Mise en Place D'un Réseau VPN Au Sein D'une Entreprise. Cas de La BRALIMA Sarl en RDC

WOW !! MUCH LOVE !
SO WO
PEACE !
Rechercher sur le site: Fond bitcoin pour l'amélioration du
1memzGeKS7CB3ECNkzSn2qHwxU6
Dogecoin (tips/pourboires):
DCLoo9Dd4qECqpMLurdgGnaoqbftj1
Recherche
Home | Publier un mémoire | Une page au hasard
Memoire Online > Informatique et Télécommunications

Mise en place d'un réseau VPN au sein d'une entreprise. Cas de la BRALIMA Sarl en
RDC ( Télécharger le fichier original ) Disponible en mode
par Eric BAHATI - SHABANI multipage
Institut supérieur de commerce Kinshasa - Licencié en réseaux informatiques 2011

MISE EN PLACE D'UN RESEAU VPN
AU SEIN D'UNE ENTREPRISE
Cas de la BRALIMA Sarl
2011-2012
REPUBLIQUE DEMOCRATIQUE DU CONGO
MINISTERE DE L'ENSEIGNEMENT SUPERIEUR, UNIVERSITAIRE

ET DE RECHERCHE SCIENTIFIQUE
INSTITUT SUPERIEUR DE COMMERCE
« I.S.C »
Cycle de licence
SECTION : SCIENCES COMMERCIALES, FINANCIERES ET INFORMATIQUES
DEPARTEMENT : INFORMATIQUE DE GESTION
B.P 16 596 KIN I

KINSHASA/GOMBE
BAHATI - SHABANI Eric
Mémoire de Fin d'Etudes présenté et défendu en vue de l'obtention du titre de licencié en Informatique de Gestion
Option : RESEAU
Directeur : Prof. IVINZA LEPAPA A.C. Rapporteur : C.T. Jacques DISONAMA
EPIGRAPHE
"Les lionceaux éprouvent la disette et la faim, mais
ceux quicherchent l'Eternel ne sont privés d'aucun
bien".
Psaumes 34 : 11
DEDICACE
Ce travail, je le dédie à l'Eternel Dieu d'Abraham, d'Espérance MBAKADI, celui qui est la source de toute intelligence et du savoir
et sa grace m'avait accompagnée tout au long de mon parcours estudiantin.
Je dédie également ce travail à toute ma famille et à tous ceux qui me sont chers, je dédie ce travail.
BAHATI - SHABANI Eric
[4]
REMERCIEMENT
Je remercie l'Eternel Dieu, l'auteur de mon souffle qui ne cesse de renouveler ses bontés chaque jour dans ma vie, pour m'avoir
donné la force, la santé et l'intelligence nécessaires pour accomplir ce travail et son amour combien si grand qu'il m'a offert ds
mon jeune age jusqu'à ce jour.
J'adresse mes remerciements aux autorités de l'Institut Supérieur de Commerce « I.S.C » en sigle, DG KABAMBA MUEU, SG
Professeur Ordinaire MVIBUDULU KALUYITUKAKO ainsi que le corps académique pour les conseils et l'encadrement.
J'adresse mes remerciements à Monsieur Alphonse Christian IVINZA
LEPAPA, Professeur MIS des Universités qui a bien voulu assurer la direction de ce mémoire et qui a toujours été à l'écoute et
tres disponible tout au long de la réalisation de ce travail. Ainsi, pour l'inspiration, l'aide et le temps qu'il a bien voulu me
consacré et sans lequel, ce mémoire n'aurait jamais vu le jour.
Ainsi qu'à Monsieur Jacques DISONAMA, Ingénieur Civil, ICT à l'OCHA et Chef des Travaux, pour avoir accepté la tche de
rapporteur et de ce travail tout au long de mes recherches. Une mention particulière à ces deux personnes pour leurs
encouragements, leur compréhension et leur sympathie dans les moments difficiles.
Nous adressons nos sentiments de gratitude à nos enseignants : Professeur MBIKAYI MPANYA, Professeur KANGA MATONDO,
Professeur MAKINDU MASSAMBA Hilaire, Professeur MAPHANA MA NGUMA, Professeur SABITI, Professeur KOLA, Professeur
BOOTO, C.T. NKUSU NDONGALA, C.T. MADEKO MIBWEYELE Hilaire, C.T. MAYAMONA, pour la bonne formation.
Je remercie Monsieur Philémon Mizele pour m'avoir accueilli dans le Département Informatique au sein de l'entreprise Bralima
Sarl.
J'exprime ma gratitude en particulier à Monsieur Robert MATENDO, ICT à la Bralima Sari malgré ces multiples occupations, qui
a bien voulu assurer l'encadrement de ce mémoire, à qui nous disons un grand merci.
J'exprime ma gratitude envers messieurs Pierrot Ramazani Ingénieur Civii ICT à l'Action DAMIEN, Messieurs Roger MAYALA,
Papy PAMBU et Michel ICT à la Bralima Sari pour m'avoir fourni une aide précieuse ainsi que tous les renseignements
nécessaires à ce travail.
J'exprime également ma gratitude en particulier aux Messieurs Fao KITSA et Ely KATEMBO SHABANI qui ont bien voulu me
soutenir matériellement et financièrement afin que ce mémoire soit élaboré.
J'exprime également ma gratitude à Monsieur Jean-Claude KIZITO qui a bien voulu me soutenir matériellement afin que ce
mémoire arrive à son terme.
Les mots me manquent pour exprimer ma profonde reconnaissance à ma cousine Joyce BIZIGE, pour m'avoir céder son laptop ;
afin que ce mémoire soit élaboré.
Pour finir, une mention spéciale à tous mes collègues de service, Papy Mvondo, Yannick, Cédric, Baby GUBEGELA, Christian,
Serge, etc., pour avoir su imposer une ambiance toute particulière à ces deux mois passés pour arriver à élaborer ce travail.
Un grand merci également à Madame KAT Matilde, Monsieur Potin FURUGUTA, Madame MADO MPAMBU, Monsieur Charles,
Madame Clotilde, Monsieur Martin LUMBU, Monsieur TENDA, Monsieur BARUA, Monsieur Samy AKAFUMU, Monsieur Willy,
Monsieur Emmanuel KABENGELE pour leurs aides et encouragement.
Aux freres, soeurs, amis et connaissances, pour tous les biens faits, nous citons ici, Tante KIZA et son mari, Oncle Jeannôt,
Fabrice KAMBALE, Micheline KATUUTA, Grace SHABANI, Tom MANENO, Antho KIHUGHO, Junior MANENO, Jeffrey KATUUTA,
Passy KIHUGHO, Anita KIHUGHO, Jean-Luc KATUUTA, Béni MANENO, Jean-Luc SHABANI, Josué SHABANI, Annie KATUUTA et
son époux
Hilaire MAKENGO, Da Seina MATONDO et son époux, Ange MANENO, Harmonie SHABANI, Mireille SHABANI, MUSUBAO, Angel
MAKAYA, Charly TABU, Chrispin ABEDI, Madame Espérance KAJEJE HAMULI, Rachel HAMULI, Blaise KABUYAYA, Eric KAYUNGU,
Junior KASUSULA, Hélène SHOTSHA, Arielle BINTA, Claudine KUMUGO, Cédric HAMULI, Dr. KABAMBA Paul, Madame Jolie, mon
grand frère Ir. KENGAMU Elvis, LUMBU Willy, Ir. KAHEMULA Gédéon, etc.; sans oublié mes camarades de promotion, nous citons
ici, Georges BUSHIRI, Papy NSHASHA, Alpha BALUME, Marchal KAMBALE, Patience KIMWESA, Sylvain KASONGA, Jean-
Jacques MATA, BOBO, Aline PILA, Nana GEYANGALO, Nora MONFO, Marthe BUIKALA, Maman Marie -- Jeanne UMADJELA,
Maman Marie-- Claire, Maman Nénette, Tina ANADEMADE, Rebecca WONGANOMBE, Nancy LUEMBA, Célestin MAYA, Jules
ILONDO, Dicky YAMBA, WOOT-A-WOOT, Kabos Kabala.
Enfin, tous ceux que je n'ai pas pu citer qui ont contribué à la réalisation de ce travail, je pense notamment à mes fréres, soeurs,
cousins et cousines, mes oncles et tantes, mes camarades de promotion, je les exprime ma gratitude.
BAHATI -- SHABANI Eric
INTRODUCTION GENERALE
Aujourd'hui, Internet est largement utilisé dans le monde et est plus orienté métier. Les organismes offrant la connexion
Internet sont intéressés par la tarification où les clients payent pour les ressources qu'ils consomment.
Indéniablement, ce grand réseau est rentré dans nos moeurs. A travers, lui tout un monde parallèle s'est développé : des
sites marchands ont fleuris, les services pour les particuliers comme les guides d'itinéraire pour nos voyages nous
simplifient bien la vie.
En effet, on en vient à échanger des données à travers des programmes d'échange de fichiers et à « chater » entre
internautes. Nous retiendrons de tout ça qu'Internet est un véritable outil de communication. A la fois High-tech et démodé
par sa technique ; internet n'a pas su évoluer dans l'utilisation de ses protocoles, la plupart des protocoles utilisés ont
plusieurs années d'existence et certains n'ont pas été créé dans une optique où le réseau prendrait une telle envergure. Les
mots de passe traversent ainsi les réseaux en clair, et là où transitent des applications de plus en plus critiques sur le
réseau, la sécurité, elle, a peu évoluée. Il y a peu de temps, les entreprises pouvaient encore se permettre de construire leurs
propres LAN, supportant leurs propres systèmes de nommage, système de messagerie, voire même leur propre protocole
réseau.
Enfin, cette solution peut être très couteuse, notamment si l'entreprise a plusieurs bureaux à travers tout un pays. De plus,
les réseaux privés manque de souplesse par rapport aux situations que l'on peut rencontrer dans une entreprise.
En effet, si un représentant a besoin d'accéder à distance au réseau privé de son entreprise alors qu'il est à des milliers de
kilomètres de celle-ci, le coût de l'appel téléphonique sera extrêmement élevé.
0.1. PROBLEMATIQUE
La nouvelle technologie de l'information et de la communication (NTIC) nous introduit dans un siècle de vitesse en
communiquant l'information au sein de nos organisations (entreprises).
C'est l'univers immatériel du savoir, de la gestion, de la prise de décision par objectif, du contrôle, de la coopération, de la
qualité et de la résolution des problèmes.
Aucune personne n'ignore l'importance de
l'information dans une organisation ou institution qui nécessite l'organisation, la fiabilité et le bon fonctionnement du
système d'information par la capacité de traiter ses informations.
Les applications distribuées font de plus en plus partie intégrante du paysage d'un grand nombre d'entreprises. Ces
techniques ont pu se développer grâce aux performances des réseaux locaux.
En effet, si les applications distribuées deviennent le principal outil du système d'information de l'entreprise. Voilà quelques
questions que nous avons retenues qui traduisent et reflètent nos préoccupations :
o Comment assurer les accès sécuritaires au sein de structures parfois reparties sur de grandes distances
géographiquement éloignés ?
o Concrètement, comment une succursale d'une entreprise peut - elle accéder aux données situées sur un serveur distant de
plusieurs milliers de kilomètres ?
o Quel serait alors l'impact de ce nouveau système d'information ?
o Quels protocoles et quelle configuration assurent-ils l'accès sécurisé à l'information à travers ces technologies ?
0.2. HYPOTHESE DU SUJET

Nous essayons dans la mesure du possible d'envisager une politique optimale de partage des informations afin que
l'échange des ressources ne pose plus de problème au sein de l'entreprise.
Dans le cadre de notre travail, nous avons jugé bon de joindre au système d'information existant au sein de l'entreprise, les
applicatifs de l'internet afin de lui permettre :
· Une bonne conservation et recherche aisée des informations en interne et externe ;
· L'échange des données entre les différentes directions de l'entreprise ;
· Enfin, une rapidité dans le traitement de l'information avec toutes les mesures de sécurité garantie ;
· La récupération de l'information en temps réel.
En vue de remédier toujours aux inquiétudes soulevées au travers des questions posées ci-haut, nous pensons qu'
o Il existerait un moyen d'échange de l'information qui serait adapté à la gestion efficace et efficiente de la Bralima ;
o Une configuration appropriée existerait et des systèmes d'exploitation tels que Windows Server, Unix, Linux...seraient
mieux adaptés pour assurer l'accès sécurisé à l'information.
0.3. CHOIX ET INTERET DU SUJET

Vu l'objectif que l'entreprise a et l'estime qu'on lui accorde, nous avons jugé bon de porter notre choix sur ce sujet qui
s'intitule : « Mise en place d'un réseau VPN dans une entreprise afin de faire profiter à l'entreprise cette étude et au monde
scientifique nos connaissances acquises durant notre parcours universitaire.
0.4. DELIMITATION DU SUJET

Il est affirmé qu'un travail scientifique, pour être bien précis, doit être délimité. Raison pour laquelle, nous n'allons pas
aborder toutes les questions liées à la conception d'un réseau VPN car elles paraissent une matière très complexe. Ainsi,
nous avons pensé limiter notre étude par rapport au contenu, à l'espace et au temps.
+ Délimitation temporaire
Ce travail est le fruit de recherches menées au sein de l'entreprise Bralima Sarl durant la période allant de mai 2012 à
d'Octobre 2012.
+ Délimitation spatiale
Nous avons effectué nos recherches au niveau de la Direction Financière plus précisément dans le Département
Informatique, au sein de l'entreprise Bralima Sarl.
0.5. METHODES ET TECHNIQUES UTILISEES

Tout chercheur se focalise sur une méthode susceptible de l'orienter à atteindre son objectif au problème qu'il étudie dans
son travail ; en d'autres termes, les méthodes sont des voies qui permettent au chercheur d'atteindre l'explication du
phénomène à étudier.
En d'autres termes, une méthode est la mise en oeuvre d'un certain nombre d'étapes (méthodologiques), une démarche, des
principes, des outils (traces, papiers standardisés, matériels informatiques, un vocabulaire, etc.).Pour mener à bien notre
étude, nous avons choisi d'utiliser la méthode Merise pour la mise en place d'un système d'information au sein de la Bralima
Sarl.
Pour recueillir les informations ayant servi à l'élaboration de ce mémoire, nous avons fait recours aux méthodes et
techniques.
o Méthode : C'est un ensemble des démarches raisonnées suivies pour parvenir à un but.
o Technique : C'est un ensemble d'instruments ou d'outils
qu'utilise la méthode enfin de réaliser un travail scientifique.
+ Méthode historique: Elle consiste à étudier le passé d'une
entreprise pour mieux cerner sa situation actuelle afin de mieux
préparer son évolution future ;
+ Méthode analytique: Elle nous a permis d'analyser en détail le composant du système existant.
Elle consiste à décomposer les éléments du système existant enfin de le définir, les analyser et d'en dégager les spécificités
auxquelles le nouveau système fera face ;
+ Méthode descriptive: Par cette méthode, certains principes et concepts ont été décrits tout simplement sans
commentaire;
+ Technique d'observation: Elle consiste à faire une analyse personnelle après avoir observé et palpé les fonctionnements
du système d'information. Grâce à cette dernière, nous sommes descendus personnellement sur terrain pour assimiler ce
que font les acteurs pour comprendre et tirer les conséquences ;
+ Technique d'interview: Elle consiste à interroger en vue d'avoir des points de vue avec les différents employés du service
qui nous a intéressé pour acquérir les informations dont on a besoin. Cette technique nous a permis d'obtenir les
renseignements sur l'étude de l'existant, par un jeu des questionréponses ;
+ Technique documentaire: Elle a permis de consulter divers documents pour mieux appréhender les activités qui se
déroulent dans la Direction Informatique.
0.6. SUBDIVISION DU TRAVAIL

Vu la grandeur du sujet que nous avons abordé, notre travail sera subdivisé en deux grandes parties et chaque partie est
suivie de chapitres et des sections que nous allons développer dans les lignes ci-dessous.
De façon non exhaustive ce travail, présentera d'abord le concept et l'architecture des VPN, ensuite détaillera les
fonctionnalités de différents protocoles de routage et leurs utilités dans la conception de réseau VPN et enfin nous
expliquerons comment un client VPN distant peut s'authentifier sur une passerelle via le protocole IPSEC et comment on
gérera son accès contrôlé au réseau Internet à partir d'un serveur de base de données par exemple qui, dans notre cas est
NAVISION.
Chapitre I : GENERALITES SUR LES RESEAUX

INFORMATIQUES
I.1. Introduction
Les réseaux sont nés du besoin d'échanger des informations de manière simple et rapide entre des machines. En
d'autres termes, les réseaux informatiques sont nés du besoin de relier des terminaux distants à un site central
puis des ordinateurs
entre eux, et enfin des machines terminales, telles que les stations de travail à leur serveur1.
Dans un premier temps, ces communications étaient uniquement destinées au transport des données
informatiques, mais aujourd'hui avec l'intégration de la voix et de la vidéo, elles ne se limitent plus aux données
mêmes si cela ne va pas sans difficulté.
Avant de nous attaquer aux infrastructures réseaux, reprenons quelques notions théoriques de base sur les
réseaux informatiques en général. Un réseau permet de partager des ressources entre des ordinateurs: données
ou périphériques (imprimante, connexion Internet, sauvegarde sur bandes, scanner, etc.).
I.2. Definition
Selon TanenboumAndrew, nous pouvons définir un réseau informatique comme étant un ensemble de deux ou plusieurs
ordinateurs interconnectés entre eux au moyen des médias de communication avec pour objectifs de réaliser le partage des
différentes ressources matérielles et/ou logicielles2.
Autrement dit, un réseau est une collection d'ordinateurs et périphériques interconnectés les uns aux autres afin qu'ils
puissent partager des ressources c'est-à-dire des informations ou données, imprimantes, etc.
1 PujolleGuy, Les Réseaux, 3e Edition mise à jour par Eyrolles, à Paris, 2000, Page 13
2 TanenbaumAndrew, Les réseaux, interdiction, 3ème Edition, 1998, Page 1.
I.3. Topologie des réseaux
La topologie est une façon d'agencer les équipements (postes, imprimantes, serveur, etc.) interconnectés dans un réseau
local. La topologie peut comporter deux aspects :
o La topologie logique:
Correspond à la manière de faire circuler le signal parmi les composantes physiques (on parlera des méthodes d'accès au
canal). Par opposition à la topologie physique, représente la façon dont les données transitent dans les lignes de
communication. Les topologies logiques les plus courantes sont Ethernet, Token Ring et FDDI.
o La topologie physique:
Un réseau informatique est constitué d'ordinateurs reliés entre eux grâce à des lignes de communication (câbles réseaux,
etc.) et des éléments matériels (cartes réseau, ainsi que d'autres équipements permettant d'assurer la bonne circulation des
données).Correspond à la façon dont les postes du réseau local sont câblés. Autrement dit c'est la configuration spatiale du
réseau.
On distingue généralement les topologies suivantes : topologie en bus
topologie en étoile
topologie en anneau
topologie en arbre
topologie maillée
La topologie logique est réalisée par un protocole d'accès3. Les protocoles d'accès les plus utilisés sont:
Ethernet Token ring
3 www.commentcamarche.net
La façon de laquelle les ordinateurs sont
interconnectés physiquement est appelée topologie physique. Les topologies physiques basiques sont:
La topologie en bus
La topologie en anneau La topologie en étoile
Topologie en bus
Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans une topologie en bus tous les ordinateurs
sont reliés à une même ligne de transmission par l'intermédiaire de câble, généralement coaxial. Le mot « bus » désigne la
ligne physique qui relie les machines du réseau4.
Cette topologie a pour avantage d'être facile à mettre en oeuvre et de posséder un fonctionnement simple. En revanche, elle
est extrêmement vulnérable étant donné que si l'une des connexions est défectueuse, l'ensemble du réseau en est affecté.
Topologie en étoile
Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système matériel central appelé concentrateur (en
anglais hub, littéralement moyen de roue)5.
Il s'agit d'une boîte comprenant un certain nombre de jonctions auxquelles il est possible de raccorder les câbles réseau en
provenance des ordinateurs. Celui-ci a pour rôle d'assurer la communication entre les différentes jonctions.
Contrairement aux réseaux construits sur une topologie en bus, les réseaux suivant une topologie en étoile sont beaucoup
moins vulnérables car une des connexions peut être débranchée sans paralyser le reste du réseau. Le point névralgique de
ce réseau est le concentrateur, car sans lui plus aucune communication entre les ordinateurs du réseau n'est possible.
En revanche, un réseau à topologie en étoile est plus onéreux qu'un réseau à topologie en bus car un matériel
supplémentaire est nécessaire (le hub).
Topologie en anneau
Dans un réseau possédant une topologie en anneau, les ordinateurs sont situés sur une boucle et communiquent chacun à
leur tour.
En réalité, dans une topologie anneau, les
ordinateurs ne sont pas reliés en boucle, mais sont reliés à un répartiteur (appelé MAU, Multi-station Access Unit) qui va
gérer la communication entre les ordinateurs qui lui sont reliés en impartissant à chacun d'entre-eux un temps de parole.
I.4. Caractéristiques physiques des réseaux
Il n'existe pas de classification générale des réseaux, mais deux critères importants permettent de les caractériser : la
technologie de transmission utilisée et leur taille.
Selon TanenbaumAndrew, cité par Joseph Dimandja ; qui illustre d'une manière acceptable les différentes caractéristiques
sur la classification des réseaux.
La distance entre les processus et leur localisation a constitué notre critère de base pour la classification physique des
réseaux6.
Distance entre Processus Localisation Type des réseaux

