Projet fil rouge celine-foucaud laurent-urrutia

Avant-propos

Groupe Newstore Laurent URRUTIA – Céline FOUCAUD - 0 -

G r o u p e N e w s t o r e

2014

Projet Fil rouge

Groupe Newstore

Laurent URRUTIA – Céline FOUCAUD

Newstore

Avant-propos


Auteur Urrutia Laurent

Céline Foucaud

Version 4.0

Diffusion Restreinte Date 30/05/2014

Historique des versions

Version Date Auteur Commentaire

1.0 03/03/2013

Céline Foucaud

Laurent Urrutia

S – Document générale

I - Avant-Propos

I - Présentation générale du projet

1.5 28/03/2013

Céline Foucaud

Laurent Urrutia

S - Réseaux et système

S - Annexes

2.0 07/04/2013

Céline Foucaud

Laurent Urrutia

I - Phase de conception réseau

I - Phase de conception système

P – Relecture document

2.5 14/04/2013

Céline Foucaud

Laurent Urrutia

A - III, IV, VI

P – Mise en forme Teste, Puce, et Tableau

P – Bibliographie, Index, Référencement mots clés

3.0 28/04/2013

Céline Foucaud

Laurent Urrutia

I - Stratégie de déploiement

I - Bilan financier

I - Evolution potentiel

3.5 12/05/2013

Céline Foucaud

Laurent Urrutia

I - Phase d’étude

A - II, V, VII

P – Mise en forme des en-têtes

P – Mise en forme Teste, Puce, et Tableau

P – Bibliographie, Index, Référencement mots clés

4.0 30/05/2013

Céline Foucaud

Laurent Urrutia

A – PDF, CDCF

P – Relecture document

F – Fin de documentation

I – Intégration A- Annexes P – Point bilan F – Fin S - Structure

Avant-propos


Avant-propos ............................................................................................................................................................. - 5 -

I. Introduction ...................................................................................................................................................... - 6 -

II. Présentation générale du projet ........................................................................................................ - 7 -

A. Objectifs et enjeux ................................................................................................................................. - 7 -

B. Gestion globale du projet ................................................................................................................. - 8 -

Points essentiels ............................................................................................................................................. - 15 -

III. Phase d’étude ......................................................................................................................................... - 16 -

A. Analyse fonctionnelle : rappels .................................................................................................. - 16 -

B. Analyse des risques du produit et du projet ................................................................... - 17 -


IV. Phase de conception : le réseau ............................................................................................. - 25 -

A. L’architecture opérateur ................................................................................................................... - 25 -

B. L’architecture réseau.......................................................................................................................... - 36 -

C. Configuration technique ............................................................................................................................ 47


V. Phase de conception : l’architecture système ...................................................................... - 57 -

A. Les équipements physiques .......................................................................................................... - 58 -

B. Le système de virtualisation .................................................................................................................. 63

C. L’infrastructure Active Directory et la gestion documentaire ................................. - 72 -

D. Le système de stockage et de sauvegarde ...................................................................... - 77 -

E. La sécurité du système d’information ................................................................................... - 83 -

F. Les applications collaboratives et la téléphonie ............................................................ - 98 -

G. La supervision, la gestion des incidents et la gestion de parc ........................- 109 -

H. Les accès nomades .........................................................................................................................- 119 -

Points essentiels ...........................................................................................................................................- 121 -

VI. Stratégie de déploiement ............................................................................................................. - 122 -

A. La gestion des risques du projet en bref ........................................................................- 122 -

B. Les lots à déployer .................................................................................................................................. 123

C. Le planning de déploiement des hypermarchés ................................................................... 124

D. Révision organisationnelle de l’exploitation du SI ................................................................ 125

Points essentiels ...........................................................................................................................................- 137 -

Avant-propos


VII. Gestion budgétaire ............................................................................................................................ - 138 -

A. Le contexte financier .......................................................................................................................- 138 -

B. Les moyens humains du projet (MOE) ................................................................................- 140 -

C. L’investissement ...................................................................................................................................- 142 -

VIII. Evolutions potentielles .................................................................................................................... - 143 -

A. Système ....................................................................................................................................................- 143 -

B. La monétique intégrée et centralisée ..................................................................................- 143 -

Glossaire termes techniques ..................................................................................................................... - 151 -

Bibliographie ......................................................................................................................................................... - 155 -

Annexes partie II Présentation générale ........................................................................................... - 163 -

A. La fiche projet .....................................................................................................................................- 163 -

B. Les fiches de compétences ........................................................................................................- 168 -

C. Les fiches de postes .......................................................................................................................- 170 -

D. Le planning de déploiement global .......................................................................................- 172 -

Annexes partie III Phase d’étude ............................................................................................................ - 173 -

A. L’analyse des risques ......................................................................................................................- 173 -

Annexes partie IV Phase de conception : le réseau................................................................ - 181 -

A. Solution opérateur : Centrale d’achat .................................................................................- 181 -

B. Solution opérateur : Plateforme de stockage ................................................................- 182 -

C. Solution opérateur : hypermarché ..........................................................................................- 183 -

D. Les procédures de configuration réseau ................................................................................... 184

E. Schémas avancés d’interconnexion des équipements ....................................................... 209

F. Schéma des baies de serveurs ........................................................................................................ 213

Annexes partie V Phase de conception : le système ............................................................. - 216 -

A. Les règles et plans de l’entreprise ........................................................................................- 216 -

B. Les procédures des services Microsoft ...............................................................................- 243 -

C. Veeam Backup & Réplication ....................................................................................................- 267 -

D. Les procédures de la Supervision ..........................................................................................- 274 -

Annexes partie VI Stratégie de Déploiement ................................................................................. - 294 -

A. Charte informatique de Newstore ...........................................................................................- 294 -

B. Fiche de rapport d’intervention ................................................................................................- 298 -

Avant-propos


C. Fiche de test caissier ......................................................................................................................- 299 -

Annexes partie VII Gestion budgétaire ............................................................................................... - 301 -

A. Tarifs équipements Centrale d’achat ....................................................................................- 301 -

B. Tarifs équipements Plateforme de stockage ...................................................................- 302 -

C. Tarifs équipements Hypermarchés ..........................................................................................- 303 -

Annexes supplémentaires les Fiches techniques PDF .............................................................. - 304 -

A. Les Switchs HP ....................................................................................................................................- 304 -

B. Les Blade HP ........................................................................................................................................- 318 -

C. Les Lame Proliant BL465 HP .....................................................................................................- 326 -

D. Les Firewall Cyberoam ....................................................................................................................- 333 -

E. Le stockage QNAP ............................................................................................................................- 341 -

F. Windows Server 2012 R2 .............................................................................................................- 348 -

G. Office 365 ...............................................................................................................................................- 350 -

H. Sophos ......................................................................................................................................................- 354 -

I. Veeam Backup .....................................................................................................................................- 358 -

J. Splunk ........................................................................................................................................................- 362 -

Annexe spéciale Cahier des charges fonctionnel ....................................................................... - 364 -

Avant-propos


Avant-propos

La société Newstore est une chaîne d’hypermarchés. Elle comporte une centrale

d’achat, une plateforme de stockage située près de la centrale et cinquante

hypermarchés répartis sur le territoire national et deux hypermarchés au Portugal.

Elle a engagé un plan de modernisation de son informatique, et plus largement de

son Système d’Information. Les logiciels nécessaires à son activité ont été choisis et

il faut maintenant concevoir l’infrastructure réseau et télécom permettant de faire

fonctionner ces logiciels de façon optimale.

La société Newstore a effectué un appel d’offre dans ce cadre ; ce dossier est une

réponse au cahier des charges émis par la Direction Informatique de cette société.

Devant l’importance de ce dossier, vous avez baptisé le projet : NewStart.

Introduction


I. Introduction

Le projet NewStart est important pour votre société ; le système d’information d’une

entreprise est la colonne vertébrale sur laquelle une activité économique se construit.

Après étude, nous avons décidé de vous présenter un dossier basé sur une

architecture centralisée, une proposition de type Datacenter privé au sein des

structures centralisatrices de Newstore : plateforme de stockage et centrale d’achat.

Nous proposons donc, dans l’axe de cette idée directrice, la refonte totale du réseau

et du système pour une consolidation propice à une démarche de développement

durable, cet axe se plaçant en fil rouge de votre proposition.

Le document se présentera ainsi après cette introduction :

Une partie II chargée de présenter globalement le projet

Une partie III présentant la phase d’étude du projet

Une partie IV dite de conception pour la refonte du réseau de Newstore

Une partie V dite de conception pour la refonte du système de Newstore

Une partie VI détaillant la stratégie de déploiement de la solution conçue

exclusivement pour Newstore

Une partie VII détaillant les aspects budgétaires du projet

Une dernière partie vous proposant votre vision évolutive de votre système

d’information

Présentation générale du projet


II. Présentation générale du projet

A. Objectifs et enjeux

1. L’objectif

L’objectif principal de ce projet est la remise à niveau du système d’information de

Newstore, de son infrastructure et son architecture générales, dans le but de recevoir

un outil de gestion centralisé qu’est le nouvel ERP Goldata.

2. Les enjeux

L’enjeu est triple :

Construire un seul espace de communication unifié et interconnecté en

conformité avec les besoins de vision unifié d’un système d’information moderne,

Renforcer la sécurité globale du système et se focaliser sur celle du secteur des

caisses,

Hausser le niveau de rentabilité de l’informatique et ainsi offrir un système

d’information aux utilisateurs et aux gestionnaires de Newstore en le présentant

comme un centre de profit et non pas un centre de coût.

Nous vous proposons aussi un projet d’optimisation et de centralisation de

l’administration et donc de la supervision du système d’information de l’entreprise.

Cette gouvernance du SI, puisque c’est bien de cela dont il s’agit, est au cœur des

préoccupations de l’administrateur de Newstore, centrées sur les objectifs suivants :

Rapidité d’accès, notamment aux serveurs, pour une capacité d’absorbion du

secteur caisse améliorée,

Sécurisation accrue du réseau et des données de l’entreprise,

Meilleure circulation de l’information au sein de l’entreprise.

Cette amélioration tend aussi vers une prise en compte véritable d’une démarche de

développement durable.



B. Gestion globale du projet

1. Acteurs et organisation

a. Acteurs : l’équipe Projet de NewStart

Equipe projet Maitrise d’œuvre

La Société Newstore a sollicité par l’envoi d’un cahier des charges détaillé une

prestation globale visant à être accompagné dans un projet d’envergure : l’évolution

de son système d’information dans le but d’accueillir un nouvel ERP.

La société de service Lynk Systems répond à cette sollicitation avec ses propres

ressources pour le management général du projet et du point de vue de la maitrise

d’œuvre technique et l’expertise réseau et système qui forme votre cœur de métier.

Ainsi trois personnes font partie de l’équipe Projet NewStart de manière privilégiée

dans votre entreprise :

Céline Foucaud, chef de projet planification, coordination et animation du projet

Laurent Urrutia, chef de projet technique maitrise d’œuvre et ses équipes système

et réseau

Benjamin Larousse, alternant Responsable Administrateur Système et Réseau au

CESI de Paris Nanterre a intégré votre entreprise en janvier 2013 ; son projet

de fin d’études porte sur deux aspects du projet Newstore, l’accompagnement

des équipes du service informatique et des utilisateurs dans cette évolution

importante du système d’information et la partie système, en appui technique, il

est certifié sur la technologie Windows Server 2012 (Certification 70-410 : Installer

et configurer Windows Server 2012).

Les Fiches Emploi et les Fiches de compétences (Voir annexes Les fiches de compétences)

des deux premières personnes mobilisées très régulièrement au sein de votre

entreprise. Pour les autres compétences ponctuellement utilisées au sein de votre

entreprise, nous tenons à votre disposition les mêmes documents sur simple demande.

Pour des domaines nécessitant une expertise très pointue, des collaborateurs externes

à l’entreprise ont été choisis pour ce projet au sein du réseau professionnel de votre

entreprise :



Romain Langlois, certifié CPIE Cisco et HP HP ASE HP0-Y31 consultant réseau

CCIE Cisco

Il est positionné en expertise mais aussi en représentant coordinateur des prestataires

externes du projet en charge de la communication vers les autres prestataires, en

particulier les représentants de l’implémentation de Goldata.

Tony W – consultant indépendant sécurité informatique

Laurent Gastineau - Alveo-Groupe Monétique centralisée (en cas d’option

monétique validée)

Equipe projet MOA

Au sein de Newstore, nous avons identifié ensemble les protagonistes de ce projet

d’envergure ; membres à part entière du groupe projet global, les personnes suivantes

seront sollicitées de façon différentielle tout au long du projet :

Monsieur RORICK, PDG de Newstore ou son représentant,

Renaud ROLAND, chef de projet MOA et administrateur système et réseau de

l’entreprise

Cécile Martin, chef de projet utilisateur – représentant des personnels de caisse

de Newstore

Un chef de projet utilisateur à déterminer par vote – représentant des 52

correspondants locaux des hypermarchés

Martine Chambon, responsable formation de Newstore

Robert Schmidt, chef des services moyens généraux de Newstore

Marie Aimart, technicienne système et réseau en apprentissage (GMSI) au CESI

de Bordeaux en charge de l’accompagnement des utilisateurs

Kevin Brard, technicien système et réseau en apprentissage (GMSI) au CESI de

Bordeaux en charge de l’implémentation des logiciels libres notamment en

matière de téléphonie.

b. Organisation du projet

Elle est la feuille de route du projet. Elle est diffusable librement à qui veut en prendre

connaissance. C’est la fin de l’étape d’initialisation du projet. Avec la réalisation et

surtout la diffusion de ce document la phase d’étude des besoins commence.



Les modalités d’organisation générale animée par votre chef de projet MOE sont les

suivants. Les temps forts du projet doivent être des moments conviviaux :

Lancement du projet : séminaire de début de projet à Paris (toute l’équipe SI),

Fin de réalisation des lots : repas conviviaux à l‘échelle nationale ou régionales,

Fin du projet : séminaire de fin de projet à Paris (toute l’équipe SI),

Communication post-projet : publication sur l’intranet des résultats du projet,

Les réunions préparées par le chef de projet MOA (aidé si celui-ci le souhaite

par le chef de projet MOE) :

o Une réunion mensuelle plénière dans la phase 1 du projet,

o Une réunion hebdomadaire dans les phases 2 et 3,

o La possibilité de mettre en place des réunions « Jalons » si nécessaire,

Un espace partagé de travail : SharePoint, singulièrement pour sa gestion

documentaire.

(Voir annexes La fiche projet)



2. Les phases considérées

Voici les principales phases du projet : elles permettent de passer de la situation

nominale antérieure au projet à la situation nominale postérieure au projet.

Phase 1 - étude des besoins

1 : Mise en évidence du besoin par les remontées utilisateurs NS

2 : Etude de l’existant et du besoin (analyse fonctionnelle) interne NS

Phase 2 – la conception

3 : Recherche de solutions et exploration comparative des solutions Lynk Systems

4 : Test et validation de la solution Lynk Systems et NS

Phase 3 – stratégie de déploiement

5 : Rédaction de la documentation de la solution Lynk Systems

6 : Mise en production de la solution Lynk Systems

7 : Mise en place du début de vie de la solution Lynk Systems et NS



3. Méthode de représentation du projet et premier Macro-planning

a. Outils et méthodologie

La méthode retenue pour représenter le projet est le diagramme de Gantt.

Simple et accessible, cet outil de gestion de projet a les avantages suivants :

Etre compréhensible de chaque acteur du projet sans formation trop lourde,

Etre très visuelle en présentant de façon simple et évidente les différentes étapes

du projet

b. Macro-planning initial: premiers jalons clés

Démarrage du projet (repérage de la problématique d’interruption anormale de

service) : janvier 2013

Livraison du cahier des charges fonctionnel le 1 juillet 2013,

Recette de la solution avant août 2014,

Réunion de Go No-Go définitif : le 10 septembre 2014,

Démarrage du déploiement Datacenter et hypermarché pilote le 15 octobre,

Déploiement par phase de 3 magasins : 5 janvier 2015,

Fin prévisionnelle du projet : septembre 2015.



Macro-Planning

ID Nom de tâche Début FinQ3 13

janv. sept.août févr. juinjanv.juil. oct.avr.sept. déc. maijuin mars

1 12/07/201301/01/2013LOT 1 – Mise en évidence du besoin par les remontées utilisateurs

2 02/07/201317/06/2013LOT 2 -Etude de l existant et du besoin (analyse fonctionnelle) interne

3 18/03/201403/07/2013LOT 3 - Recherche de solutions

4 02/06/201424/03/2014LOT 4 - Test et validation de la solution

7 18/09/201514/09/2015LOT 7 – support début de vie

5 09/09/201409/07/2014LOT 5 - Rédaction de la documentation de la solution

6 11/09/201517/11/2014LOT 6 - Mise en production de la solution - déploiement

Q2 13 Q2 14 Q3 14Q4 13 Q4 14

déc.aoûtnov.mai

Q1 14Q1 13

juil.marsfévr. nov.avr. oct.

Q1 15

janv. févr. mars

Q2 15 Q3 15

avr. mai juin juil. août sept.

ID Nom de tâche Début FinQ1 13 Q2 13 Q3 13 Q4 13 Q1 14 Q2 14 Q3 14 Q4 14 Q1 15 Q2 15 Q3 15

janv. févr. mars avr. mai juin juil. août sept. oct. nov. déc. janv. févr. mars avr. mai juin juil. août sept. oct. nov. déc. janv. févr. mars avr. mai juin juil. août sept.

1

2

3

4

5

6

7

01/07/201301/01/2013LOT 1 – Mise en évidence du besoin par les remontées utilisateurs

01/07/201317/06/2013LOT 2 -Etude de l existant et du besoin (analyse fonctionnelle) interne

24/02/201403/07/2013LOT 3 - Recherche de solutions

30/04/201403/03/2014LOT 4 - Test et validation de la solution

27/06/201405/05/2014LOT 5 - Rédaction de la documentation de la solution

21/08/201513/10/2014LOT 6 - Mise en production de la solution - déploiement

28/08/201524/08/2015LOT 7 – support début de vie



c. Lotissement du projet

Voici les sept lots qui composent le projet :

LOT 1 : initialisation du projet (1%)

LOT 2 : analyse fonctionnelle d’étude (4%),

LOT 3 : exploration comparative des solutions et conception (30%)

LOT 4 : tests et validation de la solution (10%),

LOT 5 : déploiement du Datacenter Privé (centrale d’achat et plateforme de

stockage) (20%) + premier hypermarché béta + premier lot de trois hypermarchés

LOT 6 : rédaction de la documentation (5%),

LOT 5 : déploiement des 40 supermarchés « type », (20%)

LOT 6 : déploiement des huit supermarchés « à profil » (5%),

LOT 7 : support de début de vie (5%)



4. La mise en place d’une typologie d’hypermarché

La gestion de ce projet, couvrant des sites distants nombreux, éloignés et divers,

nécessite le repérage du type de structures à considérer. Ainsi, nous avons classé les

éléments constitutifs de Newstore ainsi :

Deux structures centrales : la plateforme de stockage et la centrale d’achat qui

sont considérées comme le centre informatique de Newstore,

40 hypermarchés « typiques », dont 1, celui adossé aux structures centrales qui

constitue l’hypermarché pilote,

8 hypermarchés non-éligibles au haut-débit,

2 hypermarchés à l’étranger.

