bALSAN – Battitt

Projet BALSAN

I) Le contexte Balsan

La société de confection Balsan est implantée à MontierChaume. Elle est le fournisseur de tradition de l’armée française depuis 1850. Ainsi, Balsan est devenue l’un des principaux fabricants français d’uniformes. Balsan développe des outils informatiques et logistiques performants et adaptés à des collections d’articles très larges en nombre et en gammes. Balsan répond ainsi aisément aux besoins d’externalisation de l’habillement.

Mais si les outils informatiques dédiés à la confection et au patronage des uniformes sont à la pointe du progrès, en revanche, son infrastructure système, réseau, et sécurité n’a que peu évolué depuis que Balsan a intégré ses locaux de MontierChaume. Et tant les incidents que les demandes des clients ou des employés s’accumulent. En fait, il n’existe pas vraiment de service informatique : c’est le chef comptable qui assure tant bien que mal, en plus de ses fonctions principales, la charge de gérer l’informatique a minima.

II) L’existant au niveau technique

A votre arrivée, un schéma physique du réseau informatique tel qu’il existe à ce jour vous est fourni :

Un seul réseau IPv4 en 192.168.1.0/24 a été mis en place et toutes les stations de travail fonctionnent sous Windows 11 Professional en adressage IP statique. Aucun serveur de fichiers, d’authentification, de résolution de nom n’a encore été implémenté. Seul un PC équipé de Windows 11 Pro et d’un disque dur de 1To fait office de partage de fichiers à travers un simple groupe de travail (WorkGroup), ce qui est loin de représenter une situation souhaitable dans un cadre d’entreprise ; cette situation est très éloignée de celles recommandées par les référentiels de bonnes pratiques comme ITIL-v4.

III) Les problèmes constatés

Profitant du fait que vous êtes stagiaires en informatique, le chef-comptable vous demande de mener une étude qui doit permettre de mieux répondre aux défaillances techniques vécues, aux incidents survenus, aux défauts de sécurité ainsi qu’aux problèmes vécus quotidiennement par les utilisateurs du réseau, ceci afin de se rapprocher petit à petit des recommandations faites par le référentiel de bonnes pratiques ITIL-v4.

• au niveau matériel…
o Depuis deux ans, plusieurs pannes, incidents, et défaillances ont eu lieu :
Le disque dur de l’ordinateur faisant office de partage de fichiers est tombé en panne totale : aucun fichier n’a pu être récupéré. Quasiment tous les salariés de l’entreprise ont été bloqués pendant
près d’une journée (ce qui a représenté la perte de près de 18.700 € d’arrêt de production !) le temps d’acheter un nouveau disque dur de remplacement, de le reconnecter à l’intérieur de l’unité centrale, de réinstaller Windows 11 Professionnel, puis de restaurer une sauvegarde (trop ancienne) des fichiers partagés.

Aucun dispositif de sauvegarde régulier n’ayant été mis en place, les sauvegardes sont réalisées (parfois – lorsqu’il y pense ou qu’il a le temps… !) par le chef comptable sur … DVD-RW ! Bref, rien de régulier, ni de pertinent, ni d’efficace, ni de fiable… Ce type de procédé est aujourd’hui à bannir totalement du domaine professionnel.

o Erreurs humaines :
Après avoir changé le très vieil ordinateur du service logistique, le chef comptable a voulu re-paramétrer la configuration IP de cette
machine, en lui attribuant l’adresse IPv4 192.168.1.12, le masque de sous-réseau 255.255.255.0, et la passerelle 192.16.1.254. Le responsable logistique qui avait auparavant accès à internet lui explique que depuis le changement d’ordinateur, il ne peut plus ouvrir sa boite mail et qu’il n’a plus accès à internet, alors qu’il peut toujours ouvrir ou enregistrer des fichiers dans l’espace partagé de l’ordinateur PC0 PartageDeFichiers. Il ne comprend pas pourquoi, n’étant pas spécialiste.

Lorsqu’un visiteur extérieur vient en rendez-vous chez Balsan, c’est souvent avec son propre ordinateur portable qui contient en général tous les catalogues de produits, les références des fournisseurs accessibles par internet, … Mais pour disposer chez Balsan d’un accès à internet, il faut se connecter au réseau local de Balsan. Et pour cela, il est nécessaire de demander au visiteur d’entrer manuellement en tant qu’administrateur de son portable, tous les paramètres IP notés sur un petit papier collé au coin d’une table de la salle de réunion (!). Peu pratique, et surtout, nombreux sont les visiteurs qui ne savent pas comment procéder, voire qui ne disposent pas des droits administrateurs sur leur système d’exploitation de leur portable d’entreprise. Ce mécanisme est donc peu adapté.

