Contexte Galaxy Swiss Bourdin

Page 1 sur 8

DESCRIPTION DE L’ENTREPRISE GSB ET DE SES BESOINS INFORMATIQUES

SommaireSommaire.....................................................................................................................................................1

1 - Description du laboratoire GSB ........................................................................................................2 Le secteur d'activité ...........................................................................................................................2 L'entreprise........................................................................................................................................2

2 - Description du Système Informatique ...............................................................................................3 Le système informatique ....................................................................................................................3 La gestion informatique......................................................................................................................3 L'équipement .....................................................................................................................................3

3 - Organisation Finale du réseau..........................................................................................................4 Répartition des services.....................................................................................................................4 Segmentation ....................................................................................................................................4

4 - Salle serveur et connexion internet...................................................................................................5 5 - Politique générale de sécurité...........................................................................................................5 6 - Domaine d'étude ..............................................................................................................................6 7 - Schéma technique du réseau GSB...................................................................................................8

1 - Description du laboratoire GSB

Le secteur d'activité L’industrie pharmaceutique est un secteur très lucratif dans lequel le mouvement de fusion acquisition est très fort. Les regroupements de laboratoires ces dernières années ont donné naissance à des entités gigantesques au sein desquelles le travail est longtemps resté organisé selon les anciennes structures. Des déboires divers récents autour de médicaments ou molécules ayant entraîné des complications médicales ont fait s'élever des voix contre une partie de l'activité des laboratoires : la visite médicale, réputée être le lieu d’arrangements entre l'industrie et les praticiens, et tout du moins, un terrain d'influence opaque. L'entreprise Le laboratoire Galaxy Swiss Bourdin (GSB) est issu de la fusion entre le géant américain Galaxy (spécialisé dans le secteur des maladies virales dont le SIDA et les hépatites) et le conglomérat européen Swiss Bourdin (travaillant sur des médicaments plus conventionnels), lui même déjà union de trois petits laboratoires. En 2009, les deux géants pharmaceutiques ont uni leurs forces pour créer un leader de ce secteur industriel. L'entité Galaxy Swiss Bourdin Europe a établi son siège administratif à Paris. Le siège social de la multinationale est situé à Philadelphie, Pennsylvanie, aux Etats-Unis. La France a été choisie comme témoin pour l'amélioration du suivi de l'activité de visite. Réorganisation Une conséquence de cette fusion, est la recherche d'une optimisation de l’activité du groupe ainsi constitué en réalisant des économies d’échelle dans la production et la distribution des médicaments (en passant par une nécessaire restructuration et vague de licenciement), tout en prenant le meilleur des deux laboratoires sur les produits concurrents. L'entreprise compte 480 visiteurs médicaux en France métropolitaine (Corse comprise), et 60 dans les départements et territoires d'outre-mer. Les territoires sont répartis en 6 secteurs géographiques (Paris-Centre, Sud, Nord, Ouest, Est, DTOM Caraïbes-Amériques et DTOM Asie-Afrique). Une vision partielle de cette organisation est présentée ci-dessous.

