE DES RESEAUX LOCAUX


Un réseau local se caractérise par des débits de transmission élevés allant de
la dizaine de mégabits par seconde aux gigabits par seconde. L'étendue d'un
réseau local est typiquement celle d'une entreprise ou d'une institution allant de
la centaine de mètres au kilomètre.

Les réseaux locaux sont aussi caractérisés par une simplicité de mise en œuvre
et de configuration. Les équipements sont identifiés sur un réseau local par des
adresses ip qui leur sont attribuées dès la construction dudit réseau. Ces

141
Les réseaux locaux, Cédric LLORENS, Ana MINABURO, Laurent TOUT AIN, Les Selections
Techniques de L'ingénieurs, Référence 42292, 78 pages, page 12.
5
llLes réseaux locaux, Cédric LLORENS, Ana MIN AB URO, Laurent TOUT AIN, Les Selections
Techniques de L'ingénieurs, Référence 42292, 78 pages, page 12

Présenté par Mémoire de fin de cycle pour l'obtention du


LESSIEHI leolet Deborah (17]
MASTER Informatique option MIAGE
.,_:I
~:.:=•r
Uf1 Dl

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assu,,mces lf, Banque

équipements peuvent être insérés ou retirés, ou encore être inactifs sur le réseau,
sans pour autant perturber son fonctionnement.

Les standards de transmission de données utilisés par les réseaux locaux sont
Ethernet (aussi connu sous le nom de norme IEEE 802.3) et le wifi.

Les réseaux locaux sont de plus caractérisés par leurs différentes architectures.
Nous avons les architectures physique, logique et organisationnelle.

2.1 L'architecture physique


La topologie physique d'un réseau détermine la manière dont les noeuds sont
connectés entre eux par le câble de liaison.

Nous avons les topologies physiques suivantes :

la topologie physique en bus : Un bus utilise un câble unique auquel sont


attachés tous les nœuds ( ordinateurs, serveurs, imprimantes, etc.).

la topologie physique en étoile : dans cette topologie on a un réseau de


n liaisons point à point où chaque nœud est directement connecté à un
contrôleur central qui procède à la répartition des informations.

- la topologie physique en anneau : l'anneau est constitué de


plusieurs liaisons point à point. Chaque poste est connecté au suivant
pour former une boucle fermée. L'information circule d'un nœud à un
autre dans un seul sens.

- la topologie physique en hierarchie : c'est une dérivée du réseau


en étoile. Elle consiste à relier des réseaux « étoile » entre eux par des

Présenté par Mémoire de fin de cycle pour l'obtention du


(18]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
UflK

"·-·,Jl:11I
UTNOMTIOUU.

l IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

concentrateurs (hub) ou des commutateurs ( switchs) jusqu'à un nœud


umque.

- la topologie physique en maille : c'est une topologie dans


laquelle deux stations du réseau peuvent être mises en relation par
différents chemins. La mise en relation est effectuée par des
commutateurs.

2.2 L'architecture logique


Les réseaux locaux utilisent un support de transmission partagé auquel sont
connectés tous les équipements. Pour assurer une équité dans l'accès au support
de transmission, deux méthodes de contrôle d'accès sont utilisées :

les protocoles CSMA (Carrier Sense Multiple Access: Accès Multiple


par écoute de la porteuse) ;
l'anneau à jeton.

2.3 L'architecture organisationnelle


L'architecture organisationnelle d'un réseau indique comment est configuré
ce réseau.

Dans l'environnement client serveur, nous avons les architectures suivantes:

mainframe : avec cette architecture, tous les écrans sont connectés à la


même unité centrale ;
peer to peer : avec cette configuration, les ordinateurs connectés sont
susceptibles de jouer tour à tour les rôles de machines clientes et ceux de
serveurs;

Présenté par Mémoire de tin de cyde pour l'obtention du


(19)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
7.;ir ......
IIATMHllTllllU-

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Anurances 8, Banque

- à deux niveaux : avec cette architecture, la machine cliente demande une


ressource au serveur qui la lui fournit à partir de ses propres ressources;
- à trois niveaux : cette architecture fait appel à une machine cliente, un
serveur d'application et un serveur de données.
- l'architecture à N niveaux: cette architecture correspond à l'architecture
à trois niveaux étendue sur un nombre de niveaux plus importants.

2.4 Les standards de transmission de données


Les standards de transmission de données sont les suivants :

- Ethernet'61 : qui est basé sur le principe que toutes les machines du réseau
ethernet sont connectées à une même ligne de communication constituée
de câbles cylindriques. On distingue différentes variantes de technologies
Ethernet suivant le type et le diamètre des câbles utilisés.
- le wifi'?l : est un ensemble de protocoles de communication sans fil. Il
permet de relier par ondes radio plusieurs appareils
informatiques (ordinateur, routeur, etc.) au sein d'un réseau informatique.

3. LE MODELE OSI
Les réseaux informatiques fondent leur conception sur le modèle de référence
à sept couches OSI. Dans ce modèle, chaque couche a une fonction particulière et
se base sur les services de la couche immédiatement inférieure. Les
fonctionnalités de ces différentes couches sont les suivantes :

- la couche 1 ou couche physique ;

161
http://www.commentcamarche.net/contents/1113-ethemet
171 http://fr.wikipedia.org'wiki/Wi-Fi

Présenté par Mémoire de fin de cycle pour l'obtention du


LESSIEHI leolet Deborah [20]
MASTER Informatique option MIAGE
.,_;. .•I
..TIUl_..
"'"'
Ufl O(

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
.-
......._ A.uu,•ncos&B•nque

- la couche 2 ou couche liaison ;


la couche 3 ou couche réseau ;
la couche 4 ou couche transport ;
- la couche 5 ou couche;
- la couche 6 ou couche présentation ;
- la couche 7 ou couche application.

Système A Application Système B

7 Transfère un fichier Application


Ap~ication
,1
6 Trarte les différents formats Présentation
Présentation
5 Gère les sessions Session
Session
4 • S'assure que les données arrivent
Transport • Transport
3 Choi~t le mcilleur chemin Réseau
Réseau
2 }ssure la connexion de 2 nœuds adjacents. Liaison
Liaison
1 Transmet des signaux Physique
Physique

Relations Protocolaires
~
~

Figure 1 : Les couches du modèle OS!

4. LA SÉCURITÉ DES RESEAUX


L'intégrité d'un réseau peut-être affectée par des intrusions. Pour contrer ces
intrusions, des pare-feu et des contrôles d'accès réseau sont installés.

Présenté par Mémoire de fin de cyde pour l'obtention du


LESSIEHI leolet Deborah (21]
MASTER Informatique option MIAGE
,.;"'"'-'11I
U f1 D l
••,_novu.
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
,,-
-...._ A><m•nœ,.,Banque

Les pare-feu sont installés à la frontière du réseau. Ils ont pour but de filtrer
tout le trafic échangé avec le réseau extérieur et de ne laisser passer que le trafic
autorisé.

Les contrôles d'accès réseau visent de manière générale à sécuriser le


périmètre intérieur de l'entreprise. Pour se faire, ils permettent aux équipements
autorisés d'accéder au réseau local. Cela, en vérifiant la conformité des
équipements et leurs adéquation à la politique de sécurité mise en place.

Le contrôle d'accès réseau occupe une place particulière dans le plan de


sécurité d'un réseau parce que, à la différence du firewall qui offre une barrière
de protection contre l'extérieur, le contrôle d'accès contrôle l'intérieur du réseau.
Par exemple, un pare-feu empêche l'intrusion au réseau via internet. Alors que
le contrôle d'accès rend impossible une intrusion de l'intérieur du réseau en
empêchant toute infiltration par un port Ethernet.

Le contrôle d'accès ne remplace cependant pas un firewall et n'empêche pas


l'évasion des données via un e-mail, une impression ou une clefUSB.

Pour contrôler l'accès au réseau, nous avons :


- le filtrage de niveau réseau ;
- les contrôles d'accès NAC.