Ces quatre groupes permettront une prise en compte différentié des problématiques

techniques et organisationnelles propres à chaque type de structure.

Au niveau de déploiement, cette typologie sera prise en compte afin de gérer au

mieux les exceptions en deuxième partie de projet.

Points essentiels

o 3 enjeux : Communication, Sécurité et Rentabilité

o 3 personnes affectées au projet Newstart

o Des acteurs externes qualifiés dans leurs domaines d’expertise

o Des acteurs internes à Newstore pour suivre le projet

o Projet de 2 ans qui va changer complétement l’infrastructure Newstore

o 7 grandes étapes pour votre projet

Phase d’étude


III. Phase d’étude

A. Analyse fonctionnelle : rappels

L'intégralité de l'analyse fonctionnelle est en annexe. Pour rappel dans le corps de ce

document, le tableau récapitulatif des fonctions principales et contraintes qui ont

conditionné la mise en place de ce document.

Fonctions par situation de vie : Critè

re d

’éch

ange

Installatio

n

Utilisatio

n

Main

ten

ance

Dé

man

tèle

me

nt

Evolu

tion

FP1 : Le système doit permettre aux utilisateurs d’échanger et de partager les informations numériques.

4/4

FP2 : Le système doit permettre aux utilisateurs d’accéder aux informations numériques.

4/4

FP3 : Le système doit permettre aux responsables informatiques de définir les informations numériques autorisées.

4/4

FC1 : Le système ne doit pas dégrader son environnement.

4/4

FC2 : Le système doit résister à son environnement. 4/4

FC3 : Le système ne doit pas perturber le bon fonctionnement de l’entreprise.

4/4

FC4 : Le système ne doit pas interférer avec les flux périphériques.

3/4

FC5 : Le système doit être compatible avec le réseau d'énergie de l’entreprise.

4/4

FC6 : Le système ne doit pas dégrader l’image de marque de l’entreprise.

4/4

FC7 : Le système ne doit pas nuire aux utilisateurs. 4/4

FC8 : Le système doit résister aux agressions des utilisateurs.

3/4

FC9 : Le système ne doit pas gêner le public. 4/4

FC10 : Le système doit résister aux agressions du public.

3/4

FC11 : Le système doit assurer la sécurité des informations numériques.

4/4

FC12 : Le système doit respecter les normes, règles et préconisations.

4/4

Phase d’étude


B. Analyse des risques du produit et du projet

Vous trouverez ci-après l’analyse d’un risque majeur induit par le déploiement d'un

hypermarché en développant : étude des causes, des conséquences et détermination

d'actions.

1. Présentation de la méthode

Technique spécifique de la sûreté de fonctionnement, l'Analyse des Modes de

Défaillance, de leurs Effets et de leur Criticité (AMDEC) est avant tout une méthode

d'analyse de système (système au sens large composé d'éléments fonctionnels ou

physiques, matériels, logiciels, humains ...), s'appuyant sur un raisonnement inductif

(causes et conséquences), pour l'étude organisée des causes, des effets des

défaillances et de leur criticité. Développée aux Etats-Unis, dans l'industrie

aéronautique, au début des années soixante, elle a pris son essor en Europe au cours

des années soixante-dix dans l'industrie automobile, chimique, nucléaire. En France

elle a été utilisée par toutes les grandes sociétés françaises comme la SAGEM ou la

RATP.

Le principe de la prévention repose sur le recensement systématique et l'évaluation

des risques potentiels d'erreurs susceptibles de se produire à toutes les phases de

réalisation d'un système.

Dans ce projet, elle fut utilisée en phase de conception, l'AMDEC est consécutive à

l'Analyse fonctionnelle pour la recherche des modes de défaillances spécifiques à

chaque fonction ou contrainte des composants.

Nous avons établi une distinction entre l'AMDEC produit car nous avons effectué une

analyse d’un risque majeur du produit en nous centrant sur la disponibilité du secteur

caisse que nous avons identifié comme un secteur clé de votre SI. Puis nous avons

concentré nos efforts sur une analyse sur les risques du projet, donc une AMDEC de

procédé par une analyse d’un risque majeur induit par le déploiement d'un

hypermarché en développant : étude des causes, des conséquences et détermination

d'actions.

Phase d’étude


2. L’analyse du risque au niveau du produit (AMDEC PRODUIT)

Nous avons choisi de nous intéresser à l’analyse des risques du produit du point de

vue de l’utilisateur final, les caissiers, sur le système des caisses qui deviendra, en fin

d’analyse, un risque plus global d’insatisfaction du client, le PDG de Newstore, voire

du client final, le client en hypermarché.

Après analyse, nous avons conclu qu’il y avait deux risques majeurs (Vous trouverez

en annexe les détails méthodologiques - diagrammes d’Ishikawa et fiches de risque

produit - qui n’ont pas leur place dans le corps de ce document de synthèse) :

Voir annexe : L’analyse des risques

Risque très élevé au niveau humain pour l’équipe informatique au niveau central

et au niveau des correspondants locaux dans chaque hypermarché tant la

transformation technique et organisationnelle du SI que nous proposons dans la

solution est importante pour les personnels en charge de la gestion et surtout

de maintenance du système actuel

Risque élevé au niveau technique traité notamment par le concept de redondance

absolue et générale de l’ensemble des éléments du SI considérés comme

critiques. En effet, concevoir un réseau, c’est définir l’architecture physique, la

carte des sites, les supports physiques, les équipements actifs mais aussi

l’architecture logique avec les protocoles, le plan adressage et bien sur

l’administration de tous ces équipements, leur supervision et leur surveillance,

sans oublier la maitrise des services réseau, des outils de sécurité et les

modalités de connexion en intersites et avec l’extérieur. A toutes les étapes de

la conception, toujours tournée vers les besoins des utilisateurs, nous avons eu

en tête la gestion de ce risque identifié dès le début du projet. La solution

retenue est construite pour réduire ce risque à un niveau exprimé et accepté

par le client dans son analyse fonctionnel.

Phase d’étude


a. Présentation des résultats de l’analyse

Nous allons détailler dans cette partie le premier risque identifié : le risque

humain et le traitement préconisé pour s’en prémunir.

La présentation du traitement du second risque sera seulement générale car elle

est détaillée dans la phase de conception du système et celle-ci répondra de

façon intrinsèque au second risque.

Phase d’étude


b. Le premier risque identifié : le risque humain au sein des équipes informatiques

Deux grands types de risques ont été identifiés dans les équipes informatiques :

Un risque de démotivation lié notamment à la structure de la pyramide des âges

de ce service (équipes majoritairement de plus de 50 voire 55 ans) ainsi qu’à

l’isolement dont souffrent les équipes au sein des hypermarchés,

Un risque lié à un problème général de compétences face à un système

entièrement nouveau, qui touche tous les correspondants locaux, quel que soit

leur âge.

Conséquences de risques doubles :

Un risque de non implication dans le projet, d’absentéisme dans toutes les

phases de la mise en place du produit mais surtout aux moments clé du

déploiement et de l’installation du support de début de vie du produit en post-

déploiement (début d’exploitation),

Un risque majeur de blocage du projet, de qualité du produit livré, puis de

retard, donc de dérive budgétaire.

Réduction des causes majeures :

Travail de manager de l’administrateur système et réseau et du chef de projet

MOA pour animer l’équipe et faire naitre un sentiment d’appartenance au projet

(séminaires, …),

Détermination de la part variable de rémunération sur les résultats du projet

pour tous les collaborateurs de l’équipe SI,

Une attention de la DRH toute particulière au personnel impliqué dans le projet

grâce aux actions suivantes :

o Mesures de prise en compte des risques psycho-sociaux : questionnaire

initial de positionnement de chacun dans le projet, entretien individuel

régulier, maintien de l’emploi si souhaité dans l’entreprise,

accompagnement régulier durant le projet…

o Election d’un chef de projet « Correspondants locaux », membre de

l’équipe projet,

o Implication et responsabilisation des équipes dès le début du projet,

occasion pour le DRH de lancer un projet de gestion des compétences

en implémentant un SIRH - un système d’information de gestion des

ressources humaines open source avec en support le nouveau membre

de la DSI alternant Kevin Brard),

Phase d’étude


o Présence récurrente dans l’équipe projet d’un responsable RH, de

préférence le responsable formation, et cela tout au long du projet,

o Embauche d’une jeune technicienne Marie Aimart en contrat de

professionnalisation pour dynamiser l’équipe au niveau national et au

niveau régional,

o Repérage au début du projet de cinq correspondants régionaux placés

en formation continue en temps partiel dès le début de l’année 2013

pour jouer le rôle de rouage intermédiaire avec leurs collègues,

Recrutement de deux jeunes alternant en formation, en appui technique et

organisationnel sur le projet,

Un programme de formation adapté et sur mesure pour tous (Windows 2012,

GLPI, ITIL…)

Réduction des conséquences majeures :

Motivation des équipes

Montée en compétences des équipes nationales et régionales.

Phase d’étude


c. Le deuxième risque majeur : le secteur caisse

Le secteur caisse est l’objet d’un des enjeux essentiels de ce projet celui d’une

augmentation de capacité d’absorption du secteur caisse. Cela implique une rapidité

accrue du passage en caisse et une disponibilité très élevée (haute-disponibilité).

Dans le cadre de la refonte du SI, deux grandes notions ont été choisies pour garantir

ce très haut niveau d’exigence déterminé par votre cahier des charges :

La redondance des équipements réseau, des liens WAN et LAN et de la structure

serveur,

Une répartition de charge à tous les niveaux de par la mise en place de cette

redondance.

(Voir section Phase de conception : le réseau)

La remise à plat de la Politique de Sécurité de l’Entreprise participe aussi de la

gestion de ce risque. Elle est détaillée dans la partie Stratégie de Déploiement, sous

partie Révision organisationnelle du SI.

Phase d’étude


3. L’analyse du risque au niveau du projet (AMDEC PROCEDE)

Nous avons choisi de nous focaliser sur l’analyse d’un risque majeur des projets en

général et des projets informatiques en particulier : le non-respect des délais.

Voir annexe : L’analyse des risques

Quatre sujets nous semblent importants à prendre en compte. Les deux premiers

touchent l’organisation intrinsèque du projet lui-même et notamment la partie

déploiement de celui-ci et les autres s’orientent plutôt sur les changements qui

affectent la DSI de Newstore :

Le premier concerne les problèmes de planification du projet NewStart qui

combine multiplicité des sites et étendue géographique importante, et dans lequel

l’affectation des ressources est complexe,

o Le second est tourné vers les difficultés d’organisation du projet dues à

la multiplicité des acteurs, à leur statut différents (externes, internes),

o La troisième touche la mutation technologique très importante que nous

préconisons alors les équipes de la DSI restent en place,

o Le quatrième sujet découle du précèdent car la mutation technologique

est si forte qu’elle affecte l’organisation des équipes de la DSI.

Conséquences de risques doubles :

Première conséquence immédiate majeure de ce risque est un retard important,

Seconde conséquence se situe plutôt au niveau d’une désorganisation de l’activité

et une perte de compétitivité.

Réduction des causes majeures :

Recensement exhaustif des tâches et de leur synchronicité, évaluer

correctement les ressources, prévoir des indicateurs d’avancement précis et

mesurables très régulièrement,

Travailler finement sur l’organisation du projet : définir des règles du jeu (fiche

projet contresignée par l’ensemble des acteurs),

Mise en place des outils collaboratifs (communication)

Accompagner les collaborateurs dans leur évolution

Intégration volontariste (séminaires…)

Former les collaborateurs et les utilisateurs aux nouvelles technologies

Phase d’étude


Documentation précise livrée en même temps que le projet

Réduction des conséquences majeures :

Suivi régulier du projet surtout alerte points de vigilance aux moments clés

(calcul de charges, finalisation budget, semaine post-déploiement)

Vigilance retour utilisateur (hausse du nombre de déclaration d’incidents…)

Supervision du secteur des caisses (critiques)

Points essentiels

o Analyse des risques du projet selon la méthode AMDEC

o Analyse étudiée du point de vue l’utilisateur final

o Risque Produit ;

o Niveau humain pour le SI central et local de types : démotivation et Manque de

compétences. Conséquences : Non implication et Blocage du projet

o Niveau du secteur de caisse : garantie du niveau de disponibilité : Redondance et

Répartition de charge

o Risque Projet

o 4 niveaux d’étude : 2 sur l’organisation du projet et 2 sur le changement pour la DSI

Phase de conception : le réseau


IV. Phase de conception : le réseau

A. L’architecture opérateur

1. Préambule

Pour définir une solution de connexion inter-sites, nous avons pris en compte le cahier

des charges du projet. Nous avons calculé les débits potentiels de chaque site

hypermarché et la charge que devra supporter la solution centrale.

Votre besoin en termes de flux :



Le Tableau des flux

ID Emetteur Récepteur Description Flux

volumes

données

interne

(Mo)

volumes

données

caisse (Mo)

Volumes

données hyper-

centrale (Mo) Fréquence

Temps de réponse

maximum Niveau de service Observations

1 Serveur de marchandise (hyper) Serveur central Remontées des mouvements de stock de chaque magasin 260 1 fois par jour 1 jour

Faible - 1 jour de

panne annuel Remontées nocturnes (21h et 23h59)

2 Serveur central Serveur de marchandise information réception marchandises / commandes fournisseurs 416 1 fois par jour 1 jour

Faible - 1 jour de

panne annuel Remontées nocturnes (entre 4h et 6Hh))

3 Serveur marchandise Serveur compta Stock transmis à la compta pour valorisation des stocks 3 1 fois par semaine 1 semaine

Faible - 1 semaine

de panne annuelle Transmission hebdomadaire

4 Caisse Serveur de marchandise Remontée des articles vendus 10 1 fois par heure 1 heure Critique - 1 heure

Liaison essentielle vente-

approvisionnement

5 Caisse Serveur de caisse A chaque scan, interrogation base de données Produits 20

Plusieurs fois par

seconde 1 seconde

Très critique -1

seconde

Evaluation pour l'ensemble de ligne de

caisse

6 Serveur de caisse Caisse A chaque interrogation, le serveur donne l'information à la caisse 13

Plusieurs fois par

seconde Temps réel Très critique Cœur de métier

7 Caisse Serveur de caisse A chaque vente, le serveur de caisse est informé 30

Plusieurs fois par

seconde 1 seconde

Très critique - 1

seconde Cœur de métier

8 Serveur de caisse Etiqueteuse Transmission des infos articles aux etiquettes de gondole 300 A la demande 1 jour Critique - 1 jour Estimation pour 1000 étiquettes par nuit

9 Serveur de caisse Serveur de compta Remontée mouvements financiers 2 1 fois par jour 1 jour Critique - 1 jour Remontées nocturnes

10 Serveur de marchandise (hyper) Serveur de caisse Descente des informations et des prix articles 5 1 fois par jour 1 jour Critique - 1 jour Remontées nocturnes (avant ouverture)

11 Centrale Fournisseurs Emission de commandes

12 Fournisseurs Serveur de marchandise Emission bon de livraison

13 Fournisseurs Serveur de compta Emission des factures

14 Service compta (hyper) Système central Requete sur le serveur de fichiers 500 1 fois par semaine 1 semaine

Faible - 1 semaine

de panne annuelle Comptabilité centralisée

15 Système central Service compta (hyper) Reponse du serveur de fichiers 500 1 fois par semaine 1 semaine

Faible - 1 semaine

de panne annuelle Comptabilité centralisée

16 Chef de rayon Serveur de marchandises Requetes base de données informations produits 10 1500 A la demande 1 minute

Faible 1 semaine

de panne annuelle Nouvelle fonctionnalité

17 Serveur de marchandise (hyper) Chef de rayon Réponses base de données informations produits 10 1500 A la demande 1 minute

Faible 1 semaine

de panne annuelle Nouvelle fonctionnalité

18 Salariés Salariés Envoi de message oraux ou écrits 30 30 A la demande 10 s Critique Nouvelle fonctionnalité

Total 58 375 4706



a. Les éléments contraignant à prendre en compte

Des contraintes techniques importantes ont structuré votre choix pour répondre au

mieux à vos besoins :

40 hypermarchés sont éligibles à l’ADSL, dont les 2 du Portugal,

8 hypermarchés sont éligibles à une boucle locale haut débit (100Mo) et à

l’ADSL,

4 hypermarchés ne sont pas éligibles à un réseau haut débit.

b. Les technologies possibles

Technologies Adsl Sdsl Fibre

optique Satellite Wimax 3G

Mode de

fonctionement

Asymetric Symetric Multimode

Monomode Bidirectionel

Point-

Multipoiny Asymetric

Répartition

En

fonction

du site

En

fonction

du site

Coût des

Travaux de

voirie

Sans

contrainte

En

fonction

de la

station

de base

En de la

couverture

opérateur

Débit

De 64kb

à 20

Mbps max

De 512 kb

à 8 Mbps

De 100

Mbps à 40

Gbps

Jusqu à 20

Mbit/s

soumis à

des quotas

Jusqu’à

20

Mbit/s si

obstable

ou 70

Mbits

sans

Jusqu’à

3,6 Mbps

Distance max 3,3 km 3,0km 20km Sans

contrainte

Entre 10

km et 50

km selon

le terrain

Selon

couverture

Transport de

données

TCP/IP

ATM

X.25

VOIP

TCP/IP

SIP

ATM

TCP/IP

ATM

VOIP

TCP/IP

VOIP

TCP/IP

VOIP

(Avec

QoS)

TCP/IP

SIP



2. Le choix de l’opérateur

Le choix de l’opérateur du projet s’est porté sur deux possibilités. Bouygues Télécom

ou SFR qui nous apparaissaient comme les deux solutions les plus appropriées. Tous

deux semblaient à même de répondre à l’attente, ce qui permet à Newstore de

disposer d’un réseau solide. Ils peuvent tous deux répondre aux problématiques des

hypermarchés non éligibles à l’ADSL et à la prise de site à l’étranger.