0,1 m Circuit imprimé Machine à flot de données (Réseau chargé interne)
1,0 m Millimètre mainframe Réseau système informatique
10 m Salle
100 m Bâtiment Réseau local (LAN)
1000 m = 1 Km Campus
100.000 m = 100 Km Pays Réseau longue distance (WAN)
1.000.000 m = 1000 Km Continent
10.000.000 m = 10.000 Km Planète Internet
100.000.000 m = 100.000 Km Système terre - lune Le satellite artificiel
Tableau n°1 : Classification d'un réseau I.4.1.Techniques de transmission
Du point de vue général, nous distinguons deux types de technologies de transmission largement répandues :
La diffusion (Bus, anneau et radio/satellite)

Le point- à - point (Etoile, boucle et maillé)
+ Les réseaux à diffusion

Un réseau à diffusion dispose d'un seul canal de transmission qui est partagé par tous les équipements qui y sont
connectés.
6 DimandjaJoseph, Mémoire, Conception et implémentation d'un intranet, ULK, 2006-2007, Page 7
Sur un tel réseau, chaque message envoyé, appelé paquet dans certaines circonstances, est reçu par toutes les machines
du réseau. Dans le paquet, un champ d'adresse permet d'identifier le destinataire réel.
A la réception d'un paquet, une machine lit ce champ et procède au traitement du paquet si elle reconnait son adresse ou
l'ignore dans le cas contraire. Cette transmission est appelée multicast.
+ Les réseaux point-à-point
Par opposition au système précédent, le réseau point-à-point consiste en un grand nombre de connexions, chacune faisant
intervenir deux machines. Pour aller de sa source à sa destination, un paquet peut transiter par plusieurs machines
intermédiaires. Cette transmission est appelée unicast.
A. LAN (Local Area Network) ou RLE (Réseau local d'Entreprise)
Le réseau local relie d'une manière générale des ordinateurs localisés dans une même salle, dans un immeuble ou encore
dans un campus. Sa matérialisation peut s'effectuer en tenant compte des différentes topologies élaborées par l'IEEE
(Institute Of Electrical and Electronics Engineer) sous forme des normes7. Il s'agit de:
o IEEE 802.3: Ethernet (CSMA/CD);
o IEEE 802.4: Token bus (Jeton sur bus);
o IEEE 802.5: Token - ring (Jeton sur anneau); o IEEE 802.6: MAN (Metropol Area Network );
o IEEE 802.7: FDDI (Fiber Distributed Data Interface);
o IEEE 802.9: ISOEnet (Réseau local à haut débit, multimedia);
o IEEE 802.10: Sécurité dans les réseaux;
o IEEE 802.11: Réseaux locaux sans fil (WIFI); o IEEE 802.12: 100 VG - Any LAN.
7 Prof. IVINZA LEPAPA A.C., Notes de cours de Télématique, L2 info, ISC-GOMBE, 2011 - 2012
B. WAN (Wide Area Network)
Réseau étendu à longue distance constitué par l'interconnexion de plusieurs réseaux et qui se distingue des réseaux locaux
et des réseaux métropolitains.
Il relie plusieurs ordinateurs notamment à travers une ville, un pays, continent ou encore toute la terre.
Ici la communication s'effectue grace aux réseaux privés et/ où aux réseaux publiques.
I.5. Caractéristiques logiques des réseaux
La conception des premiers ordinateurs ont connu le problème d'hétérogénéité où les concepteurs n'avaient tenu
compte de l'aspect matériel au détriment de l'aspect logiciel en oublient que les données dans les réseaux
devaient provenir des différentes applications qui pouvant être différent d'un ordinateur à un autre.
I.6. Modèle de référence OSI
Le modèle OSI (Open Systems Interconnection) a été adopté pour faciliter l'échange des données provenant des matériels
des différents constructeurs. Ce modèle de référence a été défini en 7 couches pour communiquer entre elles. Il décrit le
fonctionnement d'un réseau à communication des paquets.
1. Couche physique: Elle assure l'établissement, le maintien de la liaison physique et le transfert de bits sur le
canal physique (support). Elle comprend donc les spécifications mécaniques (connecteurs) et les spécifications
électriques (niveaux de tension);
2. Couche liaison de données : Elle assure le maintien de la connexion logique, le transfert des blocs de données
(les trames et les paquets),le contrôle, l'établissement, le maintien et la libération du lien logique entre entités ;
3. Couche réseau : Assure des blocs de données entre les deux systèmes d'extrémités, le routage (choix du
chemin à parcourir à partir des adresses), lors d'un transfert à travers un système relais, l'acheminement des
données (paquets) à travers les
différents noeuds d'un sous - réseau (routage)Et elle définit la taille de ses blocs ;
4. Couche de transport est le pivot du modèle OSI. Elle assure le contrôle du transfert de bout en bout des
informations (message) entre les deux systèmes d'extrémité.
Afin de rendre le transport transparent pour les couches supérieures.
Elle assure le découpage des messages en paquets pour le compte de la couche réseau et les reconstitue pour
les couches supérieures. Elle utilise les protocoles TCP et UDP ;
5. Couche session : Elle assure l'échange des données, et la transaction entre deux applications distantes. C'est
une interface entre les couches qui assurent l'échange de données (transaction) entre les applications distantes.
La fonction essentielle de la couche session est la synchronisation et le séquencement de l'échange par la
détection et la reprise de celui-ci en cas d'erreur ;
6. Couche présentation : Elle assure la mise en forme des données; elle est une interface entre les couches qui
assurent l'échange de données et celle qui manipule, celle couche assure la mise en forme de données, les
conversions de code nécessaires pour délivrer à la couche supérieure un message dans une syntaxe
compréhensible par celle-ci ;
7. Couche application : Est la couche située au sommet des couches de protocoles TCP/IP.
Elle ne contient pas les applications utilisateurs, mais elle assure la communication, à l'aide de processus, un ensemble de
fonctions (entités d'application) permettant le déroulement correct des programmes communicants (transferts des fichiers,
etc.).
Ce modèle a pour objectifs, décomposer, structurer et assurer l'indépendance vis-à-vis du matériel et du logiciel.
I.7. Modèle de référence TCP/IP
Le protocole TCP/IP (Transmission Control
Protocol/Internet Protocol) est le plus utilisé des protocoles parce que c'est lui qu'on emploi sur les réseaux,
c'est-à-dire Internet. Historiquement, le TCP/IP présente deux inconvénients majeurs, à savoir la taille et sa
lenteur. Les principaux protocoles qui le composent : l'Internet protocole qui est un protocole de niveau réseau
assurant un service orienté sous connexion : Transmission contrôle protocole « TCP » et un protocole de niveau
transport qui fournit un service fiable avec connexion.
Le modèle de référence TCP/IP est un langage adopté dans l'internet pour communiquer entre machines est le
langage réseau TCP/IP.C'est un protocole très novateur dans le sens où il est faiblement hiérarchisé.
Tous les ordinateurs sont égaux dans leurs possibilités. Le langage TCP/IP est très répandu dans le monde des
systèmes Unix et il est très facile de trouver des sources pour réaliser un support TCP/IP sur n'importe quel
système. TCP/IP est de fait le premier véritable langage réseau indépendant de tout constructeur d'informatique,
ce qui en fait son succès. Cependant, Il faut distinguer les protocoles c'est à dire les « langages de réseau » et les
entités administratives.
En effet si un réseau parle «TCP/IP», il n'est pas forcément connecté à l'internet. Ce n'est pas parce que je parle
français que je suis français...Le réseau internet est en fait une fédération de réseaux qui mettent en place une
organisation commune. Cette organisation est très fédérale.
I.8. Comparaison entre les modèles
Les modelés OSI et TCP ont les points commun au niveau des fonctionnalités des couches qui sont globalement les
mêmes. Ils sont tous fondés sur le concept de pile de protocoles indépendants.
Au niveau des différences, l'on peut remarquer la chose suivante : le modèle OSI fait clairement la différence entre 3
concepts principaux, alors que ce n'est pas tout à fait le cas pour le modèle TCP/IP.
Ces 3 concepts sont les services, interfaces et protocoles. En effet, TCP/IP fait peu la distinction entre ces concepts ; et ce
malgré les efforts des concepteurs pour se rapprocher de l'OSI.
Cela est dû au fait que pour le modèle TCP/IP, ce sont les protocoles qui sont d'abord apparus et ensuite le modèle ne fait
finalement que donner une justification théorique aux protocoles, sans les rendre véritablement indépendants les uns des
autres.
Le modèle TCP/IP utilise que 4 couches, à savoir : application, transport, réseau et hôte - réseau ; tant dis que le modèle OSI
utilise 7 couches, à savoir : application, présentation, session, transport, réseau, liaison de données et physique.
I.9.Architecture des réseaux
a. Définition
Est un ensemble des règles de composition et d'agencement des noeuds et équipements connectés à un réseau
informatique8.
b. Normalisation
Le modèle OSI offre des standards et protocoles pour se communiquer dans un réseau. Ce que l'OSI adopte dans la
conception et de rendre le réseau le plus indépendant possible des supports physiques.
La normalisation émane de la volonté des gouvernements d'harmoniser les technologies afin d'assurer la compatibilité des
équipements.
C'est l'ISO (International Standardisation
Organisation) qui édite les normes dans tous les domaines informatiques (Réseaux, applications, base de données, etc.).
8 MORVANPierre, LAROUSSE Références, Dictionnaire de l'informatique, Page 17, 1996
c. Mode d'accès
Nous disons qu'il est impératif pour qu'il ait communication entre les noeuds ; ces derniers doivent utiliser le même support
dont un câble ou un faisceau hertzien. Nous soulignons qu'il y a deux technologies qu'on utilise, à savoir : le Jeton et la
contraction.
+ Le jeton est utilisé dans la topologie logique en anneau. Il
consiste à donner l'occasion d'émettre à chacun son tour.
Pour cela, une trame circule en permanence dans le même sens en passant par chaque noeud. Si une machine veut émettre,
elle doit récupérer la trame, y ajouter ses données et l'adresse du destinataire; le jeton devient alors occupé jusqu'à ce qu'il
soit transmis à son destinataire. Après l'envoi, le noeud émetteur attend un temps proportionnel au nombre total de noeuds
avant de recevoir à nouveau le jeton. Cette méthode est dite déterministe9;
+ CSMA/CD (Carrier Sense Multiple Access/Collision Detection) a été conçu pour optimiser le rendement des réseaux à bus
par une minimisation du temps d'attente d'une station faisant une requête d'émission10, permet de détecter les
perturbations, collisions et d'attendre qu'elles se résorbent.
I.9.1. Architecture basée sur les Commutateurs
a. Introduction
Ce sont des architectures réseaux qui sont apparues suite à l'évolution de nouvelles technologies. Elles permettent de
segmenter le plus possibles le réseau par le commutateur, ainsi ces derniers se comportent comme de pont, mais
présentant plus les puissances et la capacité de s'interconnecter avec un réseau à haut débit, il est à signaler que les
commutateurs remplissent le rôle de concentrateurs être celui de pont. Ils offrent ainsi :
9 ERNYPierre, les Réseaux d'entreprises, Edition Ellipse, 1998, Page 11
10 PHILIPPJacques, Systèmes et réseaux, Réseaux Intranet et Internet, Edition Ellipses, Paris, Page 41
o à la fois des ports Ethernet 10 bits et 100 bits ;
o des ports Token-ring,
o la commutation entre ses ports (10 bits, 100 bits, FDDI et ATM).
Cependant, pour ce dernier point, nous trouvons dans certaines organisations la présence de certains réseaux conçus sans
un cahier de charge, donc, un amalgame d'appareils interconnectés sans une finalité bien définit et ceci pose un sérieux
problème du point de vue gestion et même influence les décisions11.
b. Un commutateur
Un commutateur est un équipement informatique doté de nombreux ports d'entrée et de sortie ; il transfert les paquets
arrivant sur les ports d'entrée vers leur port de sortie12.Autrement dit, un commutateur permet de relier divers éléments tout
en segmentant le réseau. Un commutateur, capable de supporter à la fois des services à bande étroite et à large bande, doit
satisfaire aux contraintes suivantes : très haut débit, très faible délai de commutation, très faible taux de perte de cellules,
possibilité de communication en multipoint, modularité et extensibilité et enfin un faible coUt d'implémentation.
I.9.2.Architecture à longues distances
Les humains ont toujours voulu communiquer plus vite et plus loin. Les Gaulois, écrit Jules César dans "La guerre des
Gaules", avec la voix, de champ en champ, pouvaient transmettre une nouvelle à 240 km de distance en une journée.
Dans les réseaux locaux, les exploitants sont, en général, propriétaires des lignes de transmission suivants les divers types
de médias. Ce qui est concevable sur des petites distances. Mais lorsque les distances deviennent longues, il n'est plus
possible de posséder les lignes. Pour connecter deux ou plusieurs ordinateurs, on fera appel aux services des opérateurs de
télécommunication13.
11 PetitBertrand, Op. Cit, Page 21
12 PujolleGuy, Les Réseaux, 3e Edition mise à jour, Edition Eyrolles, à Paris, 2000, Page 23
13 Prof. IVINZA LEPAPAA.C., Notes de cours, Télématique II, L2 Info de gestion, ISC-KIN, 2011-2012, Page 85
Section I. : Interconnexion des réseaux I.1. Définition
L'interconnexion est un mécanisme qui consiste à mettre en relation, indépendamment de la distance qui sépare et des
protocoles qu'elle utilise, des machines appartenant à des réseaux physiquement distincts.
Selon LORENZ Pascal, cité par le Professeur MIS A.C. IVINZA LEPAPA dit que le domaine des réseaux locaux était limite à l'
origine au partage des périphériques lourds (disques magnétiques, imprimantes), il a évolué aujourd'hui vers celui des
applications distribuées.
Des plus en plus, le besoin se fait sentir de raccorder des stations à des serveurs, mais également des LAN voisins ou
distincts, à travers des réseaux plus vastes (MAN, WAN)14.
La problématique de l'interconnexion consiste à déterminer la solution à mettre en oeuvre:
o Lorsque le réseau à créer dépasse les distances maximales imposées par la norme du réseau à mettre en place,
o Lorsqu'on doit relier deux réseaux utilisant des protocoles différents.
L'interconnexion de deux réseaux d'architectures différentes nécessite un équipement d'interconnexion spécifique dont la
dénomination varie suivant les différentes couches de l'OSI. Cette interconnexion est possible grâceà un certain nombre de
dispositifs, qui sont au nombre de quatre:
+ Répéteur
C'est un équipement servant à régénérer ou à remettre en forme un signal affaibli. Le répéteur ne modifie pas le contenu du
signal et n'intervient qu'au niveau physique du modèle OSI. Les répéteurs sont des boitiers d'interconnexion qui n'apporte
que des adaptations au niveau physique.
Ils sont principalement utilisés dans les réseaux IEE 802.3. Ils servent à raccorder deux segments de câbles ou deux
réseaux identiques (Ethernet) qui constituent alors un seul réseau logique15.
+ Pont
C'est un équipement permettant de relier plusieurs réseaux locaux de même typeou soit pour étendre le réseau
d'établissement, soit pour constituer un réseau étendu multiétablissements. Le pont travail comme un filtre qui transmet
d'un réseau à l'autre les trames dont l'adresse ne figure pas dans le premier réseau.
Principes:
· Le pont se présente généralement sous forme de boitier empilable disposant d'un nombre réduit d'interface:
Ethernet, Token - ring et Wan. Certains ponts proposent un port RNIS configurable au choix en tant que liaison
principale ou liaison de secours ;
· Le pont (bridge) fonctionne dans la couche liaison du modèle OSI et assure la conversion du format de la trame
et adapte sa longueur. Il filtre les trames en fonction de l'adresse du destinataire, positionne certains bits,
segmente le trafic et élimine la congestion sur une partie du réseau16.
+ Routeur
Il permet l'interconnexion de réseaux présentant des différences physiques des bits et de la composition des
trames, couche 1 et 2 du modèle OSI. Ils gèrent les en-têtes des trames et des paquets jusqu'à la couche 3
(couche réseau).
15 Prof. IVINZA LEPAPAA.C., Notes de cours, Télématique II, L2 Informatique de gestion, ISC-KIN, 2011-2012
16 Idem
Permettant de relier de nombreux réseaux locaux de telle façon à permettre la circulation de données d'un
réseau à un autre de la façon optimale. Contraire au pont, le routeur est concerné par le routage de niveau
paquet, ce qui lui confère des propriétés très différentes.
Il ne permet pas de constituer un réseau unique à partir de plusieurs sous-réseaux ; il a comme fonction
l'interconnexion de réseaux différents dans le sens où les adresses des utilisateurs des réseaux distants ne sont
connues que par leur adresse de niveau paquet et non par une adresse de niveau physique17.
Outil logiciel ou matériel pour diriger les données à travers un réseau. Il s'agit souvent d'une passerelle entre
plusieurs serveurs pour que les utilisateurs accèdent facilement à toutes les ressources proposées sur le réseau.
Le routeur désigne également une interface entre deux réseaux utilisant des protocoles différents.
Principes
· Les routeurs agissent au niveau de la couche réseau et effectuent le routage de paquets, c'est-à-dire ils sont
chargés de trouver le meilleur chemin pour acheminer les paquets vers le destinataire.
· Les routeurs relient des sous structures qui sont des réseaux différents.Le routeur intègre le plus souvent une
fonction de passerelle (gateway) qui leur permet d'acheminer les paquets des différentes architectures, par
exemple IP vers X25.
Il est composé de deux parties, à savoir : Partie logicielle et partie matérielle18.
La partie logicielle a pour but d'acheminer les paquets vers l'interface correcte du routeur, tandis que la partie matérielle du
routeur est composée des ports appelés « interfaces » qui reçoivent et émettent les paquets au format correspondant à
l'architecture du réseau destinataire (Ethernet, FDDI, Token Ring).
17 PujolleGuy, Les Réseaux, 3e Edition mise à jour, Edition Eyrolles, à Paris, 2000, Page 709
18 Prof. IVINZA LEPAPAA.C., OD. Cit., ISC-KIN, 2011-2012
+ Passerelle
Nous avons constaté que l'on ne peut pas concevoir aujourd'hui un réseau sans un passage vers l'extérieur, c'est pourquoi,
nous disons que la passerelle permet de relier des réseaux locaux de types différents.
Il faut interconnecter les réseaux, pour qu'ils puissent s'échanger des informations. Le noeud qui va jouer le rôle
d'intermédiaire s'appelle passerelle ou « gateway ».
C'est un système de programmes assurant la compatibilité entre deux environnements, logiciels ou matériels. En ce qui
concerne l'interconnexion de réseaux, la passerelle met en oeuvre les couches hautes du modèle OSI, contrairement aux
ponts et aux routeurs19.
+ Protocole
Un protocole est une méthode standard qui permet la communication entre des processus (s'exécutant éventuellement sur
différentes machines), c'est-à-dire un ensemble de règles et de procédures à respecter pour émettre et recevoir des données
sur un réseau. Il en existe plusieurs selon ce que l'on attend de la communication.
Certains protocoles seront par exemple spécialisés dans l'échange de fichiers (le FTP), d'autres pourront servir à gérer
simplement l'état de la transmission et des erreurs (c'est le cas du protocole ICMP), etc.
Sur Internet, les protocoles utilisés font partie d'une suite de protocoles, c'est-à-dire un ensemble de protocoles reliés entre-
deux. Cette suite de protocole s'appelle TCP/IP.
Elle contient, entre autres, les protocoles suivants: HTTP, FTP, ARP, ICMP, IP, TCP, UDP, SMTP, Telnet, NNTP.
19 LAROUSSE REFERENCES, de MorvanPierre, Dictionnaire de l'informatique, France, 1996
[28] Section II. Sécurité informatique II.1. Introduction
La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des réseaux d'entreprise ainsi que
pour les particuliers toujours plus nombreux à se connecter à Internet. La transmission d'informations sensibles et le désir
d'assurer la confidentialité de celles-ci est devenue un point primordial dans la mise en place de réseaux informatiques.
La sécurité informatique c'est l'ensemble des moyens mis en oeuvre pour réduire la vulnérabilité d'un système contre les
menaces accidentelles ou intentionnelles. Il convient d'identifier les exigences fondamentales en sécurité informatique.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une
organisation sont uniquement utilisées dans le cadre prévu.
II.1.1. Sécurité physique et environnementale20
La sécurité physique et environnementale concerne tous les aspects liés à la maitrise des systèmes et de l'environnement
dans lesquels ils se situent.
Cette sécurité repose sur:
( La protection des sources énergétiques et de la climatisation (alimentation électrique, refroidissement, etc.) ;
( La protection de l'environnement (mesure ad hoc notamment pour faire face aux risqué d'incendie, d'inondation, etc.) ;
( Des mesures de gestion et de contrôle des accès physiques aux locaux, équipements et infrastructures (avec entre autres
la traçabilité des entrées et une gestion rigoureuse des clés d'accès aux locaux) ;
20Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 7
" Le plan de maintenance préventive (tests, etc.) et corrective (pièces de rechange, etc.) des équipements ce qui relève
également de la sécurité de l'exploitation des environnements ;
" Etc.
II.1.2. Sécurité logique et applicative21
La sécurité logique fait référence à la réalisation de mécanismes de sécurité par logiciel contribuant au bon fonctionnement
des programmes et des services offerts.
Elle s'appuie généralement sur une mise en oeuvre adéquate de la cryptographie, de procédures de contrôle d'accès logique,
d'authentification, de détection de logiciels malveillants, de détection d'intrusions et d'incidents, mais aussi sur des
procédures de sauvegarde et de restitution des informations sensibles sur des supports fiables spécialement protégés et
conservés dans des lieux sécurisés.
Cette sécurité repose sur :
o La robustesse des applications ;
o Des contrôles programmés ;
o Des jeux de tests ;
o Des procédures de recettes ;
o L'intégration de mécanismes de sécurité, d'outils
d'administration et de contrôle de qualité dans les applications ;
o La sécurité des progiciels (choix des fournisseurs, interfaces sécurité, etc.) ;
o Un plan d'assurances sécurité ;
o Etc.
21Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 8
II.1.1. La sécurité du système d'information22
L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité
de l'entreprise.
Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements
induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre.
La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre.
Ce n'est rien d'autre qu'une stratégie préventive qui s'inscrit dans une approche d'intelligence économique. Pour ce qui
concerne les données et les logiciels, la sécurité informatique implique qu'il faille assurer les propriétés suivantes:
la confidentialité (aucun accès illicite): maintien du secret de l'information et accès aux seules entités autorisées; l'intégrité
(aucune falsification): maintien intégral et sans altération des données et programmes; l'exactitude (aucune erreur); la
disponibilité (aucun retard): maintien de l'accessibilité en continu sans interruption ni dégradation; la pérennité (aucune
destruction): les données et logiciels existent et sont conservés le temps nécessaire; la non-répudiation (aucune
contestation).
II.2. Mise en place d'une politique de sécurité
La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources
d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs
des dites ressources possèdent uniquement les droits qui leur ont été octroyés.
Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des utilisateurs et les
consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le réseau s'étend.
22
Ghernaouti-Hélie S., Stratégie et protection des systèmes d'information, Page 20
Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages
qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance.
C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en
oeuvre se fait selon les quatre étapes suivantes :
Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles
conséquences ;
Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de l'organisation pour les risques
identifiés ;
Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et
matériels utilisés ;
Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace.
o La confidentialité
La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction.
La confidentialité est la protection des données contre divulgation non autorisée maintien de secret des informations23. Il
existe deux types d'actions complémentaires permettant d'assurer la confidentialité des données :
( Limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à les modifier puissent le faire ;
( Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont pas autorisées à les obtenir ou qui ne
possèdent pas les moyens de les déchiffrer ne puissent les utiliser.
23
Ghernaouti-Hélie S., Sécurité informatique et réseaux, 3emeédition, DUNOD, Page 4
o Intégrité
Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de
manière fortuite ou intentionnelle).
o Authentification.
L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son
partenaire est bien celui qu'il croit être.
Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des
ressources uniquement aux personnes autorisées.
L'authentification doit permettre de vérifier l'identité
d'une entité afin de s'assurer entre autres, de l'authenticité de celleci et qu'elle n'a pas fait l'objet d'une usurpation
d'identité24.
Avant de chiffrer des données il est nécessaire de s'assurer que la personne avec laquelle on communique et bien celle
qu'elle prétend être. Plusieurs méthodes d'authentification sont possibles.
Il a été démontré qu'il existait des algorithmes symétriques et asymétriques pour chiffrer un message. De la même manière,
il existe des algorithmes symétriques et asymétriques pour assurer l'authentification.
II.3. Chiffrement ou Cryptographie
Le chiffrement des données (la cryptographie) est l'outil fondamental de la sécurité informatique. En effet, la mise en oeuvre
de la cryptographie permet de réaliser des services de confidentialité des données transmisses ou stockées, des services de
contrôle d'intégrité des données et d'authentification d'une entité, d'une transaction ou opération25. Le chiffrement est
l'opération par laquelle on chiffre un message, c'est une opération de codage.
24 Prof. IVINZA LEPAPA A.C., Notes de cours de Télématique II, L2 info, ISC-GOMBE, 2011 - 2012, Page 4 25Ghernaouti-Hélie
S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 131
Chiffrer ou crypter une information permet de la rendre incompréhensible en l'absence d'un décodeur particulier.
La cryptographie est une science qui consiste à écrire l'information (quelle que soit sa nature : voix, son, textes, données,
image fixe ou animée) pour la rendre inintelligible à ceux ne possédant pas les capacités de la déchiffrer26.
La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une
chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus
faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la
sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :
La sensibilisation des utilisateurs aux problèmes de sécurité ; La sécurité logique, c'est-à-dire la sécurité au niveau des
données, notamment les données de l'entreprise, les applications ou encore les systèmes d'exploitation ;
La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc. ;
La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au
public, espaces communs de l'entreprise, postes de travail des personnels, etc.
II.4. Algorithmes symétriques
Les algorithmes à clé symétrique ou secrète sont des algorithmes où la clé déchiffrement peut être calculée à partir de la
clé de déchiffrement ou vice versa. Dans la plupart des cas la clé de chiffrement et la clé de déchiffrement sont identiques.
Pour de tels algorithmes, l'émetteur et le destinataire doivent se mettre d'accord sur une clé à utiliser avant d'échanger des
messages chiffrés.
26
Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, P. 132
[34] II.5. Algorithmes asymétriques
Les algorithmes asymétriques ou clé publique, sont différents. Ils sont conçus de telle manière que la clé de chiffrement soit
différente de la clé de déchiffrement. La clé de déchiffrement ne peut pas être calculée à partir de la clé de déchiffrement.
Ce sont des algorithmes à clé public car la clé de chiffrement peut être rendue publique. N'importe qui peut utiliser la clé de
chiffrement pour chiffrer un message mais seul celui qui possède la clé de déchiffrement peut déchiffrer le message chiffré.
La clé de chiffrement est appelée clé publique est la clé de déchiffrement est appelée clé privée. Dans les algorithmes à clé
secrète, tout reposait sur le secret d'une clé commune qui devait être échangée dans la confidentialité la plus total, alors que
la cryptographie à clé publique résout ce problème.
L'algorithme asymétrique permet de réaliser
plusieurs fonctions de sécurité relatives à la confidentialité, l'intégrité, l'authentification et à la non-répudiation.
CHAPITRE II: VPN (Virtual Private Network) Section I. Généralités
I.1. Définition
a. Réseau privé
Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des données confidentielles à
l'intérieur de l'entreprise. De plus en plus, pour des raisons d'interopérabilité, on y utilise les mêmes protocoles
que ceux utilisés dans l'Internet. On appelle alors ces réseaux privés « intranet >>. Y sont stockés des serveurs
propres à l'entreprise en l'occurrence des portails, serveurs de partage de données, etc.
En général, les machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-ci. L'inverse n'étant
pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder au réseau internet.
b. Réseau privé virtuel
Dans les réseaux informatiques et les
télécommunications, le réseau privé virtuel (Virtual Private Networking en anglais, abrégé en VPN) est vu comme une
extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond
en fait à une interconnexion de réseaux locaux via une technique de « tunnel >>. Nous parlons de VPN lorsqu'un organisme
interconnecte ses sites via une infrastructure partagée avec d'autres organismes.
Il existe deux types de telles infrastructures partagées : les « Publiques >> comme Internet et les infrastructures dédiées que
mettent en place les opérateurs pour offrir des servicesde VPN aux entreprises.
C'est sur internet et les infrastructures IP que se sont développées les techniques de « tunnel >>27.
Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé ou public, selon un mode qui émule une
liaison privée point à point.
27 http://fr.wikidedia.org/wiki/Réseau_privé_virtuel/2012/17h45'
Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne
spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à
utiliser Internet comme support de transmission en utilisant un protocole de "tunnellisation" (en anglais tunneling), c'est-à-
dire encapsulant les données à transmettre de façon chiffrée.
Nous parlons alors de réseau privé virtuel pour désigner le réseau ainsi artificiellement créé.
I.2. Concept de VPN
Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-à-dire que les liaisons
entre machines appartiennent à l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire
d'équipements d'interconnexion.
Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même des
personnels géographiquement éloignés via internet. Pour autant, les données transmises sur Internet sont beaucoup plus
vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à
l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs.
Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné.
Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou
l'entreprise. La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux
distants à l'aide de liaisons spécialisées.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé
car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système de VPN
permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux.
En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau
physique est public et donc non garanti.
I.3. Fonctionnement
Le VPN repose sur un protocole de tunnellisation, c'est-à-dire un protocole qui permet le passage de données cryptées d'une
extrémité du VPN à l'autre grâce à des algorithmes28. Nous employons le terme « tunnel » pour symboliser le fait que les
données soient cryptées et de ce fait incompréhensible pour tous les autres utilisateurs du réseau public (ceux qui ne se
trouvent pas aux extrémités du VPN).
Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les
données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et
déchiffrant les données du côté de l'organisation. De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé
virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire
d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée.
L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon
chiffrée. A réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur. Pour
émuler une liaison point à point, les données sont encapsulées, ou enrobées, à l'aide d'un en-tête qui contient les
informations de routage pour leurs permettre de traverser le réseau partagé ou public jusqu'à leur destination finale.
Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les paquets interceptés sur le réseau
partagé ou public restent indéchiffrables sans clé de décryptage. La liaison servant à l'encapsulation et au cryptage des
données privées est une connexion VPN.
Ainsi, tous les utilisateurs passent par le même "portail", ce qui permet de gérer la sécurité des accès, ainsi que le trafic
utilisé par chacun.
En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau principal vers chaque employé qui y
accède, ce qui augmente d'autant le risque de failles.
Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille prise par le réseau étendu.
I.4. Méthode de connexion I.4.1. Le VPN d'accès
Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une
connexion Internet pour établir la connexion VPN.
Il existe deux cas:
o Bralima demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur distant :
o il communique avec le Nas du fournisseur d'accès et c'est le Nas qui établit la connexion cryptée ;
o Bralima possède son propre logiciel pour le VPN auquel il établit directement la communication de manière cryptée vers le
réseau de l'entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :
La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un
fournisseur d'accès proposant un Nas compatible avec la solution VPN choisie par l'entreprise. De plus, la demande de
connexion par le Nas n'est pas cryptée ce qui peut poser des problèmes de sécurité.
Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera cryptée dès l'établissement de la
connexion29. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une
communication cryptée.
29 GHERNAOUTI HélieSolange, Guide de cyber sécurité pour les pays en développement, Edition DUNOD, 2008.
Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le VPN d'avoir une
authentification forte des utilisateurs.
Figure 1 : VPN connectant un utilisateur distant à un intranet privé I.5. Topologie des V.P.N
Figure 2 : VPN connectant un utilisateur distant à un intranet privé
Les VPN s'appuient principalement sur Internet comme support de transmission, avec un protocole d'encapsulation et un
protocole d'authentification, au niveau des topologies, on retrouve des réseaux privés virtuels en étoile, maillé ou
partiellement maillé.
Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce niveau qu'on retrouve le serveur
dàccès distant ou serveur VPN, dans ce cas de figure tous les employés du réseau s'identifient ou s'authentifient au niveau
du serveur et pourront ainsi accéder aux ressources qui se situent sur l'intranet.
Figure 4 : V.P.N maillé
Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site seront considérés comme
des serveurs d'accès distant, les ressources ici sont décentralisées sur chacun des sites autrement dit les employés
pourront accéder aux informations présents sur tous les réseaux.
I.5. Intérêt d'un VPN
La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une
liaison non fiable (Internet), comme s'ils étaient sur le même réseau local.
Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau
d'entreprise hors de leur lieu de travail. Nous pouvons facilement imaginer un grand nombre d'applications possible:
o Les connexions VPN offrent un accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs
nomades.
o Les connexions VPN permettent d'administrer efficacement et de manière sécurisé un réseau local à partir d'une machine
distante ;
o Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou depuis d'autres sites distants d'accéder à
distance à un serveur d'entreprise par l'intermédiaire d'une infrastructure de réseau public, telle qu'Internet ;
o Les connexions VPN permettent également aux entreprises de disposer de connexions routées partagées avec d'autres
entreprises sur un réseau public, tel qu'Internet, et de continuer à disposer de communications sécurisées, pour relier, par
exemple des bureaux éloignés géographiquement ;
o Une connexion VPN routée via Internet fonctionne logiquement comme une liaison de réseau étendu (WAN, Wide Area
Network) dédiée.
Les connexions VPN permettent de partager des fichiers et programmes de manière sécurisés entre une machine locale et
une machine distante.
Section II. Protocoles utilises et sécurité des VPN