Présenté par Mémoire de fin de cycle pour l'obtention du


[22]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.ij;1r
ur1ot-

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assur.tncn g. Banque

Chapitre 4: ANALYSE DE L'EXISTANT


1. ETUDE DE L'EXISTANT

1.1 Présentation du réseau

Cartographie Réseau BIAO


Au lundi 11 mai 2015

Figure 2: Architecture réseau NSIA-Banque


Légende:

: Internet
..,1: - •..
- ~.. . - : Pare-feu

---- : Fibre optique

Présenté par Mémoire de fin de cycle pour l'obtention du


[23)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.i:-=,Jl;
=•rI
Uflot

.l IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

: Serveur ISE

: Backbone

L'architecture réseau de la banque est décrite comme suit:

- la banque dispose de deux liens internet : Aviso et MTN ;


- un pare-feu est chargé d'assurer le trafic réseau entre le réseau interne de la
banque et ceux d 'Aviso et de MTN ;
- le pare-feu est connecté au backbone primaire (backbone 1) ;
- le backbone primaire est connecté par fibre optique (FO) aux serveurs ISE
(primaire et secondaire) et au backbone 2 (backbone secondaire)
- Le serveur ISE primaire est connecté au sous répartiteur dans lequel se
trouvent les switchs ;
Les switchs sont à leur tour connectés aux ordinateurs de la banque.

1.2 Architecture organisationnelle


NSIA-Banque dispose d'une connexion filaire et utilise la technologie Ethernet
pour la transmission de ses données. Les adresses Ip des équipements de la banque
sont fixées manuellement.

Le contrôle d'accès au réseau de la banque peut-être décrit comme suit:

Présenté par Mémoire de fin de cycle pour l'obtention du


[24)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
~=.•1
.1 :1 •r
Uf1 Dl

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

tout équipement, pour se connecter au réseau devra avoir son adresse ip et


MAC autorisées;
l'équipement accède au réseau en se connectant à une prise RJ 4 5 ;
la prise RJ 45 est à son tour relié à un panneau de distribution qui est à
connecté à un switch ;
- pour chaque port du switch sont renseignées des adresses ip et MAC
autorisées à se connecter ;
sur chaque port est effectué un filtrage réseau ;
les ports du switchs sont initialement fermés. Seul l'administrateur a
l'accréditation pour les ouvrir.

Le service réseau de toute la banque ( siège et agences) est composé de quatre


(04) personnes qui se repartissent quotidiennement les tâches.

Présenté par Mémoire de fin de cyde pour l'obtention du


[25]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
T.;1r
Unu.t~~-

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

1.3 Architecture physique


Le patrimoine réseau de la banque est constitué de :
EQUIPEMENTS CARACTERISTIQUES
Ordinateurs - Hp
- XP, Win 7, Win 8
- Intel core i3
Imprimantes - Hp
Câble - Coaxial double paire torsadée
- Fibre optique multimode
Conecteurs - RJ45
Switch - 24 ports
- 48 ports
- Catalyst 3560 g
- Series 2960
Téléphone lp - 7962
- 7942
Panneau de distribution - RJ45
- Fibre optique
Baie de brassage - Oracle
- Legrand
- Cisco
Serveurs - Windows
- Unix
Figure 3: Architecture physique NSIA-Banque

2. ANALYSE DE L'EXISTANT

L'architecture réseau, quoique protégeant la banque des intrusions n'offre pas :

- une traçabilité ;

Présenté par Mémoire de fin de cyde pour l'obtention du


(26]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.,..;1r
Uf1 Dl
u-,..,.TIQf.lu:e

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

le profilage et la posture des clients.

En effet, une activité peut-être effectuée sur le réseau sans qu'on ne sache
quand, par quel utilisateur et sur quel équipement elle a été effectuée.

De plus, du fait de son effectif restreint, le service réseau peut-être facilement


débordé. Entraînant ainsi un suivi peu optimale du réseau.

3. DIAGNOSTIQUE
L'architecture organisationnelle de la banque comporte un risque. En effet, son
administration peut ne pas être optimale pour cause de son effectif. De plus, elle
ne protège la banque que des intrusions. Elle ne permet cependant pas d'assurer
un contrôle sur tout le réseau. Pour lever ce risque, il s'avère nécessaire
d'augmenter l'effectif du service réseau, de migrer vers de récents systèmes
d'exploitation et de procéder à l'implémentation d'un système de contrôle d'accès
au informatique de la banque.

Présenté par Mémoire de fin de cycle pour l'obtention du


[27]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.~=.•;:' •r1
.1
"""
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

PARTIE 2 : ETUDE TECHNIQUE


Chapitre 5 : LES CONTROLES D'ACCES
NAC

1. LES CONTROLES D'ACCES NAC


L'on compte d'une part, parmi les solutions de contrôle d'accès au réseau des
solutions propriétaires qui ont la particularité d'avoir leur code source
inaccessible et protégé. Nous avons d'autre part les solutions open source qui ont
leur code source accessible à tous.

1.1 OpenNac
OpenNac est une solution open source de contrôle d'accès pour les réseaux
locaux d'entreprise.

Elle permet l 'authentifiacation, l'autorisation et l'audit du réseau en se basant


sur des politiques de sécurité. Elle a été developpée avec des composants open
source par des developeurs autonomnes.

La solution OpenNac est architecturée en plugins donc facilite l'incorporation


de nouvelles fonctionnlités.

1.2 La solution NAP de Microsoft


La protection d'accès réseau NAP de Microsoft est une solution propriétaire.
Elle est une plateforme permettant de s'assurer que les ordinateurs d'un réseau
local répondent aux exigences définies par l'administrateur en matière d'intégrité
système. La solution Microsoft NAC offre les fonctions suivantes :

Présenté par Mémoire de fin de cycle pour l'obtention du


(28)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
1,a
UflOl

ClWOAU~;'(
MlnlfMT'IOUU.

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

l'autorisation, l'authentification et l'administration grâce à son serveur


NPS qui est l'implémentation Windows du serveur et du proxy RADIUS;
- l'intégrité des ordinateurs se connectant au réseau;
la gestion des invités en déterminant l'intégrité et en limitant l'accès des
invités au réseau ;
- L'audit du réseau grâce au service de monitoring et de reporting.

1.3 La solution Cisco ldentity Service Engine (ISE)


Cisco ISE 1.2.1.198 (dans la suite de notre étude ISE 1.2.1.198 sera appelée
solution ISE) est une solution propriétaire basée sur l'identité, elle collecte des
informations en temps réel à partir du réseau, des utilisateurs et des appareils
connectés. Elle utilise ensuite ces informations pour prendre des décisions de
gestion en appliquant une stratégie à l'ensemble de l'infrastructure réseau,
améliorant ainsi la sécurité du réseau.

Cisco Identity Services Engine offre les avantages suivants :

- la sécurité : elle améliore la visibilité et le contrôle de l'activité et des


appareils de tous les utilisateurs du réseau physique et des infrastructures
virtuelles grâce à ses services de profilage, de gestion des invité et de AAA

la conformité : elle crée une stratégie cohérente dans l'ensemble de


l'infrastructure pour la gestion de l'entreprise grâce à son service de posture;
- l'efficacité : elle augmente la productivité du personnel du servie réseau en
automatisant les tâches et en simplifiant la fourniture de service grâce à son
service de monitoring et de reporting ;
- la gestion des invités grâce au BYOD (Bring Your Own Service).

Présenté par Mémoire de fin de cycle pour l'obtention du


LESSIEHI leolet Deborah (29)
MASTER Informatique option MIAGE
..."""'::.I
.... ---
.l -1
.,_TIOU(

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE ,....._ Amu•nm&B;,nque

1.4 Tableau de synthèse


Toutes les solutions étudiées offrent les fonctions d'authentification,
d'autorisation, d'administration, de monitoring et de reporting.

Contrairement aux solution NAP de Microsoft et ISE de Cisco, la solution


OpenNac ne permet pas la gestion des invités et est une solution libre c'est-à-dire
qu'elle à son code source disponible.

Cependant, seule la solution ISE de Cisco répond aux contraintes de posture


et de profilage.

Type de AAA Monitoring Gestion des Profilage Posture


solution et reporting invités

OpenNac Libre ,/ ,/ X X X

NAP propriétaire ,/ ,/ ,/ X X

ISE propriétaire ,/ ,/ ,/ ,/ ,/

Figure 4: Tableau de synthèse des contrôles d'accès NAC

2. LE CHOIX DE LA SOLUTION
Le contrôle d'accès NAC à implémenter devra assurer les fonctions de:
- AAA (Authentification Autorisation Accounting);
- profilage qui assurera la visibilité et la traçabilité des terminaux ;
- posture pour assurer la conformité des hôtes sur tout le réseau ;
- le monitoring et le reporting afin de surveiller le réseau et d'établir les
Journaux;

Présenté par Mémoire de fin de cyde pour l'obtention du


[30)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
,_;I
~=-:11
:.."•
. IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
SIA
A,;$urancrs & Banque

la gestion des invités pour offrir un accès réseau aux personnes externes à
la structure.