NORD

OUEST EST

SUD

PARIS CENTRE

2 - Description du Système Informatique

Le système informatique Sur le site parisien, toutes les fonctions administratives (gestion des ressources humaines, comptabilité, direction, commerciale, etc.) sont présentes. On trouve en outre un service labo-recherche, le service juridique et le service communication. La salle serveur occupe le 6ème étage du bâtiment et les accès y sont restreints (étage accessible par ascenseur à l'aide d'une clé sécurisée, portes d'accès par escalier munies d'un lecteur de badge, sas d'entrée avec gardien présent 24h/24). Les serveurs assurent les fonctions de base du réseau (DHCP, DNS, Annuaire et gestion centralisée des environnements) et les fonctions de communication (Intranet, Messagerie, Agenda partagé, etc.). On trouve aussi de nombreuses applications métier (base d'information pharmaceutique, serveurs dédiés à la recherche, base de données des produits du laboratoire, base de données des licences d'exploitation pharmaceutique, etc.) et les fonctions plus génériques de toute entreprise (Progiciel de Gestion Intégré avec ses modules RH, GRC, etc.). Un nombre croissant de serveurs est virtualisé. Constitué autour de VLAN, le réseau segmente les services de manière à fluidifier le trafic. Les données de l'entreprises sont considérées comme stratégiques et ne peuvent tolérer ni fuite, ni destruction. L'ensemble des informations est répliqué quotidiennement aux Etats-Unis par un lien dédié. Toutes les fonctions de redondances (RAID, alimentation, lien réseau redondant, Spanning-tree, clustering, etc.) sont mises en œuvre pour assurer une tolérance aux pannes maximale. La gestion informatique La DSI (Direction des Services Informatiques) est une entité importante de la structure Europe qui participe aux choix stratégiques. Pour Swiss-Bourdin, qui occupait le siège parisien avant la fusion, l'outil informatique et l'utilisation d'outils décisionnels pour améliorer la vision et la planification de l'activité ont toujours fait partie de la politique maison, en particulier pour ce qui concerne la partie recherche, production, communication et juridique. L'équipement L'informatique est fortement répandue sur le site. Chaque employé est équipé d'un poste fixe relié au système central. On dénombre ainsi plus de 350 équipements terminaux et un nombre de serveurs physiques conséquent (45 en 2012) sur lesquels tournent plus de 100 serveurs virtuels. On trouve aussi des stations de travail plus puissantes dans la partie labo-recherche, et une multitude d'ordinateurs portables (personnels de direction, service informatique, services commerciaux, etc.). Les visiteurs médicaux reçoivent une indemnité bisannuelle pour s'équiper en informatique (politique Swiss-Bourdin) ou une dotation en équipement (politique Galaxy). Il n'y a pas à l'heure actuelle d'uniformisation des machines ni du mode de fonctionnement Chaque employé de l'entreprise doit avoir une adresse de messagerie de la forme nomUtilisateur@galaxy-swiss.com. Les anciennes adresses de chaque laboratoire ont été définitivement fermées au 1er janvier 2011.

3 - Organisation Finale du réseau

Répartition des services Chaque étage dispose d'une baie de brassage qui le relie par une fibre à la baie centrale de la salle serveurs. Toutes les salles de réunion sont équipées d'un point d'accès Wifi positionné par défaut dans le VLAN "Visiteurs" qui autorise uniquement un accès Internet. Les portables connectés en wifi à ce point d'accès reçoivent ainsi une adresse IP et n'ont, par conséquent accès qu'aux services DHCP et DNS. Le point d’accès peut être configuré à la demande pour être raccordé à un VLAN présent au niveau de l'étage. Chaque salle de réunion dispose d'un vidéoprojecteur, d'enceintes et d'un tableau numérique interactif. La salle "Démonstration" est destinée à l'accueil des organismes de santé (AFSSAPS notamment) et des partenaires scientifiques. Elle dispose de paillasses et d'équipements de laboratoire, en plus d'une salle de réunion. Segmentation L'organisation des VLAN et de l'adressage IP est la suivante : N° VLAN Service(s) Adressage IP 10 Réseau & Système 192.168.10.0/24 20 Direction / DSI 192.168.20.0/24 30 RH / Compta / Juridique /

Secrétariat Administratif 192.168.30.0/24

40 Communication / Rédaction

192.168.40.0/24

50 Développement 192.168.50.0/24 60 Commercial 192.168.60.0/24 70 Labo-Recherche 192.168.70.0/24 100 Accueil 192.168.100.0/24 150 Visiteurs 192.168.150.0/24 200 Démonstration 192.168.200.0/24 1 Serveurs 172.16.0.0/24 400 Sortie 192.168.40.252/30 Les règles actuelles concernant les VLAN sont les suivantes :

chaque vlan (sauf le vlan visiteur) peut uniquement accéder (quel que soit le protocole) aux vlans "Serveurs" et "Sortie";

le vlan "Visiteurs" peut uniquement interroger les serveurs DNS et DHCP et sortir sur internet ;

6ème Etage : Salle Serveurs

5ème Etage : Direction / + 1 salle de réunionRH / DSI

4ème Etage : Informatique (Réseau & Système) / Compta / Juridique

3ème Etage : Labo-Recherche + 1 salle de réunion

2ème Etage : Développement / + 1 salle de réunion Commercial

1er Etage : Communication / Rédaction / Secrétariat Administratif

RDC : Accueil / Sécurité / + 2 salles de réunionCaféteria + 1 salle « démonstration »

BaieBrassage

BaieBrassage

BaieBrassage

BaieBrassage

BaieBrassage

BaieBrassage

BaieBrassage

Fibre

4 - Salle serveur et connexion internet

L'organisation des serveurs est la suivante. Il n’est pas précisé si les serveurs sont virtualisés ou non. Seuls les serveurs principaux sont présentés, les redondances n'apparaissent pas.