Il existe plusieurs protocoles dit de tunnellisation qui permettent la création des réseaux VPN à savoir :
Comme nous allons le voir, les technologies les plus utilisés pour la création de tunnels sécurisés pour tous types de flux
sont PPP, PPTP, L2F, L2TP et IPSec.
Pour la sécurisation par service, par application, nous pouvons aussi utiliser des solutions du type HTTPS. Toutes ces
méthodes vont être détaillées dans ce qui suit.
Les tunnels permettent d'envoyer des données d'un réseau à un autre. Ces données peuvent être des paquets ou des
trames, qui seront encapsulés dans un entête supplémentaire par le protocole qui implémente le tunnel. Cet entête fourni
les informations de routage pour l'acheminement de la charge utile encapsulé, dans le réseau intermédiaire. Les tunnels
sont donc des chemins logiques emprunter au sein du réseau intermédiaire.
Les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulée par le protocole de tunneling, et décapsulé
par ce même protocole à l'arrivée.
Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la transmission et la désencapsulation.
La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation d'un même protocole aux ordinateurs
communicants (PPTP, L2TP, IPSec).Le tunnel peut être créé de deux manières différentes :
Le tunnel volontaire : crée sur demande explicite d'un client pour la mise en place d'un VPN, dans ce mode de tunnel le client
est un point final du VPN.
Le tunnel d'office : Crée d'office par le serveur d àccès réseau qui implémente le protocole d'accès réseau VPN, dans ce cas
l'ordinateur client n'est pas un point final du VPN. Le client est le serveur d'accès réseau.
Figure 5 : Entête du réseau de transition a. PPP (Point To Point Protocol)
Le protocole PPP (Point To Point Protocol) est un ensemble de protocoles standard garantissant l'interopérabilité des
logiciels d'accès distant de divers éditeurs.
Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un serveur PPP standard de
l'industrie. PPP permet également à un serveur d'accès à distance de recevoir des appels entrants et de garantir l'accès au
réseau à des logiciels d'accès distant d'autres éditeurs, conformes aux normes PPP.
Les normes PPP autorisent également des fonctions avancées qui ne sont pas disponibles avec d'anciennes normes,
notamment SLIP.
Le protocole PPP prend en charge plusieurs méthodes d'authentification ainsi que la compression des données et leur
cryptage. La plupart des versions du protocole PPP permettent d'automatiser l'ensemble de la procédure d'ouverture de
session.
Le protocole PPP prend également en charge plusieurs protocoles de réseau local. Nous pouvons utiliser TCP/IP ou IPX
comme protocole réseau. Toutefois, le protocole IPX/SPX n'est pas disponible sur Windows XP 64-Bit Edition.
PPP est le fondement des protocoles PPTP et L2TP utilisés dans les connexions VPN (Virtual Private Network) sécurisées.
PPP est la principale norme de la plupart des logiciels d'accès distant.
b. PPTP (Point To Point Tunneling Protocol)