La solution ISE remplie toutes les fonctionnalités attendues pour la sécurité de


la banque. Pour ces raisons, le choix de NSIA-Banque s'est porté sur la solution
ISE de Cisco.

Présenté par Mémoire de fin de cycle pour l'obtention du


[31)
LESSIEHI leolet Deborah MASTER lnfoonatique option MIAGE
••,_nouu.
U fU l
,,...
"'"-"'
., ,
i.l'( IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE ....._ A"'"•ncos&B•""""

Chapitre 6 : EVALUATION DE LA
SOLUTION NAC

L'évaluation du projet de la banque porte sur les facteurs humains, matériels


et le temps mis pour la réalisation du projet.

1. LES FACTEURS HUMAINS ET LA DUREE DU


PROJET
L'implémentation du contrôle d'accès NAC necessite la collaboration de la
Direction de la Logistique et du Patrimoine (DLP) et du service réseau. L'effectif
et les missions assignés aux différentes entités intervenant dans la réalisation du
projet sont consignés dans le tableau ci-dessous.

Direction Effectif Tâches


DLP 03 - Mettre à la disposition des services réseaux
et supports tout le matériel nécessaire à
l'installation de la solution Cisco ISE

Service réseau 04 - Procéder à l'installation de ISE et à la


configuration de tous les équipements
réseaux.
- Suivi de formation

Total 07
Figure 5: Tableau des effectifs et des missions de la DLP et du service réseau

L'installation de ISE se fera sur 46 jours repartis dans le graphe de Gantt


ci-dessous.

Présenté par Mémoire de fin de cycle pour l'obtention du


[32]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
11
.1m1
U fl D (
Un&IIATliNU.
tl ••••.•

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

V,
,._
::;
~ 08/04/2015 • Série
"'
V,
• Série2

.,,
VI

v
~ V,
.g ~ 02/04/2015
È Rf
,._
0
'-

0 5 0 5 20 25 30 35 0 45 50

Figure 6 : Diagramme de Gantt de la durée des tâches du projet

• Sé r.e 1 : la durée des tâches achevées

série 2 : la durée des tâches à effectuer

2. FACTEURS MATERIEL ET FINANCIER


Pour fonctionner, ISE utilise le matériel suivant :
des switchs d'accès Cisco Catalyst 2960S 24PS-L;
des serveurs Cisco Secure Network serveur 3415 (small);
des ordinateurs Windows XP SP3 Pro (OS), Windows 7, Windows 8;

Présenté par Mémoire de fin de cyde pour l'obtention du


(33)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
UflOl
••,_TlO<IU.

""'-"'il'(
.,,. IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
1

Matériel Caractéristiques

Switch - Version du système d'exploitation (OS): 15.0(2)SE7

Serveur - Processeur: lx Intel Xenon Quad-core 2.4 GHz ES-


2009
- Memory : 16Gb
- Disque dur : 1 x 600Gb SAS 1 OK RPM
- Système d'exploitation du serveur : Windows

Ordinateur - (OS): Windows XP, 7, 8


- Processeur : Intel core i3
- Ram: 4G

Figu,re 7 : Evaluation du matériel


Le coût de ISE est évalué à 95.000.000 FCFA incluant les coûts
d'acquisition et de déploiement estimés respectivement à 85.000.000 FCFA et
10.000.000 FCFA.

Présenté par Mémoire de fin de cycle pour l'obtention du


(34]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
t~::r=-1r
1•; IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Aourc1nces & Banque

PARTIE 3: MISE EN ŒUVRE DE


CISCO ISE
Chapitre 7 : FONCTIONNEMENT
TECHNIQUE

!.ACTEURS
ISE est typiquement un déploiement distribué de noeuds. Les trois acteurs
indispensables à son fonctionnement sont :

- Policy Administration Node (PAN) ;


- Policy Services Node (PSN) ;
- Monitoring and Troubleshooting Node;

1.1 Policy Administration Node (PAN)


Le PAN est l'interface administrateur. Il permet d'effectuer toutes les
opérations administratives sur ISE. En effet, il permet d'apporter des
modifications à l'ensemble de la topologie ISE. Ces modifications sont effectués
à partir du serveur d'administration vers les serveurs de politique de services.

Dans un environnement distribué, le PAN peut-être exécuté sur plusieurs


serveurs qui peuvent être autonomes, primaires ou secondaires. De sorte à ce
qu'en cas de panne du serveur principal, le serveur secondaire puisse être pris
manuellement.

Présenté par Mémoire de fin de cycle pour l'obtention du


[35]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
·--·1
,.:
n-1
••••
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

iW;,îf, IL!P:::..._ -,
,,.., Home ~lilllOns 1" Polcy 1 " Ad1Ti1lstratbn 1 "
----- -----= ~.,,.... =__,~--
etrts
••••••
1,449 ~OÀ~
11111111111111111111111 2•
--0
24h
969 290/o
0aolliln:a

System Summary Alarms Auth~ntx:aticm;


Utllzlltlor and L1tencv N1me O:cunwn~•• L•• o,curred
CPU f,ltmo,y Auttllftlielti01 LlllftCV 0 Mlaonilgu...d Nol"°'k 0e-lce 0.toctod ffl 11,,_ 29mln, oço
Passe:l 994 1111• •• 11 .1 •. ,11.ilul, 1,l11i11H,H111111111
1 srv-ci-ise--01
•• SUR)llcont ,to,:ped resoondlng 2!01 tlma 4'6mi"9 9'0 Faied 7 ,1
a srv-cl-lsa-02
11111111111111111111111 • AAO 1US R.oquM Oropped 4967 tlrna 48mint 9'0
Lat:4 Hours Last 60 M1nutH

0 U..W-:" NAD &126 ~,.,.. 1 1v 49 ,,,.,. ago


OistribuUot1 l't l

BI ld•ntlty Stor•
0 Bad<up Folled 14'tlrna 21 ton '6 mna age,
2

0 Mlaonllgu,od Sopplco'II Oetect.d 5


' 77 tlrnes 8 daya aga EB td•ntlty Group

0 l'rofll• SW,1P ~eQld flih.re 24tlrrw 3 d1y1 age Ill Natoorlc OIIYI ...
• eo,f1gvotlon ~ 23tl,,... 15 days ego
,_
Pro'ler ActMty EB hilure Renon
Posture complance 8
3

Total 2 Tctal O
LHt:04Hous lnr24 Mour!i la;t b) M nuus
01,trtbutlon Bv, Ol1trtb.Jttc:n &,,1
EB Endpo nt Pro .•• 1B Po1b.1r• St1tu1

EB ldentJty Grou~ B3 Op•ratlng Sy •.• f\o Ott• ~v1 Ieb ••

Figure 8: Interface d'administration

Présenté par Mémoire de fin de cycle pour l'obtention du


LESSIEHI leolet Deborah [36]
MASTER lnfonnatique option MIAGE
.':':~:
.:=•rI
1/flK

.l IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

1.2 Policy Services Node (PSN)


Le PSN fournit un accès réseau. Il est le moteur d'exécution
d'authentification, d'autorisation et de comptabilité (AAA), de la posture, de
l'accès invité et des services de profilage.

Le PSN régule le trafic sur le réseau. En effet, il évalue les politiques et


prend toutes les décisions. Cette régulation est faite en fonction des politiques
de sécurité définies dans le PAN.

Le PSN, dans une configuration distribuée peut être installée sur au moins
un serveur.

Présenté par Mémoire de fin de cyde pour l'obtention du


[37]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
~=a1=,
1
•••••
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

. . .
p
- ~'~ ";,:..~.,
,. Naft 0lllrlllDnlll• 1 Polcyl• ,..
!_ Adl_
U-llitl
~ allai
---"il,_
• - _ .