Internet

MUTLABCommutateur de niveau 3Routage inter-VLAN / ACL

INTRALAB172.16.0.100Serveur itnranet

ProxSILABProxy / firewall

BDMED172.16.60.100

Données sur les médecins

BDPHARMA172.16.70.110Base de données pharmaceutique

BDMEDOCLAB172.16.70.100Base de données

sur les produits GSB

LABANNU172.16.0.30

Annuaire et contrôleur du domaine

galaxy-swiss.com

JURILAB172.16.30.100

Serveur de documents Juridiques

NOTICELAB172.16.40.100

Notices sur les produits GSB

RTROUTRouteur / Nat

MESSAGLAB172.16.0.20

Messagerie galaxy-swiss.com

PGILAB172.16.30.110

Serveur PGIRH, Comptabilité, GRC

REZOLAB172.16.0.10

Serveur DHCP /DNS

Vers les services

172.16.0.1

172.18.0.1Adresse n°1 dans

chaque VLAN

172.18.0.2

172.31.0.2 /30

172.31.0.1/30

Les bases de données des serveurs BDMED et BDPHARMA sont achetées périodiquement auprès d'organismes extérieurs et tenues à jour par les employés entre deux achats. Le commutateur MUTLAB assure un fonctionnement de niveau 3. À ce titre, il réalise un routage inter-vlan en limitant les communications grâce à des listes de contrôles d'accès (ACL). Le serveur de messagerie et l'intranet sont limités à un usage interne au site parisien. Des services externalisés (relais de messagerie auprès de l'opérateur et recopie d'une partie du serveur intranet sur le serveur Web hébergé chez un prestataire) permettent aux visiteurs médicaux d'utiliser la messagerie de l'entreprise et d'avoir accès aux principales informations de l'intranet (Comité d'entreprise, circulaires importantes, stratégie de l'entreprise, comptes rendus de CA, etc.). La messagerie publique @galaxy-swiss.com est hébergée aux États-Unis. Politique générale de sécurité

5 - Politique générale de sécurité

La présente politique générale de sécurité des systèmes d’information (PGSSI) formalise les grands principes de sécurité des systèmes d’information auxquels doit se conformer toute personne accédant au patrimoine informationnel (systèmes d’information) du groupe. Elle est la pierre angulaire du référentiel de sécurité des systèmes d’information du groupe GSB. Le référentiel est structuré en trois parties : (Annexe politique générale de sécurité des systèmes d'information)

la politique générale de sécurité des systèmes d’information, la politique de sécurité des systèmes d’information, les directives techniques de sécurité des systèmes d’information.

6 - Domaine d'étude

Mission 1 : Afin de vous familiariser avec le contexte professionnel on vous demande de répertorier tous les éléments du système d’information car la société n’a pas vraiment géré de documentation sérieuse jusqu’à présent. Mission 2 : Gestion des profils utilisateurs, vous travaillez au 4ième étage de l’entreprise GSB dans le service Informatique (Réseau & Système). Les ordinateurs des services RH / Compta / Juridique / Secrétariat Administratif sont en réseau comme sur l'illustration de votre contexte. Votre chef de projet vous charge de tester l’ensemble des profils des utilisateurs en suivant les directives du cahier des charges. Mission 3 : Intégration des différents services dans le réseau Galaxy-Swiss-Com. Actuellement, le réseau de la société est composé de services Réseau & Système, Communication / Rédaction, RH / Compta / Juridique / Secrétariat Administratif, etc.. La DSI souhaite mettre en œuvre une segmentation des services de la société. Chaque service utilise une configuration dynamique pour la gestion de ses postes au sein de son infrastructure. Mission 4 : Les équipes du service Réseau et système sont chargés d'assurer la maintenance et de gérer les incidents sur le réseau GSB. Pour cela on souhaite réaliser une « masterisation » d’une machine afin de la déployer sur les autres équipements (450 machines) ?

Mission 5 : La société GSB dispose d'un contrôleur de domaine active directory, service DNS et un service DHCP gérant la zone galaxy-swiss.com. Pour assurer la continuité de service la DSI souhaite mettre à l'étude une tolérance de panne en implémentant une répartition des charges de type actif-passif ou actif-actif (FailOver, Hsrp, ..) Mission 6 : La partie commerciale a été le parent pauvre de cette informatisation, les visiteurs étant vus comme des acteurs distants autonomes. La DSI a convaincu l'entreprise que l'intégration des données fournies par cette partie aura un impact important sur l'ensemble de l'activité. On souhaite améliorer le contact entre ces acteurs mobiles autonomes et les différents services du siège parisien de l'entité Europe. Il s’agit d’uniformiser la gestion du suivi des visites avec une application en ligne accessible depuis un navigateur par le nom pleinement qualifié http://WEBVISLAB/GSB-AppliFraisV1.0. Cette application en cours de développement va permettre d'établir une gestion plus précise et uniforme entre les entités du laboratoire. Les visiteurs pourront inscrire leurs dépenses, visualiser la prise en charge des remboursements (enregistré, validé, remboursé). La DSI vous charge d'étudier l'application et de mettre à disposition des développeurs un service Web mutualisé opérationnel. Mission 7 : Pour sécuriser les accès, on a décidé d’organiser l’application Web selon la structure suivante :