PPTP est un protocole réseau permettant un transfert sécurisé entre un client distant et un serveur privé.
Ceci est réalisé à l'aide d'un VPN basé sur TCP/IP. La technologie utilisée est une extension du protocole PPP permettant
l'accès à distance.
PPTP et les VPN :
PPTP permet la création de VPN sur demande à travers des réseaux basés sur TCP/IP. Il peut de même être utilisé pour
créer VPN entre deux ordinateurs dans le même réseau local.
PPTP est un protocole qui encapsule les paquets PPP dans des datagrammes IP pour la transmission sur internet ou un
autre réseau public basé sur IP. Il peut même être utilisé pour des liaisons LAN to LAN.Les différents rôles que le protocole
PPTP peut assurer son listées ci- dessous :
a) PPTP permet la création des VPN sur demande sur des réseaux basé sur TCP/IP.
b) PPTP peut être utilisé sur un même réseau local entre deux machines.
c) PPTP peut utiliser comme support pour la création de VPN aussi bien Internet que le réseau téléphonique
public (PSTN).
d) PPTP offre une communication encryptée, sûr à travers ces deux réseaux publics.
e)
PPTP simplifie les accès longs distances pour les utilisateurs distants.
Scénario typique d'une connexion PPTP.
a) Besoin d'un client (client PPTP), distant ou mobile de se connecter au réseau privé de l'entreprise
b) Connexion du client au serveur NAS de l'ISP (1èreconnexion PPP).
c) Création de la liaison VPN appelé tunnel, avec le serveur PPTP, cette liaison est matérialisée par une deuxième
connexion au PPP sur la première connexion déjà existante.
d) Envoi de donnée dans le tunnel sous forme de datagrammes IP, contenant des paquets PPP.
Figure 6 : Entête du réseau de transition
Le tunneling est le processus qui permet l'envoie de données dans un réseau public, depuis un client PPTP vers un serveur
PPTP qui est connecté tant au réseau public qu'au réseau privé de l'entreprise.
Lorsque le serveur reçoit des paquets PPTP par le biais du réseau public, il les analyse et détermine dans le paquet PPP
encapsulé, l'adresse de l'ordinateur à qui ils sont destinés. Les paquets encapsulés peuvent contenir plusieurs protocoles
qui sont TCP/IP, IPX, etc.
Figure 7 : Entête du réseau de transition
Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion
à un réseau privé virtuel (VPN) utilisant le protocole PPTP (Point To Point Tunneling Protocol).
Le protocole PPTP autorise le transfert sécurisé des données d'un ordinateur distant vers un serveur privé en créant un
réseau privé virtuel entre des réseaux de données TCP/IP. Le protocole PPTP prend en charge les réseaux privés virtuels
multi protocoles à la demande sur des réseaux publics, tels qu'Internet. Développé en tant qu'extension du protocole PPP
(Point To Point Protocol), PPTP lui confère un niveau supplémentaire de sécurité et de communication multi protocoles sur
Internet.
Ainsi, grâce au nouveau protocole EAP (Extensible Authentication Protocol), le transfert des données par l'intermédiaire d'un
réseau privé virtuel compatible PPTP est aussi sûr qu'au sein d'un réseau local d'entreprise.
PPTP encapsule (fait passer par un tunnel) les protocoles IP ou IPX dans des datagrammes PPP.
Autrement dit, nous pouvons exécuter à distance des programmes tributaires de protocoles réseau déterminés. Le serveur
tunnel exécute l'ensemble des contrôles de la sécurité et des validations, et active le cryptage des données, rendant ainsi
beaucoup plus sûr l'envoi d'informations sur des réseaux non sécurisés. Nous pouvons aussi recourir au protocole PPTP
pour mettre en communication des réseaux locaux privés.
Figure 8: Illustration d'une connexion VPN utilisant PPTP
c. L2F (Layer TwoForwarding)
C'est un protocole de niveau 2, développé par Cisco Systems, Northern Telecom et Shiva. Il est désormais
quasiobsolète.
d. L2TP (Layer Two Tunneling Protocol)
Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion
à un réseau privé virtuel (VPN) utilisant le protocole L2TP (Layer Two Tunneling Protocol). L2TP est un protocole de
tunneling standard utilisé sur Internet qui possède pratiquement les mêmes fonctionnalités que le protocole PPTP (Point To
Point Tunneling Protocol).
La version de L2TP mise en oeuvre dans Windows XP est conçue pour s'exécuter en mode natif sur des réseaux IP. Cette
version de L2TP ne prend pas en charge l'encapsulation en mode natif sur des réseaux X.25, Frame Relay ou ATM.
Sur la base des spécifications des protocoles L2F (Layer TwoForwarding) et PPTP (Point To Point Tunneling Protocol), Nous
pouvons utiliser le protocole L2TP pour configurer des tunnels entre les réseaux concernés.
À l'instar de PPTP, L2TP encapsule les trames PPP (Point To Point Protocol)qui encapsulent ensuite les protocoles IP ou IPX
et permettent aux utilisateurs d'exécuter à distance des programmes qui sont tributaires de protocoles réseau déterminés.
Figure 9: Illustration d'une connexion VPN utilisant L2TP
e. IPSEC (Internet protocol security)
1) Présentation et fonctionnement d'IPsec
IPSec (Internet Protocol Security) est un protocole fournissant un mécanisme de sécurisation au niveau de la
couche réseau du modèle OSI. Il assure la confidentialité (grâce au cryptage), l'authentification (qui permet d'être
certain de l'identité de l'émetteur) et l'intégrité des données permettant de s'assurer que personne n'a pu avoir
accès aux informations. IPSec permet de protéger les données et également l'en-tête d'une trame, en masquant
le plan d'adressage grace à l'ajout d'un en-tête IPSec à chaque datagramme IP30.
IPSec de par sa position, il agit sur chaque datagramme IP et permet ainsi d'offrir une protection unique pour
toutes les applications.
Ce protocole est indissociable dÌPv6 est utilisable aussi sur IPv4 si le fournisseur a choisi de l'implanter dans
son produit31.
Les concepteurs, S. Kent et R. Atkinson de chez IETF (Internet Engineering Task Force) ont proposé une solution
en novembre 1998 afin de répondre aux besoins directs du développement des réseaux en matière de sécurité.
En effet, en sécurisant le transport des données lors d'échanges internes et externes, la stratégie IPSec permet à
l'administrateur réseau d'assurer une sécurité efficace pour son entreprise contre toute attaque venant de
l'extérieur.
2) Concept de base d'IPSec
Le protocole IPSec est destiné à fournir différents services de sécurité.
Il permet grâce à plusieurs choix et options de définir différents niveaux de sécurité afin de répondre de façon adaptée aux
besoins de chaque entreprise.
La stratégie IPSec permettant d'assurer la
confidentialité, l'intégrité et l'authentification des données entre deux hôtes est gérée par un ensemble de normes et de
protocoles :
o Authentification des extrémités : Elle permet à chacun de s'assurer de l'identité de chacun des interlocuteurs. Précisons
que l'authentification se fait entre les machines et non entre les utilisateurs, dans la mesure où IPSec est un protocole de
couche 3.
o Confidentialité des données échangées : Le contenu de chaque paquet IP peut être chiffré afin qu'aucune personne non
autorisée ne puisse le lire.
o Authenticité des données : IPSec permet de s'assurer que chaque paquet a bien été envoyé par l'hôte et qu'il a bien été
reçu par le destinataire souhaité.
o Intégrité des données échangées :IPSec permet de vérifier qu'aucune donnée n'a été altérée lors du trajet.
o Protection contre les écoutes et analyses de trafic : Le mode tunneling permet de chiffrer les adresses IP réelles et les en-
têtes des paquets IP de l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques de ceux qui
voudraient intercepter des trames afin d'en récupérer leur contenu.
o Protection contre le rejet : IPSec intègre la possibilité d'empêcher un pirate d'intercepter un paquet afin de le renvoyer à
nouveau dans le but d'acquérir les mêmes droits que l'envoyeur d'origine.
Ces différentes caractéristiques permettent à l'hôte A de crypter ses données et de les envoyer vers l'hôte B via le réseau,
puis à l'hôte B de les recevoir et de les décoder afin de les lire sans que personne ne puisse altérer ou récupérer ces
données.
3) Application de l'IPSec au modèle OSI
Le mode tunneling d'IPSec est un protocole de couche 3 fournissant ses services pour sécuriser l'IP qui est de même
couche.
Il a pour avantage d'offrir la protection des protocoles de couches supérieurs TCP/IP. Il s'étend également aux protocoles de
couches 2 comme L2TP et PPTP.Il est utilisé:
o entre deux routeurs, il permet de créer des VPN
sécurisés, au-dessus d'un réseau public pas forcément réputé pour sa fiabilité (comme l'internet) ; par exemple pour
protéger les échanges entre les différents sites ;
o entre un serveur et un poste individuel relié par
internet, il permet à un utilisateur d'accéder à des données internes sans réduire le niveau de sécurité; par exemple pour un
administrateur désirant administrer ses machines lorsqu'il est en congé;
o En interne pour protéger une machine
particulièrement sensible et pour réaliser un contrôle d'accès fort; par exemple pour limiter l'accès à une autorité de
certification à quelques postes de travail bien identifiés et en protéger les communications32.
4) Modes de transit des données : transport et tunnel
Ces deux modes permettent de sécuriser les échanges réseau lors d'une communication. Néanmoins, le niveau de sécurité
le plus élevé est le mode tunnel.
+ Le mode transport offre essentiellement une protection aux protocoles de niveaux supérieurs. En effet, ce mode ne
modifie pas l'en-tête initial dans la mesure où il ne fait que s'intercaler entre la couche IP et la couche transport ;
+ Le mode tunnel intègre les fonctionnalités du mode transport et permet de protéger un ou plusieurs flux de données entre
utilisateurs internes ou connectés via un VPN (Virtual Private Network). Lorsqu'un paquet de données est envoyé sur le
réseau, le paquet est lui-même encapsulé dans un autre paquet.
32 http://www.ietf.org/html.charters/ipsec
On crypte alors le corps de ce nouveau paquet à l'aide d'algorithmes de sécurités adéquats et on ne laisse en clair que
l'entête contenant les adresses IP publiques de l'émetteur et du destinataire.Le mode tunnel propose 2 protocoles de
sécurité :
o PPTP (Point to Point Tunneling Protocol) : Ce protocole standard dans l'industrie a été pris en charge pour la première fois
par Windows NT 4.0. PPTP est une extension du protocole PPP (Point to Point Protocol) qui s'appuie sur les mêmes
mécanismes d'authentification, de compression et de cryptage que PPP.
o L2TP / IPSec : Celui-ci gère tous les types de trafic pour assurer l'encapsulation des données. Il encapsule les paquets
d'origine dans une trame PPP, en effectuant une compression d'entête si possible, puis encapsule de nouveau dans un
paquet de type UDP. IPSec et L2TP sont associés afin d'assurer la sécurité et la tunnellisation des paquets sur n'importe
quel réseau IP. Leur association représente également une option garantissant la simplicité, la souplesse d'utilisation,
l'interaction et la sécurité.
Figure10 : Principe d'encapsulation des paquets
5) Principe d'échange de clés Internet (IKE)
La gestion des clés et la négociation des paramètres de sécurité est faite par IKE (Internet Key Exchange). Dans le contexte
des réseaux privés virtuels.
IPSec permet donc de garantir la confidentialité, l'authenticité ainsi que l'intégrité des données véhiculées à travers un
tunnel33.
Le protocole IKE gère la sécurité en établissant un premier tunnel entre les 2 machines (le tunnel IKE). La deuxième phase
consiste à établir d'autres tunnels secondaires pour la transmission de données utilisateur entre les 2 machines.
L'authentification utilise les certificats d'ordinateur pour vérifier que les ordinateurs sources et de destination s'approuvent
mutuellement.
Si la sécurité du transport IPSec est correctement établie, L2TP négocie le tunnel, ainsi que la compression et les options
d'authentification de l'utilisateur, puis procède à un contrôle d'accès basé sur l'identité de l'utilisateur.
6) Le piloteIPSec
Nommé IPSEC.sys, le pilote IPSec doit également être présent sur chaque poste Windows Client. Il permet de
contrôler les paquets IP et d'effectuer les vérifications avec les stratégies de sécurité locale et les filtres IP mis
en place.
7) Processus d'établissement d'une connexion
Afin de mettre en place un processus d'établissement d'une connexion, faisons l'étude d'un cas d'égal à égal :
L'hôte A est un utilisateur itinérant qui se connecte via une liaison spécialisée vers l'hôte B qui est un serveur de base de
données interne à son entreprise. Cette connexion pour des raisons de confidentialité et de sécurité doit être protégée.
La sécurité IPSec est alors déployée afin de garantir le cryptage des données et l'authentification des 2 hôtes. La connexion
va donc se dérouler en 6 étapes :
Figure 11 : Processus d'établissement d'une connexion
+ 1ère étape : L'hôte A cherche à télécharger des données situées sur le serveur FTP. Pour ce faire, il lance une transaction
vers ce dernier. Le pilote IPSec de l'hôte A signale au service ISAKMP/Oakley que la stratégie de sécurité nécessite l'IPSec.
On utilise alors les stratégies utilisées par l'agent de stratégie dans la base de registre ;
+ 2ème étape : Le Service ISAKMP/Oakley des deux hôtes génère une clé partagée et une association de sécurité (contrat de
confiance) ;
·:
· 3ème étape : Les pilotes IPSec des deux hôtes prennent chacun la clé et l'association ;
·:
· 4ème étape : Les données envoyées par l'hôte A sont cryptées grâce à la clé (processus géré par le pilote IPSec)
;
·:
· 5ème étape : Le serveur hôte B reçoit les données et les décrypte grâce au pilote IPSec qui connaît la clé
partagée et l'association de sécurité ;
+ 6ème étape : Les données sont ensuite transmises à la couche d'application (couche 7 du modèle OSI).
f. Comparaison des différents protocoles
Chaque protocole présenté permet de réaliser des solutions performantes de VPN. Nous allons ici aborder les points forts
et les points faibles de chacun de ses protocoles.
+ VPN-Ssl
Présentée comme la solution miracle pour permettre aux itinérants de se connecter aux applications réparties de
l'entreprise les VPN-Ssl souffrent de problèmes principalement liés aux navigateurs web utilisés. Le but d'utiliser des
navigateurs web est de permettre aux utilisateurs d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de
configuration supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le renouveler.
De plus sur la majorité des navigateurs web la consultation des listes de certificats révoqués n'est pas activée par défaut :
toute la sécurité de Ssl reposant sur ces certificats ceci pose un grave problème de sécurité. Rien n'empêche de plus le
client de télécharger une version modifiée de son navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins,
plugins,...). Rien ne certifie que le navigateur n'a pas été modifié et que son autorité de certification en soit bien une.
Enfin Un autre problème lié à l'utilisation de navigateurs web comme base au VPN est leur spécificité au monde web. En
effet par défaut un navigateur n'interceptera que des communications HTTPS ou éventuellement FTPS. Toutes les
communications venant d'autre type d'applications (Microsoft Outlook, Lotusnotes, ou une base de données par exemple)
ne sont pas supportées. Ce problème est généralement contourné par l'exécution d'une application dédiée dans le
navigateur.
Mais ceci implique également la maintenance de cette application (s'assurer que le client possède la bonne version, qu'il
peut la télécharger au besoin).
L'idée suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès VPN est donc sérieusement à
nuancer.
+ PPTP
PPTP présente l'avantage d'être complètement intégré dans les environnements Windows. Cependant comme pour
beaucoup de produits Microsoft, la sécurité est le point faible:
o Mauvaise gestion des mots de passe dans les environnements mixtes Windows 95/NT ;
o Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du mot de passe au lieu d'être
entièrement générées au hasard. (facilite les attaques « force brute ») ;
o Identification des paquets non implémentée : vulnérabilité aux attaques de type « spoofing »
+ L2tp / IPSec
Les mécanismes de sécurité mis en place dans IPSec sont plus robustes et plus reconnus que ceux mis en place par
Microsoft dans PPTP. Par défaut le protocole L2tp utilise le protocole IPSec. Cependant si le serveur distant ne le supporte
pas L2tp pourra utiliser un autre protocole de sécurité. Il convient donc de s'assurer que l'ensemble des équipements d'un
VPN L2tp implémente bien le protocole IPSec.IPSec ne permet d'identifier que des machines et non pas des utilisateurs.
Ceci est particulièrement problématique pour les utilisateurs itinérants.
Enfin IPsec à cause de la lourdeur des opérations de cryptage/décryptage réduit les performances globales des réseaux.
L'achat de périphériques dédiés, coûteux est souvent indispensable.
CHAPITRE III. : PRESENTATION DE L'ENTREPRISE

Notre 3ième chapitre sera notre miroir en ce sens qu'il nous aidera à avoir une vision d'ensemble sur la BRALIMA. C'est dans
cette partie que nous parlerons des points tels que : la situation géographique, l'historique, l'objectif, mission, l'activité
principale, activité secondaire et la structure organique de l'entreprise Bralima.
Nous ne pouvons pas commencer avec tous ces détails sans vous signifier d'où est venu le mot « Bralima » ; en effet,
BRALIMA signifie : Brasserie, Limonaderies et Malterie ».
III.1. Situation géographique et juridique

La BRALIMA est une industrie chimique alimentaire de 3ème catégorie dont ses installations de Kinshasa sont situées au n°
1 de l'avenue du Drapeau dans la Commune de Barumbu.La BRALIMA est une société à caractère privé, à savoir une société
par action à responsabiliser limité (Sarl).
III.2. Historique
Après la première guerre mondiale, quelques hommes d'affaires belges cherchent à placer des capitaux au Congo - Belge.
Etant suffisamment informé du projet du gouvernement général qui consiste à l'introduction d'une boisson alcoolique
adéquate aux indigènes afin de remplacer pour ainsi dire l'alcool distillé <notamment le lotoko, le Aggénet> se fermentant
dans les conditions douteuses dont la consommation produit des effets nuisibles à l'organisme humain.
Avec l'appui de la Banque de Bruxelles, un capital de 4.000.000 Fc (franc congolais) fut financé en date du 23 octobre 1923
afin de créer une brasserie nommée « Brasserie de Léopoldville », le staff comptait 30 nationaux, 2 belges, 1 français, 1
suisse et Monsieur DUMOULAIN était le premier directeur.
Presque 3 ans après ces financements, les congolais du Congo - Belge pouvaient déjà siroter la première bière produite ici à
Léopoldville dont la sortie officielle le 24 décembre 1926 avec une production de 35.000 bouteilles de bière par mois, chiffre
qui est passé à 125.000 bouteilles à 1945. A partir de 1950, la BRALIMA subit une expansion spectaculaire en installant des
brasseries à l'intérieur du pays avec des agences ci-après :
1. Bukavu en 1950
2. Kisangani en 1957
3. Boma en 1958
4. Mbandaka en 1972
5. Lubumbashi en 1992
Sans oublier que la société créa aussi d'autres brasseries en dehors du pays tels que : à Brazzaville (1952), à Bujumbura
(1954), etc.
Nous avons précisé que la société était depuis sa création sous le contrôle d'industriels belges. Mais en 1987, cette société
appartenait désormais au groupe Heineken (créé à Amsterdam, Pays-Bas, 15/2/1964 par Mr Gérard Adrian Heineken) ; qui
est devenu actionnaire majoritaire.
Le progrès est tellement visible si bien que de 1992 à 1998, la BRALIMA achète d'autres sociétés concurrentes telles que :
La C.I.B (Compagnie industrielle de Boissons), embouteilleur des boissons Coca Cola en 1992 ; l'usine de l'UNIBRA de
Kisangani en 1996, la société BONAL (Boissons nationales), embouteilleur des boissons Pepsi Cola et Mirinda en 1998.
A noter que malgré ces progrès, la société a enregistré aussi beaucoup de cas de difficultés depuis sa création jusqu'aux
années 1933 dont nous allons brosser quelques cas échantillonnés :
L'interdiction de la vente de la bière aux indigènes par le gouvernement général ;
La qualité de la bière locale était moins bonne par rapport à d'autres bières importées de l'époque ;
Le prix de la bière était fortement élevé (presque à 5,75 Francs par bière), alors que le paiement journalier d'un travailleur
était à 2 Francs ;
Le manque de pasteurisation de la bière (ce qui signifie qu'elle ne devait être consommée qu'à Léopoldville et non en
dehors de la ville et à l'époque, précisément en 1925, la ville comptait 27.000 habitants dont 1.500 non africains) ;
La crise économique mondiale qui battait son plein avec tous ces revers.
Mais la situation changera avec l'arrivée du 2è Directeur de la société, Monsieur VISEZ qui dirigea la brasserie de 1933 à
1956. Il redressa la qualité, la bière fut désormais pasteurisée.
Il y a eu donc possibilité de la vendre à l'intérieur du pays. C'est ce qui a fait qu'on atteignit la production de 1.500.000 bières
par an.
C'est pourquoi, malgré le mouvement de
l'indépendance des années 1960, les dirigeants de la BRALIMA comme un seul homme entonnèrent leur devise : « Nous
sommes au Congo-Léopoldville à Brazzaville, au Rwanda et au Burundi pour y rester ». Par conséquent, l'outil doit être
entretenu, les cadres encouragés, assuré le recrutement, faire prospérer les marchés et s'investir pour une période meilleure.
Mais avec la zaïrianisation du système économique du pays des années 1970 les choses n'ont pas été aussi bonnes ainsi
pour l'entreprise car il y a eu rétrocession.
III.3. Objectif et mission

La société BRALIMA Sarl a comme objectifs :
- la fabrication et la commercialisation de la bière (toute sa
gamme), des boissons gazeuses et de l'eau de table ;
- la production et la commercialisation des blocs de glace et
par la fermentation de la bière. Elle produit aussi le CO2
(gaz carbonique).
Par son bon fonctionnement et son activité, la BRALIMA contribue à soutenir l'économie et la politique nationale car pour la
fabrication de ses produits, la BRALIMA utilise la main d'oeuvre locale, paie les impôts lui attribués à l'Etat congolais.
En outre, la BRALIMA par le souci du développement du grand Congo travaille en partenariat avec des prestataires des
services qui évoluent dans le secteur de PME (petites et moyennes entreprises) qui lui fournissent des services et aussi des
matières premières tels que : entretien de ses machines, la décoration des espaces publicitaires, riz, etc.
La BRALIMA assure un paiement régulier de salaire à ses agents et par cet acte elle coopère avec l'idée du gouvernement
qui dans son plan a établi un plan dans la lutte contre le chômage et la pauvreté.
III.4. Activités
C'est dans cette rubrique que nous allons vous exposer ce que fait concrètement la BRALIMA.
Dans la gamme de ses produits de marque et vous allez y remarquer peut-être certaines précisions en rapport avec les
dates de fabricants du produit.
En cela, nous avons souhaité vous présenter l'activité de la BRALIMA en 2 volets : le premier vous parlera sur son activité
principale et le second sera consacré à son impact social que nous qualifierons ici de l'activité secondaire.
III.4.1. Activité principale
Comme nous l'avons dit ci-haut, la BRALIMA produit une diversité des boissons, telles que : les bières, les limonades, eau de
table. Ajoutons à cela la fabrication et la commercialisation des blocs de glace. Dans sa gamme des bières elle produit les
marques ci-après classées par leurs années de parution :
- Primus parue en 1926
- Mützig parue en 1989
- Guinness parue en 1993
- Amstel parue en 1995
- Légend parue en 2008
- Turbo King
- et la bière Heineken de la firme Heineken (bière importée).
Dans sa gamme des limonades, nous avons : Coca-Cola, Fanta ananas, Fanta rouge, Fanta grenadine, Sprite, Schweppes
Soda, Schweppes Tonic, Vital'o grenadine, Maltina (2000), eau de table Vital'o et Fayrouz (Ananas et pommes) en mars
2012.
Les étapes du processus dans la fabrication sont assurées par des machines industrielles pilotées par des automates
programmables industriels dont l'ensemble favorise et assure l'hygiène et la propreté des produits jusqu'à leurs étapes de
finissage. La tâche du processus de la fabrication jusqu'à la livraison au magasin est appelée : Ligne, et la BRALIMA en
compte 5 ici dans son emplacement actuellement à Kinshasa.
La 3ème fut inaugurée par Monsieur GIZENGA, le premier Ministre honoraire du gouvernement de la 3e République.
A titre d'information, pour fabriquer la bière, la
BRALIMA utilise des matières premières comme le malt, des céréales, du sucre, du houblon et de l'eau qui doivent passer en
4 stades afin d'avoir la bière en produit finie. Ces 4 étapes sont : le brassage, la fermentation, la garde et la filtration.
Le brassage : C'est l'opération qui consiste à concasser et à cuire le malt et les céréales afin d'obtenir un jus sucré, un peu
amère stérile et stable qu'on appelle « Moût ».
La fermentation et la garde : Le moût est refroidi et oxygéné puis fermenté par la levure. La fermentation est anaérobie et
exothermique et conduit à la formation de la bière.
Puis cette bière est dépouillée de levures et gardée en basse température afin d'affirmer son goUt.
La filtration : consiste à clarifier, donc rendre la bière brillante puis c'est dans cette étape qu'on injecte le CO2 dans la
bière afin de la protéger contre l'oxydation et maintenir le goUt, d'où l'expression "carbonatation" est souvent utilisée.
III.4.2. Activité secondaire
Par activité secondaire, nous sous-entendons ce que la BRALIMA fait dans le cadre social. La BRALIMA oeuvrant en son
sein avec un grand nombre d'ouvriers et ayant comme consommateurs de ces produits, la population ; ne reste pas
insensible dans ce secteur social.
A part le paiement de salaires à ses travailleurs et le paiement de leurs avantages sociaux, la BRALIMA est parmi les
entreprises premières dans la lutte contre le VIH/Sida.
La BRALIMA a initié un programme d'information et de sensibilisation des employés et des membres de leur famille contre
le Sida et elle met en place des activités de prévention et assure la prise en charge des personnes séropositives.
La Bralima a mis à la disposition de tous ses employés et de leurs familles un centre médical moderne leur permettant de
bénéficier des soins de qualité.
La présence de la Bralima se fait sentir aussi dans des dons en fournitures scolaires, dans l'aide aux nécessiteux (dans des
orphelinats, hôpitaux, homes de vieillards, enfants de la rue) par le biais de la Fondation Bralima.
Depuis plusieurs années avec Primus, la BRALIMA sponsorise les plus grandes stars de la musique congolaise et s'investit
dans la promotion des jeunes talents de la musique congolaise.
III.5. Structure organique de l'Entreprise :
La Bralima est dirigée par un Administrateur Délégué qui constitue l'organe de référence pour la bonne marche de la société.
Dans l'exécution de ses multiples tâches.
Il est assisté et soutenu par différentes directions dont nous survolons les attributions.
III.6.Attribution et tâches
a) L'Administrateur Délégué :
Engage la société envers l'Etat, les entreprises étatiques et privées ainsi que les tierces, manage la politique de
l'entreprise.
Contrôle la réalisation des objectifs.
b) La Direction Financière:
Gère les finances (entrées et sorties des fonds à assurer le paiement. C'est dans cette direction que se trouve le
service de l'informatique où nous avions passé notre stage.
Achats, stockage et distribution des matières premières, pièces de rechange, emballage, équipement et divers à
Kinshasa ainsi vers les sièges.
L'importation de certaines matières premières (houblon, le malt, etc.) et autres, vers l'intérieur (siège) la livraison.
c) La Direction Marketing et commerciale :
Fait l'étude du marché (proposition) et la promotion des produits finis
S'occupe de la vente et de la distribution commerciale des produits finis (chaîne commerciale, c'est-à-dire suivi de la
commande au changement).
e) La Direction des ressources humaines S'occupe de:

La gestion du personnel et familles (salaires, congés et voyages) engagement, formation, licenciement, promotion et retraite
des actes sociaux des agents : naissance, mariage et décès d'agents, membres de famille.
Sécurité des patrimoines (matériels et humains).
f) La Direction technique ou (technical management) :
La production de tous les produits Bralima, c'est-à-dire de la fabrication à l'embouteillage (le stockage et la
gestion des magasins).
L'entretien des équipements et maintenance des machines. L'assainissement de l'environnement de travail.
g) La Coordination médicale:
La santé du personnel et les membres de leur famille. f) La Direction « Executive Engineering »:
Investissements et de tous les projets techniques (de la conception à la réalisation).
Suivi de l'exécution des travaux neufs liés aux projets, etc.
Toutes ces directions sont nettement classées par des liaisons hiérarchique et fonctionnelle comme le montre cet
organigramme de la Bralima selon la révision du 4 février 2005 que nous avons reçue de la Direction de Ressources
humaines.
[63]
ll
Cost Contr
Sp
rta
An
o
Na Te c.C M
Ma
Ma g on
vent
sse
Admo
III.8. Analyse de l'existant
Une bonne compréhension de l'environnement informatique aide à déterminer la portée du projet de conception d'une
solution informatique.
En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans le choix de la solution et
de son déploiement. Cette étude consiste à mettre à découvert, de façon aussi claire que possible, l'analyse du
fonctionnement actuel du réseau informatique.
Cette analyse a pour but de recueillir les données qui vont servir pour élaborer le diagnostic en vue de la recherche et de
choix des solutions ou de la solution34.
En d'autres termes, cette analyse de l'existant a pour but la recherche des points forts et des points faibles du système
actuel, c'est-à-dire le système que la Bralima utilise.
III.9. Description des LANs existants
La Bralima Sarl manipule fortement et grandement dans son ensemble les données et les informations dont elle se sert
entre ces différentes directions et départements, pour cela elle ne dispose pas malheureusement d'un réseau informatique
fiable et sUr en son sein comme nous le remarquerons ici.
III.8.1. Topologie et type de média
Etant une société qui ne veut pas aussi être en déphasage en arrière par rapport aux avancées technologiques, la Bralima
utilise la topologie en étoile avec son réseau Ethernet (IEEE 802.3) avec ses différents noeuds ou concentrateurs.
Et comme média, la Bralima utilise d'une part le cable T568B à paire torsadée catégorie 5 de la norme IEEE 802.3 10/100
base configurée en câble droit ou en câble croisé selon le besoin de l'utilisation qui se présente sur terrain.
Et d'autre part à certains endroits, il y a la présence du câblage en fibre optique multimédia accompagné des "convertisseurs
FE 10/100 Tx-100 Base Fx3T" situés à des différents bâtiments où ils sont placés afin de procéder à la conversion du signal
lumineux de la fibre optique en signal électrique de la paire torsadée et vice-versa. C'est à cause des avantages ci-après que
la présente la fibre optique par rapport à l'UTP :
- une grande bande passante
- une faible alternation
- bonne adaptation de liaison entre répartiteur (liaison
centrale entre plusieurs bâtiments)
- immunité au bruit
- bon débit (100 Mbps)
- pas de mise sur écoute.
1. Câble coaxial35
35
ANGELINE KONE., Mémoire : « Conception et déploiement d'une architecture réseau sécurisé», 2011.
Le câble coaxial est largement utilisé comme moyen de transmission. Ce type de câble est constitué de deux conducteurs
concentriques : un conducteur central, le coeur, entouré d'un matériau isolant de forme cylindrique, enveloppé le plus
souvent d'une tresse conductrice en cuivre.
L'ensemble est enrobé d'une gaine isolante en matière plastique. Il est utilisé pour les transmissions numériques en bande
de base sur quelques kilomètres avec une impédance caractéristique de 50 Ohm. On en fait également usage de ce support
pour les transmissions analogiques en mode large bande avec une impédance caractéristique de 75 Ohm. Deux types de ce
support se distinguent:
> gros coaxial : 10 base 5 ; il peut faire cas d'une épine dorsale de 100 stations maximum par segment, 5 segments
maximum, 500 m maximum et 2,5 m minimum ;
> coaxial fin : 10 base2 ; 230 stations maximum par segment, 5 segments maximum, 185 m maximum et 50 cm minimum.
Si vous câblez en coaxial fin, il faut vérifier que les cartes possèdent un connecteur BNC ou prise vampire.
Il faut placer un bouchon à chaque extrémité du réseau (donc deux bouchons) ils sont indispensables pour des raisons
d'indépendance. Le câble coaxial offre de bons débits (de l'ordre des Gbits/s), une bonne immunité par contre les
équipements utilisés sont onéreux et leur mises en place difficile.
2. Câble paire torsadée36
Celui-ci est un ancien support de transmission utilisé depuis très longtemps pour le téléphone ; il est encore largement
utilisé aujourd'hui.
Ce support est composée de deux conducteurs en cuivre, isolés l'un de l'autre et enroulés de façon hélicoïdale autour de
l'axe de symétrie longitudinale.
Cet enroulement autour de l'axe de symétrie permet de réduire les conséquences des inductions électromagnétiques
parasites provenant de l'environnement dans lequel la paire
torsadée remplit sa fonction de transmission. Couramment ; il est utilisé pour desservir les usagers du service téléphonique
abonnées du service public ou usagers des réseaux privés. Les signaux transmis par l'intermédiaire des paires torsadées
peuvent parcourir plusieurs dizaines de kilomètres sans amplification ou régénération.
Quand plusieurs paires torsadées sont rassemblées dans un même câble, les signaux électriques qu'elles transportent
interfèrent plus ou moins les uns sur les autres par rayonnement : phénomène de diaphonie.
Elle est souvent blindée à fin de limiter les interférences, de ce fait on distingue cinq types de paires torsadées:
o Paire torsadée non blindée (UTP en anglais): Dénomination officielle (U/UTP); elle n'est pas entourée d'un blindage
protecteur. Ce type de câble est souvent utilisé pour le téléphone et les réseaux informatiques domestiques ;
o Paire torsadée blindée (STP en anglais):Dénomination officielle U/FTP. Chaque paire torsadée est entourée d'une couche
conductrice de blindage, ce qui permet une meilleure protection contre les interférences. Elle est fréquemment utilisée dans
les réseaux token ring ;
o Paire torsadée écrantée (FTP en anglais) officiellement connu sous la dénomination F/UTP.
L'ensemble des paires torsadées ont un blindage commun assuré par une feuille d'aluminium, elle est placée entre la gaine
extérieure et les quatre paires torsadées. On en fait usage pour le téléphone et les réseaux informatiques ;
o Paire torsadée écrantée et blindée (SFTP en anglais), nouvelle dénomination S/FTP. Ce câble est doté d'un double écran
commun à toutes les paires ;
o Paire torsadée super blindée (SSTP en anglais), nouvellement connu sous la dénomination S/FTP. C'est un câble STP doté
en plus d'un écran commun entre la gaine extérieur et les quatre paires.
La bande passante d'un câble à paire torsadée dépend essentiellement de la qualité de ses composants, de la nature des
isolants et de la longueur du câble.
L'UTP est normalisé en diverses catégories qui sont ratifiées par les autorités internationales de normalisation
ANSI/TIA/EIA. Ces catégories sont :
Catégorie 1 : câblage abonné, destinée aux communications téléphoniques ; elle n'est plus d'actualité ;
Catégorie 2 : câblage abonné, offrant une transmission des données à 4 Mbit/s avec une bande passante de 2Mhz ;
utilisé pour les réseaux token ring ;
L'utilisation
Catégoriede3 la
: offre
paireune
torsadée
bande nécessite
passante de
des16Mhz,
connecteurs
elle estRJ45.
reconnue
Son sous
câblage
la norme
universel
ANSI/TIA/EIA-568B.
(informatique et utilisée
téléphone),
pourson
la
faible
téléphonie
coût et sa
analogique
large plageque
d'utilisation
numériqueluietpermet
aussi pour
d'êtreles
le support
réseaux physique
Fast Ethernet
le plus
(100Mbps),
utilisé. il est aujourd'hui à l'abandon
au bénéfice de la catégorie 5e;
3. Fibre optique37
37
Catégorie 4 : permettant une bande passante de 20 Mhz, elle fut utilisée dans les réseaux token ring à 16 Mbps ;
Documentation technique du Département Informatique à la Bralima Sarl
Catégorie 5 : permettant une bande passante de 100Mhz et un débit allant jusqu'à 100 Mbps ;
L'intégration de la fibre optique dans le système de câblage est liée au fait que celle-ci résout les problèmes d'environnement
grâce à son 5eimmunité
Catégorie : elle peutaux perturbations
permettre un débitélectromagnétiques
allant jusqu'à 1000 Mbpsainsi avec
qu'à une
l'absence
bande d'émission
passante deradioélectrique vers
100 Mhz, apparue
l'environnement extérieur. De
dans la norme TIA/EIA-568B ; par ses caractéristiques, l'introduction de la fibre optique a été intéressante pour des
applications telles l'éloignement des points d'utilisation, l'interconnexion des sites multibâtiments, la confidentialité pour des
applications
Catégoriesensibles.
6 : permettant une bande passante de 250 Mhz et plus ;
La fibre optique
Catégorie 6a est composée
: une extensiond'un cylindre
de la de verre
catégorie mince
6 avec une :bande
le noyau, qui estde
passante entourée d'une
500 Mhz, couche concentrique
permettent de verre
le fonctionnement du :
la gaine optique.sur
10 GBASE-T Deux types de
90mètres ; fibre optique:
+ La fibre multimode
Catégorie : composée
7 : elle offre d'un
une bande coeur de
passante dediamètre
600 MHzvariant entre7a
; Catégorie 50: elle
et 62.5
offremicrons. Principalement
une bande passante de utilisée dansun
1 Ghz, avec les
réseaux
débit locaux, elle ne10
allant jusqu'à s'étend
Gbps.pas sur plus de deux kilomètres. Sa fenêtre d'émission est centrée sur 850, 1300 nanomètres
; Elle supporte de très larges bandes passantes, offrant un débit pouvant aller jusqu'à 2.4Gbps ; aussi elle peut connecter
plus de station que ne le permettent les autres câbles. L'inconvénient est qu'il est onéreux et difficile à installer ;
+ La fibre monomode : elle a un coeur extrêmement fin de diamètre 9 microns. La transmission des données y est assurée
par des lasers optiques émettant des longueurs d'onde lumineuses de 1300 à 1550 nanomètres et par des amplificateurs
optiques situés à intervalles régulier. Les fibres monomodes les plus récentes sont compatibles avec la technologie de
multiplexage dense en longueur d'ondes DWDM. C'est celle que l'on utilise sur les liaisons à longue portée car, elles peuvent
soutenir les hauts débits sur des distances de 600 à 2000 km par contre son câblage est onéreux et difficile à mettre en
place.
certains cas la nécessité d'un autre support de communication se fait sentir. Ainsi, pouvons également utiliser une:
+ Liaison radio LAN (R-LAN - WIFI) qui utilise une bande de fréquence de 2.4 Ghz. Ce lien est utilisé dans des architectures
en étoile où les stations sont équipées d'une carte PCMCIA et le concentrateur d'une antenne (borne sans fil), est connecté
au réseau câblé. Ces liaisons sont régies par la norme IEEE 802.11 et la distance maximale station-borne se situe entre 50
et 200 m. En fonction des spécifications, les débits maximales sont de l'ordre de : 11 Mbits/s, partagé (802.11b) ; 54 Mbits/s
(802.11a).
L'usage de ce type de support est fait à l'intérieur de bâtiment pour assurer une liaison provisoire (portables, salle de
conférence), pour des locaux anciens où il est impossible d'effectuer un câblage). Les problèmes liés à ce support sont le
débit limité qu'il offre et la sécurité qui n'est pas fiable (contrôle de l'espace de diffusion, etc.). Lorsque ce support est
déployé pour les MAN, on parle de boucle local radio ;
+ Liaison laser : Il permet d'implémenter des liaisons point à point (interconnexion des réseaux), la distance entre les sites
peut varier de 1 à 2 km sans obstacles ; les débits pouvant aller de 2 à 10 Mbits/s.
Elle n'est pas soumise à des conditions météorologiques par contre le réglage de la direction des faisceaux reste
problématique ;
+ La liaison laser peut être mise place essentiellement dans le cas d'un environnement ouvert, sans obstacle. Tandis que la
liaison radio s'applique à toute sorte de configuration.
Cette fibre optique relie les tronçons : de
l'informatique à : La Direction commerciale, la DRH, la DG/SEM jusqu'au Centre médical, Magasin logistique, Magasin pleins,
Magasins vides, Garage, Mera, la fabrication, la Direction Technique, EBAC, la sécurité et au Mera où il y a un WLAN qui fait
la liaison avec la Boukin.
III.8.2. Le Service Informatique :
De l'Administrateur délégué en passant par d'autres directions jusqu'à la sécurité (à la sortie du dépôt). Tous les bureaux de
la Bralima sont reliés entre eux par un réseau local qui contribue grandement au progrès de cette société.
Le service informatique à sa dimension a un impact lié au destin de la société, car son apport est tellement présent et
visible dans l'interchangeabilité des données et de l'information au sein de la Bralima, dans la conception et l'élaboration des
programmes répondant au besoin de l'entreprise, etc.
III.8.3. Structure interne :
Le Service de l'informatique étant une entité travaillant au sein de la Bralima, il bénéficie en son sein d'une organisation bien
élaborée que nous voulons présenter : A la tête du Service, il y a un ICT Manager dont le rôle sert à dicter la politique du
département en matière de nouvelles technologies et implémentation de nouveaux progiciels.
Coordonne, centralise, supervise et rapporte auprès de la direction de finance et générale. Le service de l'informatique
contient 4 sous services :
Projet Manager :
+ Aide le chef de Service à l'élaboration du budget ;
+ S'occupe de nouveaux projets de centralisation du groupe HEINEKEN ;
+ conseil ISHA.
Consulting ISHA & Développement : qui travaille dans la maintenance et développement des progiciels, et de chaîne
commerciale (ISHA) qui est un logiciel des données intégrée (comptabilité, commerciale, production, etc.) ;
Système, communication et exploitation :
+ Assure l'exploitation journalière de la chaîne commerciale (ISHA) ;

+ installation et suivie des logiciels de communication du Groupe HEINEKEN et de l'environnement générale logiciels
(installation, mise à jour, maintenance).
Maintenance & réseau : qui s'occupe de l'étude, déploiement et suivi du réseau informatique d'une part et de l'entretien
et maintenance des équipements informatiques d'autre part.
III.8.4. Organigramme :
Comme nous l'avons évoqué ci-haut, voici comment se constitue l'organigramme du Service de l'informatique :
III.10. Matériels et logiciels utilisés
Voici ci-dessous le tableau présentant les matériels utilisés dans différentes Directions, Départements et Services au sein
de la Bralima.
Direction Nbre des Pcs Marques Types HDD Imprimantes Mémoires

RAM
Dir. Générale 18 Dell P IV 40 GO 2 LaserJets 512 MB
1 Deskjet
Dir. RH 13 Dell P IV 80 GO 4 LaserJets 512 MB
1 Deskjet
Dir. Techn 58 Dell P IV 40 GO 4 LaserJets 512 MB
1 Deskjet
DMC 48 Dell P IV 40 GO 10 LaserJets 512 MB
6 Deskjets
Dir. Fin. 63 Dell P IV 80 GO 7 LaserJets 512 MB
3 Deskjets
Dir. Méd 10 Dell P IV 40 GO 3 LaserJets 512 MB
1 Deskjet
III.9.1. Logiciels utilisés

Système d'exploitation : Windows Srvice Pack III ;
Pcs Marques Types HDD Imprimantes MémoiesSystème d'exploitation réseau : Windows 2003 Server ;
RAM
IV 40 GO 2 512 MB
Microsoft Office 2010 ;
Adobe Réader 9.0 ; Antivirus Norton ;
De P I
Microsoft Navision ; Lotusnotes.
III.11. Réseaux informatiques existants
III.12. Critiques de l'existant
La critique de l'existant est un jugement objectif portant sur l'organisation actuelle de l'entreprise qui vient d'être présenté38.
Comme nous pouvons le constater sur ce schéma décrit ci-haut, nous remarquons que cette architecture manque d'autres
éléments importants et il est mal représenté par rapport à la réalité de l'entreprise.
Ce réseau doit être plutôt subdivisé en trois secteurs, à savoir : Bralima LAN, la DMZ et Kimpoko LAN. La DMZ (Demilitarized
zone ou Zone démilitarisée) est un sous réseau constitué principalement des ordinateurs serveurs et isolée par un pare-feu,
comprenant des machines se situant entre un réseau interne (LAN) et un réseau externe. Elle permet à des machines
d'accéder à Internet et/ou de publier les services sur internet sur le contrôle de Pare-feu externe.
Dans notre cas, nous devons avoir un serveur de fichiers (FTP), un serveur de données, un serveur d'impression, un serveur
d'antivirus, un serveur de DNS, un serveur de messagerie (lotusnotes) ils assurent tous l'échange des informations entre les
employés de l'entreprise, un serveur de Navision, etc.
Le parc informatique qui est constitué des ordinateurs de bureau et des ordinateurs portables.
Les informations de l'entreprise arrivent par l'antenne VSAT situé sur le bâtiment abritant la direction financière, elles sont
directement envoyées au commutateur qui lui, les envoient à un serveur en fonction bien entendu de la nature de
l'information (données, etc.) à son tour le serveur concerné route l'information à l'ordinateur au destinataire. Les
informations provenant du réseau externe (internet) sont préalablement analysées par le pare-feu avant d'être acceptée
dans le réseau ou tout simplement rejetée.
III.11.1. Besoins de l'entreprise
L'information est à la base de toutes prises de décisions que ce soit pour mesurer le taux de satisfaction de la clientèle et
surtout d'accroitre la vente afin d'atteindre l'objectif. C'est la raison pour laquelle la Bralima ne peut que tirer avantage de se
doter d'un réseau VPN site-à-site, moyen efficace dans le traitement de l'information.
III.13. Proposition des solutions retenues
Nous avons opté pour la solution VPN site-à-site qui consiste à mettre en place une liaison permanente, distante et
sécurisée entre deux ou plusieurs sites de la Bralima ; afin de résoudre au mieux aux différentes préoccupations
manifestées par les responsables informatiques de la Bralima et aussi pour pallier aux différents problèmes relevés au
niveau de la critique de l'existant.
Mettre en avant le nombre d'utilisateurs potentiels du lien VPN, les applications concernées et le débit maximum à
consommer.
Faire un monitoring des flux de données et une gestion des priorités doit s'adapter aux différents usages et aux remontées
des utilisateurs ; la gestion de la bande passante et des équipements ; mettre en place un mécanisme de surveillance et de
détection de connexion suspecte qui s'établie sur un lien VPN.
Il est néanmoins important de préciser que la solution retenue garantie la confidentialité, la sécurité et l'intégrité des
données sur des canaux privés. Cette solution VPN site-à-site permet d'obtenir une liaison sécurisée à moindre coUt, si ce
n'est la mise en oeuvre des équipements terminaux.
La solution VPN site-à-site permet de mettre à niveau, à moindre coût, les architectures multipoints utilisant le réseau
commuté limité en bande passante et généralement obsolètes, employée par la Bralima.
La mise en place d'un VPN permettra de distribuer un accès à Internet et des applications Web depuis leurs emplacements.
Les VPN site-à-site étendent le WAN à moindre coût et en toute sécurité vers des entités non desservies, telles que des
succursales et des partenaires commerciaux (extranet).
La solution VPN site-à-site de Cisco, totalement intégrée et composée d'un équipement unique, peut être déployée et
configurée en toute simplicité.
Chapitre IV. : CONCEPTION DU NOUVEAU SYSTEME D'INFORMATION
Lors de l'analyse de l'existant, notre souci majeur était celui de déceler les anomalies et de les corriger; c'est ce que nous
venons de faire en concevant un nouveau système d'information.
IV.1. Les différents types de flux
Un réseau intersites est généralement amené à véhiculer des données issues de différentes applications
générant plusieurs types de flux39.
IV.2. Les flux de type conversationnels
Les applications conversationnelles sont les plus courantes dans les mondes Unix et TCP/IP. Le protocole de niveau session
est Telnet. Le principe repose sur l'envoi d'un caractère avec écho distant. Une session étant établie entre un poste de travail
et une machine, tout caractère frappé au clavier est envoyé à la machine, traité par cette dernière et enfin renvoyé tel quel
pour affichage, et éventuellement avec d'autres attributs. Chaque caractère peut en effet déclencher une action comme
l'affichage d'une fenêtre40.
Figure n°12 : Les flux conversationnels
Le type de flux qui en résulte est par conséquent irrégulier, dépend de l'activité de l'utilisateur et est composé de trames
courtes. Le temps de réponse est donc primordial pour ce type d'application. Celui-ci se doit d'être le plus régulier possible,
le principe étant qu'un utilisateur s'habitue à un temps de réponse, même mauvais, pourvu qu'il soit régulier.
IV.2. Les flux de type transactionnels
Les applications transactionnelles sont les plus courantes pour les grandes applications ; historiquement elles
sont les premières. La technique consiste à envoyer un écran de saisie vers un terminal, de réaliser la
modification en local, puis de renvoyer les données modifiées vers le site central. Ces opérations sont contrôlées
par un logiciel appelé moniteur transactionnel41.
Figure n°13 : Les flux transactionnels
Les flux générés sont caractérisés par un trafic descendant (site central vers terminal) plus important que le
trafic montant (les données modifiées à destination du site central). La ligne est mobilisée peu souvent (une à
trois transactions par minute) le transfert d'un écran (2 à 4 Ko) requiert la presque totalité de la bande passante
pendant quelques millisecondes42.
IV.3. Les flux de type transferts de fichiers