-~
. .,: ,:~·
Metrcs

System Summary
f•••

1,449 397
--- ~ Proflno
~ Posl:\lre
,!1

l 111111111111111 I I !i3' Client Provts1on1no


[Sl
Autnentlcatkm
AutnDl'lzatlon

Security Group
Egress Polocy
Aa:ess
- 24h
- 969
24h ..,
29%
24h

- Network Oew:e Authonrat10n Authentlcatbns El


Utlliutlon and Latu1cy 2.A IJ Policy Elements Occurrel"K•• LHt 0ccu"'9d
CPU Dlctionanes '" u,,,. Dmrw agio
Passed 992 ......... .1 •. il,.!, ~l .• 1,,.1,~.IJu 11ul 111,
a .1, •• ,,., •••••••.•••• ,,. Conditions
2'01tt~ 51 mlrw ago Failed 7 11
a srv·d·IH·02
lillllllllilllllllllllll ReS<Jlts
4967 th,., 53 ,n,. age,
Lut 24 Hoo1rs

• ......_•••0 D1tb1Cutlon lv1


'12'tll"MI l ••. S3 ,,..,.. ego
&I ldentlty 5tof'tl
• 1 •• 14,p,.1oc1 14, u,.,. 21 tn 50 mlns age,
• •• •••••• _ ....,.,_ 0••••••

0 =·-
a.•-
1 da,y1 a,go

..
Pra/il• SNMP- ••• ,.,. ' •.• • ago

• Carll ••••••••• °'""""" 2J ·-


i:,day, ago
m Location
Proller ActMty 1B ,., ure lll H .IOn
Posture Complance

Total 2 Total o
Lut2 •• Ho11"S LH t60 M,ra,tH L..ut~-4~ours

01.-trlbutlon av, 01mtbut:lol"I Bv1


1B Er\dpolnt Pro ••• EB Po,ti,,,.. Statu,
_______N_
, O,uaAv•ii•h;.;'•;_ _

Help
Notflations (0)

Figure 9: Interface du PSN

Présenté par Mémoire de fin de cycle pour l'obtention du


LESSIEHI leolet Deborah (38)
MASTER lnfonnatique option MIAGE
.,.':"=.;=·rI
Ufl Dl

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

1.3 Monitoring and Troubleshooting Node (MTN)


Il fonctionne comme un collecteur de journaux où sont consignés les
messages du PAN et du PSN.

Aussi appelé serveur de surveillance, M1N est utilisé pour générer les
rapports établis à partir des messages du PAN et du PSN.

Le M1N peut être installé sur un maximum de serveur qui peuvent jouer
les rôles de serveur secondaires ou de serveur primaires. Si le serveur primaire
tombe en panne, le serveur secondaire assume automatiquement le rôle de
serveur primaire. Il est recommandé que le M1N soit sur un serveur dédié pour
de meilleures performances en termes de collecte de données et de lancement de
rapport.

2. FONCTIONNALITES DE ISE
Pour assurer le contrôle d'accès au réseau, ISE possède les fonctionnalités
suivantes:

- Authentification, Autorisation, Accounting (AAA);


la posture;
le profilage ;
le monitoring et le reporting ;
la gestion des invités.

Présenté par Mémoire de fin de cycle pour l'obtention du


[39]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
Ufl D(
•mcuu.novu. ,,-
"*'-'"ïJ'
., , .
( IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE "--- Amu,nc•••••••,., •••

2.1 Le service d'authentification, d'autorisation et de


comptabilité

Pour l'authentification, l'autorisation et la comptabilité, ISE est couplé à


Microsoft Active Directory. Il y récupère les informations d'authentification et
d'autorisation. Lorsqu'un utilisateur veut se connecter au réseau, ISE compare le
login et le mot de passe saisi avec ceux récupérés dans Active Directory. Lorsqu'il
y'a correspondance entre les logins et les mots de passe, l'accès au réseau est
accordé à l'utilisateur en fonction de ses accréditations.

Un rapport "d'authentification accordée" est alors généré. Sinon un rapport


"d'échec d'authentification" est généré . Le rapport d'échec d'authentification
fournit la raison de l'échec.

Un périphérique réseau qui n'est pas défini dans Cisco ISE ne peut pas recevoir
les services AAA de Cisco ISE.

2.2 La posture
La posture assure la visibilité et la traçabilité des terminaux.
Le processus de service de posture est composé de trois actions que sont :
- le ravitaillement du client ;
- la stratégie de posture ;
- la stratégie d'autorisation.

2.2.1 Ravitaillement du client


Afin d'exécuter l'estimation de posture d'un terminal, il est nécessaire de le
ravitailler avec un agent. Les agents sont des applications qui résident sur les
machines clientes se connectant au réseau Cisco ISE.

Présenté par Mémoire de fin de cycle pour l'obtention du


[40]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
UflOl
unau.-no111se

Aj;1r IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

Les agents peuvent être persistants ou temporels. Les agents persistants sont
installés sur l'équipement et se chargent chaque fois qu'un nouvel utilisateur se
connecte. Les agents temporels (web agent) quant à eux, sont basés sur le Web et
sont dynamiquements téléchargés sur le client pour chaque nouvelle session.
L'agent web (temporel) est retiré du client après l'ouverture de la session.

2.2.2 Stratégie de posture


La stratégie de posture définit l'ensemble des conditions requises pour qu'un
point final soit en conformité avec les politiques de sécurité. La stratégie de
posture est appliquée aux points finaux basés sur un ensemble de conditions
définies tel que le type d'identité de l'utilisateur et du système d'exploitation du
client. Le statut de conformité (posture) d'un point final peut être :

• mconnu : aucune donnée n'a été collectée afm de déterminer l'état de


posture;
• non conforme : une estimation de posture a été exécutée, et un ou plusieurs
conditions requises ont manqué ;
• conforme : Le point fmal est conforme avec toutes les conditions
obligatoires.
Des conditions requises de posture sont basées sur un ensemble configurable
d'une ou plusieurs conditions. Les conditions simples incluent un contrôle simple
d'estimation. Les conditions composées sont un groupe logique d'un ou plusieurs
conditions simples. Chaque condition requise est associée avec une action de
correction qui aide des points finaux à répondre à l'exigence.

Présenté par Mémoire de fin de cycle pour l'obtention du


[41]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
..•.,
.,.~=._=·r;I IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
--

2.2.3 Stratégie d'autorisation


La stratégie d'autorisation définit les niveaux d'accès au réseau et les services
à livrer à un terminal basé sur l'état de posture. Les terminaux considérés non
conformes avec la stratégie de posture peuvent être mis en quarantaine jusqu'à ce
qu'ils deviennent conformes. Par exemple, une stratégie typique d'autorisation
peut limiter l'accès au réseau d'un utilisateur pour correction seulement. Si la
correction par l'agent ou l'utilisateur final est réussie, alors la stratégie
d'autorisation peut accorder l'accès au réseau privilégié à l'utilisateur. La stratégie
est imposée avec l'affectation dynamique VLAN.

2.3 Le profilage
Le profilage permet d'aasurer la conformité des équipements. Il se fait en trois
phases que sont les phases d'analyse du trafic, de classification des
équipements et l'utilisation du profilage dans la mise en place des règle
d'autorisation.

2.3.1 L'analyse du trafic


ISE utilise des sondes spécifiques pour analyser le trafic généré par les
équipements, les éléments collectés sont les suivants :

• les 6 premiers digits de l'adresse MAC qui permettent


l'identification du constructeur de l'équipement;
• les informations sur le port de conexion de l'équipement;
• les adresses MAC et Ip
• les informations d'authentification.

Présenté par Mémoire de fin de cyde pour l'obtention du


LESSIEHI leolet Deborah [42)
MASTER Informatique option MIAGE
,_;I
:::::.::.
., •
U•••
IMPLEMENTATION O'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

2.3.2 La classification des éléments


C'est lors de cette phase que le moteur d'analyse d 'ISE entre en action, ISE
corrèle l'ensemble des éléments collectés lors de la première phase et utilise sa
librairie interne pour identifier l'équipement.

L'exemple ci-dessous montre par exemple la démarche d'analyse pour un


Ipad, on commence par regarder l'adresse MAC, ensuite les champs et le « User
Agent » et en fonction du résultat on positionne ce nouvel équipement dans le
groupe IP AD.

La librairie existante d'ISE dispose de politiques d'identifications pour plus de


100 devices, il est également possible de créer ses propres politiques et donc
d'identifier n'importe quel type d'équipements connectés au réseau.

Pour cela ISE dispose d'une librairie complète qui permet d'utiliser l'ensemble
des attributs des protocoles de profilage.