le Serveur Web sera en DMZ. Il héberge le serveur HTTP, le module d’interprétation des scripts (PHP, ASP, JSP, etc) et un serveur FTP.

La base de données est présente sur le réseau local. Seul le serveur Web est autorisé à y accéder depuis la DMZ, toute autre entrée vers ce serveur depuis la DMZ ou le WAN est interdit.

Les informaticiens du laboratoire mettent à jour les pages sur le serveur Web grâce à un client FTP. Ils doivent être authentifiés par leur compte présent dans l’annuaire de l’entreprise. Le service FTP n’est pas autorisé depuis l’extérieur.

Les visiteurs accéderont au site Web grâce à une identification (zone de saisie du nom et du mot de passe), qui sera contrôlée avant de donner accès aux pages de saisie. L’ensemble des interactions sera crypté (SSL/TLS).

Mission 8 : Les organisations qui proposent un accès Internet wifi sont considérées comme des fournisseurs d'accès Internet et de ce fait disposent du statut juridique de fournisseur d'accès internet. Le FAI doit mettre en place des filtres et conserver pendant un an les données de connexions (Nom, prénom, URLs visitées, durée et date de connexion...), et les délivrer aux personnes habilitées à les recevoir (Procureur de la République au cours d'une enquête, au juge d'instruction / officier de police judiciaire au cours de l'instruction, agent de police et de gendarmerie spécialisé dans la prévention des actes terroristes), comme défini par l'article 6 de la loi LCEN de 2004, la loi contre le terrorisme et la loi HADOPI. Le laboratoire pharmaceutique Galaxy-Swiss Bourdin (GSB) désire mettre à disposition un accès Internet wifi pour ses partenaires qui réponde aux différentes obligations légales et de sécurité.

Mission 9 : Serveur de messagerie est indisponible, il faut donc proposer des comptes de messageries sous la forme de nomUtilisateur@galaxy-swiss.com.

Le laboratoire désire une solution entièrement gratuite. Le service sera installé sur un serveur existant. Le service peut fonctionner sur un serveur ou sur une machine virtuelle Tous les utilisateurs doivent pouvoir s’envoyer des mails.

Mission 10 : Actuellement, la société utilise un contrôleur de domaine Active Directory sous Windows 2008 Serveur R2. Il n'y a pas de second contrôleur pour assurer une redondance au niveau de l'authentification. Les postes "Ubuntu Desktop" ne font pas partie du domaine (l'authentification sur ces postes se fait localement). Pour remédier au problème la mise en œuvre d'un contrôleur de domaine issu du monde libre semble être la solution à exploiter. Mission 11 : Prise de contrôle à distance Il s'agit de paramétrer l’ensemble des éléments pour permettre l’accès à distance aux serveurs et aux éléments d’infrastructure (routeurs et commutateurs) à partir d’un poste d’administration réseau intégré au réseau IP du service 10 Réseaux&Système. Plus généralement, les éléments d’infrastructure (routeurs et commutateurs) sont répartis sur les différents étages, et il faut aussi prévoir un accès distant à ceux-ci. Mission 12 : Répartition de charge sur le serveur WEBVISLAB Ce service Web sera complété par un système de répartition de charge de type actif-actif. L’augmentation importante de la fréquentation du site de GSB a occasionné de nombreuses surcharges du serveur WEBVISLAB. Un deuxième serveur doit être implanté en cohérence avec le plan d’adressage actuel pour assurer une répartition de la charge site. Mission 13 : Supervision des équipements. La DSI souhaite superviser les différents serveurs et équipements actifs du réseau Galaxy-Swiss Bourdin (GSB) afin de faire remonter des alertes en cas de défaillance. En Option : Mission 14 : Remplacement du serveur NOTICELAB par un serveur de fichier (solution gratuite type FreeNas) Mission 15 : Mettre en place une politique de sauvegarde adaptée au fonctionnement L’ensemble des données, une fois dématérialisée, peut être perdu. La sauvegarde des informations est donc cruciale. Mission 16 : L'ensemble des informations est répliqué quotidiennement aux Etats-Unis par un lien dédié, accès VPN. Mission 17 : Gestion du parc Il s'agit de créer une cellule de prise en charge des demandes d'assistance sur les équipements mobiles mis à disposition des visiteurs et de gérer cette assistance avec un outil automatisé. En effet la mise en place des équipements et des applications pour 450 visiteurs va entraîner une inévitable demande d'assistance de la part des personnels. On veut donc mettre en place une solution de helpdesk permettant de prendre en compte une demande (création d'un ticket d'incident), de l'affecter à un technicien, d'enregistrer la solution apportée (création d'une base de connaissance) et informer l'utilisateur de la prise en charge de sa demande. Proposer ou produire une solution logicielle permettant d'assurer ce suivi Une cellule destinée à prendre en charge les demandes des visiteurs sera mise en place. Par rotation, des personnels du service Réseau & Système seront affectés à une "ligne d'assistance" destinée à prendre par téléphone les doléances ou demandes de dépannage des visiteurs. Cette cellule doit être équipée d'une solution lui permettant de prendre la demande avec le plus de précision en limitant au maximum les interrogations à l'interlocuteur. On souhaite un outil complet assurant une gestion de parc dans laquelle seront consignées toutes les caractéristiques des équipements