Ces flux sont caractérisés par des échanges soutenus et des trames longues. Leurs occurrences peuvent être prévisibles,
dans la mesure où la majorité des transferts de fichiers sont souvent associés à des traitements automatiques qui ont lieu
en dehors des heures ouvrées, par exemple lors de la sauvegarde ou de la synchronisation de bases de données43.
41
J.L. MONTAGNIER, Architectures des réseaux longues distances, Page, Page 297
42Idem, Page 297
43
MONTAGNIERJ.L., Pratique des réseaux d'entreprise : du câblage à l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 97, Page 298
Flux contenu de données
Machine B
Machine A
Figure n°14 : Les flux de type transferts de fichiers
IV.4. Les flux clients/serveurs
Le concept client/serveur se décline en réalité en plusieurs modèles :
La base de données et la logique applicative sont situées sur le serveur. Le poste client soumet une requête et attend les
résultats, qui, seuls, transitent par le réseau.
Le serveur héberge la base de données, et la logique applicative réside sur le poste client. La puissance de traitement est
donc reportée sur les postes clients. Les échanges sur le réseau sont aussi fréquents que les manipulations de la base.
La logique applicative et les données sont réparties entre le serveur et le client. La procédure d'interrogation consiste à
extraire tout ou partie de la base de données centrale, puis à opérer des traitements complexes sur la base de données
locale.
Le réseau n'est sollicité que lors des extractions de la base de données. La synchronisation des bases peut intervenir en
dehors des heures ouvrées44.
1. Démarche pour la conception d'un réseau
Le choix d'un réseau dépend souvent d'un compromis coût/performance, les éléments techniques étant indissociables des
éléments économiques, qui constituent des arguments décisifs pour le choix d'une solution45.
44 Idem, Page 298
45J.L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 1997, Page 300.
2. Identification des applications
Cette phase consiste à synthétiser les résultats de l'analyse de l'existant et à traduire qualitativement ces données sous
forme de flux prévisionnels. Il s'agit ici de caractériser les flux de chaque application (type, périodicité) et d'identifier les
acteurs qui émettent et ceux qui reçoivent.46
Tableau 1 : Caractériser les flux applicatifs
Application De < - >Vers Objet Type de flux Système Périodicité

DG <-> Base de Mise a jour TLN
Base de données Kimpoko référence Client /Serveur Unix, Win Consultation TU
a la DG 5P2
Messagerie Intra-Région Gestion de Transfert de Lotusnotes Echange entre
et Inter- l'annuaire fichiers (Word, bureaux toutes
Regions centralisée Excel, etc.) les 30 min
IV.1.2. Estimation de la volumétrie
Les flux doivent ensuite être quantifiés, soit à partir de données existantes, soit sur la base d'hypothèses. Si on part d'un
réseau existant, soit pour l'optimiser, soit pour le faire évoluer, le consultant peut s'appuyer sur des statistiques indiquant les
volumes échangés entre deux sites47.
La volumétrie est calculée différemment selon le type de flux. Souvent, elle doit ~tre extrapolée à partir d'informations
D V bj T d Sè Pédiié
partielles.
Ce travail doit donc être réalisé indépendamment ase de Mse à jour TLN
pour chaque application que le réseau intersites sera susceptible de

Kimpoko référencevéhiculer. Ces résultats doivent ensuite être consolidés sous forme
nées Client /Seveur Unx, Win Consultation TLJ à DG
de matrice de flux présentant les volumes échangés entre chaque
SP2
site. L'échelle de temps généralement utilisée est le mois ; cette périodicité permet en effet de lisser les variations.
Intra-Région Gstion de Transfert de
La volumetrie globale pour un site est generalement issue d'une volumétrie unitaire estimée pour un utilisateur et Régions
centralisée Excel, etc les min calculée par la formule48 :
Vj = Vu x U
47J.L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 1997, Page 300.
Vj : est le volume journalier à calculer pour un site ; Vu: est le volume journalier estimé pour un utilisateur ; U : est le nombre
d'utilisateurs pour un site donné.
Tableau 2 : Estimation de la volumétrie
Applications Estimation de la volumétrie Calcul de capacité de fichier/jour

Messagerie 8 messages par utilisateur et par jour 1600 Ko
Transferts de fichiers 60 % des utilisateurs ou 40 % des applications = 100 Ko par jour 6000 Ko
Total 7600 Ko
IV.1.3. Volumétrie liée à la messagerie
Les volumes de données générés par une messagerie bureautique peuvent être modélisés sur la base des hypothèses
suivantes :
Environ 8 messages par jour et par utilisateur à destination d'un autre site (20 % des messages sont à destination d'un
site extérieur, 80 % restent locaux) ;
Environ 100 Ko par message. Cette valeur dépend beaucoup de l'utilisation qui est faite de la messagerie au sein de la
société. Plus celle-ci est utilisée, plus les messages ont tendance à être importants (pièces jointes) ;
La taille de l'annuaire est basée sur 100 octets par utilisateur ; Synchronisation hebdomadaire (voire toutes les nuits) de
l'annuaire : transfert depuis les sites distants vers le siège (si la gestion est décentralisée), consolidation de l'annuaire,
puis transfert depuis le siège vers les sites distants.
Les messageries bureautiques transportent les messages sous forme de copies de fichiers entre les serveurs bureautiques.
La périodicité des échanges dépend du paramétrage ; elle est généralement comprise entre 5 et 30 minutes.
Ces transferts de fichiers occupent donc
régulièrement la bande passante des liens.
IV.1.4. Volumétrie liée aux transferts de fichiers
La volumétrie liée aux transferts de fichiers dépend des applications présentes au sein de la société. Son évaluation repose
donc sur une analyse précise de l'existant et/ou des besoins. Elle peut être modélisée sous la forme 60 % des utilisateurs
réalisant l'équivalent d'un transfert de 6000 Ko par jour à destination d'un site distant.
IV.1.5. Volumétrie liée aux applications transactionnelles site central.
Dans la plupart des cas, on peut estimer qu'un utilisateur échange 100 à 200 écrans de 2 Ko à 4 Ko par jour avec le site
central. Cette évaluation est bien sûr éminemment variable selon le contexte à considérer. La taille des écrans varie, par
exemple, en fonction des applications, et la fréquence des échanges en fonction du type de travail de l'utilisateur (saisie
intensive, consultation, etc.). Il convient donc d'estimer la volumétrie moyenne à partir de tests.
IV.1.6. Volumétrie liée aux applications transactionnelles
Même remarque que pour les applications
transactionnelles, sauf que la taille des pages varie entre 4 Ko et 100 Ko, une page pouvant contenir des images GIF (fixes
ou animées).
En prenant en compte les fichiers GIF, JPG et HTML, la moyenne constatée est de 4 Ko. Si l'on se réfère aux transferts de
fichiers réalisés à partir d'Internet (documents .pdf, .docx ou txt), la moyenne constatée est de 100 Ko.
IV.1.7. Volumétrie liée à d'autres services
Différents services peuvent emprunter le réseau intersites, notamment en provenance de sites rattachés dans le cas où les
passerelles de communication sont centralisées.
IV.1.8. Dimensionnement des liens49
Le mode de calcul de la bande passante requise pour une application dépend du type de flux qu'elle génère. Elle est basée
sur la volumétrie estimée lors de la phase précédente.
Pour dimensionner une liaison, il convient tout d'abord d'estimer les besoins en termes de débit instantané. La formule
généralement admise pour le calculer est la suivante :
Bp = Vj x Th x Ov x x x (8 x 1,024)
L'explication des paramètres est la suivante :
Bp : est la bande passante instantanée que l'on veut calculer
pour une liaison et qui est exprimée en Kilo bits par secondes (Kbps)
Vj : est le volume journalier estimé en kilo - octets (Ko). Cette
valeur est la somme des flux devant circuler sur le lien considéré et le maximum pris entre les flux montant et descendant.
Th : est le coefficient permettant de calculer le trafic ramené à
l'heure chargée.
Ov : est l'over Head dO aux protocoles de transport.
Tu : est le taux maximum d'utilisation de la bande passante du
lien.
Le rapport 1/3600 permet de ramener la volumétrie sur une heure en secondes tandis que le rapport 8 * 1,024 permet de
convertir les kilobits (1 octet = 8 bits, 1 Ko = 1024 octets et 1000 bits = 1Kb)50.
Calculer les débits
Pour dimensionner une liaison, il convient d'estimer les besoins en termes de débit instantané. La formule de calcul
généralement admise est la suivante :
49J. L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau local aux réseaux
télécom, Eyrolles, Paris, 1997, Page 302 - 303
50J. L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau local aux réseaux
télécom, Eyrolles, Paris, 1997,, Page 303
La signification des paramètres est la suivante :
Bp : est la bande passante instantanée calculée pour une liaison exprimée en Kbit/s.
Vj : est le volume journalier, estimé en Ko. Cette valeur représente la somme des flux devant circuler sur le lien considéré (le
maximum pris entre les flux montants et descendants).
Th : est un coefficient permettant de calculer le trafic ramené à l'heure chargée. On considère généralement que le trafic
journalier est concentré sur une heure chargée.
Cette hypothèse part du constat que, sur 8 heures de travail, les utilisateurs sont les plus actifs sur deux périodes de pointe,
entre 08 h et 11 h, et entre 15 h et 16 h. Les valeurs généralement admises sont comprises entre 20 % et 30 % du trafic
journalier concentré sur une heure.
Ov est l'overhead généré par les protocoles de transport (TCP, IP, PPP). Ce coefficient est généralement affecté d'une valeur
de 20 %. Il tient compte des en-têtes et des paquets de service (acquittements, etc.).
Le taux maximal d'utilisation de la bande passante du lien. Cette correction permet de prendre en compte le fait que l'on
utilise rarement 100 % du débit nominal d'un lien.
Ce taux est généralement fixé à 80 % de la bande passante, ce qui donne un surdimensionnement du lien de l'ordre de 25 %.
Pour des liaisons à haut débit, ce taux peut atteindre 90 %.
Le rapport 1/3600 permet de ramener la volumétrie sur une heure en secondes, tandis que le rapport 8*1024 permet de
convertir les kilo-octets en kilobits (1 octet = 8 bits, 1 Ko = 1024 octets et 1000 bits = 1 kilobit). Si l'on prend la valeur
standard pour ces paramètres, la formule devient :
Bp : 7600 x 30% x 20% X (8x1,024)
Bp : 7600 x 0,3 x 0,2 x 1,25 x 0,00028 x 8,192 Bp : 1,307443 Kbps
Pour ce faire, la bande passante sera de 1,307443 Kbps.
En ce qui concerne le cas de notre réseau, il y aura un certain nombre des routeurs tout en sachant qu'un réseau VPN site-à-
site, qu'il soit en mode infrastructure.
La communication entre les différentes la Direction générale et le site s'effectue par le moyen de la tunnellisation, configurée
dans un réseau en mode infrastructure et au niveau des stations dans un réseau VPN site-à-site.
Le VPN IPsec, reposant sur le protocole de cryptage IPsec. Dans ce cas, il n'y a pas séparation logique, mais création d'un
tunnel crypté qui garantit la confidentialité des informations vis-à-vis des autres utilisateurs.
IV.1.9. Choix du réseau de transport
Le choix d'un réseau de transport est souvent le résultat d'une étude de coUt. L'approche peut être réalisée de plusieurs
façons.
Le choix d'un réseau de transport dépend essentiellement du mode de facturation (basé sur la volumétrie et/ou des temps
de connexion), des débits souhaités et aussi de la topologie retenue51.
Etant donné que les fournisseurs du réseau de transport (Providers) en République Démocratique du Congo définissent ou
proposent au préalable une bande passante eu égard au nombre des machines à utiliser, nous étions obligés dans le cadre
de ce projet d'adopter cette façon de voir les choses.
Cela étant, nous avons pu visiter l'entreprise Fournisseur d'Accès Internet, qui est la Global Broadband Solutions ; qui a attiré
notre attention par rapport aux renseignements qui nous ont été fournis lors de notre passage.
IV.1.10. Choix des matériels
Techniquement, la meilleure solution repose sur les routeurs Cisco dans le cas de notre projet, d'autant plus que ces
matériels permettent également le pontage.
L'intérêt du routeur est de segmenter l'espace d'adressage des protocoles routables et de permettre un contrôle précis des
flux grâce à ses fonctionnalités de filtrage et de priorité.
Ces dernières technologies apportent une nette amélioration dans l'efficacité du contrôle de flux réseaux.
Outre les mécanismes de filtrage, les routeurs Cisco peuvent également se voir dotés de mécanismes de sécurité
permettant l'utilisation d'un réseau public non sûr comme lien de transit, tout en assurant la confidentialité, l'intégrité des
informations et l'authentification de l'émetteur.
IV.3. Conception d'une solution d'administration

La mise en place d'une administration de réseau doit être menée comme tout projet, avec rigueur et méthode. Avant toute
mise en oeuvre préalable doit répondre à la question : « l'administration, pour quoi faire ? »52.
52MONTAGNIER J. L., Pratique des réseaux d'entreprise : Conception d'une solution d'administration, Eyrolles, Paris, 1997, Page 334
4.3.1. Administration des équipements
L'administration est une tâche qui requiert que le réseau soit fonctionnel et que les différents services soient implémentés.
Avant d'entrer dans le vif du sujet il serait primordial de rappeler ce qu'il faut administrer dans le réseau : les hommes
(administrateurs et utilisateurs), la configuration des équipements, le dépannage, les stations d'administration, la sécurité.
Ces tâches d'administration peuvent être d'après l'ISO, reparties sur cinq axes :
o La gestion de la configuration réseau (configuration
management) : il convient de gérer la configuration matérielle et logicielle du réseau pour en optimiser l'utilisation ; de
permettre des configurations à distance via des outils adéquats et le stockage des différentes configurations ; les serveurs
ftp sont très souvent sollicités pour cette tâche ;
o La gestion des anomalies: l'administration a pour objectif d'avoir un réseau opérationnel sans rupture de service, ce qui
définit une certaine qualité de service ; on doit être à mesure de localiser le plus rapidement possible toute panne ou
défaillance pour pouvoir y remédier ;
o La gestion des performances (performance management) : consiste à contrôler à tout moment le réseau pour observer s'il
est en mesure d'écouler le trafic pour lequel il a été conçu. Le délai, le débit, le taux d'erreur, la disponibilité sont autant des
paramètres à prendre en compte pour l'évaluation ;
o La gestion de la sécurité (security management) : on gère ici les contrôles d'accès au réseau, la confidentialité des
données qui y transitent, leur intégrité et leur authenticité pour pouvoir les protéger contre tout dysfonctionnement, toute
inadvertance ou toute malveillance. Un enregistrement de l'activité des utilisateurs plus précisément les événements
significatifs, les actions interdites ou sensibles peut s'avérer nécessaire ;
o La gestion de la comptabilité (accounting management) : Evaluation de la consommation des ressources réseaux en

fonction de la durée, du volume à des fins de facturation ou d'identification des stations saturant la bande passante.
Dans un réseau d'envergure, l'administration est fondamentale. Lors de la surveillance sur le réseau, les relevés du trafic
doivent rester confidentiels afin d'éviter toute atteinte à la vie privée des utilisateurs.
Nous pouvons utiliser des outils pour l'administration du réseau car il en existe une panoplie tant du domaine privé que
public. Chaque outil ayant un but particulier, il incombe à l'administrateur de bien savoir ce qu'il veut obtenir.
1. Spécification technique
La mise en place d'un réseau VPN site-à-site doit être structurée et la plus simple possible. La vue topologique
du réseau doit permettre de visualiser la constitution des réseaux et leurs interconnexions, d'un point de vue
géographique par site. L'aspect opérationnel doit être également abordé, c'est-à-dire savoir quel est le volume des
données échangées entre utilisateurs, etc.
2. Organisation de l'exploitation
La définition et la mise en place d'une structure d'exploitation est intimement liée au contexte de l'entreprise53.
Le but est ici d'indiquer la manière d'appréhender les impacts techniques d'une organisation et non pas la
définition ellemême.
3. Architecture du réseau
Nous avons jugé bon d'utiliser le réseau centralisé ou en étoile dans lequel tous les sites, qualifié de distants sont raccordés
à un même site54.Pour mettre en place cette architecture nous allons nous attarder sur deux grandes parties :
1. Les différentes configurations, à savoir : De Bralima (SITE1), de Kimpoko (SITE2), de l'interface WAN, de l'interface LANs,
du NAT. Ici, nous utiliserons le protocole IPSec, principal protocole permettant d'implémenter et de déployer des VPN.;
53MONTAGNIERJ.L., Architectures des réseaux longues distances, 1997, Paris, Page 350 54Idem, Page 285
2. La configuration du serveur DNS plus particulièrement son module « Active Directory » car c'est celui-ci qui nous
permettra de gérer le temps de connexion des utilisateurs dans le système et à l'internet.
A. Aspects matériels
Pour mener à terme ce projet, plusieurs ressources matérielles seront sollicitées. Outre le dispositif à prévoir
pour la connexion entre les sites et le siège, l'achat de nouveaux ordinateurs à qui on donnera des rôles précis
est à envisager.
Le souci de haute disponibilité peut être satisfait entre autres, par la mise en place d'un réseau VPN site-à-site
dont l'avantage est la sécurité.
Un routeur CISCO System, un ordinateur serveur, Connexion internet, Wireless, link, Network, Switch,
Desktop, Laptop.
B. Aspects logiciels
Nous avons utilisé le système d'exploitation Microsoft Windows 2003 Serveur pour l'implémentation de la solution. Nous
avons privilégié Microsoft Windows 2003 Serveur pour mettre en place nos serveurs à cause de sa simplicité.
Afin de communiquer sur le réseau la carte doit être configurée. Nous ne verrons ici que le paramétrage utilisant le protocole
TCP/IPv4.
Pour ce qui concerne les systèmes d'exploitation utilisés, Microsoft® Windows 2003 ServerTM est actuellement installé sur
les serveurs de messagerie, de Navision, de base de données et le Windows SPIII pour les différents postes clients.
Concernant le progiciel utilisé; Microsoft Navision est un outil de base adapté dans un environnement distant.
C. Aspects techniques
Lorsque nous avons pris connaissance de matériels que la Bralima utilise dans son réseau, cela nous a amené à proposer
un certain nombre d'équipements répondant aux aspects techniques pour que la solution VPN site-à-site puisse être mise
en place afin que la fiabilité et la sécurité des informations échangées soient en permanence au sein de la Bralima.
Etude de faisabilité et configurations ; Etude de faisabilité
Pour avoir une interconnexion des réseaux à faible coût mais pour un fort niveau sécurité, nous choisirons de travailler avec
un VPN site-à-site. Le coût d'un VPN est un avantage pour différentes raisons :
Pas de liaisons physiques comme les LAN (Local Area Network) ;
Pas de points d'accès comme les Wireless ;
Les différents LAN d'un VPN sont connectés sur Internet mais selon le cas de l'Entreprise et de sa taille : ADSL, RTC,
RNIS ; donc pas de problème de budgétisation ; Passage de l'Entreprise à une phase de gestion dynamique,
collaborative et en temps réel: donc, plus fiable et constructive.
La réalisation de notre projet de mise en place d'un réseau VPN site-à-site dépend de plusieurs facteurs, humains, financiers,
matériels et logiciels. Gérer ce projet nous amène à l'organiser avec la méthode appropriée, de sorte que l'ouvrage réalisé
par le maître d'oeuvre réponde aux attentes du maître d'ouvrage et qu'il soit livré dans les conditions de coût et de délai
prévus initialement. Pour ce faire, la gestion de projet a pour objectifs d'assurer la coordination des acteurs et des tâches
dans un souci d'efficacité et de rentabilité.
a) Facteur humain
Le maître d'oeuvre est l'auteur du projet ; il assure la direction des travaux et peut en être l'architecte.
Une fois son projet validé par le maître d'ouvrage qui auprès de lui tient un rôle de patron, le maître d'oeuvre est responsable
du bon déroulement des travaux et joue un rôle de conseil dans le choix des entreprises qui vont les réaliser.
Il est responsable du suivi des délais et des budgets selon les modalités définies dans le cahier des clauses administratives
particulières. Dans notre cas, à la Bralima, le Département Informatique de la Direction financière tient ce rôle pour ce qui est
du projet réel de conception d'un réseau VPN site-àsite. Le maître d'ouvrage reviendra à la Bralima.
Dans le cadre de notre travail, le maître d'oeuvre est assuré par l'entreprise Global Broadband Solution Congo.
Le maître d'ouvrage est tenu par la Bralima, qui se comporte dans ce cas comme le commanditaire du projet. Une fois le
projet réalisé et livré, il est important de déléguer la responsabilité du suivi du système mis en place à un personnel spécial
du Département Informatique.
b) Contraintes matérielles
Pour mener à terme ce projet, plusieurs ressources matérielles seront sollicitées. Outre le dispositif à prévoir pour la
connexion entre les sites et le siège, l'achat de nouveaux ordinateurs à qui l'on donnera des rôles précis.
Le souci de haute disponibilité peut être satisfait entre autres, par la mise en place d'un réseau VPN site-à-site dont
l'avantage est la sécurité.
Dans l'optique de prévenir des pannes liées au niveau des indicateurs de performance, les serveurs sur lesquels seront
implémenter les opérations devront avoir un minimum de performances considérées comme ligne de base.
Il faudra aussi penser aux interruptions de courant électrique. Pour ce faire, l'achat d'onduleurs pour les ordinateurs et d'un
groupe électrogène serait d'une grande nécessité.
d) Contraintes financières
Les difficultés financières dépendent des besoins matériels, logiciels et humains.
En effet, pour mener au bout un projet de réseau VPN site-à-site entre sites distants, il faut s'assurer de la possibilité du
budget alloué de pouvoir entre autres :
+ avoir une connexion internet stable et constante ;
+ avoir un dispositif adéquat pour l'interconnexion ;
+ mettre en place une liaison permanente, distante et sécurisée ; + avoir des ordinateurs respectant une certaine ligne de
base ;
+ un monitoring des flux et une gestion des priorités doit
s'adapter aux différents usages ;
+ avoir un personnel formé pour assurer la maintenance à la fois matérielle et logicielle de la solution ;
+ organiser les priorités des différents flux;
+ la gestion de la bande passante et des équipements.
Chapitre V : REALISATION DU PROJET
Ce chapitre nous permet de faire une étude de fonds en comble du projet qui a été soumis à notre étude. Nous ne pouvons
bien évidement pas revenir sur les détails de l'étude complète d'un projet, mais nous travaillerons sur les parties
fondamentales faisant ressortir les points saillants du travail qui nous a été confié.
L'infrastructure VPN site-à-site est de nos jours très peu répandu pourtant elle apporte une nouvelle approche dans la
méthode de transfert des données, elle revêt ainsi un caractère novateur pour les entreprises qui ont opté pour un partage
optimal et sécurisé de leur information.
Partant du fait que le nombre de personnes et le budget alloués à ce projet sont très bas, il sera considéré comme un petit
projet malgré le fait que sa durée soit relativement élevée.
Section I : Cadrage du projet I.1. Identification du projet
A. Intitulé du projet :
Mise en place d'un réseau VPN site-à-site est une solution peut être déployée et configurée en toute simplicité.
B. Définition :
Il est question ici de proposer un moyen sécurisé et sûr d'échange de données entre deux hôtes différents avec la possibilité
de gérer l'accès de connexion à l'internet des utilisateurs.
C. Cahier de charge
Définit comme un acte, le cahier de charge est un document de référence qui permet à un dirigeant d'entreprise, d'une
organisation de préciser les conditions ou les exigences d'un projet à accomplir ou une tâche à exécuter par un consultant
en vue de résoudre un problème spécifique ou améliorer une situation donnée tout en déterminant les résultats.
D. Motif :
L'engouement qu'engendre l'architecture VPN/IPSec se fait de plus en plus présent dans les entreprises de la place et
surtout chez celles qui ont ce besoin naturel de fidéliser leur clientèle en leur proposant un service toujours disponible et de
meilleures qualités.
Il est nécessaire de noter ici que la solution VPN/IPSec ou plus précisément le protocole IPSecsera implémenter aux
extrémités de chaque réseau sur le routeur servant de passerelle entre l'intranet et internet.
I.2. Objectifs
Notre projet vise plusieurs buts, mais il existe deux
principaux :
( Permettre à la Bralima Sarl d'échanger de manière fiable et sécurisée les informations entre ses différents
réseaux à partir du serveur sur lequel les utilisateurs s'authentifieront ;
( Permettre aux clients de la Bralima Sarl ou aux clients VPN d'accéder au réseau internet de façon contrôlée.
La réalisation du projet soumis à notre étude s'échelonne sur une période de 16 semaines (4 mois) à compter du
1 mars 2011. Date de début : 1 Juillet 2012 et date de fin au plus tard : 31 Octobre 2012.
I.3. Les moyens
Ici, il est question de moyens financiers concernant le coût de réalisation de ce projet qui est reparti entre le coût des appels
téléphoniques, les déplacements et le matériel indispensable.
Le présent tableau apporte un résumé des dépenses effectuées en termes de matériels :
Quantité Designation Prix unitaire/$ Prix total/$