Apple-Device

~ Apple-MacBoo

~ Apple-iPad
Ceci est un adresse
~ Apple-iPhone
MAC d'Apple
- •":, Apple-iPod

IP:User-Agent
CONTAINS IPad

Je suis
certain ceci
est un lpad

Figure 10 _. Classification des équipements avec ISE Profiler


Légende:

Présenté par Mémoire de fin de cycle pour l'obtention du


(43]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
., . _•;
.,i1(
UfllD(
UTitDMTIOVU •

.1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

:PSN

2.3.3 L'utilisation du profilage pour la mise en place des règles


d'autorisation
Chaque règle d'accès dans ISE se compose de conditions et d'un résultat.
L'accès à internet peut-être par exemple limité pour les Smartphone et tablettes.

La règle fonctionne de la manière suivante, si l'équipement est profilé comme


faisant partie des catégories IOS, Android ou Blackberry, ISE active une ACL
particulière ou positionne l'équipement dans un vlan à partir duquel seul internet
est accessible.

r î r~
Status Ruet~ e CCTd'o œnbt '1;:.(()S ni otœ cadtais) Pel
1 Pro!Ëd Gsco 1P Ph:ries Cisco-lP-Phone (ISCO _IP _Ph:r,es

1 Pro!Ëd ~ Apple-iPad Apple-iPhone An<ioid BlackBerry

real_camera

SI Androld, iPhone,
iPad ou BlackBerry
Authoriser un accès
Internet uniquement

Figure 11 : Utilisation du profilage pour la mise en place des règles


d'autorisation

Présenté par Mémoire de fin de cyde pour l'obtention du


LESSIEHI leolet Deborah [44]
MASTER lntormatlque option MIAGE
1m1•r
UflOl

.~=..="
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

2.4 Le monitoring et le reporting


Le monitoring consiste à surveiller les activités du réseau. ISE exerce la
surveillance continue et en temps réel des terminaux. Fournissant ainsi un
reporting en temps réel et qui est l'historique d'informations suivant les critères
d'évaluation de l'environnement.

L'historique fournit une liste de vue récapitulative sur les équipements, leurs
adresses, leur utilisation et leur emplacement sur le réseau.

2.5 La gestion des invités


ISE permet la gestion des invités grâce à son concept BYOD (Bring Y our Own
Devi ce). Qui offre un accès plus sécurisé aux équipements ne faisant pas partie
du patrimoine de la banque.

Présenté par Mémoire de fin de cyde pour l'obtention du


(45]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.,.r:-=._=·r:I
llf1Dl

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

Chapitre 8 : ARCHITECTURE DE
DEPLOIEMENT DE ISE
Le nombre de terminaux du réseau détermine l'architecture de Cisco ISE à
déployer. Nous avons les architectures suivantes :

- un déploiement de petite taille ;


- un déploiement de taille moyenne ;
- un déploiement de grande taille.

1. Déploiement de petite taille


Le déploiement de petite taille de Cisco CISE est mis en place dans un
réseau de petite taille ayant au plus deux mille (2000) terminaux. Ce
déploiement met en jeu deux serveurs sur lesquels sont installés les différents
acteurs de ISE. Ces serveurs servent respectivement de serveur primaires et de
serveur secondaires.

Le serveur primaire fourni toutes les configurations et les politiques de


sécurité nécessaires au fonctionnement du réseau. Le serveur secondaire quant à
lui, sauvegarde toutes les données du serveur primaire et joue le rôle du serveur
primaire quand ce dernier est défaillant.

Le déploiement de petite taille a été effectué au sein de la banque.

Présenté par Mémoire de fin de cyde pour l'obtention du


[46)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
,.;
,'f==•rI
urtll

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

r
ISE-1 ., ISE-2
1 1
1 1
1
1
1 '
Primary 1
1
..•,._._
1
econdary
.~

Admin Admin
1 '
J_'
1
econdary 1
Primary
---+ 1

onitorin l
1
Monitoring
1
'
j
j
1
1 '1
Active PSNl ------•'
1

"*=-
1
Active PSN2
.....,__."_ .. . ._. ...,:_•'
1
1
1
1 ,1 1
1 '
·------------------
Figure 12 : Déploiement de petite taille
Légende:

: Acteur ISE

2. Déploiement de taille moyenne


L'élargissement du réseau est pris en compte par l'ajout de nouveaux
serveurs. Aboutissant ainsi à un déploiement de taille moyenne pouvant supporter
jusqu'à dix mille (10.000) terminaux.

Tout comme dans le déploiement de petite taille, sont dédiés au PAN et au


M1N deux serveurs jouant les rôles respectifs de serveur primaire et de serveur
secondaire.

Au maximun, cinq (05) autres serveurs peuvent-être dédiés à la gestion des


politiques de service. Ces cinq (05) autres serveurs permettent de gérer les
fonctions d'authentification, d'autorisation et de comptabilité.

Présenté par Mémoire de fin de cyde pour l'obtention du


[47]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
7,1;1r
ur1:ot-

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

,.. - --- - ---· --- . - -- .. - --- ---- ---- - -- .. , ,.-- - .• ----------------------------,


' ' '
ISE Node 1 ''
'1 Policy : ISE Node 2

i 1

Admin Monitoring l Admin Monitoring :


1
1
1

__
1
1 '
1

,''1
'
'. .. , ., t --······ . ·t
1

. '·······1··········--·---1-·······!
Primary Secondary Secondary Primary

Figure 13 : Déploiement de taille moyenne


Légende:

3. Déploiement de grande taille


Un déploiement de grande taille peut prendre en compte au maximum cent
mille (100.000) terminaux.

Deux serveurs sont exclusivement dédiés à la fonction d'administration et


deux autres à celle de surveillance.

Cette séparation des serveurs d'administration et de surveillance permet


d'avoir un maximum de quarante serveurs de politiques de services.

Présenté par Mémoire de fin de cycle pour l'obtention du


(48] MASTER Informatique option MIAGE
LESSIEHI leolet Deborah
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

r-------------~-- r----------------,1 ~-------·-------~ r--~---~----··---, f

ISE Node 1 ISE Node 2 : ISE Node 3 , ISE Node 4 :


1 1

Ad min ·;Monitoring: Admin l ;Monitoring l 1


'
f 1
1
f
f

Policy Service

Figure 14 : Déploiement de grande taille


Légende:

Présenté par Mémoire de fin de cycle pour l'obtention du


[49]
LESSIEHI leolet Deborah MASTER lnfonnatique option MIAGE
.=m1
.1 =1
Dl · IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

Chapitre 9 : DEPLOIEMENT DE ISE


ISE est installé sur les serveurs, les switchs et les terminaux qui au sein de
NSIA-Banque sont représentés par les ordinateurs.

Les services de profilage, de posture, AAA, de monitoring et reporting ont


été déployés.

NSIA-Banque a procédé à un déploiement de petite taille.

1. INSTALLATION DE ISE

1.1 Les seveurs


L'installation de ISE sur les serveurs se fait en suivant les étapes suivantes :

la connexion au serveur ;
l'insertion du DVD d'installation;
la configuration du serveur.

Présenté par Mémoire de fin de cyde pour l'obtention du


[50]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.,.i:-=_;=•rI
UflOl

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

Figure 15 : Ecran d'installation de CISCO ISE

Présenté par Mémoire de fin de cycle pour l'obtention du


[51]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.':":m1
1 .:.:' ·r
Uf 1 D l

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

ise-se=ve--~
E::1ce= IP add=essfl: lJ.:.1.1

:ï2.:
E:1::e= defaulc D~·TS dcmaL. .i s cc . ccrr,
.1s:1.. 2:i:i. :.s
2
~-dd/Edi c anc t ne r nerr.e ae z ve r ? Y/ )1 : :1
: clcc~.ciscc.ccm
.f..dd/Edic a:-ic:::-ie= )T-:P dcmai:1? Y/~: n
'l:"...,-·.. ,.1°- 55:1?.
J,.. •• c.~ •• . . Y/ -

E:1ce= s~scem cirre zcne


Enz e r us e z nerr.e f e.drru n l : e dm..L.

En::e= pass~c=d aaai::1:

-:.:le oa-:.e:,;a:; ...