Nous avons retenu l’offre de Bouygues Télécom pour les points ci-dessous :

Prise en charge des solutions satellitaires,

Rapprochement avec British Télécom pour l’interconnexion des sites au Portugal,

Support du MPLS,

Option firewall et Proxy utilisateurs,

Les deux points de sortie sur la centrale d’achat, la plateforme de stockage et

les supermarchés,

Les solutions de Back-up,

Prise en charge des dessertes sur les boucles locales,

Offre plus attractive.

(Voir annexes Solution opérateur : Centrale d’achat pour voir le détail de l’offre)



Accès internet principal Fibre 100 Mbits/s

Accès internet back-up SDSL 4 Mbits/s

Solution : Répartition de charge

Solution : Desserte interne

Solution : Filtrage Web

Plateforme de stockage

Architecture opérateur inter-connection des sites

Légende

Fibre optique inter-bâtiment

(Centrale d achats – Plateforme

stockage)

MPLS Réseau MPLS de Bouygues

Accès internet principal Fibre 100 Mbits/s

Accès internet back-up SDSL 4 Mbits/s

Solution : Répartition de charge

Solution : Desserte interne


Solution : Adresse IP Publique *8

Centrale d achat

Connexion satélitaire

WAN Réseau WAN de Bouygues

Liaison TPE inter-bancaire

WAN

4 Hypermarchés concernés

Accès internet principal Satellite

Accès internet back-up 3G

Solution : Desserte Back-to-back


Solution : Vpn Premuim

Hypermarchés sans ADSL


Accès internet principal SDSL 4 Mbits/s

Accès internet back-up ADSL jusqu a 20 Mbits/s

Solution : Firewall


Hypermarchés SDSL


Accès internet principal ADSL jusqu à 20 Mbits/s

Accès internet back-up 3G

Solution : Desserte Back-to-back

Solution : Firewall


Hypermarchés ADSL


Accès internet principal SDSL 4 Mbits/s

Accès internet back-up ADSL jusqu à 20 Mbits/s


Solution : VPN Premuim

Hypermarchés Portugal

Liaison principale

Liaison Back-up

MPLS

Utilisateurs nomades

Prestataire Monétique

Lien fibre optique

Lien SDSL

Lien ADSL

Connexion 3G

Liaison utilisateurs nomades



3. MPLS Bouygues VPN Synchro

La solution VPN Synchro permet de relier vos sites et de prioriser vos applications

tout en bénéficiant d’un accès haut débit.

a. Généralités

Pour garantir la sécurité, la priorisation et l’échange de données entres les différents

sites de Newstore, nous avons recours à la solution VPN Synchro de l’opérateur

Bouygues télécom. Cette solution repose sur un réseau privé virtuel dédié à l’entreprise

sur l’infrastructure réseau de Bouygues Télécom. Cette solution est exploitée comme

définie plus haut sur les sites centraux :

Centrale d’achat


38 en hypermarchés en SDSL

Les avantages de cette solution vis-à-vis des solutions classiques

Sécurité des échanges

Priorisation des flux par l’opérateur

Simplicité de gestion

Ingénierie de trafic pour évaluer les meilleurs chemins de destination

Bande passante garantie

Re-routage rapide en cas d’interruption

b. Le principe de fonctionnement

Bouygues Télécom interconnecte les sites distants via la technologie VPN par le biais

d’un chiffrement reposant sur un système de tunneling (Encapsulation des trames à



la sortie et à l’entrée du réseau). Pour optimiser l’échange qui généralement via

l’encryptage prend du temps, Bouygues Télécom s’appuie sur le protocole MPLS, qui,

par le système d’étiquetage des trames, optimise le routage sur son réseau interne.

Ce protocole leur permet d’isoler complétement les échanges d’un client à un autre

client créant ainsi un réseau privé pour une entreprise sur son réseau.

Nous profitons aussi des firewalls de l’opérateur, qui permettent de gérer la qualité

de service. Au-delà des prestations habituelles d’un firewall de filtrage, Bouygues

Télécom propose des règles par service et par profil. Ces prestations sont négociées

au préalable avec Bouygues Télécom ; d’autres prestations sont possibles comme la

supervision et le monitoring des équipements opérateurs (Routeur, Firewall).

c. Le protocole MPLS

MPLS (Multi-protocol Label Switching) est un protocole créé dans les années 90, au

début limité pour fonctionner qu’avec ATM, puis démocratisé par CISCO en l’étendant

à plusieurs technologies de communication et en intégrant le système de label. Il

combine les méthodes de routage du niveau 3 du modèle OSI aux techniques de

commutation de niveau 2. Il fonctionne principalement sur l’IPv4 mais est étendu sur

les protocoles IpV6, Apple talk etc…

d. Les labels

La principale fonctionnalité du protocole est de rajouter un label sur une trame pour

faciliter sa commutation d’un point A vers un point B. Ce label appelé LSP est mis en

place par le protocole LDP.

Le routeur qui ajoute ce label est appelé Ingress routeur. Les systèmes de commutation

dans le MPLS sont appelés LSR (Label Switching Router) ; ils ne prennent aucune

décision, ils ne font que retransmettre le paquet en fonction du label. Le routeur qui

enlève le Label est appelé Egress routeur.

Dans les faits, le principe de routage peut être décrit comme suit :

Réception en amont

o Le routeur en point de sortie reçoit un paquet provenant de Newstore



o Le protocole de routage détermine l’Egress routeur et la FEC Forwarding

Equivalence Class (Table de correspondance qui contienne des clés du

type : Adresse MAC, Adresse IP, Classes de services, ports...) formant un

groupe de transmission,

o Il rajoute un label en sortie et l’envoie sur le réseau MPLS vers le nœud

suivant

Réception sur le MPLS

o Le LSR (équipement opérateur) réceptionne le paquet,

o Analyse le label et rajoute ces informations,

o Rencapsule le label et l’envoie vers le routeur de destination en sortie du

MPLS.

Réception en aval

o Le routeur cible reçoit le paquet,

o Analyse le label reçu dans le paquet,

o Efface la trace du label reçu,

o Fait suivre en interne au tronçon suivant.

Le temps de traitement est optimisé car l’équipement de l’opérateur sur la deuxième

étape ne traite que le label inscrit dans le paquet et se passe de tout le processus

d’encapsulation d’un protocole de routage classique.





4. Architecture de la liaison intersites

a. La centrale d’achat et la plateforme de stockage :

La centrale d’achat et la plateforme de stockage disposeront d’offre similaire (à

l’exclusion de l’option de filtrage Web).

Elles disposeront toutes deux d’une interconnexion fibre optique jusqu’à 100 Mbits/s

en débit symétrique. Elles bénéficieront également d’un accès de secours sur un débit

de 4 Mbits/s en technologie SDSL là aussi également en débit symétrique.

Afin d’assurer une parfaite continuité de service ainsi que le taux de disponibilité très

élevé du projet, l’interconnexion de ces sites s’entend par la mise en place de deux

points différents de terminaison (sur la Boucle Locale) amenant vers deux DSLAMs

différents. L’option est totalement prise en charge pas Bouygues Télécom qui sous-

traite celle-ci à l’opérateur historique, l’option ne prévoyant donc aucun travail de

voirie supplémentaire.

b. La typologie des hypermarchés :

38 hypermarchés bénéficieront d’une technologie SDSL 4 Mbit/s en débit

symétrique. Ces 38 hypermarchés disposeront d’un backup de secours ADSL

asymétrique jusqu’à 20 Mbits/s en download et 4Mbit/s en upload, les backups

ADSL disposeront également de deux points de terminaison différents. Bouygues

prend également en charge le raccordement sur deux DSLAMs différents. A

prendre en compte : les 2 hypermarchés situés au Portugal s’appuient sur une

offre similaire.

8 hypermarchés disposeront d’une connexion ADSL en débit asymétrique jusqu’à

20 Mbit/s. En secours, nous avons recours à des routeurs prenant en charge la

technologie 3 G. Bouygues inclus par default l’option back-to-back.

Nous avons étudié deux solutions pour raccorder les 4 hypermarchés non

éligibles :

o Relier en fibre optique par les réseaux maillés Bouygues, en zone rouge,

o Liaison DIS par le biais d’Orange,

o Liaison Wimax,

o Liaison Satellitaire.



Après étude des technologies, et des coûts de la liaison fibre et DIS, nous optons

pour la solution satellitaire, le Wimax ayant une portée et un débit incompatible avec

le projet.

4 hypermarchés disposeront d’une connexion satellitaire jusqu’à 18 Mbits/s en

download et 6 Mbits/s en upload mode bidirectionnel. Nous optons pour la

limite de 125 Go par mois au vu de la charge qui transitera sur le réseau par

jour.

Les Hypermarchés n’étant pas relié directement au réseau MPLS de Bouygues Télécom,

nous rajoutons en amont des switchs des firewalls (Voir section Les Firewalls

Cyberoam) afin de sécuriser les hypermarchés. Par ailleurs, nous optons pour l’option

VPN Premium de Bouygues Télécom qui nous permettra de crypter et sécuriser les

données qui transiteront par le WAN avant pour atteindre la centrale d’achat ou la

plateforme de stockage.

Centrale

d’achat

Plateforme

de stockage

40

hypermarchés

SDSL

8 hypermarchés

ADSL

4 hypermarchés

sans ADSL

Nominal

Fibre

100

Mbit/S

Fibre 100

Mbit/S

SDSL 4

Mbit/s

ADSL Jusq.

20Mbit/s Satel.. 18 Mbit/s

Back-Up SDSL 4

Mbit/S

SDSL 4

Mbit/S

ADSL Jusq.

20Mbit/s Backup 3G Backup 3G

Abonem

ent 3 200 € 3 200 € 12 926€ 692€ 1 590 €

Mise en

service 3 499€ 3 499€ 12 787€ 2 557 € 1 279€

SLA 4H

7/7 300€ 300€ 2 901€ 476€ 238€

Options 847€ 1097€ 16 473€ 3 256€

2 9

5

3

€



B. L’architecture réseau

Pour concevoir l’architecture de Newstore, nous avons étudié trois cas principaux :

Un échantillon Centrale d’achat

Un échantillon Plateforme de stockage

Un échantillon Hypermarchés

Cela nous a permis de concevoir l’ensemble de l’infrastructure qui prendra le relais

du réseau MPLS de l’opérateur Bouygues Télécom. Pour chaque échantillon,

apparaissent, dans le corps de ce document :

Une présentation détaillée du réseau,

Un schéma détaillé.



1. Architecture global

PC Utilisateurs

10.10.2.100 vers 200/23

Téléphones Utilisateurs

10.20.2.100 vers 200 /23

Imprimantes

10.40.2.80 vers 120 /25

Architecture global (Newstore)

Chassis HP 01

Vlan 10 20 40 50 60 70

10.10.3.5/23

10.20.3.5/23

10.40.3.30/25

172.10.2.30/24

172.20.2.30/25

192.168.2.30/25

Chassis HP 02

Vlan 10 20 40 50 60 70

10.10.3.37/23

10.20.3.37/23

10.40.3.62/25

172.10.2.62/24

172.20.2.62/25

192.168.2.62/25

Serveur Blade System

Switch services Centrale d'achat (Couche accès)

SW_CA_03

Vlan 10 20 40 50

10.10.2.3/23

10.20.2.3/23

10.40.2.3/25

172.10.2.3/25

SW_CA_04

Vlan 10 20 40 50

10.10.2.4/23

10.20.2.4/23

10.40.2.4/25

172.10.2.4/25

Bibliothèque de bande HP MSL4048

ROB_SAUV_SA_01

Vlan 50 60

172.10.2.22/25

172.20.2.9/28

Routeur Opérateur Bouygues

Central d achat

Qnap TS-EC1679U-RP Full 64TB

ST_ST_01

Vlan 50 60

172.10.2.150/25

172.20.2.22/28


ROB_SAUV-ST_01

Vlan 50 60

172.10.2.160/25

172.20.2.23/28

Gateway VOIP Plate... stock...

CL_ST_02

Vlan 20 50

10.20.4.11/23

172.10.2.171/25

CL_ST_01

Vlan 20 50

10.20.4.10/23

172.10.2.170/25

Switch central Plate... stock... (Cœur de réseaux)

SW_ST_02

Vlan 10 20 40 50 60

10.10.4.2/23

10.20.4.2/23

10.40.2.130/25

172.10.2.130/25

172.20.2.17/28

SW_ST_01

Vlan 10 20 40 50 60

10.10.4.1/23

10.20.4.1/23

10.40.2.129/25

172.10.2.129/25

172.20.2.16/28


ST_CA_01

Vlan 50 60

172.10.2.20/25

172.20.2.7/28

ST_CA_02

Vlan 50 60

172.10.2.21/25

172.20.2.8/28

Gateway VOIP Centrale d'achat

CL_CA_02

Vlan 20 50

10.20.2.11/23

172.10.2.24/25

CL_CA_01

Vlan 20 50

10.20.2.10/23

172.10.2.23/25

Switch central Centrale d'achat (Cœur de réseaux)

SW_CA_02

Vlan 10 20 40 50 60

10.10.2.2/23

10.20.2.2/23

10.40.2.2/25

172.10.2.2/25

172.20.2.2/28

SW_CA_01

Vlan 10 20 40 50 60

10.10.2.1/23

10.20.2.1/23

10.40.2.1/25

172.10.2.1/25

172.20.2.1/28

Switch Serveur (Couche accès)

SW_AGEN_10

Vlan 10 50

10.10.6.10/23

172.10.3.10/25

SW_AGEN_09

Vlan 10 50

10.10.6.9/23

172.10.3.9/25

Gateway VOIP hypermarché

CL_AGEN_02

Vlan 20

10.20.6.21/23

172.10.3.21/25

CL_AGEN_01

Vlan 20

10.20.6.20/23

172.10.3.20/25


Switch services Plate... stock... (Couche accès)

SW_ST_03

Vlan 10 20 40 50

10.10.4.3/23

10.20.4.3/23

10.40.2.131/25

172.10.2.131/25

SW_ST_04

Vlan 10 20 40 50

10.10.4.4/23

10.20.4.4/23

10.40.2.132/25

172.10.2.132/25

Switch services Plate... stock (Couche accès)

SW_ST_06

Vlan 10 20 40 50

10.10.4.6/23

10.20.4.6/23

10.40.2.134/25

172.10.2.134/25

SW_ST_05

Vlan 10 20 40 50

10.10.4.5/23

10.20.4.5/23

10.40.2.133/25

172.10.2.133/25

Pc Utilisateurs

10.10.4.100 vers 200/23


10.20.5.1 vers 200 /23

Imprimantes

10.40.2.150 vers 224 /23

Switch serveurs Centrale d achat (Couche accès)

SW_CA_05

Vlan 10 20 40 50 60

10.10.2.5/23

10.20.2.5/23

10.40.2.5/25

172.10.2.5/25

172.20.2.3/28

SW_CA_06

Vlan 10 20 40 50 60

10.10.2.6/23

10.20.2.6/23

10.40.2.6/25

172.10.2.6/25

172.20.2.4/28

Switch stockage Centrale d'achat (Couche accès)

SW_CA_08

Vlan 50 60

172.10.2.8/25

172.20.2.6/28

SW_CA_07

Vlan 50 60

172.10.2.7/25

172.20.2.5/28

Switch stockage Plate... stock... (Couche accès)

SW_ST_10

Vlan 50 60

172.10.2.138/25

172.20.2.21/28

SW_ST_09

Vlan 50 60

172.10.2.137/25

172.20.2.20/28Switch serveurs Plate... stock... (Couche accès)

SW_ST_07

Vlan 10 20 40 50 60

10.10.4.7/23

10.20.4.7/23

10.40.2.135/25

172.10.2.135/25

172.20.2.18/28

SW_ST_08

Vlan 10 20 40 50 60

10.10.4.8/23

10.20.4.8/23

10.40.2.136/25

172.10.2.136/25

172.20.2.19/28


Firewall Cyberoam CR100 ING

FR_AGEN_01

Vlan 10 20 30 40 50

10.10.6.51/23

10.20.6.51/23

10.30.2.51/24

10.40.3.51/24

172.10.3.51/25

Switch Ligne de caisses (Couche accès) Switch Ligne de caisses (Couche accès)

Switch Ligne de caisses (Couche distribution)

SW_AGEN_04

Vlan 10 30 50

10.10.6.4/23

10.30.2.4/24

172.10.3.4/25

SW_AGEN_03

Vlan 10 30 50

10.10.6.3/23

10.30.2.3/24

172.10.3.3/25

Switch Ligne de caisses (Couche accès) Switch Ligne de caisses (Couche accès)

Switch HP Ligne de caisses (Couche distribution)

SW_AGEN_06

Vlan 10 30 50

10.10.6.6/23

10.30.2.6/24

172.10.3.6/25

SW_AGEN_05

Vlan 10 30 50

10.10.6.5/23

10.30.2.5/24

172.10.3.5/25

Switch Central hypermarché (Cœur de réseaux)

SW_AGEN_02

Vlan 10 20 30 40 50

10.10.6.2/23

10.20.6.2/23

10.30.2.2/24

10.40.3.2/24

172.10.3.2/25

SW_AGEN_01

Vlan 10 20 30 40 50

10.10.6.1/23

10.20.6.1/23

10.30.2.1/24

10.40.3.1/24

172.10.3.1/25

Switch services hypermarché (Couche accès)

SW_AGEN_08

Vlan 10 20 40 50

10.10.6.8/23

10.20.6.4/23

10.40.3.4/24

172.10.3.8/25

SW_AGEN_07

Vlan 10 20 40 50

10.10.6.7/23

10.20.6.3/23

10.40.3.3/24

172.10.3.7/25

Pc Utilisateurs

10.10.6.100 vers 200/23


10.20.7.1 vers 200 /23

Imprimantes

10.40.3.50 vers 200 /23

Salle Serveur

Légende

Bureaux

Lien commuté

Fibre optique sur

connecteur SFP

Câble Ethernet Blindé

Catégorie 6 IP

Fibre optique sur

connecteur SFP +

Fibre optique inter-batiment

(Centrale d'achat –

Plateforme stockage)