(processeur, mémoire, disque, logiciels installés lors de la délivrance du matériel), les éléments contractuels (date d'achat, garantie, fournisseur, etc), leur affection aux personnels visiteurs,

une gestion des tickets d'incident, de leur enregistrement à leur résolution, avec une information au demandeur de l'avancement de la prise en compte,

une possibilité de vision synthétique du fonctionnement de la cellule d'assistance : temps de traitement moyen des demandes, nombre d'appels, classification des demandes par niveau de complexité, volume d'intervention des différents techniciens, etc

Mission 17 : Assistance. Les équipements liés à cette nouvelle activité vont être extrêmement mobiles : aussi bien dans le fait qu'ils seront affectés à des personnels hors site que du fait du turn-over dans ce secteur d'activité. En outre, ils doivent faire l'objet d'un suivi comptable précis (contrats de garantie et/ou de maintenance, amortissement) et seront à renouveler périodiquement. On souhaite disposer d'un outil de gestion de parc capable de relever les caractéristiques de l'équipement, d'enregistrer les informations comptables et contractuelles, de suivre l'affectation du matériel aux utilisateurs. Proposer une solution logicielle capable de répondre au besoin de gestion du parc de ces matériels Mission 18 : Dépannage. Les visiteurs utilisant leurs équipements sur l'ensemble du territoire, le dépannage à distance est une nécessité pour limiter les déplacements de techniciens informatiques, les retours et immobilisations des matériels. Proposer une solution logicielle de prise en main des équipements, définir les paramétrages (configuration réseau, configuration des équipements, règles de filtrage et de translation) nécessaires à permettre la connexion sur ces équipements par le service informatique du site parisien

7 - Schéma technique du réseau GSB

BLADE CENTERService - Serveurs 172.18.x.0/24

SIORéseau physique

172.16.192.0/20LABANNUContrôleur

domaine GALAXY-SWISS.com

DNS

REZOLABDHCP, DNS

BDVISLABSGBDR MySQL

WEBVISLABWEB Apache

172.16.x.40 172.16.x.20 172.16.x.30172.16.x.10

Serveur TFTP172.16.x.250

NOTICELABServeur de fichier

Samba

RTE-xRouteur Linux

SW-B8

Eth0 172.16.x.254

Eth1 10.10.10.254/30

Vm-Srx

PC01S150E5

SW5-S150

SW4-S10

PC01S200E0

PC01S10E4

Eth0 int VLAN1 10.10.10.253 --SNAT int VLAN10 19x.168.10.254 int VLAN150 19x.168.150.254 int VLAN200 19x.168.200.254

VLAN 150 Visiteurs

19x.168.150.0/24

VLAN 10 Réseau & Système

19x.168.10.0/24

VLAN 200 Démonstration

19x.168.200.0/24

SW-S20

Liens Trunk

802.1Q

RE5-VLANLABSWE5-VLANLAB

SNIFFLAB

Analyseur de trames

19x.168.10.252

PCx-Test

Vlan1

Vlan1

Internet

Srv-AD Srv-FicSrv-Parc Srv-Oracle

LaboratoireSalle B8

19x.168.z.w/24

172.16.200.254/20

NAT/PAT

BOX

NAT/PAT