Pi:1gi:1g -::le
De :1cc t:.se 'C::=1-C' f=cm ::::.is pcin:: c::1 ...
--i=cual rr.ecru.ne de t e c t ed , cc:1fig1.:-::-i:1q -,_1; .~:,.;a=e t cc Ls ..•
J:..,:pplia:-ice is cc:1figu:::-ed
I:1s::alli::1g applicacic:1s ...
~nscalli:1g ISE ...
~pplicacic:1 bundle (ise) i:-is::alled s-..:ccessfull··

Figure 16 : Ecran de configuration du serveur

1.2 Les switchs


ISE est installé sur les switchs de manière suivante :

activation des fonctions AAA ;


activation de l'authentification 802.IX sur les ports du Switch;
définition du VLAN par défaut ;
définition des ACLs locales par défaut ;

Présenté par Mémoire de fin de cyde pour l'obtention du


[52)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.1. .-:
_., .i
.1
UflDl
UfNflliUIOVU.

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
.-,

......_ Aum•nce;& •••,qu•

aaa new-model
! Creates an 802.lX port-based authentication method list
aaa authentication dotlx default group radius
! Required for VLAN/ACL assignment
aaa authorization network default group radius
! Authentication & authorization for webauth transactions
aaa authorization auth-proxy default group radius
! Enables accounting for 802.lX and MAB authentications
aaa accounting dotlx default start-stop group radius

aaa session-id common

aaa accounting update periodic 5


! Update AAA accounting information periodically every 5 minutes
aaa accounting system default start-stop group radius

aaa server radius dynamic-author <cr>


client 10.0.56.17 server-key cisco
! Enables ISE to actas a AAA server when interacting with the client at IP address

Figure 17 : Ecran d'activation des fonctions AAA

Enables 802.lX authentication on the interface


dotlx pae authenticator

Figure 18 : Ecran d'activation de l'authentification 802. JX

Présenté par Mémoire de fin de cyde pour l'obtention du


[53]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
,_;I
m•-•n1
llr1Dl
••,_ TIGIIU.

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
_,,..

....._ Assmanm &Banque

vlan <VLA number>


name ACCESS

vlan < VLA number>


name VOICE

interface < VLA numbe r»


description ACCESS
ip address 10.1.2.3 255.255.255.0
Figure 19 : Ecran de définition du VLAN par défaut

1p aeeess-list extended ACL-ALLOW


permit ip any any
!
ip aeeess-list extended ACL-DEFAULT
remark DHCP
permit udp any eq bootpe any eq bootps
remark ONS
permit udp any any eq demain
remark Ping
permit 1emp any any
remark Ping
permit 1emp any any
remark PXE / TFTP
permit udp any any eq tftp
remark Allow HTTP/S to ISE and WebAuth portal
permit tep any host <Cisco_ISE_IP_address> eq www
permit tep any host «c i sco ISE IP edâr e s s» eq 443
Figure 20: Ecran de définition des ACL locales par défaut

Présenté par Mémoire de fin de cyde pour l'obtention du


[54]
LESSIEHI leolet Deborah MASTER lntormatique option MIAGE
~==·1
.1•1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

1.3 Les terminaux


Les terminaux pris en compte par Cisco ISE au sein de NSIA-Banque sont les
ordinateurs.

En vue de les voir participer à la procédure globale d'authentification, les


actions suivantes sont effectuées:

activation du service « Configuration automatique de réseau Câblé » sur


tous les ordinateurs pour la prise en charge du 802. lX;
activation de 802.lX pour les cartes réseaux Ethernet;
installation automatique de l'agent CISCO NAC pour la posture.

1.3.1 Activation du service « Configuration automatique de réseau


Câblé»
L'activation du service « Configuration automatique de réseau câblé » se
fait dans le gestionnaire des services de Windows et est mis à automatique.
•~t
11\..,11. VI

Figure 21: Ecran de configuration automatique de réseau câblé

Présenté par Mémoire de fin de cycle pour l'obtention du


[55]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.~=fJl:=·r1
llf1Dl

l IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

1.3.2 Activation de 802.JX pour les cartes réseaux Ethernet


Pour l'activation de 802.IX pour les cartes réseaux Ethernet:

Se rendre dans les paramètres de la carte réseau ;


Puis dans les «Propriétés de connexion au réseau local» ;
allez dans l'onglet «Authentification » et cocher les options suivantes :
• Activer l'authentification IEEE 802.IX;
• Mémoriser mes informations d'identification pour cette connexion à
chaque fois que je suis connecté ;
• Revenir à un accès réseau non autorisé.

,.. Propriétés de Connexion au réseau local

Gestion de réseau I Authentification

Sélectionnez cette option pour fournir un accès réseau authentifié à


cette carte Ethernet

~ Activer l'authentification IEEE 802.1X

Choisissez une méthode d"authentification réseau:

1 Microsoft: PEAP (Protected EAP) ..•. , 1 Paramètres 11

0 Mémoriser mes informations d'identification pour cette


connexion à chaque fois que je suis connecté

0 Revenir à un accès réseau non autorisé

Paramètres supplémentaires ...

l OK !I Annuler

Figu,re 22: Ecran d'activation de 802.JXpour les cartes réseaux Ethernet

Présenté par Mémoire de fin de cycle pour l'obtention du


[56]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
•••••
.':'=,l:
l =•rI IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

Dans l'onglet « Paramètre », renseigner les champs suivants :


cocher la partie « Connexion à ses serveurs » et renseigner les noms des
serveurs ISE séparer par un point-virgule ;
cocher ensuite l'autorité de certification racine de confiance ;
faire OK.

Propriétés EAP protégées

x,on :
J valider 1 rt,f,~t d

J conne)()on à ces serveurs

Autontés de cert1f1cation racine de ccrmemce

Groupe NSIA Enterpnse r,.,1ach1n


GTE CyberTrust Globôl Roo

Il 1

l'ut1ll~teur d'autoriser de nouveaux


,f,clttlon approuv

,on

on 2) ._ 1 ! Configurer ...
J Activer la reconnexion rapide
Appliquer la protection d'accès réseau
Oéconnect. si le serveur ne présente pas TLV de liaison de ch1"r.
Activer la protection d
la conf1dentlalrté

OK Annule,· ]

Figure 23 : Ecran de protection des propriétés


Enfin dans la partie « Paramètres supplémentaire », renseigner les options
suivantes:

Présenté par Mémoire de fin de cycle pour l'obtention du


(57]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.~=•:=•r1
.1
U f1 D l

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Auur.iinch & B.anque

spécifier le mode d'authentification : Authentification de l'utilisateur ou


de l'ordinateur ;
activer l'authentification unique pour ce réseau : cocher immédiatement
après l'ouverture de session de l'utilisateur ;
mettre le délai maximal (seconde) à: 10;
autoriser l'affichage de boîtes de dialogue supplémentaires pendant
l'authentification unique.

Paramètres avancés

Paramètres 802. lX

[{] Spécifier le mode d'authentification

1 Authentification de l'ublisateur •J Enregistrer ident. l


L-.J Supprimer les informations didentification pour tous les
utilisateurs

~ Activer l'authentification unique pour ce réseau

Immédiatement avant l'ouverture de session de


l'utilisateur

~' Immédiatement après l'ouverb.Jre de session de


l'utilisateur

Délai maximal {secondes): 10


[{] Autoriser l'affichage de boîtes de dialogue supplémentaires
pendant l'authentification unique
C] Ce réseau utilise des réseaux locaux virb.Jels distincts pour
l'authentification de l'ordinateur et de l'utilisateur

! OK J I Annuler

Figure 24: Ecran des paramètres Avancés

Présenté par Mémoire de fin de cyde pour l'obtention du


[58]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.,"·-11
_;I
UflK
•••••••••••
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
1
Auu,itncH & Banque

1.3.3 Installation de l'agent CISCO NAC pour la posture


L'installation de l'agent persistant Cisco NAC permet le ravitaillement de la
machine cliente et se fait comme suit :

Wek:ome to the InstallShield Wazard for C"asco


NACAgent

The Insta0Shield(R) VI/izard wiH allow you to modify, repair, or


remove Cisco NAC Agent . To continue, dick Next.