MPLS Réseaux MPLS de Bouygues


Catégorie 6 IP + VOIP

Ligne de caisse

Hypermarché avec option

firewall

Solution deux options serveur

sur site


Hypermarché Type

Chassis HP 01

10.10.6.30/23

Serveur de secoure hypermarché

Pc Utilisateurs

10.10.4.100 vers 200/23

Terminaux de paiement

10.30.2.100 vers 200 /23

FR_AGEN_02

Vlan 10 20 30 40 50

10.10.6.52/23

10.20.6.52/23

10.30.2.52/24

10.40.3.52/24

172.10.3.52/25

Prestataire interbancaire

MPLS

Switch DMZ

SW_CA_DMZ2

Vlan 70

192.168.2.2/27

SW_CA_DMZ1

Vlan 70

192.168.2.1/27

Chassis HP 04

10.10.5.1/23

10.10.5.16/23

10.20.5.1/23

Serveur Blade System

Switch DMZ

SW_ST_DMZ2

Vlan 70

192.168.2.34/27

SW_ST_DMZ1

Vlan 70

192.168.2.33/27

Firewall Plateforme stockage

FR_ST_03

Vlan 10 20 40 50 70

10.10.4.53/23

10.20.4.53/23

10.40.2.227/25

172.10.2.202/25

192.168.2.42/27

FR_ST_04

Vlan 10 20 40 50 70

10.10.4.54/23

10.20.4.54/23

10.40.2.228/25

172.10.2.203/25

192.168.2.43/27

Vlan 10 (Bureautique) : 10.10.0.0/16

Vlan 20 (VOIP) : 10.20.0.0/16

Vlan 30 (TPE) : 10.30.0.0/16

Vlan 40 (Impression) : 10.40.0.0/16

Vlan 50 (Supervision) : 172.10.0.0/16

Vlan 60 (Réplication) : 172.20.0.0/16

Vlan 70 (DMZ) : 192.168.0.0/16

Firewall Centrale d'achat

FR_CA_01

Vlan 10 20 40 50 70

10.10.2.51/23

10.20.2.51/23

10.40.2.100/25

172.10.2.25/25

192.168.2.10/27

FR_CA_02

Vlan 10 20 40 50 70

10.10.2.52/23

10.20.2.52/23

10.40.2.101/25

172.10.2.26/25

192.168.2.11/27

Firewall Centrale d'achat

FR_CA_03

Vlan 10 20 40 50 70

10.10.2.53/23

10.20.2.53/23

10.40.2.102/25

172.10.2.27/25

192.168.2.12/27

FR_CA_04

Vlan 10 20 40 50 70

10.10.2.54/23

10.20.2.54/23

10.40.2.103/25

172.10.2.28/25

192.168.2.13/27

Firewall Plateforme stockage

FR_ST_01

Vlan 10 20 40 50 70

10.10.4.51/23

10.20.4.51/23

10.40.2.225/25

172.10.2.200/25

192.168.2.40/27

FR_ST_02

Vlan 10 20 40 50 70

10.10.4.52/23

10.20.4.52/23

10.40.2.226/25

172.10.2.201/25

192.168.2.41/27

Switch Interne chassis HP B22

Switch Interne chassis HP

6125G

Switch Interne chassis HP

6125G

Switch Interne chassis HP B22



2. La centrale d’achat

Switch HP A5500-24G (JG541A)

Switch Cœur de réseau 5500 24G

SPF (JG543A)

Switch HP A5500-24G (JD377A)

Switch HP 3600 48 POE (JG307A)

Gateway VOIP Cisco 2951

Chassis Blade System HP C7000



MPLS


Architecture réseau Centrale d’achat (Newstore)

Responsable de service AssistanteAcheteurs

Salle Serveur

Légende

Bureaux

Lien commuté

Fibre optique sur

connecteur SFP


Catégorie 6 IP

Fibre optique sur

connecteur SFP +


(Centrale d’achat –






Port en Mode Trunk

Vlan 10 (Bureautique) et 20

(VOIP)

Port en Mode Access

Vlan 40 (Impression)

Vers plateforme de stockage

Firewall Cyberoam CR500 INGRouteur Opérateur Bouygues



La centrale d’achat constitue le cœur du système d’information de Newstore, la partie

essentielle de l’infrastructure centralisée.

a. Firewall

Après le routeur de Bouygues Télécom, nous plaçons deux firewalls redondés

Cyberoam CRI500. Ces firewalls feront de la répartition de charge. Ils ont pour

objectifs :

La gestion des règles de sécurité de l’entreprise,

La redirection NAT des ports,

La prise en charge VPN d’utilisateurs nomade,

La gestion de la Qualité de service (QoS) sur le trafic de l’entreprise,

L’authentification des utilisateurs sur le réseau,

Gestion de la DMZ pour le trafic WEB.

Les deux premiers firewalls gèrent une zone DMZ, zone dite démilitarisée du réseau

Deux autres firewalls relient directement le cœur de réseau.

b. Cœur de réseau

Nous déployons deux switchs de marque HP pour gérer le trafic réseau de l’entreprise.

Ces switchs sont en quelque sorte le pont entre le système d’information, les

utilisateurs et les équipements passifs connectés au réseau. Ce trafic est également

supporté par les technologies SFP, SFP+ et RJ45 catégorie 6A. Nous déployons en

conséquence de la fibre optique multimode OM2 LC/LC sur tous les sites ainsi que

du câblage RJ45 catégorie 6A, c’est une façon cohérente de gérer le trafic.

Le cœur de réseau de la centrale d’achat est composé de switchs HP E5500 qui ont

la particularité de ne gérer que des ports de type SFP. (Voir la fiche technique du

switch dans les annexes).

Les options du cœur de réseau :

Support SFP+ x2, SFP x24, RJ45 x4

Répartition de charge



Agrégation de port (Liaison de deux ports physiques en un lien logique)

Gestion du Spanning Tree (Prévention contre les boucles réseau)

Support POE (Gestion de la VOIP)

Gestion des VLAN (Segmentation des réseaux en plusieurs sous-réseaux virtuels)

c. Couche accès

Nous ne gérons pas de couche de distribution sur la centrale d’achat, les switchs

étant directement connectés aux équipements actifs. Sur la couche d’accès, nous

pouvons compter 3 modèles de switchs, tous redondés, pour répondre à la répartition

de charge et à la redondance.

HP A 5500 déclinaison JG541A

Ce switch est directement connecté au châssis HP (Voir section Les Blade System HP)

de l’entreprise. Il est connecté au cœur de réseau ainsi qu’aux switchs de stockage

par des liens SFP+. Il supporte la liaison SFP vers les switchs du châssis B22 HP.

Les options :

Support SFP+ x2, SFP x4, RJ45x24

Répartition de charges





HP A 5500 déclinaison JD377A

Ce switch fait la liaison entre les éléments de stockage (NAS QNAP, Bandothèque HP)

et le switch serveur. Il gère des modules SFP, mais nous relions les deux switchs

également par une connectique SFP+ cette connectique étant retro compatible. Nous

utilisons le LACP pour faire de l’agrégation de liens sur le NAS et la Bandothèque.

Les options :

Support SFP x4, RJ45x24







HP 3600 déclinaison JG307A

Ce switch permet de gérer la partie « utilisateurs ». Il est directement connecté aux

équipements passifs type ordinateur, imprimante et téléphone. Il est relié au cœur de

réseau de réseau par 4 liens SFP. A noter que les 40 premiers ports du switch sont

en mode trunk pour gérer la VOIP et les 8 derniers en mode accès réservés aux

imprimantes.

Les options :

Support SFP x4, RJ45x48






d. Les modules SFP et SFTP+

Pour interconnecter les différents équipements réseaux avec de la fibre optique, nous

utilisons donc des connecteurs dit SFP (Small from-factor pluggable). Ces modules

font le pont entre la carte mère du switch et la fibre optique elle-même. Ils

s’interconnectent dans des emplacements dédiés, et ont généralement la particularité

de s’insérer à chaud c’est-à-dire l’équipement encore en marche.

Il remplace les anciens modules GBIC. Ils peuvent également supporter les normes

SONET et Gigabit Ethernet). Selon chaque cas il y a plusieurs types de SFP et de

SFP+. Nous utilisons des connecteurs SX 1GB et au format LC fibre optique.

Pour les modules SFP+, nous utilisons des connecteurs de type SR 10 Gb au format

LC fibre optique.



3. La plateforme de stockage

La configuration ci-dessus reflète l’architecture de la plateforme de stockage.

Switch HP 3600 48 POE (JG307B)Switch HP A5500-24G (JG541A)


SPF (JG543A)


Switch HP 3600 48 POE (JG307A)



Routeur Opérateur Bouygues Firewall Cyberoam CR500 INGMPLS

Architecture réseau Plateforme de stockage (Newstore)

Responsable de service AssistanteAcheteur





Salle Serveur

Légende

Bureaux

Lien commuté

Fibre optique sur

connecteur SFP


Catégorie 6 IP

Fibre optique sur

connecteur SFP +


(Centrale d’achat –






UID

HP ProLiantBL465c Gen8

UID


UID


UID


UID


UID


UID


UID


UID


UID


UID


UID


UID


UID



Port en Mode Trunk


(VOIP)

Port en Mode Access





4. Les hypermarchés

La topologie réseau des hypermarchés diffère selon la typologie de celui-ci. Par

exemple, nous devons prendre en compte l’insertion de firewalls supplémentaires selon

le type de liaison avec le MPLS opérateur. De même, les 4 hypermarchés qui sont

raccordés au réseau via le satellite disposent de serveurs locaux donc d’équipements

supplémentaires.

Pour ce faire nous avons mis en évidence ces options sur les schémas d’infrastructure

ou pour le cas particulier des supermarchés raccordés par satellite.

(Voir annexes Schémas avancés d’interconnexion des équipements)

a. La topologie réseau

Le cœur de réseau des hypermarchés sera géré par des switchs HP A5500 redondés

capables aussi de répartition de charge. Selon les cas (Firewall ou non), ils seront à

même de manager la qualité de service qualité de service (QoS) sur le site et le

nattage de port. Dans le cadre de l’option « Serveurs sur site » nous déploierons

deux switchs du même type que le cœur de réseau qui desserviront les serveurs HP.

Le secteur de caisse sera supporté par des liaisons en fibre optique redondées sur

des ports SFP agrégés en LACP. Les services supplémentaires (laboratoire, comptabilité

etc..) seront raccordés via des switchs indépendants, ils seront reliés au cœur de

réseau par une liaison RJ45 redondée.

b. Les spécificités du secteur de caisse

La problématique la plus importante pour un hypermarché est la gestion du secteur

de caisse. Il est clairement défini dans le cahier des charges que les temps de réponse

et d’activité de ce secteur doivent se conformer à des exigences strictes. Nous avons

donc abordé la problématique par ces deux facteurs (rapidité et disponibilité)

Afin d’assurer un temps de disponibilité adéquat, une répartition de charge correcte

ainsi qu’une gestion des risques optimale, nous déployons 26 switchs de 8 ports.

Ainsi, deux caisses seront connectées par un switch. Il est donc possible en cas de

panne d’un équipement de perdre uniquement deux caisses à la fois.



En cas de défaillance sur un des switchs, nous avons aussi prévu dans les deux baies

un switch supplémentaire. Dans ce type de scénario, il ne restera alors qu’à brasser

les prises vers le nouveau switch pour que la production des caisses impactées

reparte.



5. Le cas particulier des hypermarchés non éligibles à un réseau haut-débit

Pour les hypermarchés connectés par une liaison satellitaire, nous nous retrouvons

face à un problème de latence accrue. Là où les liaisons ADSL profitent d’une

interconnexion terrestre et atteignent une latence de 40/ms, la liaison par satellite

multiplie le phénomène de latence. Cela s’explique par le fait qu’une trame doit

parcourir 30 000 km de distance à l’envoi et au retour. Cette distance à parcourir

engendre une latence comprise entre 600/ms pour le meilleur et pouvant atteindre

1400/ms selon les perturbations. Ainsi est-il impossible de gérer les temps de réponse

du secteur de caisse dans les exigences du cahier des charges sur notre infrastructure

centralisée.

Nous avons envisagé plusieurs possibilités pour pallier à cette problématique de la

compression de la trame avec des équipements de type Riverbed ou Fortinet. Cette

solution a un coût élevé trop important pour être retenu. Nous avons donc remédié

à ce problème par la mise en place de serveurs sur site uniquement sur les 4

hypermarchés concernés. Nous installerons deux hyperviseurs en cluster indépendants

qui seront ensuite répliqués pendant la nuit sur la plateforme de stockage.

Dans le cas de figure où le cluster serait hors-service, nous passerons en mode

dégradé, c’est la réplication de la plateforme de stockage qui prendra le relais avec

une latence plus élevée mais une continuité de services assurée. Dans le cas où ce

serait la connexion satellitaire qui serait hors-service, les éléments vitaux de

l’hypermarché seraient de toute façon accessibles en local.

L’ERP étant centralisé, les modifications de données seront transparentes pour les

personnes en charge de la mise à jour des prix. Dans les faits, quand ils saisiront les

prix dans L’ERP Gold Data depuis la centrale de stockage, renseigneront dans les faits

la base de données situés sur l’hypermarché cible.

Les hôtes virtuels des serveurs :

Un Active Directory, en contrôleur de domaine en lecture seule

Un serveur IIS pour héberger l’interface l’ERP



Un serveur de bases de données

Un serveur d’impression

Nous limitons volontairement les hôtes virtuels au strict minimum afin de ne pas

surcharger les serveurs volontairement configuré de manière minimale.

Les serveurs seront identiques :

HP Proliant DL320 E Gen8

1 Pocesseur Intel Xeon 4 Cœur 3.4 GHz

16 Go de mémoire vive

o Disques dur SATA en RAID 5 de 500 Go chacun 7200 Tours

1 Interface réseau 1000 Base T

Les serveurs seront reliés au cœur de réseau par deux switchs HP-A5500 24 ports.



C. Configuration technique

1. La gestion des VLAN

Pour optimiser le réseau de l’infrastructure, nous avons recours à des VLANs (Virtual

Local Area Network) qui permettent de segmenter le réseau en plusieurs sous-réseaux

virtuels. Les avantages de ce type de solution :

Limiter les domaines de broadcast,

Sécurité du réseau,

Gestion du réseau amélioré.

Tous les switchs sur les sites gèrent les VLAN, ce qui nous permet dans un cas

concret de séparer les flux destinés à la téléphonie, des flux destinés au PC. Il existe

3 types de VLANs :

VLAN de niveau 1 (ou VLAN par port) identifie un VLAN en fonction du port du

commutateur,

VLAN de niveau 2 (ou VLAN par adresse MAC) identifie un VLAN en fonction de

l’adresse MAC des postes,

VLAN de niveau 3 : on distingue les VLANs par sous-réseau qui associent des

sous-réseaux selon l’adresse IP source des datagrammes et les VLANs par

protocole qui regroupent les machines par VLAN utilisant le même protocole.

Les VLANs par port associent un port d'un switch à un numéro de VLAN. On dit alors

que le port est tagué suivant le VLAN donné. Le switch entretient ensuite une table

qui lie chaque Vlan au port associé. Le taggage des ports peut se faire de manière

statique ou de manière dynamique (cf. la norme 802.1q)



Nous créons 7 VLAN différents :

VLAN Bureautique 10

VLAN principal

Destinés à la segmentation des flux

utilisateurs.

Encadre les parties :

Le système d’information

Services de l’entreprise

Secteur de caisse

VLAN VOIP 20

VLAN affectés à la téléphonie

Les flux téléphonique

La visio-conférence

VLAN TPE 30 VLAN affecté au flux bancaires

Affecté aux TPE

VLAN Impression 40 VLAN affecté aux impressions

Affecté aux imprimantes

VLAN Supervision 50

VLAN affecté à la supervision des

équipements (SNMP)

Les switchs

Les serveurs

Les routeurs

Les firewalls

Les Gateway VOIP

VLAN Réplication 60

VLAN affecté à la réplication des données

entre la centrale d’achat et la plateforme

de stockage

Les switchs

Les serveurs

Les SAN

VLAN DMZ 70

VLAN affecté à la DMZ hors du périmètre

du réseau d’entreprise. Ne gère que les flux

affectés par le firewall



SW_CA_01

Vlan 10 20 40 50

60

10.10.2.1/23

10.20.2.1/23

10.40.2.1/25

172.10.2.1/24

172.20.2.1/25

SW_CA_06

Vlan 10 20 40 50

60

10.10.2.6/23

10.20.2.6/23

10.40.2.6/25

172.10.2.6/24

172.20.2.4/25

SW_CA_06

Vlan 10 20 40 50 60

10.10.2.6/23

10.20.2.6/23

10.40.2.6/25

172.10.2.6/25

172.20.2.4/28

SW_CA_05

Vlan 10 20 40 50 60

10.10.2.5/23

10.20.2.5/23

10.40.2.5/25

172.10.2.5/25

172.20.2.3/28

SW_CA_08

Vlan 50 60

172.10.2.8/25

172.20.2.6/28

SW_CA_07

Vlan 50 60

172.10.2.7/25

172.20.2.5/28

SW_CA_03

Vlan 10 20 40 50

10.10.2.3/23

10.20.2.3/23

10.40.2.3/25

172.10.2.3/25

SW_CA_04

Vlan 10 20 40 50

10.10.2.4/23

10.20.2.4/23

10.40.2.4/25

172.10.2.4/25 Trunk de port GigabitEthernet 0/3-4

Trunk de port GigabitEthernet 0/1-2

Trunk de port FastEthernet 0/1-40

Port en mode access FastEthernet 0/41-48

Trunk de port GigabitEthernet 0/5-6 Vlan 10,20,40,50,60

Trunk de port GigabitEthernet+ 0/2 GigabitEthernet 0/2

Vlan 10,20,40,50

Port en Mode Access GigabitEthernet+ 0/1Gigabitethernet 0/1

Vlan 60

Trunk de port FastEthernet 0/1-2 Vlan 20,50

Trunk de port GigabitEthernet+ 0/1-2 Vlan 10,20,40,50,60

Trunk de port GigabitEthernet 0/2-3 Vlan 50,60

Trunk de port GigabitEthernet 1GigabitEthernet 4

Vlan 10,20,40,50,60

Trunk de port GigabitEthernet 0/1-2Vlan 50,60

Trunk de port FastEthernet 0/1-3Vlan 50,60

Configuration des Switchs

Switch Virtuel

Switch Physique HP

Gateway VOIP CIsco

VLAN 10 (Bureautique)

VLAN 20 (VOIP)

VLAN 40 (Impression)

VLAN 50 (Supervision)

VLAN 10 (Réplication)

MPLS SFR



2. Le plan d’adressage

L’adressage IP est établi sur le modèle CIDR (Le Classless Inter-Domain Routing) et

nous disposons via le VLSM (masques à longueurs variables) du découpage de plages

d’adresses dont le masque dispose d’une longueur variable. Ainsi, nous avons défini

pour chaque VLAN un adressage spécifique dédié pour faciliter la gestion du réseau.

Ci-dessous est expliqué le modèle de répartition de l’adressage.