2 Routeur Cisco System 1800 Series 1.200 2.400
2 Switch Fla net de 8 ports 150 300
7 Serveur HP Prolion ML 350 5.400 37.800
Desktop Pentium 4(microprocesseur
2,7Ghz, écran 21" SVGA, HOD 500 Gb,

6 ports USB, DvD-RW+ 40/56X,
modèle boitier ATX, Ram SDRAM DIMMS 4 Gb, 5 Baies

pour stockage externe)
6 Desktop P4, marque DELL, (microprocesseur 2,7Ghz, 850 5.100
écran 17", HDD 250 Gb, 6 ports USB, DvD-Rom, modèle
boitierATX, Ram SDRAM 2 G b)
2 Seconde Carte réseau pour le serveur 85 170
2 Firewall Check point 105 210
4 Catalyst 4507 R - E Cisco 175 700
2 AntenneVSATl.2m 4.200 8.400
2 OnduleurAPCSmartUPSVT2OKVA 870 1.470
1 Carton de cable UTP RJ4S 150 150
2 Hub 24 Ports pour connexion LAN 175 300
Total hors taxes (THT) 57.000
TVA(16%) 9.120
Total toute taxe comprise (TTC) 66.120
Qté Designation Caractéristique Prix Prix
unitaire/$ total/$
1 Système Windows 2003 Serveur Edition Entreprise 1.150 1.150
d'exploitation
pour le serveur
Cisco
1 Système Windows XP SP3 Edition familiale 450 450
d'exploitation
pour le poste
de travail
2 Norton Antivirus 2012 pour work station. CPU: Pentium IV ou plus, Espace
Antivirus disque : 64 MB, Espace mémoire : 128 MB, compatible Windows 350 700
XP/NT/Vista/Seven
1 Provider Global Broad Band Solution 1200
Total hors taxes (THT) 3.500
TVA (16 %) 560
Total toute taxe comprise (TTC) 4.060
Le présent tableau apporte un résumé des dépenses effectuees pour la formation des agents de la Bralima Sarl.
Utilisateurs oitation Windo Prix par erveu 50 Total/$

rise
utilisateurs
ploitation Cadres ti 4 45
1.250
e travai fam
6 1.250
Subalternes
orton Anivirus 2012 Total général 2.500
Coût global du projet
IV o plus, Esp
D'une façon synthétique, nous présentons toutes les Windows
sommes que les autorités de la Bralima doivent mobiliser pour XP/NT/Vista/eve
ovider Global BroadBd Solution 1200
l'acquisition des matériels, logiciels et pour la formation des utilisateurs :
[98]
Coût total matériels : 66.120 $ USD
1. Coût total logiciels : 4.060 $ USD
2. Coût total formation : 2.500 $ USD
3. Total = 66.120 $ USD + 4.060 $ USD + 2.500 $ USD
72.680 $ USD
4. Imprévu 10 % du montant total = 7.268 $ USD
5. Total général = 79.948 $ USD
Le montant total en lettre : Septante neuf mille neuf cent quarante-huit dollars américains.
Rappelons que ce coût est dérisoire, car il ne prend pas en compte le coût de l'élaboration d'un cahier de charges de façon
complète et professionnelle ainsi que celui du travail technique effectué. En effet, il s'agit ici d'un projet qui s'inscrit dans le
cadre de la rédaction d'un mémoire académique de fin d'étude.
+ Les échéances intermédiaires
Pour mesurer l'évolution du projet, nous ferons des comptes rendus hebdomadaires.
I.3. La technique
Pour réaliser ce projet, nous nous sommes appuyés non seulement sur les expériences acquises au cours de notre
formation, de quelques personnes ressources, sur internet, mais aussi sur les forums ou la plupart de nos difficultés ont été
étayés.
I.5. Management du projet
Maîtrise d'ouvrage : BRALIMA SARL
Maîtrise d'oeuvre : Global Broadband Solution
Experts : Monsieur Robert MATENDO
I.6. Planification
Le diagramme de GRANTT permet de planifier le projet et de rendre plus simple le suivi de son avancement. Cette méthode
visuelle est efficace lorsqu'il s'agit de lister une vingtaine de tâches.
Nous avons utilisé GANTT pour notre planification, mais bien avant nous avons nommé les différentes tâches, leurs durées
ainsi que leurs précédences. Le tableau ci-après illustre les dites tâches, il est suivi du tableau de niveaux ainsi que de celui
de la répartition des ressources.
Tâches Désignations Précédences Durées /Jrs

A Prise de contact - 1
B Analyse de l'existant A 12
C Critique de l'existant B 7
D Proposition de solution B,C 7
E Etude de faisabilité D 7
F Elaboration du cahier de charge E,F 7
G Appel d'offre G 10
H Dépouillement des offres H 2
I Acquisition des matériels F,G 35
J Mise en place de la solution proposée I,J 11
K Mise au point et test K 3
L Lancement du système L 1
M Formation du personnel M 25
Ce planning donne une décomposition purement statique, il ne tient pas compte du temps et par conséquent ne s'attache
pas à l'ordonnancement des activités. Il permet une présentation analytique, le projet est décomposé jusqu'à obtention des
activités bien définies et faciles à gérer.
I.7.Planning prévisionnel de la réalisation du projet
Il est important à tout ingénieur dans le domaine de réseau, de planifier les différentes tâches qui doivent être réalisées, afin
de déterminer la date à laquelle le projet doit se réaliser, son délai d'exécution et par conséquent en connaitre le coUt55.
55 Prof. MBIKAYIJeampy, Cours Inédit Modèle Conceptuel de Projet, L2 informatique ISS/KIN, 2011-2012
I.7.1. Ordonnancement
Pour mener à bon port notre travail, nous avons opté pour l'ordonnancement qui est un outil de la recherche opérationnelle
nous permettant dans ce cas d'élaborer le planning, de déterminer l'intériorité des tâches, de définir la durée de chaque
tâche56.
A ce niveau, l'objectif est la minimisation de la durée de réalisation du projet, ceci aurait un avantage significatif en gain de
temps et du coût. Pour ce faire, nous nous sommes servis de la méthode GANTT.
56
P.O. Mvibudulu A., Méthodes de conduite de projet, ISC- Kinshasa, année 2011-2012
I.7.2. Calendrier de réalisation du projet
Date début Désignation Date fin

Lundi 02/07/2012 Prise de contact Lundi 02/07/2012
Mardi 03/07/2012 Analyse de l'existant Mardi 16/07/2012
Lundi 17/07/2012 Critique de l'existant Mardi 24/07/2012
Mardi 25/07/2012 Proposition de solution Mercredi
01/08/2012
Jeudi02/08/2012 Etude de faisabilité Jeudi 09/08/2012
Vendredi10/08/2012 Elaboration du cahier de charge Mercredi
17/08/2012
Lundi20/08/2012 Appel d'offre Mercredi
29/08/2012
Jeudi30/08/2012 Dépouillement Vendredi
31/08/2012
Lundi03/09/2012 Acquisition des matériels Mercredi
05/09/2012
Lundi 08/10/2012 Mise en place de solution proposée Jeudi 18/10/2012
Vendredi19/10/2012 Mise au point et test Lundi 22/10/2012
Mardi23/10/2012 Lancement du système Mercredi
23/10/2012
Jeudi24/10/2012 Formation du personnel Jeudi 28/11/2012
[102]
I.7.3. Le diagramme de GANTT
ée
Début Termin
Section II : Conduite du projet II.1. Problématique
Lorsque nous appelons, envoyons un courrier traditionnel ou un fax d'un site vers un autre, les communications
téléphoniques, les services de colis postaux ou de télécopie ne sont pas sécurisés. Pourquoi ne pas mettre sur pied un
système qui rendra plus fiable et sécurisé le transfert de ces informations entre utilisateurs ou avec nos correspondants?
Dès notre arrivée à la Bralima Sarl, nous avons constaté que le trafic inter-réseau était non sécurisé, toutes les informations
du réseau de l'entreprise circulaient en claires sur internet et ont certainement pu être interceptées à un moment ou à un
autre par des personnes non connues.
La première solution pour répondre à ce besoin de communication sécurisée consiste à relier les réseaux distants à l'aide de
liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux
distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission.
Un bon compromis consiste à utiliser Internet comme support de transmission à partir d'un protocole "d'encapsulation" (en
anglais tunneling, d'où la prononciation impropre parfois du terme "tunnellisation"), c'est-à-dire encapsulant les données à
transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network)
pour désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé
car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données.
Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coUt, si ce n'est la mise en oeuvre des
équipements terminaux. En contrepartie, il ne permet pas d'assurer une qualité de service comparable à une ligne louée
dans la mesure où le réseau physique est public et donc non garanti.
II.2. Mise en place de l'architecture VPN
Comme mentionné plus haut, Global BroadBand Solution est une entreprise qui fournit la connexion et bien d'autres
services, son but est d'offrir continuellement des services pour satisfaire sa clientèle en permettant à ses employés de
communiquer et de partager les informations, mais aussi de satisfaire son environnement externe en proposant des
technologies toujours innovatrices pour faciliter le développement et la croissance des entreprises. Notre principal boulot
était dans un premier temps de mettre en place l'architecture VPN site-à-site pour permettre aux utilisateurs de l'entreprise
d'échanger de façon sécurisée leurs données, mais aussi à travers cette architecture de permettre aux futurs utilisateurs du
réseau internet d'avoir accès à internet et de manière contrôlée.
Nous devons mentionner ici que cette architecture est nouvellement déployer à la Bralima ; toutefois il est primordial pour
nous d'étudier l'existant autrement dit la topologie du réseau en place et la disposition des différents équipements présents
dans le réseau de l'entreprise pour mieux appréhender et anticiper les difficultés que nous pourrons rencontrer lors de la
mise en place de la solution. L'implémentation du protocole IPSec se fera au niveau du routeur CISCO.
II.3.Architecture à mettre en place
Ce schéma très simplifié nous présente la manière
dont les utilisateurs pourront avoir accès aux ressources dont ils ont besoin. Les utilisateurs devront au préalable
s'authentifier sur le serveur DNS avant d'avoir accès aux ressources situées derrière celui-ci.
Comme nous pouvons le constater sur ce schéma, le réseau de la Bralima est subdivisé en deux sites : La DMZ
(Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué principalement d'un serveur, des ordinateurs
(Bralima LAN) et un réseau externe (Kimpoko LAN).
Le parc informatique qui est constitué des ordinateurs de bureau et des ordinateurs portables. Les informations de
l'entreprise arrivent directement par l'internet ce que nous voyons sur le schéma, elles sont directement envoyées au
commutateur qui lui, les envoie à un serveur de données. La DMZ en fonction bien entendu de la nature de l'information
(données, fichiers, etc.) à son tour le serveur concerné, route l'information à l'ordinateur destinataire.
Les informations provenant du réseau externe (internet) sont préalablement analysées par le firewall avant d'être acceptée
dans le réseau ou tout simplement rejetée.
II.4. Installation et configuration
Dans la suite de notre travail, nous considérerons que les configurations de cette interconnexion sont faites et nous nous
limiterons aux limites de l'étude de notre thème. Nous pourrons simplement montrer en pratique la procédure d'une
connexion cliente à un réseau VPN site-à-site.
Pour parvenir à mettre en place la solution proposée, il y a de préalables qu'il faut remplir ou l'on disposer d'un certain
nombre de composantes, à savoir :
Des connexions Internet hautes vitesses (au sein de
l'entreprise) ;
Des routeurs identiques offrant le support VPN. De préférence le routeur de marque Cisco 1800 Séries ;
Un abonnement à un service de DNS dynamique.

La solution VPN site-à-site de Cisco, est totalement intégrée et composée d'un équipement unique, peut être déployée et
configurée en toute simplicité.
II.4.1. Configurations
Site-to-Site IPsec VPN
Qu'il s'agisse de sécuriser une connexion ou encore de créer une liaison entre deux sites au travers d'un réseau non sécurisé
tel qu'Internet, le passage par un tunnel VPN se révèle être une arme redoutable. Chaque site étant une image d'un petit
réseau disposant d'un accès à internet au travers d'un NAT overload...Voilà comment se présente la topologie :
Configuration de base de SITE1 Configuration de l'interface WAN > interface Serial0/0
> ip address 80.1.0.2 255.255.255.252
> ip nat outside
> clock rate 2000000
Configuration de l'interface LAN
> interface Loopback0
> ip address 192.168.0.0 255.255.255.0 > ip nat inside
Configuration du NAT
access-list 100 deny ip 192.168.0.0 0.0.0.0 192.168.0.64
0.0.0.192
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
ip nat inside source list 100 interface Serial0/0 overload
Note: l'access-list est déjà préparée pour la création du VPN, c'està-dire qu'on exclut les communications entre les deux
LANs de la règle NAT.
Configuration de la route par défaut
ip route 0.0.0.0 0.0.0.0 80.1.0.1
Configuration de base de SITE2 Configuration de l'interface WAN o interface Serial0/0
o ip address 80.2.0.2 255.255.255.252 o ip nat outside
o clock rate 2000000
Configuration de l'interface LAN o interface Loopback0
o ip address 172.16.0.1 255.255.255.192 o ip nat inside
Configuration du NAT
" access-list 100 deny ip 192.168.0.64 0.0.0.192 192.168.0.0
0.0.0.255
" access-list 100 permit ip 192.168.0.64 0.0.0.192 any
" ip nat inside source list 100 interface Serial0/0 overload

Note: l'access-list est déjà préparée pour la création du VPN, c'està-dire qu'on exclut les communications entre les deux
LANs de la règle NAT.
o Configuration de la route par défaut o ip route 0.0.0.0 0.0.0.0 80.2.0.1
o Principe de mise en place du tunnel VPN
La mise en place du tunnel VPN peut paraître complexe, mais il s'agit plutôt d'une tâche qui demande beaucoup de rigueur.
En effet, il va falloir s'assurer qu'aux deux bouts du tunnel la configuration des différents paramètres soit identique.Voici le
détail de la configuration sur SITE1:
Activation de ISAKMP (le protocole qui gère l'échange des clés,
etc.) SITE1 (config)# crypto isakmp enable
Création d'une stratégie de négociation des clés et d'établissement de la liaison VPN :
SITE1(config)# crypto isakmp policy 10
SITE1(config-isakmp)# encryption aes
SITE1(config-isakmp)# authentication pre-share SITE1(config-isakmp)# hash sha
SITE1(config-isakmp)# group 2
SITE1(config-isakmp)# lifetime 86400
On crée donc ici une stratégie avec un numéro de séquence 10. Ce numéro indique la priorité de l'utilisation de la stratégie.
Plus petit est ce nombre plus la priorité est grande. On défini ensuite les paramètres:
- Encryptage AES
- Authentification par clé pré-partagées
- Algorithme de hachage SHA (valeur par défaut)
Méthode de distribution des clés partagées DH-2 (Algorithme de clé asymétriques Diffie-Hellman 1024bits)
Durée de vie 86400 secondes (valeur par défaut)
On définit ensuite si on identifie le routeur par son adresse ou par son hostname (ici l'adresse), l'identification par hostname
peut être utile si on fonctionne avec une adresse publique dynamique, ce qui permet d'éviter trop de modifications de
configuration en cas de changement d'adresse.
SITE1 (config)# crypto isakmp identity address
On crée ensuite la clé pré-partagée, ici « CiscoLab » qu'on associe avec l'adresse de l'autre bout du tunnel donc 80.2.0.2
SITE1 (config) # crypto isakmp key 0 CiscoLab address 80.2.0.2
Le 0 indique qu'on définit la clé en texte clair, en opposition avec une clé déjà cryptée si on la copie d'un « show run » d'un
routeur ou l'encryptage des mots de passe sont activé.
On a maintenant terminé la configuration de la partie qui gère la négociation des clés etc. La deuxième partie consiste à
définir comment les données seront cryptées. Tout d'abord on crée la méthode de cryptage (transform-set) que l'on nomme
VPNSET.
SITE1 (config)# crypto ipsec transform-set VPNSET esp-aes esp-
sha-hmac.
Esp-aes est la méthode de cryptage, esp-sha-hmac est la méthode d'authentification. On définit ensuite la durée de vie de la
clé de cryptage :
SITE1 (config) # crypto ipsec security-association lifetime kilobytes 4096
La durée de vie est ici limitée par un volume en kilobytes (4096), on peut également définir une durée de vie en secondes
(ex:crypto ipsec security-association lifetime seconds 3600).
Il faut maintenant créer une accès-list qui servira à identifier le traffic à traiter par le tunnel VPN. Pour SITE1, ce sera le traffic
originaire de 192.168.0.0/24 à destination de 172.16.0.0/24. (Ce sera l'inverse pour SITE2). On crée donc une access-list
étendue:
( SITE1(config)# ip access-list extended VPN
" SITE1 (config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 192.168.0.64 0.0.0.192
Reste maintenant à créer une Crypto-map dont le but est de rassembler les différents éléments configurés pour pouvoir les
appliquer enfin à une interface.
" SITE1 (config)# crypto map VPNMAP 10 ipsec-isakmp ( SITE1(config-crypto-map)# match address VPN
( SITE1(config-crypto-map)# set peer 80.2.0.2
( SITE1(config-crypto-map)# set transform-set VPNSET
On a donc créé ici une Crypto-map nommée VPNMAP dans laquelle on intègre une séquence 10 (une seule crypto-map par
interface, mais on peut ajouter plusieurs maps en leur indiquant des numéros de séquence différents), avec les paramètres
suivants:
Activée pour le trafic correspondant à l'access-list VPN Destination du tunnel 80.2.0.2
Cryptage selon le transform-set VPNSET
La dernière étape consiste à appliquer cette cryptomap à l'interface WAN de SITE1.
( SITE1 (config)# interface serial 0/0
( SITE1(config-if)# crypto map VPNMAP
( SITE est prêt. Reste à faire l'équivalent sur SITE2. " Configuration sur SITE2:
Parmi les points important, SITE2 soit avoir une stratégie isakmp identique à celle de SITE1 et l'access-list qui identifie le
trafic à traiter par le tunnel VPN est inversée d'un point de vue de la source et de la destination.
( SITE2 (config)# crypto isakmp enable
( SITE2(config)# crypto isakmp policy 10
( SITE2 (config-isakmp)# encryption aes
( SITE2(config-isakmp)# authentication pre-share ( SITE2 (config-isakmp)# hash sha
( SITE2 (config-isakmp)# group 2
( SITE2 (config-isakmp)# lifetime 86400
( SITE2(config)# crypto isakmp identity address
( SITE2(config)# crypto isakmp key 0 CiscoLab address 80.1.0.2
( SITE2 (config)# crypto ipsec transform-set VPNSET esp-aes espsha-hmac
( SITE2(config)# crypto ipsec security-association lifetime
kilobytes 4096
" SITE2(config)# ip access-list extended VPN
" SITE2 (config-ext-nacl)# permit ip 172.16.0.0.255 192.168.0.0 0.0.0.255
" SITE2 (config)# crypto map VPNMAP 10 ipsec-isakmp
" SITE2(config-crypto-map)# match address VPN
" SITE2(config-crypto-map)# set peer 80.1.0.2
" SITE2(config-crypto-map)# set transform-set VPNSET
" SITE2 (config)# interface serial 0/0
" SITE2(config-if)# crypto map VPNMAP
Vérification du tunnel VPN, une fois le tunnel configuré, deux commandes permettent de vérifier si le tunnel
fonctionne:
# show crypto isakmp sa # show crypto ipsec sa
Toutefois, pour que l'on puisse vérifier le
fonctionnement il faut que le VPN soit établi, et pour cela il faut que du trafic soit envoyé au travers de ce tunnel. Ici le test
est effectué à l'aide d'un « ping » étendu:
· SITE1#ping
· Protocol [ip]:
· Target IP address: 172.16.0.1
· Repeat count [5]:
· Datagram size [100]:
· Timeout in seconds [2]:
· Extended commands [n]: y
Source address or interface: 192.168.0.1
· Type of service [0]:
· Validate reply data? [no]:
· Data pattern [0xABCD]:
Sending 5, 100-byte ICMP Echos to 192.168.0.64, timeout is 2 seconds:
Packet sent with a source address of 192.168.0.64!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 144/156/176 ms
SITE1#
On peut maintenant vérifier si le tunnel à bien
fonctionné :
o SITE1#sh crypto isakmp sa
o IPv4 Crypto ISAKMP SA
o dst src state conn-id slot status
o 80.2.0.2 80.1.0.2 QM_IDLE 1001 0 ACT
o IPv6 Crypto ISAKMP SA
o SITE1#
o SITE1#sh crypto ipsec sa
o interface: Serial0/0
o Crypto map tag: VPNMAP, local addr 80.1.0.2 o protected vrf: (none)
o local ident (addr/mask/prot/port):
(192.168.0.64/255.255.255.0/0/0)
o remote ident (addr/mask/prot/port):