< Back Next > Cancel J


Figure 25: Ecran d'installation de l'agent Cisco NAC

1.1.1 Importation du certificat de l'autorité de certification


Le certificat de l'autorité de certification est utilisé pour la génération du
certificat des serveurs ISE. Son installation se fait comme suit :

Présenté par Mémoire de fin de cyde pour l'obtention du


[59)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
·=•:=•r1
UflK
---
1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

Certificat

Général Détails Chemin d'accès de certification

Informations sur le certificat

Ce certificat est conçu pour les rôles suivants:


• Toutes les stratégies d'émissions
• Toutes les stratégies d'application

Délivré à: Groupe NSIA Corporate Root CA

Délivré par Groupe NSIA Corporate Root CA

Valide du 04/07/2011 au 04/07/2051

[ Installer un certificat... J Dédaration de l'émetteur

OK

Figure 26: Ecran d'installation du certificat de l'autorité de certification

Présenté par Mémoire de fin de cyde pour l'obtention du


[60]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.~=-•;:1 •r1
1
U rt Dl

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assurilnce._ & Banque

2. CONFIGURATION DE ISE
Le bon fonctionnement de ISE implique la configuration de ses services de
posture, de profilage et des services de protection des terminaux.

2.1 Le service de profilage


L'installation du service de ISE Profiler se fait en trois étapes :

- activation du service de profilage sur un noeud ;


- configuration des sondes ;
- configuration des politiques de profilage ;

2.1.1 Activation du service de profilage sur un nœud


L'activation du service de profilage sur un noeud se fait dans le menu
déploiement. Le chemin d'accès à ce menu est le suivant Administration >
System > Deployment. Dans le menu de déploiement du noeud, renseignez le
"Hostname", le "FQDN", l'adresse Ip et le le noeud à activer. Puis activer
l'administration et le monitoring du noeud.

Présenté par Mémoire de fin de cyde pour l'obtention du


(61)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.,.;I
~==1
Dl· IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
,.
....._ A.,,.,.,,c.,.&&;,nque

Licen:1.1ng Cert,ficates Loggong Ope,atoon;; Admon kces.s Sett,ngs

Deploymem p1o, r>efi Neues ust > Edi ~


Edit Node
• , • Deployment

Hostname µse-163-203

FOON J)Se-163-203

IP Addres.s 10.77.122.203

Node Type ldenlily SeMc.es Engine (ISE)

Persooas

Administratoon Role PRIMARY

0Monl1oring Rolei · '· IM,\R'. L~! ()her Monolonng Node

0 Policy Service
Enable Sesson Services
lnclude Node in Node Oroup

Enable Profihng
Service

Figure 27: Ecran d'activation du service de profilage

2.1.2 Configuration des sondes


Une sonde est une méthode permettant de recueillir les caractéristiques
( adresse Mac) d'un équipement connecté sur le réseau. ISE donne de choisir entre
neuf (09) différentes sondes que sont NetFlow, DHCP, DHCPSP AN, HTTP,
RADIUS, Network Mapper, DNS, SNMPQUERY et SNMPTRAP.

Présenté par Mémoire de fin de cyde pour l'obtention du


[62]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
~=.•;:r •r1
.1
UfU l

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE A.SSUfiH'IC~S & Banque

La configuration des sondes se fait dans le menu Profiling Configuration


dont le chemin d'accès est Administration >System> Edit Node > Profiling
Configuration.

·~1,';~~· lden!lty Services Eng,ne


AH.,... -· Pofie\l'•
.': Sy-:.laM

OeplOyMOI\I

0
[., • NETFLOW

DescrlD:.On 'IETFlO'IJ

7 • OHCP

7 • OHCPSPAN

-1
J

:artaœ
Oescrtjltzon
IG.Jlatll:Elf>l!'rft!l:O
.··fTTP ====i-1
-' • o.a.nu1q

Figure 28 : Ecran de configuration des sondes pour le profilage

2.1.3 Configuration des politiques de profilage


De nouvelles politiques peuvent-être ajoutées à celles existantes.

La page de configuration des politiques de service contient les options


suivantes:

activation des politiques : permet d'associer une politique de profilage


existant à un équipement ;

Présenté par Mémoire de fin de cycle pour l'obtention du


[63]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.,. ,_•1
1 .,.i
UflO(
"'°""'TlOUU •
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assur.inc~s & Bal'K'jue

facteur de certitude : est ajouté pour toutes les politiques classées valides
pendant leur évaluation avec la classification des équipements ;
exceptions : permettent d'associer une exception à une politique.
L'exception est déclenchée quand une politique correspond à un
équipement et qu'au moins une règle d'exception correspond.
Création d'un groupe d'identité : permet de créer un nouveau groupe
d'identité.
La configuration des politiques de services est accessible en suivant le
chemin suivant Policy > Profiling > Profiling Policies.

,111,1!1,
CISCO Jdentity Services Engine

• '-v Prtfitt Polit,


Profihng
fJ) Profiler Poficy

'1~ 1 Aooe-Oevi:e i Desoçtoo I ""'..,,. ·-


P*y Eœ&d 0 .
'MmunCertariyFact01 !~10-----~I (VaiJRaV,e 1 to6553S)
, <vceixm Actoo I ra{ ·I
'Ne\wCl'kSc~(r.MAP)Actoo j POE • I
ûe.te Moccoog Idertiy G,~
' l.lse~Mchy

I
'Paert P*y t~f '!

I
If Ccnim Select_,I. J!Jbie ; Then ! Certarty Fact01 Iroeases • Il O 1

Figure 29 : Ecran de configuration des politiques de profilage

Présenté par Mémoire de fin de cycle pour l'obtention du


(64)
LESSIEHI leolet Deborah MASTER lnfonnatique option MIAGE
Uf1 Dl

tt~_,'"il'(
MTM0Mnocrt5. ,-

.,.,. IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE -... ,.,.,.,.• .,,,.,,. •.,0qu•

2.2 Le service de posture


Le service de profilage de Cisco ISE permet de vérifier l'état des terminaux et
en fonction des résultats obtenus permet de prendre des mesures de connectivités
appropriées.

L'installation du service de profilage de Cisco ISE peut-être décrite en deux


phases:

- configuration du service de ravitaillement de la machine cliente ;


- configuration du profile agent.

2.2.1 Configuration du service de ravitaillement de la machine


cliente
Cisco ISE peut-être configuré pour faire la mise à jour automatique des
ressources indispensables au service de ravitaillement de la machine cliente. Les
réglages pour se faire sont disponibles dans le menu Administration > System >
Settings >Client> Provisioning.

Le service de ravitaillement des machines clientes est activé par défaut.

La fonctionnalité de mise à jour est désactivée par défaut pour refléter les
recommandations de Cisco concernant les mises à jour automatiques. En effet,
Cisco recommande de télécharger manuellement les mises à jour chaque fois
que possible plutôt que d'opter pour les téléchargements automatiques.

Présenté par Mémoire de fin de cycle pour l'obtention du


[65]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.,...
1,a
IIAMIMTIOVU.
tT<W--~I'(
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
1

i1l1i1h,
CISCO ·'· :-::·;
'.:.···· :--- ··· -. .. -:-
A ~me Monitir , Poii&y , 111!1•• 1l.!.!'
l'll'
,• - r11''
--

C-:pl:-ym~nt

Ui119s
-:- Clifnt Prc,vi:i)ning ' f1ie111 Pr ovisionim

• Erobl"' Pn~Ô)nirrl En..1bl: "

U~<l'.itt Ftê<J URL: 1 httpJfwwtil.perligo corn!positroru1se/prO'lisioning-updat1

·:· ~.~;uritr Gr: up A,;,;f'·'-


·:· $y~t:m Tinr.

Figure 30 : Ecran de configu.ration du ravitaillement de la machine cliente

2.2.2 Configuration du profile agent


Les agents Cisco ISE sont utilisés pour contrôler la connexion sur les
terminaux. Ils améliorent la réutilisabilté et la modularité des politiques de
service de Cisco.

En fonction des systèmes d'exploitation, différents agents sont utilisés. La


configuration des agents s'effectuent dans le menu Administration > System >
Settings > Posture > General Setting.

Présenté par Mémoire de fin de cyde pour l'obtention du


(66]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.,._;I
.,. ,_,.,l,_....i
&lnEAITIOVU .

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
.,,,

--.... MS<u•nces& ••nqu•

Edit l 9? Add .., 1 ~i Duplicate


-
D Namr Agent resources trom Cisco site
Agent resources from local disk
D 1 1\
ISE Posture Agent Profile
D Mac 1 rv
Native Supplicant Profile
D - - .., - - - C

D WebAgent 4.9.0.20

Figure 31 : Ecran de configuration du profile agent

2.3 Le service de protection des terminaux


Les services de protection des terminaux sont des services qui fonctionnent
sur le nœud d'administration de Cisco ISE pour étendre le contrôle et la
surveillance des terminaux. La possibilité d'utiliser les services de protection des
terminaux pour contrôler et changer la politique d'autorisation d'un terminal sans
pour autant modifier toutes les politiques d'autorisation du système est admise.