(Voir annexe Plan d’adressage IP)

Nous avons 3 types d’adressage différents pour l’architecture :

L’adressage en 10.0.0.0 est destiné aux éléments en contact direct avec les

utilisateurs,

L’adressage en 172.0.0.0 est affecté à l’administration,

L’adressage en 192.0.0.0 est affecté aux éléments externes, en l’occurrence

l’adressage de la DMZ.

En fonction de ces trois types d’adresses chaque VLAN à une affectation d’une rangée

d’adresse IP :

VLAN Bureautique 10 10.10.0.0/16

VLAN VOIP 20 10.20.0.0/16

VLAN TPE 30 10.30.0.0/16

VLAN Impression 40 10.40.0.0/16

VLAN Supervision 50 172.10.0.0/16

VLAN Réplication 60 172.20.0.0//16

VLAN DMZ 70 192.168.0.0/16

L’adressage est ensuite affecté en priorité à la centrale d’achat et à la plateforme de

stockage puis par hypermarché par ordre alphabétique.



Exemple avec une adresse IP du VLAN bureautique de la centrale d’achat :

Le masque de sous-réseau varie en fonction des besoins de chaque plateforme. Par

exemple, nous savons par avance qu’il y aura moins d’imprimante à gérer sur la

centrale d’achat et la plateforme de stockage que dans les hypermarchés. Pour calibrer

au mieux le nombre d’adresses IP à affecter sur le sous-réseau, nous faisons varier

le masque.

Par exemple, sur le VLAN « impressions » nous affectons le sous-réseau 10.40.0.0/16 :

10.40.2.1 - 10.40.2.126 -> sera affecté à la centrale d’achat

10.40.2.129 - 10.40.2.254 -> sera affecté à la plateforme de stockage

10.40.3.1 - 10.40.3.254 -> sera affecté à l’hypermarché d’Agen

Ici, nous constatons que le sous-réseau 10.40.2.0 est découpé en deux, la moitié

attribuée à la centrale d’achat et l’autre à la plateforme de stockage. Pour autant

l’Hypermarché d’Agen ayant un plus grand nombre d’imprimante à gérer à la plage

10.40.3.0 complétement attribué.

Nous pouvons découper en fonction des besoins votre réseau grâce au masque

variable. Ici nous affectons le masque /25 ou 255.255.255.192 à l’adressage 10.40.2.0

ce qui nous permet de disposer de 128 adresses potentielles.

Enfin, dans la mesure du possible, nous écartons les serveurs sur une plage d’adresses

distincte. Par exemple, sur le VLAN Bureautique, les serveurs seront définis sur la

plage d’adresse 10.10.3.0 et non pas 10.10.2.0 qui sera réservée aux utilisateurs.



3. Configuration des switchs

Par souci de clarté, nous n’avons décrit que la configuration des switchs de la centrale

d’achat. Nous prenons en compte que la configuration ci-dessus s’appliquera dans

une moindre mesure aux switchs de la société.

(Voir annexes Type : SW_CA_01 pour la configuration des switch)

Les protocoles utilisés :

STP (Spanning Tree) pour prévenir des boucles locales

LACP (Agrégation de lien) pour redonder et augmenter la bande passante

a. Le routage Inter-VLAN

Pour assurer le routage entre les différents réseaux virtuels que nous avons implanté,

nous avons recours au protocole MLS (Multi Layer Switching). Nous laissons donc la

gestion de routage à la charge des switchs et non pas à des routeurs classiques.

Nous n’utilisons pas les interfaces physiques des switchs mais des interfaces virtuels

(SVI pour Switched Vituel Interface) qui sont les interfaces VLAN pour permettre la

transmission des paquets dans différents domaines de diffusion.

Un routeur traditionnel effectue généralement du routage et de la commutation de

paquet. Les switchs de niveau 3 reprennent ce principe mais la fonction de routage

se fait au niveau physique grâce à l’ASICs (Application specific integrated circuits) et

non pas au niveau logique.

Les trois éléments qui constituent le routage MLS :

Multilayer switching engine (MLS-SE) :

o Gérer la commutation de paquet

o Ecrit les fonctions de l’ASICs

o Identifier les flux de niveaux 3

Multilayer Switching route processor (MLS-RP) :

o Exécute les fonctions de routage

o Transmet les informations au MLS-SE



Multilayer Switching Protocol (MLSP) :

o Tient à jour la table de routage

o Envoie les informations des changements d’adresse mac envoyés par le

MLS-RP vers le MLS-SE

Les MLS fonctionnent sur la couche 3 du modèle OSI. Il faut des switchs dit de niveau

3, c’est-à-dire prenant en charge le routage, pour mettre en place cette infrastructure.

La MLS se démarque par sa simplicité de mise en place. Globalement, il suffit de

déclarer les VLAN sur un switch, configurer les ports souhaités selon le mode d’accès

désiré. Il suffira ensuite d’activer le routage et de déclarer les SVI en attribuant à

chaque VLAN une adresse IP dans le sous-réseau souhaité.

Le routage inter-vlan n’est plus dépendant de la bande passante d’une liaison physique.

De plus, il est facilement extensible, il suffit de créer un nouveau VLAN et une nouvelle

SVI associée.



b. Le STP en détail

Les réseaux commutés de type Ethernet doivent avoir un chemin unique entre deux

points, cela s'appelle une topologie sans boucle. Le Spanning Tree est une

technologique spécifique qui permet d’assurer une topologie réseau sans boucles. Par

ailleurs, c’est une sécurité supplémentaire qui prévient toute défaillance du système.

Aussi est-il intéressant de s’attarder sur ce rôle.

Votre infrastructure prévoit de doubler les équipements réseaux. Mais cela a pour effet

d’engendrer des boucles locales. Dans les faits, avec quatre switchs connectés

ensemble vont envoyer des demandes en continu les uns répondant aux autres. Ce

phénomène est appelé « Tempête de broadcast ». C’est ici que le Spanning Tree,

protocole de niveau 2, rentre en jeu, pour éviter ce phénomène, il va bloquer un port

sur chaque switch afin qu’une seule connexion ne soit active. En cas de coupure sur

un lien, il active automatiquement le deuxième port jusqu’ici suspendu pour assurer

la continuité de service.

Comme son nom l’indique le Spanning Tree va s’appuyer sur une arborescence en

arbre. Il s’agit d’élire un commutateur principal nommé « Root », dans le cas présent,

nous choisissons le commutateur du cœur de réseau en configurant la priorité de

nos switchs. Nous activons également le protocole sur les switchs qui suivent mais en

priorité secondaire.

Le commutateur racine (switch Root) est le point central de l'arbre STP. Chaque switch

est repéré par un identifiant ID qui comporte deux parties :

la priorité (2 octets)

l'adresse MAC (6 octets).

La priorité gérée par le protocole 802.1d (STP) est par défaut : 32 768 (soit 0x80

00). Un switch avec une priorité par défaut et avec, par exemple, l’adresse MAC

00:A0:C5:12:34:56, prendra ainsi l'ID 8000:00A0:C512:3456. Au final, c’est le switch qui

aura l'identifiant (ID) le plus faible qui sera élu commutateur racine.



c. Le LACP en détail

LACP (Link Agrégation Control Protocol) et un protocole de niveau 2 du modèle qui

OSI qui permet le rassemblement de plusieurs liens physiques en un seul port logique.

Le protocole LACP offre la mise en place d’agrégat de liens autorisant le regroupement

de plusieurs liens physiques en un seul lien logique et ainsi l’améliorer des

performances en termes de bande-passante, de haute disponibilité et de répartition

de charge.

Cette notion de réseau informatique décrivant l'utilisation de plusieurs câbles ou ports

réseau afin d'accroître le débit d'un lien au-delà des limites d'un seul lien, ainsi que

d'accroître la redondance pour une meilleure disponibilité s’appuie sur la norme à la

Ethernet IEEE 802.3-2005, plus souvent rencontrée sous le nom « IEEE 802.3ad ».

Cela permet donc :

Augmentation de la bande passante,

Répartition de charge,

Tolérance de pannes.

Il est possible de lier jusqu’à 16 ports donc un maximum de 8 qui seront actifs. Trois

statuts de port sont disponibles :

Active : initie la connexion

Passive : attend le requête d’initiation

On : les deux équipements sont normalement sur ce même mode.

La répartition de charge est géré par un Hash XOR (OU exclusif) qui combine :



adresse @ : et / ou destination,

adresse IP : et ou destination,

Port applicatif: destination.

Points essentiels

o Une offre opérateur Bouygues télécom adaptée aux besoins de chaque structure

o Solution Mpls pour 48 Hypermarchés et la centrale et la plateforme

o Solution VPN synchro pour 4 Hypermarchés

o Utilisation de multi-technologie SDSL, ADSL, Satellite

o Tous vos sites bénéficient d’une solution de secours Backup

o Architecture centralisée avec point névralgique « Centrale d’achat / Plateforme de stockage »

o Fibre optique dédiée « Centrale d’achat / Plateforme de stockage »

o Equipementier HP pour la gestion du réseau

o Option au cas par cas pour répondre au besoin de chaque hypermarché

o Segmentation du réseau par des sous-réseaux virtuels

Phase de conception : l’architecture système


V. Phase de conception : l’architecture système

L’architecture système est elle aussi entièrement redondée et repose sur le couple

des technologies HP et Microsoft pour assurer une très haute qualité de service. Nous

utilisons des Blade System C7000 pour accueillir les serveurs de l’entreprise, c’est une

nouvelle technologie qui permet de réduire les coûts du projet et optimiser le Total

Cost of Ownership. Ils apparaissent en position de leader incontesté dans Magic

Gartner 213 concernant les Blades.

Vous pouvez consulter à ce sujet le Magic Quadrant for

Blade Servers du 29 April 2013 ID:G00250031. Analyst(s):

Andrew Butler, George J. Weiss

http://www.gartner.com/technology/reprints.do?id=1-1FGKRJ6&ct=130506&st=sb

En effet, nous vous faisons entrer à grand pas dans la virtualisation du système

d’information. Nous vous offrons de profiter au maximum des avantages de cette

technologie désormais efficace et mature, supportée par Hyper-V (Virtualisation

Microsoft). Microsoft se positionne en 2013 en position de challenger très agressif de

WMware dans la course aux infrastructures virtualisées.

Voir sur ce sujet le Magic Quadrant for x86 Server

Virtualization Infrastructure

27 June 2013 ID:G00251472

Analyst(s): Thomas J. Bittman, George J. Weiss, Mark

A. Margevicius, Philip Dawson

http://www.gartner.com/reprints/vmware-vol4?id=1-1GRGRRU&ct=130702&st=sb







A. Les équipements physiques

1. Les Blade System HP

Nous profitons d’une infrastructure HP, via la technologie Blade System C7000. Nous

mettons en place deux systèmes de ce type dans la centrale d’achat. Ces systèmes

seront tous les deux en répartition de charge et en haute-disponibilité. Ainsi, si un

des deux systèmes s’avèrent hors service, le deuxième prendrait toujours le relais. En

cas de coupure de service sur le site de la centrale, nous avons comme prévu une

réplication de ce système sur la plateforme de stockage. Comme vu précédemment

cette réplication est isolée par une configuration réseau spécifique (VLAN) et relayée

par une fibre optique inter-bâtiment dédiée.

a. Le système HP Blade C7000 permet une consolidation du SI via :

Des économies d’énergie,

Une optimisation de la maintenance,

Les coûts d’entretien plus bas,

L’évolutivité du système

2 Switchs 6125G HP Ethernet

2 Switchs B22 HP Fiber Channel

La parfaite intégration du réseau est garante d’une productivité accrue.

b. Lame Proliant

Les lames sont des serveurs encastrables dans le châssis HP. Ils sont deux fois plus

petits qu’un serveur rack classique. Ces System Blade compteront au total par châssis :

16 Lames HP ProLiant BL465,

32 Disques SAS 15K 146GB,

2 Processeurs AMD Opteron 12 Cœurs

64 Giga Mémoire Vive,

4 Interfaces réseau 10 GbE,

1 carte HBA avec 2 ports 4Gbs FC.

Les System Blade C7000 embarquent des switchs spécifiques gérant la connectique

SFP (fibre optique) et RJ45 (Ethernet). Ces switchs sont le pont entre le cœur de



réseau et les systèmes virtuels hébergés par les Blades. Ci-dessous la vue arrière de

l’interconnexion afin d’assurer la répartition de charge et la redondance du système.



Switch HP A5500-24G (JG541A)Chassis Blade System HP C7000

Stack des Switchs

Interconnection des chassis

Liens SFP

Architecture switch interne Blade C7000 (Vue arrière)




2. Les IPSAN QNAP et la Bandothèque

a. Le système de stockage Qnap :

Le stockage (Voir section Le stockage) repose sur une architecture IpSAN. Le stockage

de type NAS permet de mutualiser les ressources de stockage grâce à des cibles

ISCSI montées entre les serveurs et le système de stockage. Cela offre des avantages

que l’on ne trouvera sur des types de stockage de type NAS par exemple :

Accès au disque bas niveau

Disponibilité du stockage (redondance)

Evolutivité du système (ajout de disque)

Réplication du système

Support des technologies associées (Fibre Channel, ISCSI, FCoE)

La sécurité des données

Multi-support des OS

Nous utilisons un NAS Qnap TS-EC1679U-SAS-RP pour la partie stockage.

1 CPU 4 Cœur Intel Xeon E3-1245,

16 Baies disque,

Débit de 3.000+ MB/s et 400.000+ IOPS,

Mise en cache SSD, volume à allocation dynamique

Port Gigabit RJ-45,

Support ISCSI,

11 disques Seagate Nearline ST6000NM004 6TB 3’’5

7200RPM connectique SAS 6gbit/s

Disques SSD ATA OCZ-Vertex4 512 GB SATA III

b. Le système de sauvegarde HP :

Nous préconisons un système de sauvegarde sur bande qui dispose de nombreux

avantages si nous le comparons à un système sur disque. Hormis le coût de revient,

on peut très bien évoquer la sécurité et de longévité des sauvegardes. C’est pourquoi

nous avons recours à une bandothèque HP pour effectuer les sauvegardes. En cas

de sinistre nous estimons qu’il est toujours préférable de disposer de bande de

sauvegarde à disposition sur un autre site afin de restaurer la production.

Il y aura donc deux systèmes, la bandothèque MSL4048 qui sera sur la centrale

d’achat, et la bandothèque MSL qui sera sur la plateforme de stockage, cette dernière

ne sera utiliser qu’en cas d’incident grave nécessitant la restauration de données du

système d’information.



HP MSL4048

Support des formats LTO-6, LTO-5, LTO-4,

72 TO natif soit 144 TO Compressés,

Chiffrement AES 256 bits,

Transfert 2TO/H,

48 logements.



B. Le système de virtualisation

Pour virtualiser les serveurs, nous avons recours au système Hyper-V de Microsoft.

Nous mettrons en place une licence Microsoft Serveur 2012 R2 Edition Datacenter sur

chaque serveur Lame ProLiant G465. Chaque serveur pourra ensuite héberger des

hôtes virtuels qui profiteront de la licence de l’hôte parent.

1. Les hôtes virtuels

Nous comptons 16 hôtes Hyper-V qui seront doublés par un cluster soit 32 Hôtes sur

la centrale d’achat. En partant du fait que ces 16 hôtes seront également répliqués

sur la plateforme de stockage toutes les 5 minutes.

Les hyperviseurs seront découpés en trois catégories distinctes :

Hyperviseur Pilote : 2 hôtes hébergeant les services Active Directory, DNS, DHCP

Hyperviseur Administration : 4 Hôtes hébergeant les applications et les services

autres que l’ERP

Hyperviseur Métier : 10 Hôtes hébergeant L’ERP et les Editions

a. Hyperviseur Pilote

Les Hyperviseurs Pilotes sont réservés au service d’annuaire. Nous intégrons de ce

fait sur ces serveurs :

Active Directory

DNS

DHCP

b. Hyperviseur Administration

Les Hyperviseurs d’administration sont réservés aux services généralement dédiés au

Service informatique de l’entreprise. Nous y hébergerons les solutions de sauvegarde,

de supervision, les services Microsoft etc…

Serveur de fichiers

Serveur de sauvegarde

Serveur de supervision

Serveur Direct Access

Serveur Asterisk

Serveur de développement

Serveur Sophos

Serveur TSE

Serveur WDS et WSUS



La liste est non exhaustive et peut s’adapter en fonction des demandes et des besoins

de Newstore.

c. Hyperviseur Métier

Ils regroupent tous les hôtes virtuels dédiés à l’ERP et aux bases de données. Chaque

hypermarché dispose de sa propre BDD et de son propre serveur IIS. Nous répartissons

les hôtes de la manière suivante :

1 hyperviseur pour 9 Hypermarchés par lames serveurs : soit deux hôtes virtuels

dédiés par hypermarchés

2 hyperviseurs pour les Editions des impressions de l’ERP

2 hyperviseurs pour les bases et les tests



2. Cluster

a. Généralités

Un cluster de basculement est une technologie de haute disponibilité. On utilise cette

technologie dans le cadre d’un PCA afin d’assurer un service en continu sans

interruption. Dans les faits, c’est un ensemble d’éléments physiques connectés entre

eux qui utilisent des technologies identiques. Cette technologie s’applique aussi bien

à des serveurs, qu’à des switchs ou encore des firewalls. Elle permet généralement la

répartition de charge. C’est ce que l’on appelle le mode actif/actif.

Dans notre projet nous utilisons cette technologie principalement sur les serveurs

Hyper-V de Microsoft. Via l’ajout du rôle cluster de basculement, ajouter sur les 32

hyperviseurs de la centrale d’achat. Une fois mise en place, la solution sera aisée à

maintenir pour le service informatique, en cas de panne, le cluster se chargera de

basculer automatiquement les rôles des hôtes d’un nœud à l’autre. Le stockage étant

sur l’IPSAN QNAP nous ne risquons aucune perte de données.

b. Le fonctionnement

Le cluster de basculement fonctionne sur un principe de nœud, d’adresse IP flottante

et d’une partition témoin qui se chargera d’élire le hyperviseur actif.

Les Nœuds appelés « Node » en anglais sont les serveurs physiques du cluster.

IP flottante : Lors de la création du cluster une adresse IP virtuelle est créée

pour le cluster. Ainsi les serveurs actifs de la grappe seront accessibles depuis

cette adresse IP virtuelle. En cas de panne, les adresses IP flottantes sont

remontées sur les serveurs de secours et, de ce fait, les hôtes virtuels seront

toujours accessibles de façons transparentes pour l’utilisateur.