• au niveau de la sécurité…
o Toutes les machines se trouvant dans le même réseau IP, chaque ordinateur peut potentiellement avoir accès à n’importe quel autre ordinateur du réseau, en fonction des faiblesses éventuelles des pares-feux locaux, ce qui représente un grave manquement aux règles de base en matière de sécurité. Certains salariés indélicats ont d’ailleurs déjà pu récupérer des documents parfois confidentiels, stockés de manière plus ou moins partagée sur plusieurs ordinateurs de différents services, générant des conflits humains à l’intérieur de l’entreprise.

o Par ailleurs, à ce jour, n’importe qui peut démarrer n’importe quel ordinateur de Balsan, et accéder à toutes les ressources du réseau sans avoir jamais à fournir aucun login et mot de passe. Ceci est une faille de sécurité majeure que des anciens salariés indélicats avaient déjà exploité à plusieurs reprises il y a quelques mois en arrière. Aucune gestion centralisée et sécurisée des accès au réseau n’est opérée à ce jour. Il est même déjà arrivé qu’un salarié qui n’avait pas reçu l’augmentation de salaire qu’il espérait, et qui disposait d’une clé d’accès au bureau de la logistique soit venu un dimanche matin
pour se connecter à l’ordinateur logistique, et ait détruit plusieurs centaines de fichiers importants utilisés par la Direction, et probablement récupéré de nombreux autres fichiers sur un disque USB externe. L’impact financier a été énorme pour l’entreprise qui depuis souhaite mettre en œuvre des solutions efficaces pour ne plus revivre ça à l’avenir.

• au niveau des demandes des utilisateurs du réseau…
o Lorsque des commerciaux (fournisseurs) ou techniciens (d’entreprises sous-traitantes) viennent dans les locaux de Balsan pour effectuer des interventions en tant que partenaires, ils ont de plus en plus fréquemment un besoin capital de pouvoir accéder à l’internet à partir de leurs propres ordinateurs portables. Pour pouvoir accéder aux ressources des ordinateurs locaux ou de serveurs présents sur le web, il est bien plus naturel de les joindre par leur nom d’ordinateur. Or, si aucun protocole particulier de résolution de nom n’est activé, cela reste impossible : il faut alors taper l’adresse IP de la machine ou du serveur Web à contacter (qu’en général, personne ne connaît, en dehors de quelques informaticiens !). Ceci est absolument impensable à exiger de la part de salariés qui ne connaissent que très peu le monde informatique et qui doivent être efficaces dans leur travail : il est impératif qu’ils puissent accéder à des ressources par leur nom, de manière mnémotechnique, et surtout pas par leur adresse IP.

IV) Les solutions à envisager pour répondre aux besoins
“clients”

o Remarque pédagogique : Les données à l’intérieur de ce tableau ne voussont fournies qu’à titre d’exemple et doivent être adaptées par vous en bonne intelligence, en fonction de chaque cas rencontré dans chaque entreprise. Une fois que, pour chaque serveur à sauvegarder, vous avez établi ce plan de sauvegarde, à vous de programmer les tâches de sauvegardes qui vont permettre la réalisation effective et automatisée de ces sauvegardes. Remarque pédagogique : n’oubliez-pas de contrôler que toutes les sauvegardes réalisées sont bel et bien opérationnelles, et prévoyez de provoquer un crash d’un (ou plusieurs) serveur(s) pour tester une restauration, et vous assurer que votre “filet de sécurité” est effectivement pleinement opérationnel (et accessoirement,… que vous ne serez pas licencié de votre emploi pour faute grave 😉 !!! )

• Afin de régler pour de bon les problèmes de failles majeures de sécurité dues à l’absence totale de contrôle des accès au réseau, aux machines, aux dossiers partagés, etc., la mise en œuvre d’un contrôleur de domaine semble inéluctable. Si dans un 1er temps, il a été envisagé pour des raisons d’économies, de faire installer ce type de service sur le serveur de stockage déjà équipé de Windows 2019 Server (Serveur A), il paraît finalement bien plus prudent de laisser ce 1er serveur A totalement isolé des autres, du fait du risque majeur de corruption potentielle (rappelons que ce serveur A va héberger des fichiers venant des salariés, et donc potentiellement infectés, ce qui risque de corrompre à tout moment l’ensemble du serveur et des services associés). Aussi, et malgré le coût que représente l’achat d’une 3ème licence Windows Server 2019 ainsi que l’investissement dans une nouvelle machine (même virtuelle !), décision est prise de vous laisser libre de réaliser cette installation d’une 3ème licence Windows 2019 Server sur une 3ème VM (Serveur C : MaitreSIO) elle aussi équipée d’un système de stockage à tolérance de pannes (type RAID 1), et d’y installer le service (rôle) de contrôleur de domaine ActiveDirectory (AD-DS) basé sur la zone de nommage balsan.fr qu’il va falloir créer. Grâce à ce contrôleur de domaine, vous allez pouvoir gérer :