Les services de protection des terminaux permettent de gérer les terminaux


en suivant trois actions :

la quarantaine : permet grâce aux différentes politiques d'empêcher


l'accès au réseau à un terminal ou de limiter cet accès à ce terminal. La
mise en quarantaine déplace un terminal de son VLAN initial vers un
VLAN de mise en quarantaine. Le flux de quarantaine est le suivant :
• un terminal se connecte au réseau ;

Présenté par Mémoire de fin de cyde pour l'obtention du


(67]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
~==·r
1
•••••
•1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

• le nœud d'administration définit une interface de quarantaine


pour le nœud de surveillance ;
• le nœud de politique de service applique un changement
d'autorisation ;
• le changement d'autorisation déconnecte le terminal ;
• le terminal se reconnecte et se ré-authentifie ;
• le terminal est mis en quarantaine pendant sa vérification ;
• lorsque le terminal vérifie toutes les politiques de sécurité, il
a plein accès au réseau;
l'unquarantine : annule l'état de quarantaine et donne plein accès au
réseau au terminal ;
shutdown: désactive un port du réseau.

Les services de protection sont désactivés par défaut. Leur activation se fait
dans le menuAdminisration >System> Settings > Endpoint Protection Service.

Présenté par Mémoire de fin de cycle pour l'obtention du


(68)
LESSIEHI leolet Deborah MASTER lnfonnatique option MIAGE
·--·
.,. . ._;...i. I
•••••
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE .,,,,.......
./
A"ur•nces&8"nque

,1h,1l1t
CISCO Identity Services Engine
À Home Operations , Policy , Aomiriistration ,

•.~: System · 0 ldentit,' Management Network Resources tl. Ouest Management

Deployment Licensing Certificates Logging Maintenance Admin Access · Settings

Settings Endpoint Protection Service ;


i= CieriProvisionilg
2 Erq:>OQ Pr~ecoon SeNte
:= FIPS Mode Service StatusU Disablect,
Monitoring a Encli:d
_ Posture ro~
::: Profirg Save Reset
Prolocols

.G. Proxy
;= Sectriy GrOl.4) Access
!= SMTP Server

s SystemTme

Figure 32: Ecran d'activation des services de protection des terminaux

Présenté par Mémoire de fin de cyde pour l'obtention du


(69]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.f==·r
UflOC:

.l -1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assou1oce-s & Banque

CONCLUSION
Les établissements financiers sont sans cessent victime de piratage
informatique. NSIA Banque, en Janvier 2011 en a fait les frais. En effet, un
piratage informatique'ê! de son réseau a permis le détournement de près de
500.000.000 FCFA via les cartes prépayées Rubis.

Ce piratage a révélé les failles de sécurité de la banque et ce qu'elles


peuvent entraîner. Afin de se protéger de tout piratage, NSIA Banque procède au
renforcement de sa sécurité réseau. Elle décide pour cela d'implémenter un
système de contrôle d'accès à son réseau informatique.

Il existe plusieurs systèmes de contrôle d'accès au réseau. Le choix de


NSIA Banque s'est cependant porté sur la solution ISE de Cisco pour les
différents avantages qu'elles offrent en plus de ceux des autres systèmes.

Pour renforcer sa sécurité, la banque n'a pour le moment déployé que les
services ISE qui couvrent ses besoins de sécurité. Elle procèdera plus tard au
déploiement des autres fonctionnalités de la solution ISE.

La connexion filaire utilisée par NSIA-Banque engendre des frais


d'installation et d'entretien et ne facilite pas la mobilité du personnel. Ce qui
réduit l'efficacité de la banque. Pour y remédier, la banque ne devrait-elle pas
migrer vers la connexion wifi ?

[BJ http://news.abidjan.net/h/388959.html

Présenté par Mémoire de fin de cycle pour l'obtention du


[70]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.~~,t
.,,
. . IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

BIBLIOGRAPHIE

OUVRAGES

1. Cédric LLORENS, Ana MINABURO, Laurent TOUTAIN, Les réseaux


locaux, Les Sélections Techniques de L'ingénieurs.

2. Cédric LLORENS, Ana MINABURO, Laurent TOUT AIN, Administration


de réseaux, applications et mises en œuvre, Les Sélections Techniques de
L'ingénieurs.

3. Le Petit Robert de la langue française, 2006.

4. Eli MABO, Sécurité des Systèmes d'information: Contrôle d'accès


technique au réseau, Janvier 2012.

5. Philipe ATELIN, Réseaux Informatiques Notions fondamentales, 3ième


édition, ENI Edition.

Présenté par Mémoire de fin de cycle pour l'obtention du


[71)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
,."'"'-_'"°i"' ;I
U rt D l
UTMUU.TIDVU.

IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

WEB (Consulté du 26 Janvier 2015 au 11 Mai 2015)

http://www.commentcamarche.net/contents/1276-802-lx-eap

https://technet.microsoft.com/fr-fr/library/cc753550(v=ws.10).aspx

http://www.cisco.com/web/FR/products/security/cisco_ise.html

https://technet.microsoft.com/fr-fr/library/cc753550(v=ws.10).aspx

http://www. cisco .corn/c/en/us/products/collateral/security/identity-services-


engine/data_sheet_c78-656174 .html

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsec
ur_c/scfrad.html#wp 1000902

http://www.cisco.com/web/FR/documents/pdfs/newsletter/ciscomag/2010/05/cis
comag_33 _trustsec.pdf

http://www.cisco.com/c/en/us/td/docs/security/ise/1-
2/user_guide/ise_user_guide/ise_client_prov .html#pgfld-13 8153 5

http://www.cisco.com/web/FR/solutions/CiscoMag/2012/articles_04/ciscomag_
2012_04.pdf

http://www.cisco.com/web/FR/documents/pdfs/datasheet/vpn_security/Cisco_N
AC _Presentation_synoptique. pdf

http://www.cisco.com/c/en/us/products/collateral/security/nac-
profiler/product_data_sheet0900aecd806b7 d4e.html

http://www.solutioninfomedia.com/equipement

http://news.abidjan.net/h/3 88959 .html

http://www.cisco.com/c/en/us/products/collateral/security/nac-guest-
server/product_data_sheet0900aecd806e98c9 .html

Présenté par Mémoire de fin de cyde pour l'obtention du


(72]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
~==1
.l-11(· IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE : CAS DE NSIA BANQUE

http://images.msgapp.com/Extranet/95720/pdfs/Cisco_ISE_at_a_glance_pdf.pdf
http://www.cisco.com/c/en/us/td/docs/security/ise/1-
2/installation_guide/ise_ig/ise_deploy .html

http://www.cisco.com/cisco/web/support/CA/fr/111/1119/1119198_116143-
config-cise-posture-OO.html

Présenté par Mémoire de fin de cyde pour l'obtention du


[73]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
~==,. •
1•:1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE

GLOSSAIRE

Authentification . L'authentification est un processus permettant


de vérifier qu'une personne est bien celle
qu'elle prétend être.
Autorisation · L'autorisation est un processus qui permet à
une personne d'aller là où elle veut aller, ou
d'obtenir les informations qu'elle désire.
Déploiement : Une distribution déployée consiste à repartir
distribué une installation sur plusieurs serveurs.

Exception : est un type d'erreur qui est déclenché par le système


pour un type d'erreur bien précis.

Monitoring Le monitoring est le fait de surveiller le


réseau.
Nœud Un nœud est un équipement informatique
connecté au réseau.
Posture Le processus de posture permet de vérifier
l'état d'un terminal et de prendre les mesures
de connectivités appropriées.
Profilage Le profilage permet d'avoir en temps réel un
inventaire de l'activité de tous les
équipements connecté au réseau.
Reporting Le reporting est la journalisation des activités
du réseau.
Terminal Le terminal désigne un ordinateur connecté au
réseau.

Présenté par Mémoire de fin de cycle pour l'obtention du


[74]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
.1·=,a
=itt IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
-- N

ANNEXE

DG

DRC DPO

Figure 33 : Organigramme de NSIA-Banque

Présenté par Mémoire de fin de cyde pour l'obtention du


(75]
LESSIEHI leolet Deborah MASTER Informatique option MIAGE

Vous aimerez peut-être aussi