Le bus de communication sera de l’ISCSI. Les serveurs pour communiquer avec

le stockage grâce à cette technologie (Voir annexe Serveur cible Iscsi sur l’IPSAN)

Le Quorum héberge une partie de la configuration du cluster. Au démarrage il

permet distribuer la configuration au nœud actif dans le cluster. Mais son rôle

le plus important et d’arbitrer le prise de rôle active passive sur le cluster, il

s’assure que les rôles ne soient monté que sur les nœuds principaux pour éviter

le split-brain.

Le split-brain : Ce phénomène survient quand deux nœuds d’un cluster sont

déconnectés du réseau. Le cluster surveille le réseau pour assurer la bascule : si ce

dernier ne répond plus. Les deux vont alors requêter pour essayer de récupérer le



rôle maitre du cluster, en démarrant des services déjà actifs. Ce phénomène peut

entrainer des pertes de données, une perturbation du réseau ou de la duplication de

service. Le Quorum permet de gérer ce phénomène en arbitrant la décision du maitre.

(Voir annexes Hyper-V cluster et réplication pour la documentation technique)

c. La réplication

La réplication de données à la différence du cluster intervient dans un PRA. Elle

permet d’anticiper un incident, panne ou autre facteur d’interruption de service. Dans

un cas concret celle-ci permet de relancer l’exploitation du système après un certain

temps d’inactivité, ce qui sous-entend une coupure de service. Pour limiter l’impact de

cette coupure le système repart à la dernière réplication effectuée, en minute ou en

heure.

Nous avons recours à la réplication pour répondre à un scénario d’interruption de la

centrale d’achat. Si cette dernière est mise complétement hors service, le système

sera prêt à repartir sur la plateforme de stockage, via une réplication des données à

5 minutes. Nous serons dans ce cas dans un mode dit dégradé. A la différence de

la haute disponibilité du cluster, dans le mode dégradé la production complète de

l’entreprise s’effectuera sur une seule entité et non pas deux. La priorité ne sera alors

plus d’assurer un temps de réponse minimal aux utilisateurs mais d’assurer une

disponibilité du service le temps que la centrale d’achat redevienne opérationnelle. Les

salariés seront donc prévenus en conséquence qu’ils ne pourront s’attendre à un

temps de réponse optimal.

Dans le cas de figure du mode « Dégradé » pour alléger le système de secours nous

ne répliquerons que les hôtes définis comme étant critique pour l’entreprise. Cela

permettra de décharger la charge du système de secours pour assurer la production

des points vitaux de l’entreprise avant tout. Ces hôtes définis comme étant critique :

Les hôtes étiquetés « Critiques » seront répliqués

Les hôtes étiquetés « ERP » seront répliqués

Les hôtes étiquetés « Divers » ne seront pas répliqués

Pour décharger le trafic réseau principal de l’entreprise de la réplication du système

toutes les cinq minutes, nous avons passé entre les deux bâtiments Centrale d’achat



et plateforme de stockage de la fibre optique dédiée. Par ailleurs les flux de la

réplication seront segmentés par un Vlan et sous-réseau dédié.



OS : Windows 2012 R2IP : 10.10.3.100-101/23IP : 172.10.2.100-101/24

Serveur de Fichiers,

TreeSize, Archives

OS : CentOS 6IP : 10.10.3.222/23IP : 172.10.2.222/24

Serveur Rancid, Gestion

des Switchs HP (Sauvegarde

configuration)

OS : Windows 2012 R2IP : 10.10.3.102/23IP : 172.10.2.102/24

Serveur de développement, Microsoft SQL Serveur, Crons, Taches

planifié, Visual Studio

OS : Windows 2008 R2IP : 10.10.3.107-108/23IP : 172.10.2.107-108/24

Serveur TSE, Session à

distance, Application et déploiement à

distance

OS : Windows 2008 R2IP : 10.10.3.103/23IP : 172.10.2.103/24

Serveur de sauvegarde, Veeam Backup et réplication,

NTP (serveur de temps)

OS : Windows 2008 R2IP : 10.10.3.104-105/23IP : 172.10.2.104-105/24

Serveur sécurité, Sophos

Security Enpoind Server

OS : Windows 2012 R2IP : 10.10.3.1/23IP : 172.10.2.46/24

Serveur Active Directory

DHCP, DNS

OS : Debian 6IP : 10.10.3.223/23IP : 172.10.2.223/24IP : 192.168.2.33/25

Serveur Owncloud,

Gestion des fichiers et contact

fournisseur

OS : Windows 2012 R2IP : 10.10.3.11/23IP : 10.40.3.36/25IP : 172.10.2.36/24IP : 172.20.2.36/25

Hyper-V


Hyper-V

Critique

OS : Windows 2012 R2IP : 10.10.3.2/23IP : 172.10.2.47/24


DHCP, DNS

OS : Windows 2008 R2IP : 10.10.3.109/23IP : 172.10.2.109/24IP : 192.168.2.31/25

Serveur de Nomadisme,

Direct Access, Connexion VPN

OS : Cent OS 6IP : 10.10.3.106/23IP : 172.10.2.106/24

Serveur de supervsion,

Centreon, Nagvis, Nagios, Postfix

OS : Windows 2012 R2IP : 10.10.3.111/23IP : 172.10.2.111/24

Serveur ERP Gold, Gestion centralisé Hypermarché Lille

OS : Windows 2012 R2IP : 10.10.3.163/23IP : 172.10.2.163/24

Serveur ERP Gold, Gestion centralisée Hypermarché Porto


Serveur de Windows update,

gestion des mises à jours, clients /

serveurs

OS : Debian 6IP : 10.10.3.224/23IP : 172.10.2.224/24

Serveur de Déploiement, PXE + image

Windows

OS : Debian 6IP : 10.10.3.225/23IP : 172.10.2.225/24IP : 192.168.2.34/25

Serveur Web Apache, Formulaire et Connexion FTP

marketing


Serveur impression

OS : Windows 2012 R2IP : 10.10.3.164/23IP : 172.10.2.164/24

Serveur Base Oracle,

Hypermaché Lille

OS : Windows 2012 R2IP : 10.10.3.216/23IP : 172.10.2.16/24

Serveur Base Oracle, Hypermarché Lille

ERP


Serveur impression

Cluster Hyper-V

Cluster Active Directory

Cluster IIS

Cluster SQL Serveur

Service Office 365 de Microsoft Plan E2 entrepriseExchange, SharePoint, ITunes

OS : Windows 2012 R2IP : 10.10.3.3/23IP : 172.10.2.48/24


DHCP, DNS

OS : Windows 2012 R2IP : 10.10.3.4/23IP : 172.10.2.49/24


DHCP, DNS


Hyper-V

OS : Windows 2012 R2IP : 10.10.3.6/23IP : 10.20.3.6/23IP : 10.40.3.31/25IP : 172.10.2.31/24IP : 172.20.2.31/25IP : 192.168.2.31/25Hyper-V


OS : GNU/LinuxIP : 10.10.3.226/23IP : 10.20.3.20/23IP : 172.10.2.226/24

Serveur de Asterix Call manager

Architecture système d'information virtualisé

OS : Linux Centos 6.5IP : 172.10.2.227/24

Serveur de traçabilité SPLUNK



3. Les switchs virtuels

Sur chaque hôte Hyper-V, nous allons créer des commutateurs virtuels. Ces

commutateurs seront affectés aux VLANs (Virtual Lan). Ceux-ci ont été créés au

préalable via nos switchs HP. Cette affectation se fera grâce au TAG du Vlan. Chaque

machine aura ensuite une ou plusieurs cartes réseaux attribuées, elles communiqueront

ainsi dans le VLAN auquel elles sont affectés.



OS : Windows 2012 R2IP : 10.10.3.100-101/23

IP : 172.10.2.100-101/24


TreeSize, Archives

OS : CentOS 6IP : 10.10.3.222/23

IP : 172.10.2.222/24

Serveur Rancid, Gestion

des Switch HP (Sauvegarde

configuration)

OS : Windows 2012 R2IP : 10.10.3.102/23

IP : 172.10.2.102/24

Serveur de développement, Microsoft SQL Serveur, Crons, Taches

planifié, Visual Studio

OS : Windows 2008 R2IP : 10.10.3.107-108/23

IP : 172.10.2.107-108/24

Serveur TSE, Session à

distance, Application et déploiement à

distance

OS : Windows 2008 R2IP : 10.10.3.103/23

IP : 172.10.2.103/24

Serveur de

sauvegarde, Veeam Bakcup

& Replication, NTP (serveur de temps)

OS : Windows 2008 R2IP : 10.10.3.104-105/23

IP : 172.10.2.104-105/24

Serveur sécurité, Sophos

Security Enpoind ServerServeur Owncloud,

Gestion des fichiers et contact

fournisseur

OS : Windows 2008 R2IP : 10.10.3.109/23IP : 172.10.2.109/24

IP : 192.168.2.31/25

Serveur de Nomadisme,

Direct Access, Connexion VPN

OS : Cent OS 6IP : 10.10.3.106/23

IP : 172.10.2.106/24

Serveur de supervsion,

Centreon, Nagvis, Nagios, Postfix

OS : Windows 2012 R2IP : 10.10.3.111/23

IP : 172.10.2.111/24

Serveur ERP Gold, Gestion centralisé Hypermarché Lille

OS : Windows 2012 R2IP : 10.10.3.163/23

IP : 172.10.2.163/24

Serveur ERP Gold, Gestion centralisée Hypermarché Porto

OS : Windows 2008 R2IP : 10.10.3.110/23IP : 172.10.2.110/24

IP : 192.168.2.32/25

Serveur de WSUS, gestion des

mises à jour, clients / serveurs

Serveur de Déploiement, PXE + image Windows

OS : Debian 6IP : 10.10.3.225/23IP : 172.10.2.225/24

IP : 192.168.2.34/25

Serveur Web Apache, Formulaire et Connexion FTP

marketing

OS : Windows 2012 R2IP : 10.10.3.217/23IP : 10.40.3.100/25

IP : 172.10.2.217/24

Serveur impression

OS : Windows 2012 R2IP : 10.10.3.164/23

IP : 172.10.2.164/24

Serveur Base Oracle,

Hypermaché Lille

OS : Windows 2012 R2IP : 10.10.3.216/23

IP : 172.10.2.16/24

Serveur Base Oracle, Hypermaché Lille

OS : Windows 2012 R2IP : 10.10.3.221/23IP : 10.40.3.105/25

IP : 172.10.2.21/24

Serveur impression

OS : Debian 6IP : 10.10.3.223/23IP : 172.10.2.223/24

IP : 192.168.2.33/25

OS : Debian 6IP : 10.10.3.224/23

IP : 172.10.2.224/24

OS : GNU/LinuxIP : 10.10.3.226/23IP : 10.20.3.20/23

IP : 172.10.2.226/24

Serveur de Asterix Call manager

Architecture Vswitch Hyper-V

Vlan 10Réseau 10.10.2.0/23

Vswitch Bureautique

Vlan 20Réseau 10.20.2.0/23

Vswitch VOIP

Vlan 40Réseau 10.40.2.0/25

Vswitch Impréssion

Vlan 60Réseau 172.20.2.0/28

Vswitch Réplication

Vlan 70Réseau 192.168.2.0/27

Vswitch DMZ

Vlan 50Réseau 172.10.2.0/25

Vswitch Supervision



Hyper-V

OS : Linux Centos 6.5

IP : 172.10.2.227/24

Serveur de traçabilité SPLUNK



4. La convention de nommage

Pour une simplicité d’organisation nous avons défini une charte de nommage des

équipements de l’entreprise. Cette charte présente plusieurs avantages :

Simplicité d’organisation,

Gestion améliorée des équipements,

Traçabilité des opérations,

Dépannage optimisé.

Toutes ces informations sont consignées dans un classeur Excel et reportées sur les

systèmes de gestion des équipements grâce à GLPI. Ainsi chaque membre du SI ayant

les droits adéquats sera à même d’intervenir rapidement sur un équipement cible. On

distingue deux types de normes.

Les équipements réseaux :

Deux premières lettres pour référencer le type d’équipement : SW pour switch,

Le nom de la plateforme pour localiser l’équipement : AGEN pour une switch

situé à Agen,

Deux chiffres pour le numéro de l’équipement : 01.

Exemple : Pour le premier switch situé à Agen « SW_AGEN_01 »

Les serveurs (correspond au nom NETBIOS) :

Chaque serveur commence par les lettres NS pour Newstore,

Deux lettres ou plus pour référencer la localisation : centrale d’achat = CA,

Quatre lettres pour indique le rôle du serveur : WSUS pour Windows Update par

exemple,

Enfin 3 chiffres pour indiquer le numéro du serveur

Exemple : Pour un serveur Direct Access situés à la centrale d’achat « NSDCDIAC001 »



C. L’infrastructure Active Directory et la gestion documentaire

1. Les services d’annuaire

a. Généralités

Nous utiliserons comme annuaire d’entreprise le service de Microsoft Active Directory.

Celui-ci présente plusieurs intérêts qui nous seront utiles :

Une base de données centralisée dans un contrôleur de Domaine,

La jonction via DNS,

Les possibilités de Clustering,

La gestion de réplication,

L’affiliation de Gestion de stratégie de groupe,

L’organisation via des OU,

L’intégration d’Objets,

Gestion des Droits NTFS,

Prise en charge par Centreon,

Prise en charge par GLPI,

Prise en charge par Cyberoam,

Prise en charge par Visual Studio.

Nous repartirons sur une nouvelle infrastructure Active Directory. Pour intégrer les

éléments tels que OU, Utilisateurs et Groupe nous utiliserons des scripts qui

permettront de créer ces entités. Nous gèrerons par ailleurs les Serveurs, Ordinateurs

Clients et Imprimantes directement par l’Active Directory.



Comme le Screenshot ci-contre le montre, nous

avons créé une Unité d’organisation pour

chaque Hypermarché ainsi que pour la centrale

d’achat et la plateforme de stockage. Nous

pourrons ainsi gérer les droits directement sur

les Unités d’Organisation ce qui facilitera la

gestion des Stratégies de Groupes.

Les OU des hypermarchés respecteront le

nommage suivante :

NS : Pour Newstore

OU : Pour unité d’organisation

XXXX : Correspond aux trois ou quatre

premières lettres des villes des hypermarchés.

En cas de nom identique, ces chiffres seront

compétés d’un numéro du 01, 02, 03 etc…

Pour chaque OU nous créerons les sous

unités suivantes :

Utilisateurs : contiendra les utilisateurs de

l’entité concernés,

Services : contient les groupes affecter à

chaque entités (Comptabilités, Laboratoire

etc.),

Postes : contiendra les Ordinateurs clients,

Imprimantes : contiendra les imprimantes du

site affecter,

Corbeille : Chaque objet qui ne sera plus

utilisé sera désactivé et placé dans la Corbeille. Tous les mois, une purge

des éléments sera effectué sur ces OU



b. Les groupes de sécurité

Les groupes de sécurité nous servirons à sécuriser le système d’information. Ils auront

pour but de rassembler un ensemble d’objets (Utilisateurs, ordinateurs, contact) sous

une même entité afin de délivrer un service à celui-ci. Ces groupes peuvent êtres de

deux types :

Groupe de distribution : sans notion de sécurité

Groupe de sécurité : avec un SID pour sécuriser le système d’information

Nous prenons en compte que les besoins de sécurité et d’administration évoluent

constamment ainsi nous présenterons un échantillon des groupes de l’Active Directory.

Cette liste n’est pas la représentation réelle des besoins de Newstore. Nous adapterons,

par la modification, l’ajout ou la suppression les besoins de la société de sorte que

ces groupes soient calqués sur mesure à l’entreprise. Ces modèles serviront justement

de base à la création des autres entités.

Tous les groupes respecteront la dénomination suivante :

FR ou PT : Selon la géolocalisation

o FR : France

o PT : Portugal

NS : Faisant référence à Newstore il est ainsi possible d’envisager un croisement

avec une autre forêt portant un dénominateur différent

Le rôle : définit le rôle du groupe

o APP : Rôle applicatif sera utilisé pour le déploiement d’application,

o DIR : Rôle attribué aux directions de chaque entité,

o SRV : Rôle attribué aux services de la société,

o INT : Rôle attribué aux échanges inter-service,

o ADM : Rôle réservé au groupe d’administration,

La localisation : le reste du nom du groupe sera complété par la localisation

du groupe ex : pour l’hypermarché d’Agen : HYPER-Agen

Les espaces seront remplacés par le signe suivant : –

Aucune minuscule sur les noms de groupe ou de caractères spéciaux

Chaque groupe comportera une description de son rôle

Les groupes seront des groupes de type « Global » le service d’annuaire ne

comportant qu’un seul domaine.

(Voir annexe Plan groupes Active Directory)



2. La Gestion documentaire du système d’information

La gestion de la diffusion de données du système d’information est un point important

de la sécurité de l’entreprise. A l’heure du tout internet, la diffusion ou la divulgation

d’information doit être encadré et répondre à des règles strictes. Aussi nous

préconisons à Newstore d’encadrer la gestion documentaire par une charte de sécurité

préalablement signée des utilisateurs (Voir annexes L’analyse des risques).

Le Gestion documentaire sera composée en deux parties :

Les serveurs de fichiers

SharePoint Office 365

a. Les serveurs de fichiers

La partie connectée correspond au serveur de fichier que nous mettrons en place sur

les Hyper-V. Ils répondront à ces règles :

Un disque de données sera partagé par serveur

« lecteur E : »

Un dossier « Donnees_Entreprise » hébergera

toutes les données partagées de l’entreprise

Des droits NTFS seront mis en place pour chaque

dossier,

Chaque site géographique disposera d’une

arborescence de fichier propre : centrale d’achat,

plateforme de stockage, hypermarché 1 etc,

Un fichier « Commun » sera créé pour chaque

site « Racines » afin de faciliter l’échange inter-

sites, hormis ce dossier, il ne sera pas possible

pour un utilisateur d’Agen d’avoir accès au dossier

de l’Hypermarché de Lille,

Chaque service disposera d’une arborescence dite

« Générale », une déclinaison de ces dossiers sera

ajoutée pour chaque dossier « Site »

Chaque « Entité » disposera d’un dossier nommé

« Archives », celui-ci hébergera les données non

utilisées de par leur ancienneté,

Un dossier « Donnees_Utilisateurs » hébergera les

profils délocalisés des utilisateurs. Ce dossier ne

sera pas visible, mis à part pour les

administrateurs du système d’information

La technologie DFS sera utilisée sur les serveurs de fichiers afin de rendre la

Gestion documentaire transparente et accessible d’un seul point.



b. SharePoint Office 365

Le mode déconnecté accessible via les fonctionnalités « SharePoint » voir ci-dessous,

accueillera les documents partagés et accessibles hors réseau Newstore. Ils seront

stockés sur un intranet sécurisé, hébergé sur les serveurs de Microsoft. Nous

conseillons également à Newstore d’établir une politique de sécurité pour ces données,

afin de ne pas laisser de documents confidentiels sur des serveurs dont elle n’est

pas totalement maitre.