o chaque utilisateur en lui créant un compte individuel de connexion (login + mot de passe fort

o des groupes (Direction, comptabilité, informatique, logistique, production, visiteur) en affectant chaque utilisateur à l’un de ces groupes

o des droits d’accès aux ressources du domaine balsan.fr pour chacun de ces groupes, ou par utilisateur

o l’affectation d’un accès par unité logique (ex : Z: ) à un dossier individuel centralisé sur serveur de partage (Serveur A) pour chaque utilisateur (pensez à utiliser la variable système $USERNAME$ dans le nom du chemin à attribuer).

o des plages horaires durant lesquelles la connexion est possible, groupe par groupe :

Groupes Direction et informatique : accès 7j/7 de 6:00 à 23:00 ;
Groupes comptabilité et visiteur : accès du lundi au vendredi de 8:00 à 13:00 et de 14:00 à 19:00 ;
Groupe logistique : accès du lundi au vendredi de 7:00 à 15:00 ;
Groupe production : accès du lundi au vendredi de 8:00 à 18:00.

o l’intégration des 2 autres serveurs (Serveur A et Serveur B) dans le domaine balsan.fr.

• Concernant les problèmes d’accès aux ressources par leur nom, il est fondamental d’y remédier par la mise en œuvre d’un service DNS (service de résolution de nom). Ce service a déjà été partiellement installé lors de la création du domaine et de l’installation du contrôleur de domaine par Active Directory (AD-DS) sur le Serveur C : MaitreSIO. Il ne reste plus qu’à finir de le paramétrer en s’assurant que les deux autres serveurs A et B sont bien enregistrés tant dans la zone de recherche directe (balsan.fr) que dans la zone de recherche inversée (à créer le cas échéant). Mais ce serveur ne saura pas résoudre tous les noms de tous les serveurs de l’internet, et il est illusoire pour vous de tous les enregistrer ici manuellement (à moins que vous ne disposiez de 10 ou 12 vies devant vous ! …). Vous allez donc indiquer à votre service DNS l’adresse IP d’un redirecteur (un autre serveur DNS qui lui, serait en mesure de résoudre ces noms de serveurs présents sur le web) ; vous pouvez indiquer des serveurs “publics” comme ceux de Free.fr par exemple

• Pour régler les problèmes dus aux erreurs humaines survenues, la mise en œuvre d’un service DHCP semble là-encore inéluctable, pour faire distribuer dynamiquement et automatiquement à des ordinateurs se connectant au réseau de Balsan, tout le lot nécessaire de paramètres IP (y compris l’adresse de la bonne passerelle de sortie du réseau). En tant qu’administrateur système responsable et
soucieux d’utiliser les ressources avec parcimonie, vous ne pouvez pas prendre l’initiative d’ajouter encore un nouveau serveur supplémentaire (un 4ème ? !!! ), équipé d’un nouveau système d’exploitation serveur, juste pour mettre en œuvre un nouveau service de ce type. Dans ce cas particulier, il est recommandé d’utiliser le serveur (Serveur C : MaitreSIO) faisant office de contrôleur de domaine et de serveur DNS pour y installer le service de DHCP qui pourra proposer une distribution automatisée d’adresses IP sur une étendue allant de 192.168.1.10/24 à 192.168.1.30/24, ainsi que de la passerelle adéquate. Il faudra bien entendu autoriser ce serveur au niveau du contrôleur de domaine (seul l’administrateur du domaine est autorisé à le faire) afin que n’importe qui ne vienne pas perturber le fonctionnement du réseau avec l’ajout cavalier d’un serveur DHCP sauvage.

V) Les nouveaux matériels envisagés par investissement

Si l’on résume :

• 3 nouvelles machines de type serveur peuvent être achetées ou récupérées (voire virtualisées selon les contraintes spécifiques au lycée) :

o Un nouveau serveur (Serveur A PartageSIO) équipé de Windows 2019 Server va être ajouté à l’infrastructure existante en remplacement du poste Windows 11 de partage actuellement utilisé. Il va héberger le service de partage de fichiers pour toute l’entreprise Balsan, ainsi que les dossiers individuels de chaque utilisateur du domaine.

o Un deuxième nouveau serveur (Serveur B SauveSIO) équipé de Windows 2019 Server sera chargé de réaliser, ainsi que d’héberger les sauvegardes de tous les autres serveurs.

o Un troisième nouveau serveur (Serveur C MaitreSIO) équipé lui aussi de Windows 2019 Server sera chargé des rôles de contrôleur de domaine, de serveur DNS, et de serveur DHCP pour l’ensemble du domaine balsan.fr.