(192.168.0.0/255.255.255.0/0/0)
o current_peer 80.2.0.2 port 500
o PERMIT, flags={origin_is_acl,}
o #pkts encaps: 19, #pkts encrypt: 19, #pkts digest: 19 o #pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19 o #pkts
compressed: 0, #pkts decompressed: 0
o #pkts not compressed: 0, #pkts compr. failed: 0
o #pkts not decompressed: 0, #pkts decompress failed: 0 o #send errors 1, #recv errors 0
o local crypto endpt.: 80.1.0.2, remote crypto endpt.: 80.2.0.2 o path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0
o current outbound spi: 0xE912A86D(3910314093)
Les deux lignes en bleu indiquent les paquets reçus et envoyés par le tunnel VPN. Pour conclure voici une capture réalisée
par WireShark sur la liaison entre SITE1 et VPN lors de l'envoi de requêtes ICP de 192.168.0.0 à 192.168.0.64:
Il est ici impossible de voir qu'il s'agit de paquets ICMP, la seule chose visible c'est qu'il y a un trafic crypté d'un bout à l'autre
du tunnel.
CONCLUSION GENERALE
Le secteur des technologies de l'information étant en constante mutation, le présent travail fait état des résultats obtenus
lors de la mise place d'un réseau VPN site-à-site à la Bralima. Nous avons en effet grâce à cette nouvelle technologie permis
aux employés de partager de façon sécurisée leurs données via le protocole IPSec qui est le principal outils permettant
d'implémenter les VPN, ce partage était possible en interne pour les utilisateurs du réseau local de l'entreprise, mais aussi
en externe pour les utilisateurs dit « distants » situés en dehors du réseau local.
En effet, nous avons présenté un travail divisé en deux parties, à savoir l'approche théorique qui était subdivisé deux
chapitres dont le premier a porté sur les généralités sur les réseaux informatiques ; le second a porté sur le VPN (Virtual
Private Network) où nous avons brossé de façon claire les notions, le fonctionnement ainsi que les différents protocoles
utilisés pour la mise en oeuvre de réseau VPN et la deuxième partie intitulée conception du nouveau système d'information
qui était aussi subdivisé en trois chapitres dont le premier a porté sur l'étude préalable dans laquelle nous avons présenté
l'entreprise et nous avons fait l'analyse de l'existant, critique de l'existant et proposé une solution VPN site-à-site qui consiste
à mettre en place une liaison permanente, distante et sécurisée entre deux ou plusieurs sites de la Bralima ; le second a
porté sur conception du nouveau système d'information et enfin le troisième, la réalisation du projet.
En effet, la mise en place de VPN site-à-site permet aux réseaux privés de s'étendre et de se relier entre eux au travers
d'internet. Cette solution mise en place est une politique de réduction des coUts liés à l'infrastructure réseau des
entreprises. Il en ressort que la technologie VPN basé sur le protocole IPSec est l'un des facteurs clés de succès qui évolue
et ne doit pas aller en marge des infrastructures réseaux sécurisés et du système d'information qui progressent de façon
exponentielle.
En tout état de cause, dans le cadre d'un accès restreint et plus sécurisé à l'internet, nous pourrons nous retourner sur le
VPN ou le cryptage du réseau.
En définitive, comme tout travail scientifique, nous n'avons pas la prétention de réaliser un travail sans critique et suggestion
de la part de tout lecteur afin de le rendre plus meilleur.
LISTE DES ABREVIATIONS
ATM : Asynchronous Transfer Mode.
ADSL : Asymmetrical bit rate Digital Subscriber Line.
AES : Advanced Encryption Standard
ANSI : American National Standard Institute.

API : Application Programming Interface
ARP : Adress Resolution Protocol
ASP : Application Service Provider
ANSI : American National Standard Institute
ADSL : Asymmetrical bit rate Digital Subscriber Line
AES : Application Environment Service
BGP : Border Gateway Protocol
BOUKIN : Bouteillerie de Kinshasa
BRALIMA : Brasserie Limonaderies et Malterie CIB : Compagnie industrielle de Boissons
CDMA : Code Division Multiple Access
CSMA/CD : Carrier Sense Multiple Access / Collision Detection.
CBR : Constraint-Based Routing
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name System/Service
DMZ : DeMilitarized Zone
DES : Data Encryption Standard
DWDM : Dance Wavelength Data Multiplexing
EAP : Extensible Authentication Protocol
EDI : Electronic Data Interchange.
EIA : Electrical Industries Association
ERP : Enterprise Resource Planning
ETCD : Equipement Terminal de Circuit de Données
FAT : File Allocation Table
FDDI : Fiber Distributed Data Interface.
FDMA : Frequency Division Multiple Access
FAI : Fournisseur d'Accès Internet
FTP : File Transfer Protocol
GIF : Graphics Interchange Format
GBS : Global BroadBand Solution
JPG : Joint Photographic Group
HTTP : Hyper Text Transfer Protocol
HTML : Hyper Text Markup Language
IP : Internet Protocol
IKE : Internet Key Exchange
ISO : International Standards Organisation.
ISP : Internet Service Provider
IETF : Internet Engineering Task Force
IEEE : Institute of Electrical and Electronics Engineers

ICMP : Internet Control Message Protocol
IPX : Inter-network Protocol eXchange
IPSEC : Internet Protocol Security
ISAKMP :Internet Security Association and Key Management Protocol
LAN : Local Area Network ou réseau local)
L2F : Layer Two Forwarding
L2TP : Layer Two Tunneling Protocol
LSP : Label-Switched Path
LDP : Label Distribution Protocol
LIB : Label Information Base
MAC : Message Authentification Code
MAU : Multistation Access Unit
NT : New Technology
NAT : Network Adress Traduction
NAS : Network Attached Storage
NIC : Network Information Center
NNTP : Network News Transfer Protocol
NTIC : Nouvelles Technologies de l'Information et de la Communication
OSI : Open Systems Interconnection
PPP : Point To Point Protocol
PoE : Power over Ethernet
PKI : Public Key Infrastructure
PPTP : Point-to-Point Protocol
PDU : Protocol Data Unit
PING : Packet INternet Groper.
PKI : Public Key Infrastructure
PPTP : Point To Point Tunneling Protocol
PME : Petites et Moyennes Entreprises
PSTN : Public Switched Telephone Network
QoS : Quality Of Service
RA : Registration Authority
RFC : Request For Comments
RSA : Rivest Shamir Adleman
RIP : Routing Information Protocol
RNIS : Réseau Numérique à Intégration de Services
RTC : Real Time Clock
SHA : Secure Hash Algorithm
SSL : Secure Socket Layer

STP : Shielded Twisted Pair
SFTP : Simple File Transfer Protocol
SA : Security Association
SSL : Secure Socket Layer
SPX : Sequence Packet exchange
SPKI : Simple Public Key Infrastructure
SLIP : Serial Line Internet Protocol
SNMP : Simple Network Management Protocol.
SARL : Société par Actions à la Responsabilité Limité
TCP : Transport Layer Protocol
TLS : Transport Layer Security
TIA : Thanks In Advance
TCP/IP : Transmission Control Protocol/Internet Protocol
UDP : User Datagram Protocol
UTP : Unshielded Twisted Pair
VPN : Virtual Private Network
VSAT : Very Small Aperture Terminal
WAN : Wide Area Network ou réseau Etendu
WIFI : Wireless Fidelity
WWW : World Wide Web
BIBLIOGRAPHIE Les Ouvrages
1. Bertrand Petit, Op. Cit. ;
2. ERNYPierre, les Réseaux d'entreprises, Edition Ellipse, 1998 ;
3. Dromard Danièle et SERET Dominique, Architectures des réseaux, Pearson, Paris ;
4. Ghernaouti-HélieS., Stratégie et protection des systèmes d'information, Edition DUNOD, Paris, 2011 ;
5. Ghernaouti-HélieS., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011 ;
6. Ghernaouti-HélieS., Guide de cyber sécurité pour les pays en développement, EditionDUNOD, 2008 ;
7. LORENZ Pascal, Architectures des réseaux et

télécommunications, Ellipses, Technosup, Paris, 2001 ;
8. PujolleGuy, Les Réseaux, 3e Edition mise à jour par Eyrolles, Paris, 2000 ;
9. TanenbaumAndrew, Les réseaux interdiction, 3ème Edition, 1998 ;
10. MORVANPierre, LAROUSSE Références, Dictionnaire de l'informatique, 1996 ;
11. MONTAGNIERJ.L., Pratique des réseaux d'entreprise : du câblage à l'administration, du réseau local aux
réseaux télécom, Eyrolles, Paris, 1997 ;
12. MONTAGNIERJ.L., Architectures des réseaux longues

distances, 1997 ;
13. MONTAGNIERJ. L., Pratique des réseaux d'entreprise : Conception d'une solution d'administration, Eyrolles,
Paris, 1997 ;
14. PHILIPPJacques, Systèmes et réseaux, Réseaux Intranet et Internet, Edition Ellipses, Paris.
SITEWEBS CONSULTES
1. http://fr.wikidedia.org/wiki/Réseau_privé_virtuel;
2. http://www.ietf.org/html.charters/ipsec;
3. http://www.commentcamarche.net;
4. http://www.urec.cnrs.fr/ipv6;
5. http://www.cisco.com/go/evpn;
6. http://www.cisco.com/go/pix;
MEMOIRES CONSULTES
1. ANGELINE KONE, Mémoire : << Conception et déploiement d'une architecture réseau sécurisé», 2010 - 2011 ;
2. Joseph DIMANDJA, Mémoire, Conception et implémentation d'un intranet, ULK, 2006-2007;
3. MBOYO BOKEKE, Mémoire : << Projet de conception d'un intranet VPN au sein d'une entreprise publique», ULK,
L2, 2007 - 2008.
NOTES DE COURS
1. IVINZA LEPAPA A.C., Télématique II, L2 Informatique de gestion, ISC-KIN, 2011-2012 ;
2. MVIBUDULU KALUYIT A., Méthodes d'Analyse Informatique, ISC- Kinshasa, année 2004-2005 ;
3. MVIBUDULU KALUYIT A., Méthodes de conduite de projet, ISC- Kinshasa, année 2011-2012 ;
4. MBIKAYI Jeampy, Modèle Conceptuel de Projet, L2
informatique ISS/KIN, 2010-2011.
AUTRES DOCUMENTS
> Documentation technique du Département Informatique à la Bralima Sarl
[120]
TABLE DES MATIERES
INTRODUCTION GENERALE 7
0.1.PROBLEMATIQUE 7
0.2.HYPOTHESE DU SUJET 8
0.3.CHOIX ET INTERET DU SUJET 9
0.4.DELIMITATION DU SUJET 9
0.5.METHODES ET TECHNIQUES UTILISEES 10
0.6.SUBDIVISION DU TRAVAIL 11
Chapitre I : GENERALITES SUR LES RESEAUX INFORMATIQUES 12
I.1. Introduction 12
I.2. Définition 12
I.3. Topologie des réseaux 13
I.4. Caractéristiques physiques des réseaux 16
I.4.1.Techniques de transmission 16
A. LAN (Local Area Network) ou RLE (Réseau local d'Entreprise) 17
B. WAN (Wide Area Network) 18

I.5. Caractéristiques logiques des réseaux 18
I.6. Modèle de référence OSI 18
I.7. Modèle de référence TCP/IP 20
I.8. Comparaison entre les modèles 20
I.9. Architecture des réseaux 21
I.9.1. Architecture basée sur les Commutateurs 22
a. Introduction 22
b. Un commutateur 23
I.9.2. Architecture à longues distances 23
Section I. : Interconnexion des réseaux 24
Section II. Sécurité informatique 28
II.1. Introduction 28
II.1.1. Sécurité physique et environnementale 28
II.1.2. Sécurité logique et applicative 29
II.1.1. La sécurité du système d'information 30
II.2. Mise en place d'une politique de sécurité 30
o La confidentialité 31
o Intégrité 32
o Authentification. 32
II.3. Chiffrement ou Cryptographie 32
II.4. Algorithmes symétriques 33
II.5. Algorithmes asymétriques 34
CHAPITRE II: VPN (Virtual Private Network) 35
Section I. Généralités 35
a. Réseau privé 35
b. Réseau privé virtuel 35
I.2. Concept de VPN 36
I.3. Fonctionnement 37
I.4. Méthode de connexion 38
I.4.1. Le VPN d'accès 38
I.5. Topologie des V.P.N 39
I.5. Intérêt d'un VPN 40
Section II. Protocoles utilises et sécurité des VPN 41
a. PPP (Point To Point Protocol) 42
b. PPTP (Point To Point Tunneling Protocol) 43
c. L2F (Layer TwoForwarding) 46

d. L2TP (Layer Two Tunneling Protocol) 46
e. IPSEC (Internet protocol security) 47
f. Comparaison des différents protocoles 52
CHAPITRE III. : PRESENTATION DE L'ENTREPRISE 55
III.1. Situation géographique et juridique 55
III.2. Historique 55
III.3. Objectif et mission 57
III.4. Activités 58
III.4.1. Activité principale 58
III.4.2. Activité secondaire 60
III.5. Structure organique de l'Entreprise : 60
III.6. Attribution et tâches 61
a) L'Administrateur Délégué : 61
III.9. Description des LANs existants 64
III.8.1. Topologie et type de média 64
III.8.2. Le Service Informatique : 71
III.8.3. Structure interne : 71
III.8.4. Organigramme : 72
III.10. Matériels et logiciels utilisés 72
III.9.1. Logiciels utilisés 73
III.11. Réseaux informatiques existants 74
III.12. Critiques de l'existant 74
III.11.1. Besoins de l'entreprise 75
III.13. Proposition des solutions retenues 75
Chapitre IV. : CONCEPTION DU NOUVEAU SYSTEME D'INFORMATION 77
IV.1. Les différents types de flux 77
IV.2. Les flux de type conversationnels 77
IV.2. Les flux de type transactionnels 78
IV.3. Les flux de type transferts de fichiers 78
IV.4. Les flux clients/serveurs 79
IV.1.3. Volumétrie liée à la messagerie 82
IV.1.4. Volumétrie liée aux transferts de fichiers 83
IV.1.5. Volumétrie liée aux applications transactionnelles site central. 83
IV.1.6. Volumétrie liée aux applications transactionnelles 83
IV.1.7. Volumétrie liée à d'autres services 83
IV.1.8. Dimensionnement des liens 84
IV.1.9. Choix du réseau de transport 86
IV.1.10. Choix des matériels 86

IV.3. Conception d'une solution d'administration 87
4.3.1. Administration des équipements 88
1. Spécification technique 89
2. Organisation de l'exploitation 89
3. Architecture du réseau 89
A. Aspects matériels 90
B. Aspects logiciels 90
C. Aspects techniques 91
Etude de faisabilité et configurations ; 91
Etude de faisabilité 91
Chapitre V : REALISATION DU PROJET 94
Section I : Cadrage du projet 94
I.1. Identification du projet 94
A. Intitulé du projet : 94
B. Définition : 94
C. Cahier de charge 94
D. Motif : 94
I.2. Objectifs 95
I.3. Les moyens 95
I.3. La technique 98
I.5. Management du projet 98
I.6. Planification 99
I.7.Planning prévisionnel de la réalisation du projet 99
I.7.1. Ordonnancement 100
I.7.2. Calendrier de réalisation du projet 101
I.7.3. Le diagramme de GANTT 102
Section II : Conduite du projet 103
II.1. Problématique 103
II.2.Mise en place de l'architecture VPN 104
II.4. Installation et configuration 106
II.4.1. Configurations 106
CONCLUSION GENERALE 114
LISTE DES ABREVIATIONS 115
BIBLIOGRAPHIE 118
Les Ouvrages 118
SITEWEBS CONSULTES 118
MEMOIRES CONSULTES 119
NOTES DE COURS 119

AUTRES DOCUMENTS 119
Table des matières .121
Rechercher sur le site:
Recherche
Chez Mémé Coucou, gite à Lauzerte sur le chemin de compostelle

© Memoire Online 2000-2020
Pour toute question contactez le webmaster

Mise en Place D'un Réseau VPN Au Sein D'une Entreprise. Cas de La BRALIMA Sarl en RDC

Transféré par

Droits d'auteur :

Formats disponibles

Mise en Place D'un Réseau VPN Au Sein D'une Entreprise. Cas de La BRALIMA Sarl en RDC

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mise en Place D'un Réseau VPN Au Sein D'une Entreprise. Cas de La BRALIMA Sarl en RDC

Transféré par

Droits d'auteur :

Formats disponibles

WOW !! MUCH LOVE !

Home | Publier un mémoire | Une page au hasard

Memoire Online > Informatique et Télécommunications

MISE EN PLACE D'UN RESEAU VPN

AU SEIN D'UNE ENTREPRISE

Cas de la BRALIMA Sarl

REPUBLIQUE DEMOCRATIQUE DU CONGO

MINISTERE DE L'ENSEIGNEMENT SUPERIEUR, UNIVERSITAIRE

INSTITUT SUPERIEUR DE COMMERCE

DEPARTEMENT : INFORMATIQUE DE GESTION

B.P 16 596 KIN I

BAHATI - SHABANI Eric

BAHATI - SHABANI Eric

J'adresse mes remerciements à Monsieur Alphonse Christian IVINZA

BAHATI -- SHABANI Eric

Aucune personne n'ignore l'importance de

o Quel serait alors l'impact de ce nouveau système d'information ?

0.2. HYPOTHESE DU SUJET

· Une bonne conservation et recherche aisée des informations en interne et externe ;

· L'échange des données entre les différentes directions de l'entreprise ;

· La récupération de l'information en temps réel.

0.3. CHOIX ET INTERET DU SUJET

0.4. DELIMITATION DU SUJET

0.5. METHODES ET TECHNIQUES UTILISEES

o Technique : C'est un ensemble d'instruments ou d'outils

qu'utilise la méthode enﬁn de réaliser un travail scientiﬁque.

+ Méthode historique: Elle consiste à étudier le passé d'une

entreprise pour mieux cerner sa situation actuelle aﬁn de mieux

préparer son évolution future ;

0.6. SUBDIVISION DU TRAVAIL

Chapitre I : GENERALITES SUR LES RESEAUX

2 TanenbaumAndrew, Les réseaux, interdiction, 3ème Edition, 1998, Page 1.

I.3. Topologie des réseaux

On distingue généralement les topologies suivantes : topologie en bus

Ethernet Token ring

La façon de laquelle les ordinateurs sont

La topologie en anneau La topologie en étoile

En réalité, dans une topologie anneau, les

I.4. Caractéristiques physiques des réseaux

Distance entre Processus Localisation Type des réseaux

Tableau n°1 : Classiﬁcation d'un réseau I.4.1.Techniques de transmission

La diffusion (Bus, anneau et radio/satellite)

+ Les réseaux à diffusion

6 DimandjaJoseph, Mémoire, Conception et implémentation d'un intranet, ULK, 2006-2007, Page 7

+ Les réseaux point-à-point

A. LAN (Local Area Network) ou RLE (Réseau local d'Entreprise)

o IEEE 802.3: Ethernet (CSMA/CD);

o IEEE 802.4: Token bus (Jeton sur bus);

o IEEE 802.7: FDDI (Fiber Distributed Data Interface);

o IEEE 802.9: ISOEnet (Réseau local à haut débit, multimedia);

o IEEE 802.10: Sécurité dans les réseaux;

B. WAN (Wide Area Network)

I.5. Caractéristiques logiques des réseaux

I.6. Modèle de référence OSI

Aﬁn de rendre le transport transparent pour les couches supérieures.

I.7. Modèle de référence TCP/IP

Le protocole TCP/IP (Transmission Control

I.8. Comparaison entre les modèles

I.9.Architecture des réseaux