Espace personnel

o Chaque utilisateur disposera de l’outil OneDrive. Une connexion sera

effectuée entre ces outils et l’espace personnel de « SharePoint ». Ainsi

les utilisateurs disposeront d’un espace de stockage accessible depuis

l’extérieur, de manière sécurisée

Espace Commun

o Des groupes de sécurité seront créés sur Office 365 pour chaque « Site »

et chaque « Services »

o Des dossiers seront créés sur bibliothèques « SharePoint » dédiées pour

chaque « Site » et chaque « Service »

o Les groupes de sécurité seront ensuite affectés au dossier préalablement

créé

o Chaque utilisateur sera propriétaire des documents mis en ligne et pourra

partager ces documents en définissant les droits d’accès qu’ils souhaitent

avec les collègues de travail

Nous pourrons adapter les besoins de cet outil en fonction des besoins de la société.



D. Le système de stockage et de sauvegarde

1. Le stockage

Comme décrit précédemment dans la documentation ci-dessus, le stockage dépendra

d’un IpSAN Qnap. Pour autant ce système ne couvrira que la partie Data du stockage.

Il faut également prendre en compte la partie système qui sera directement hébergée

sur les serveurs physiques.

146 GO par disques physiques des lames Proliant soit 32 disques pour un

châssis

11 baies de 6 TO chacun soit 66 TO par IpSAN

5 Baies de 512 GO chacun soit 2,5 TO pour le cache SSD

a. Le RAID

Pour sécuriser les données et éviter toute perte d’information, nous avons recours à

un système de RAID sur les disques. Ce système repartit l’écriture d’une donnée sur

plusieurs disques physiques. Il y a plusieurs avantages à cette technique et notamment

l’amélioration des performances et la tolérance de pannes par exemple.

Les RAID peuvent être de type physique ou logique, le premier est géré par une carte

nommée « Contrôleur de RAID » qui va gérer physiquement la répartition des données

sur les disques. Quant à eux, les RAID logiques sont généralement contrôlés par un

logiciel installé sur un serveur (Moins répandue car sans le système les données sont

perdus). Ici nous utiliserons des RAID physiques chaque serveur.

Dans votre cas, nous utiliserons deux types de RAID différents :

RAID 1 « Mirroring » sur les disques « système »

Le RAID 1 consiste à écrire les données sur deux disques de façon identique. Nous

utiliserons nos deux disques de 146 Go, ce qui nous fera au final un seul disque de

146 Go pour le système d’exploitation. Les avantages :

Sécurité : si nous perdons un disque, les données sont toujours

disponibles sur l’autre,

Rapidité : performance système améliorer (Moins de calculs que le

raid 5)

Maintenance : remplacement de disque à chaud

Maintenance : reconstruction du raid auto ou manuel si besoin



RAID 5 « Agrégé par bandes parités »

Le RAID 5 utilise au minimum trois disques pour fonctionner. Il écrit des blocs de

données et un bloc de parité pour reconstituer les données. Donc pour trois disques

le RAID écrit deux blocs de données sur un disque plus une parité sur le troisième

et alterne ensuite l’ordre des disques pour l’écriture. Cela permet un gain d’espace

vis à vis du RAID 1 car ici on ne perd l’espace que d’un seul disque.

La parité est calculée au niveau d'un secteur, mais répartie sur l'ensemble des disques

de la grappe. De cette façon, RAID 5 améliore grandement l'accès aux données (aussi

bien en lecture qu'en écriture) car l'accès aux bits de parité est réparti sur les

différents disques de la grappe. Le mode RAID-5 permet d'obtenir des performances

très proches de celles obtenues en RAID-0, tout en assurant une tolérance aux pannes

élevée, c'est la raison pour laquelle c'est un des modes RAID les plus intéressants en

termes de performance et de fiabilité.

Pour nos 11 disques nous n’en perdront qu’un soit 6 Go ce qui ramène l’espace de

stockage à 60 Go au total. Les avantages de ce système sont :

Evolutivité : perte d’un seul disque de raid,

Rapidité : gain de temps,

Maintenance : possibilité de perte d’un disque,

Maintenance : doit être vérifié et sauvegardé régulièrement

pour éviter les défaillances de secteur de disque illisible.

b. Le Cache SSD

Pour améliorer les performances de L’IPSAN et profiter au maximum des 400 000

IOPS qu’il fournit, nous avons recours à une technique de Cache SSD. Les disques

SAS Seagate de 6TB ne tournant qua 7200 tours de par leurs capacités vont limiter

les performances, grâce à la technologie interne du serveur nous plaçons 5 disques

de type SSD qui à la différence des disques classiques ne fonctionne pas avec des

plateaux magnétiques mais un système de carte électronique à la manière d’une

Mémoire Vive. Ces nouveaux format de disques sont beaucoup plus rapide car se

dispense de toutes la partie physique d’un disque dur. Ceci étant ce système à un

cout et est pour l’instant limite en espace de stockage. Il est donc pour l’instant non

envisageable de remplir la baie qu’avec ce type de disques ce qui limiterais l’espace

de stockages.



Nous plaçons donc 5 disques SSD dans notre NAS ceci vont fournir un espace de

stockages temporaires. Le Firmware Turbo Nas de Qnap va repérer les fichiers les

plus sollicités par les le système d’information. Il va ensuite stocker une partie des

fichiers sollicités su les disques SSD. Ainsi quand le système fera appel à ces fichiers

il NAS ira chercher l’information directement sur les disques SSD et non pas sur les

disques SAS, gagnants ainsi en performance et en temps de réponse.

c. Le stockage virtuel

Afin de rendre disponible l’espace de stockage de L’IP SAN, nous utiliserons des liens

ISCSI, par l’intermédiaire du réseau IP et des fonctionnalités d’Hyper-V et du NAS

QNAP. Les deux IPSAN seront désignés comme cibles, les connexions seront ensuite

amorcées par les Hyper-V, nous profitons ainsi des avantages de la technologie SAN.

Nous allons créer plusieurs entités virtuelles qui seront ensuite attribuée à chaque

hôte virtuel de l’Hyper-V.

3 LUN ou (Logical Unite Number) seront créées sur l’IPSAN dès qu’elles découleront

ensuite des volumes spécifiques :

LUN ERP : 16 TB => Découpé en 124 Volumes de 150 GB pour les hypermarchés

LUN Serveurs : 12 TB => Découpé en 15 Volumes de tailles variables

LUN Sauvegarde 30 TB => 1 Volume de 30 TB

Nous pouvons ensuite créer sur chaque volume des disques virtuels au format .vhdx

de taille variable que nous affectons aux hôtes virtuels de nos choix. Hyper-V prenant

en compte le provisionnement dynamique.



Lun ERP : 16 TB104 Volumes de 150 GB

Lun Serveurs : 12 TB

SAN TS-EC1679U-RP

2 Volumes de 2 TB

1 Volume de 4 TB

4 Volumes de 1 TB

8 Volumes de 500 GB

Lun Sauvegarde : 30 TB1 Volume de 30 TB

Serveurs de fcihiers

Serveurs Gold + BDD

Serveurs de développement

Serveurs applicatifs

Provisionnement à la demande

Provisionnement à la demande

OS : Windows 2012 R2Disque c:\ : 146 GBDisque sup... : Target Iscsi vers le SAN QNAP pour accéder aux LUN

Hyper-V

OS : Windows 2012 R2Disque c:\ : 146 GBDisque sup... : Target Iscsi vers le SAN QNAP pour accéder aux LUN

Hyper-V

Raid 1 sur les disques système (146GB)

Lame Prolian BL465c Gen8

Lame Prolian BL465c Gen8

Raid 1 sur les disques système (146GB)

Cibles Iscsi

Gestion des disques du système d’information



2. La gestion des sauvegardes

Pour sauvegarder le système d’information nous mettons en place 4 types de

sauvegardes différentes. Ces différentes mesures permettront de répondre à tous les

cas éventuels de perte de données, ou de demande de restauration d’information.

Tous les serveurs seront sauvegardés quotidiennement :

Sauvegarde journalière : sur LUN de Sauvegarde de 30 TB,

Sauvegarde hebdomadaire, mensuelle et Annuelle : sur bandothèque,

Sauvegarde horaire : via la technologie « Explorer de SAN » de Veeam Backup

Sauvegarde GED : via le Shadow Copy de Microsoft (limité à 20% du système)



OS : Windows 2008 R2IP : 10.10.3.103/23IP : 172.10.2.103/24

Serveur de sauvegarde, Veeam Backup et réplication,

NTP (serveur de temps)

Jeudi

Bibliothèque de bandes HP

MSL4048

Disques Externes

Mercredi

Mardi

Lundi

Vendredi

Avril

Mars

Fevrier

Janvier

Mai

Septembre

Aout

Juillet

Juin

Octobre

Novembre

Decembre

Dimanche Semaine 4

Dimanche Semaine 3

Dimanche Semaine 2

Dimanche Semaine 1

Samedi

Complète

Différentielle

Différentielle

Différentielle

Différentielle

Différentielle

Les cassettes sont chargées de la

plus ancienne à la plus récente.

Les cassettes tournent jusqu’à 50 passages sur les sauvegardes

hebdomadaires puis sont recyclées

pour les sauvegardes mensuelles

Sauvegarde Mensuelle écartée

(envoyée à la plateforme de stockage)

Sauvegarde Hebdomadaire (La

dernière sauvegarde de chaque mois

est écartée et considérée comme

mensuelle)

Sauvegarde Journalière (La sauvegarde

du lundi et obligatoirement complète,

les suivantes sont des Différentielleles

sur la semaine)

Gestion des sauvegardes du système d'information

Légende


Lun de production

Snapshot du Lun de

production

Clone du Lun de

production

Snapshot du San toutes les 2 heures.

Possibilité de restauration granulaire)

OS : Windows 2012 R2IP : 10.10.3.100-101/23IP : 172.10.2.100-101/24


TreeSize, Archives

Sauvegarde de la GEDNe peut pas dépasser 20% du disque



E. La sécurité du système d’information

L’intégralité de la politique de sécurité de Newstore est rénovée de par la mise ne

place de cette solution. Vous trouverez ce document dans la partie déploiement.

1. La déclinaison pratique de la Politique de sécurité de Newstore

a. Continuité d’activité

Le plan de continuité d’activité permet de répondre à une panne directe. Grâce à la

redondance de votre infrastructure, et en particulier la haute-disponibilité de votre

infrastructure système, en cas de panne sur un équipement, un switch ou un serveur,

nous avons toujours un équipement de secours qui permet de maintenir l’activité de

l’entreprise.

Nous pouvons envisager la coupure d’un switch, la mise hors service d’un équipement,

d’un serveur ou encore la perte d’un moyen de stockage de données. Tous ces

éléments sont pris en compte dans votre plan de sauvegarde

b. Reprise d’activité

Afin d’assurer une continuité de service après sinistre, nous proposons un plan de

reprise d’activité. Ainsi, nous ne nous contentons pas d’assurer une haute-disponibilité

de service sur un site. Nous répliquons les données sensibles vers la plateforme de

stockage. Cette solution nous permet de répondre à tout type de sinistre.

Cette solution permet de répondre par exemple à une problématique directe de la

mise hors service de la centrale d’achat par exemple. Dans ce type de scénario, les

hypermarchés se retrouveraient isolés. La réplication des données toutes les 5 minutes

permet d’assurer même en mode dit « dégradé » l’accessibilité des données. Pour ce

faire, nous avons déterminé les éléments jugés sensibles pour l’entreprise, ce sont les

moyens ou système dont l’entreprise ne peut pas se passer en cas de coupure.

Pour ce faire, une tranchée existait entre les deux sites distants de 100 mètres et

nous l’utilisons pour passer quatre liens fibre optique multimode. Les données sont

ainsi répliquées de la centrale vers la plateforme de stockage. Ainsi, en cas de panne



de n’importe quel type, nous sommes en mesure de relancer l’activité en mode

dégradé sur une version antérieure à 5 minutes de la centrale d’achat.

Ces fonctionnalités de réplication sont applicables au QNAP et à Hyper-V V3. Pour

sécuriser ces transferts nous segmentons le réseau par des VLANs afin de ne pas

imputer le trafic de réplication à la charge opérationnelle de la productivité.

Nous faisons appel aux prestations de la société Alpetec ayant déjà en charge le

câblage des Hypermarchés secteurs Nord-Ouest et Région parisienne pour raccorder

les deux bâtiments par la fibre. La société Alpetec est une installation agrée fibre

optique et câblage catégorie 6A. L’installation répondra donc aux normes de qualité,

fiabilité et de sécurité nécessaire à toute installation de ce type.



Blade HP C7000

Cluster Hyper-V 2012 R2

Disques internes utilisés pour le

système Hyper-V

Configuration RAID1 sur les disques

de type « système »


Cluster SAN Qnap

Configuration Raid 5


Replication SAN Qnap

Configuration Raid 5

Blade HP C7000

Réplication Hyper-V 2012 R2

Disques internes utilisés

pour le système Hyper-V

Configuration RAID1

Architecture du cluster et de la réplication Hyper-V

Centrale d’achat Plateforme de stockage

Fibre optique

sur connecteur

SFP

Câble Ethernet

Blindé

Catégorie 6 IP

Fibre optique

sur connecteur

SFP +

Légende

Système de

stockage

Système

Hyper-V

Fibre inter-batiment



2. Les Firewalls Cyberoam

Nous utilisons des équipements Cyberoam CR500 pour sécuriser l’infrastructure de la

centrale d’achat et de la plateforme de stockage. L’avantage de la technologie de

Cyberoam et de pouvoir tirer parti de l’interfaçage via l’Active Directory pour

règlementer via les comptes de l’annuaire. Nous utiliserons aussi toutes les possibilités

du système, des règles ACL pour filtrer les flux, de la Qualité de service (QoS) pour

gérer le trafic ou encore des règles de NAT au port pour rediriger des flux applicatifs

Par ailleurs, pour séparer le trafic internet du trafic inter-entreprises, nous isolons par

une DMZ tous les serveurs frontaux Web.

a. DMZ

La DMZ (Zone démilitarisée) en un espace qui permet d’isoler physiquement des

éléments jugés potentiellement dangereux pour la sécurité d’un système d’information.

Elle met en place l’isolation des équipements capables d’amorcer ou de recevoir du

trafic (HTTP, HTTPS, FTP etc…) entre deux firewalls (ici les Cyberoam).

Ici, nous placerons une architecture dite en « Bastion » les serveurs concernés étant

isolé sur les deux premiers Firewall. Les firewalls 3 et 4 filtrent une deuxième fois le

trafic.

(Voir annexes Règles ACL des firewalls)

b. La gestion du trafic

Pour assurer la bonne gestion du trafic, nous laisserons gérer en priorité toutes ces

règles par le Firewall, ce qui évitera de surcharger les switchs du cœur de réseau.

Toutes ces règles permettront de répondre au cas suivant :

Filtrage : Ne laisser que les requêtes passer sur les ports autoriser

Filtrage : Eviter la congestion du réseau en filtrant les requetés par VLAN

Filtrage : Autoriser l’accès qu’aux utilisateurs autoriser

Redirection : Rediriger les requetés sur le serveur caisse d’un hypermarché vers

sont serveurs ERP et BDD dédiés

Redirection : Rediriger des requêtes des accès via Direct Access

Redirection : Rediriger le trafic Web dédié vers les serveurs concerné

Bloquer : Les requêtes web des utilisateurs de l’entreprise non autoriser

Bloquer : Les attaques de l’extérieur vers le réseau Newstore



Bloquer : La propagation de trames non requis

Qualité de service (QoS) : Améliorer le trafic pour Hypermarchés et leur

disponibilité

Qualité de service (QoS) : Assurer le trafic pour la réplication

Qualité de service (QoS) : Diminuer l’impact des broadcasts des imprimantes

Qualité de service (QoS) : Diminuer l’impact du trafic de supervision



3. Les Anti-Virus

a. Sophos pour la protection des serveurs

Pour assurer la sécurité des serveurs, nous utiliserons la solution de sécurité « Sophos

Endpoint Serveur». Les menaces pour un système d’information ne viennent pas

uniquement du Web. Il ne suffit pas d’un firewall pour sécuriser un système

d’information. Il faut prendre les menaces internes volontaires ou involontaires. De ce

fait, nous devons déployer une solution de sécurité fiable qui protégera en temps réel

les serveurs de toutes menaces potentielles.

Nous avons choisi Sophos, pour sa technologie de déploiement sans agent. Le concept

est simple : nous déployons la solution sur un hôte Hyper-V et, de fait, tous les

serveurs virtuels hébergés dessus sont automatiquement protégés par la solution

parente. Il n’y a donc pas de déploiement d’agent sur les serveurs, ce qui a pour

avantage de libérer considérablement le temps d’occupation d’un serveur.

Les spécifications du produit :

Détection proactive des menaces inconnues

Protection Live en temps réel assurée par les

SophosLabs

Mises à jour centralisées et efficaces,

Elimination des contrôles antivirus simultanés

intempestifs

Sécurité des serveurs Zero Day,

Déploiement sans agent

Pas d’impact de performance sur les serveurs

Système de licencing (Une licence par

serveur)

Console d’administration centralisée

Support 24/24 Certifié « Service Capability &

performance »

b. Windows Intune Endpoint Protection pour la sécurité des postes clients

Toujours dans le même but de la garantir une bonne sécurité du système d’information

nous profitions d’Office 365 pour utiliser l’anti-virus de Microsoft Endpoint Protection.

Celui-ci bénéficie des avantages d’InTune, à savoir la gestion centralisée via Intune ou



SCCM si nécessaire. Par ailleurs les règles de gestion sont couplées à Endpoint

Exchange protection pour la sécurité des mails sur Office 365.



4. La sécurité électrique

Pour sécuriser l’infrastructure en cas de coupure électrique ou éviter les perturbations

électriques, nous plaçons des onduleurs de la marque Eaton dans les salles serveurs.

Le tableau ci-dessous nous permet de calibrer les onduleurs en fonction de la

puissance électrique de chaque baie.

Le calcul de puissance pour les Blade C7000 et généré à partir du logiciel

« HP Power Advisor » qui permet de calculer le Wattage total en activité.

Le coût des autres éléments ont été calculés en fonction de leur puissance

exprimée en Watt maximum.

Calcul cout de puissance Centrale d’achat

Puissance Max

U

en Watt

Nbr d'équip

Calcul

Total en

Watt

Helvet Parckard HP A5500-24G + 4 SFP + 2 SFP+ PoE (JG541A) 740 2 1480

Helvet Parckard HP A5500 24 G EI (JD377A) 110 4 440

Helvet Parckard HP 3600 48 PoE SI (JG307A) 720 2 1440

Helvet Parckard HP E5500 24G SFP (JG543A) 135 2 270

Helvet Parckard Blade Center chassis C7000 (507015-B21) 1400 20 4044

Helvet Parckard

HP MSL4048 1 LTO-5 3280 FC Tape Lbry

(BL532B ) 740 1 740

Cisco Cisco 2951 SRE 900 PVDM3-32 UC and SEC

License PAK bundle (C2951-VSEC-PSRE/K9) 250 2 500

Cyberoam CR500 IA 128 4 512

Qnap TS-EC1679U-SAS-RP 64TB 368 2 736

Total 10162

Calcul cout de puissance Plateforme de stockage

Puissance Max

U

en Watt

Nbr d'équip

Calcul

Total en

Watt

Helvet Parckard HP A5500-24G + 4 SFP + 2 SFP+ PoE (JG541A) 740 2 1480

Helvet Parckard HP A5500 24 G EI (JD377A) 110 4 440


Helvet Parckard HP E5500 24G SFP (JG543A) 135 2 270

Helvet Parckard Blade Center chassis C7000 (507015-B21) 1400 10 2022

Helvet Parckard

HP MSL4048 1 LTO-5 3280 FC Tape Lbry

(BL532B ) 740 1 740


License PAK bundle (C2951-VSEC-PSRE/K9) 250 2 500

Cyberoam CR500 IA 128 4 512

Qnap TS-EC1679U-SAS-RP 64TB 368 2 736

Total 90580



Calcul cout de puissance Hypermarchés

Puissance Max

U

en Watt

Nbr d'équip

Calcul

Total

en Watt

Helvet Parckard HP 3600 24 Poe SI (JG306A) 740 6 4440


Helvet Parckard HP A3100-8 PoE v2 EI Switch (JD318B) 720 28 20160


License PAK bundle (C2901-VSEC-SRE/K9) 135 2 270

Total 26350

Nous portons donc nos choix sur les onduleurs suivants

Onduleurs Salle Serveur Centrale d’achat :

6 * Eaton 9P 5000i RT3U


6 * Eaton 9P 5000i RT3U


3 * 5P 850 IR



5. WSUS (Windows server update services)

Pour gérer les mise à jours des serveurs et afin d’éviter toute faille de sécurité, nous

déployons le rôle Microsoft Windows Updates. Ce rôle permet de récupérer toutes les

mises à jour d’un service Microsoft en vue de le déployer facilement par la suite. Les

avantages de cette solution sont :

Le contrôle des Mises à jour

La validation préalable du déploiement des mises à jour

La centralisation sur un serveur des mises à jour

L’homogénéité des systèmes d’exploitation

La garantie de sécurité

La génération de rapport de Mise à jour

Il est très facile de référencer sur un serveur son serveur de Mise à jour. Nous avons

deux possibilités : le déploiement des informations par GPO ou le déploiement par

script d’édition des clés de registres. Dans les deux c’est bel est bien le registres qui

est modifié pour référencer le serveur WSUS.

Script de configuration par le registre

reg delete HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate /v TargetGroup reg delete HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate /v TargetGroupEnabled reg add HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate /v ElevateNonAdmins /t REG_DWORD /d 0 /f reg add HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate /v WUServer /t REG_SZ /d http://10.10.3.110:8530 /f reg add HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate /v WUStatusServer /t REG_SZ /d http://10.10.3.110:8530 /f reg add HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate\AU /v AUOptions /t REG_DWORD /d 2 /f reg add HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate\AU /v NoAutoRebootWithLoggedOnUsers /t REG_DWORD /d 1 /f reg add HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate\AU /v NoAutoUpdate /t REG_DWORD /d 1 /f reg add HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate\AU /v ScheduledInstallDay /t REG_DWORD /d 0 /f reg add HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate\AU /v ScheduledInstallTime /t REG_DWORD /d 8 /f reg add HKLM\Software\Policies\Microsoft\Windows\WIndowsUpdate\AU /v UseWUServer /t REG_DWORD /d 1 /f gpupdate /force wuauclt /detectnow

WSUS étant en contact direct avec Internet il sera directement placer dans la DMZ

afin de sécuriser un maximum les informations qui transitent vers celui-ci

http://10.10.3.110:8530/

http://10.10.3.110:8530/





6. La traçabilité : le serveur Splunk

Afin d’avoir une visibilité complète sur l’activité du système d’information, nous avons

recours à l’analyse de données. Il ne s’agit pas de supervision du parc, mais d’un

travail de fond qui permet de voir la charge du système et ensuite d’analyser ces

informations pour pouvoir réagir en fonction. Cela permet de répondre à des

problématique de sécurité, tracer les accès des serveurs, les modifications de

configuration par exemple, de répondre à des problèmes juridiques, historiser les accès

sur une année complète, et même dans des problématiques d’évolution, avoir une vue

d’ensemble du trafic réseau et la répartition des ressources.

Ces points sont souvent négligé en entreprise et il n’y a pas de visibilité réelle sur

les gains de production, souvent tout simplement par la complexité de mise en œuvre

et le manque de temps. Le principe est de centraliser la traçabilité en un seul point,

dans le but de rendre ces données lisibles aussi bien textuellement que graphiquement.

Cela impose en revanche un travail en amont qui consiste à recenser les solutions à

tracer et de terminer quelle information en tirer.

a. Détails

Splunk et un outil sorti en 2006 par la société du même nom. Il est le leader sur le

marché de l’analyse de données. Il correspond exactement au besoin de Newstore

dans une architecture centralisée ; toute la traçabilité sur un seul point consultable

facilement. Cette solution va nous permettre de traiter en temps réel des informations

telles que :

Equipement réseaux

Equipement système

Trafic réseau

Accès aux équipements

Accès aux services

Terminologie de recherche Web

b. Fonctionnement

Splunk sera installé sur un serveur CentOs, nous ajouterons au module de base des

applications spécifiques développées par la société :

APP for Active Directory

APP for Windows

APP for DB connect



APP for Linux

APP for Entreprise Security

Pour remonter les traces depuis les serveurs, nous installerons un agent spécifique

Windows et Linux. Ces agents traiteront au préalable les logs pour ensuite les envoyer

directement aux serveurs dédiés. Le serveur mettra en forme ensuite ces logs pour

les rendre lisibles. Pour les équipements réseaux nous passeront par les protocoles

SNMP et Syslog qui seront directement redirigés vers le serveur Splunk.

Les firewalls seront configurés pour laisser en TCP/UDP les requêtes sur les ports

514 pour la récupération des logs et 8000 pour l’accès à l’interface.



c. Licences

Splunk utilise une méthode de licences spécifiques. Il y a en tous trois types de

licence :

Free : Version libre fonctionnalité limitée et traçabilité jusqu’à 500 Mo par

jours,

Term Enterprise : Version complète, facturation annuelle en fonction du nombre

de volumes de traçabilité par jours,

Perpetual Enterprise : Version complète, facturation unique en fonction du

nombre de volumes de traçabilité par jours

Nous optons pour la solution Perpetual, la licence et à 3250 € pour un volume de

données équivalent à 1 Go par jour. Selon les spécifications, il faut compter 500 Mo

de data analysées pour 50 serveurs par jour. Nous opterons pour un volume de

données de 3 Go par jour.

d. Les audits des serveurs

Splunk via le module Active Directory va nous permettre d’avoir une vue d’ensemble

des comptes Microsoft, et des Objets de l’annuaire. Via l’application spécifique Windows

nous pourrons remonter les informations des systèmes (Charges matériels : CPU, RAM,



Disque) ou encore évènement (Erreurs, Alertes, Notification), enfin les bases de données

seront pilotés via l’application DB Connect.

Pour compléter cette solution de sécurité, nous mettrons en place sur les serveurs

de fichiers un audit. Le système d’information sera suivi en temps sur l’activité des

Utilisateurs. Le système informatique sera informé si un utilisateurs tente d’accéder à

un dossier qui lui est interdit par exemple, ou si plus simplement un fichier a été

supprimé.

Nous créerons une OU spécifiques « Serveurs de fichiers » dans l’Active Directory,

puis par une stratégie de sécurité d’audit, nous remontrons les informations sur les

données de l’entreprise. Cette méthode sera appliquée uniquement sur les serveurs

de fichiers, l’Audit entrainement une consommation importante des ressources sur le

serveur.



F. Les applications collaboratives et la téléphonie

1. Office 365

Pour faciliter la gestion et baisser les coûts de maintenance d’un serveur de

messagerie, nous avons opté pour la solution de Microsoft Office 365. Ce service

complétement externe à l’entreprise rassemble plusieurs fonctionnalités qui facilitent

le travail collaboratif de l’entreprise. En plus des ajouts du regroupement d’application,

les modes d’acquisition du produit change complétement, elle s’effectue au mois par

utilisateurs. Ils existent plusieurs plans (versions) regroupés en différentes catégories

qui permettent de répondre à différents types de cas. Pour Newstore nous intégreront

Office 365 Plan E1.

Résumé des fonctionnalités du Plan E1:

Services Options

Messagerie BAL par utilisateurs de 50 Go

Intégration Active Directory Authentification synchronisée via L’AD

Conférence en ligne Conférence via Lync

Partage de fichiers OneDrive par utilisateurs de 25 Go

Site intranet SharePoint 10 Go + 500 Mo d’espace

par utilisateur

Boite aux lettres de site BAL par groupe ou service dédié

Yammer entreprise Réseau social d’entreprise

Site web public SharePoint option site public

Office Online Modification de document office (Word,

Excel…) en ligne

Application Mobile Application sur mobile (Principalement

Windows Phone)

Windows InTune Gestion de parc informatique

SCCM Une Licence SCCM à lier avec InTune

(Voir annexe Office 365)



2. Exchange dans l’entreprise

a. Configuration de base

Office 365 embarque par défaut une version de Microsoft Exchange. Cela permet de

faciliter considérablement la gestion des boîtes aux lettres utilisateurs, de profiter des

boîtes à lettres collaboratives, mais surtout de simplifier grandement la gestion de la

sécurité des mails. Des règles sont définies par défaut afin de filtrer les mails entrant,

mais il est bien évidement possible d’appliquer directement des stratégies de filtrage

en fonction des besoins de l’entreprise. Il est intéressant également de profiter des

listes noir de Microsoft pour les courriers indésirables, par ailleurs toutes ces règles

sont régulièrement mis à jour par Microsoft et configurable manuellement si nécessaire.

Nous intégrons la messagerie Office 365 via les outils Microsoft office 2010 déjà

intégré dans l’entreprise. Listes des ports débloqués sur les firewalls pour la

messagerie :

Port Sources Destination Détails

TCP 25 Online.Newstore.com 10.10.0.0/16 Routage Courier

TCP 25 10.10.0.0/16 Online.Newstore.com Routage Courier

TCP 80 et

443 10.10.0.0/16 Online.Newstore.com

Console de gestion exchange

CLI Exchange

TCP 143 Online.Newstore.com 10.10.0.0/16 IMAP 4

TCP 143 10.10.0.0/16 Online.Newstore.com IMAP 4

TCP 587 Online.Newstore.com 10.10.0.0/16 Relais SMTP

TCP 587 10.10.0.0/16 Online.Newstore.com Relais SMTP

TCP 995 Online.Newstore.com 10.10.0.0/16 POP3

TCP 995 10.10.0.0/16 Online.Newstore.com POP3

TCP 10106 Online.Newstore.com 10.10.0.0/16 Xsi.outlook.com

TCP 10106 10.10.0.0/16 Online.Newstore.com Xsi.outlook.com

La configuration des clients Microsoft Outlook 2010 se fera pendant la migration en

direct sur les potes des utilisateurs. La configuration est automatiquement détectée

grâce à la synchronisation de l’Active Directory, seul le mot de passe devra être

renseigné. Il est possible de renseigner manuellement ces informations en renseignant

le serveur Outlook de type « xsi.outlook.com ». Enfin un utilitaire de configuration

automatique est disponible dans l’interface de gestion des administrateurs d’office 365



b. La gestion des boîtes aux lettres

Les utilisateurs disposeront d’une boîte dédiée limitée à 50 Go de mail. Les pièces

jointes seront limitées par défaut à 25 Mo il est possible de descendre ce quota

directement dans l’interface de gestion. Nous profiterons également des outils

collaboratifs et notamment des boîtes aux lettres d’équipes et des listes de diffusion :

Boîtes aux lettres d’équipe : Ou boites partagées sont des BAL à part entière

qui sont destinées à un groupe d’utilisateurs. Elles disposent d’un espace de

stockage propre et des règles de sécurité indépendante. Par ailleurs il est possible

de connecter ces boites sur le poste d’un ou plusieurs utilisateurs et de se

connecter dessus via le portail.

Liste de diffusion : Ou groupe sont à proprement parler des alias. Cela permet

de rediriger des mails vers des utilisateurs autorisé sur ces lites. Elle ne dispose

pas à l’inverse des boîtes partagé d’espace de stockages propres. Le mail et

envoyer directement aux utilisateurs de la liste.

En fonction des demandes de Newstore nous créerons les boîtes aux lettres sur

mesure. Par défaut, la configuration sera comme suit

Chaque service disposera de deux boîtes aux lettres partagées,

Chaque Hypermarché disposera d’une boîte aux lettres partagée,

Les entités de chaque service disposeront d’une liste de diffusion,

Pour des logiciels générant automatiquement des mails sera affectée une liste

de diffusion

(Voir annexe Plan d’adressage mail)



3. SharePoint dans l’entreprise

SharePoint est un outil de Microsoft de travail collaboratif. Il permet l’édition, la mise

en ligne et le partage de contenus ou de documents sur un espace Web dédié. Dans

la version Office 365, les serveurs ne sont pas sur site mais directement chez

Microsoft. Il est possible d’accéder à toute la configuration depuis la console

d’administration SharePoint, la seule contrainte étant de ne pas avoir la main sur les

serveurs directement, sauf par le biais des CLI (Commande en ligne Power Shell) ce

qui sécurise les serveurs mais nécessite un niveau de connaissance pointu.

a. Les espaces collaboratifs

Les espaces collaboratifs sont des sites indépendants qui offrent en toute sécurité

(selon les autorisations par profil d’utilisateurs) la possibilité pour les employés d’une

société de mettre du contenu en ligne. Les droits d’administration seront gérés

directement dans les consoles Office 365. Par l’utilisation de groupe, nous définissons

une politique de sécurité, ces groupes seront ensuite intégrer à SharePoint pour

faciliter la gestion du contenu.

Un espace collaboratif par service

Un espace collaboratif par hypermarché

(Voir annexe Plan Groupe SharePoint)

b. Les espaces personnels

Chaque utilisateur de la solution disposera d’un espace dédié. Un utilisateur pourra

ainsi créer et partager du contenu avec les autres membres du site. Un utilisateur

aura également la possibilité de créer un blog de site, de modifier son interface de

navigation (dans la limite des outils fournis par Microsoft).



Les documents partagés des utilisateurs sur SharePoint seront directement croisés

avec l’application OneDrive Entreprise, ainsi ils pourront disposer d’un espace

documentaire dédié, accessible depuis un simple dossier Windows et synchroniser de

façon transparente vers SharePoint, rendant ainsi celle-ci accessible depuis l’extérieur.



4. La Convergence Téléphonie - Informatique : gage d’économie pour Newstore et

d’aisance pour l’utilisateur final et la DSI

a. Avant-propos

Newstore communique encore aujourd’hui grâce aux lignes analogiques. Il dispose d’un

PABX (ou autocom – ou central téléphonique) est l’acronyme pour Private Automatic

Branch Exchange par hypermarché, c’est-à-dire un système de standard téléphonique

exploité par une entreprise ou une administration. Il est utilisé pour raccorder les

postes téléphoniques présents dans chaque structure postes internes) et vers avec le

réseau téléphonique public géré par l’opérateur SFR.

Stable mais couteux, ce système peut évoluer aujourd’hui vers des solutions dites de

Voix sur IP ou VoIP. Rappelons que les deux avantages les plus importants du passage

à la Voix sur IP sont :

Réduction des coûts

Convergence vers un réseau multimédia unique

Il existe pour simplifier trois grands types de connexion VoIP :

D’un PC vers un autre PC avec des logiciels comme Lync de Microsoft ou Skype

D’un PC vers un téléphone

D’un téléphone à un autre

Ces appels se font le plus souvent à l’heure actuelle via le réseau grâce à un

protocole ouvert le SIP : Session Initiation Protocol, même si souvent les solutions de

téléphonie supportent d’autres protocoles comme le H323 ou Système de

communication multimédia en mode paquet, lui-même dérivé du H320 qui concernait

les communications sur réseau numérique à intégration de services.

Si de nombreuses solutions externalisées existent chez votre FAI par exemple, nous

souhaitons vous accompagner dans cette mutation technologique en interne pour une

véritable convergence Téléphonie Informatique ou CTI.

Le principe technique sera le suivant :



Établissement de communication (Protocoles de signalisation)

Numérisation (Codec Audio)

Transport (Protocoles de transport)

Reconstitution (Codec Audio)

b. Le contexte

Pour des raisons de coût, nous préconisons une évolution en deux temps :

Une première étape qui met en place la structure dans le cadre de la

centralisation du Système d’information, avec une distribution Open Source offert

par une société qui offre un support de qualité et une très forte communauté

au travers du monde : Asterisk.

La seconde phase, en option dans cette phase du projet, se destine à équiper

chaque poste de l’entreprise en téléphone IP (Evolution du SI)

Que ce soit en hyper ou dans la centrale d’achat ou la plateforme de stockage, les

téléphones analogiques sont la norme. Nous proposons donc d’équiper Newstore en

VoIP certains postes comme les postes de direction de magasin ou d’unité, certains

personnels administratifs et l’ensemble de l’équipe informatique :

12 personnes sur la centrale d’achat c’est-à-dire l’intégralité des postes + le

nouveau service informatique (5 personnes)

7 personnes sur la plateforme de stockage à savoir : le responsable de service

et son assistante et les cinq gestionnaires de stock,

12 personnes dans chaque supermarché à savoir : le directeur et la partie

comptabilité/administratif : cinq comptables, cinq agents administratifs et le

correspondant,

De nombreuses solutions s’offrent aux entreprises aujourd’hui ; en voici trois

principales :

Implémenter en interne un IPBX libre ou propriétaires,

Faire appel à un prestataire téléphonie : Iperia,



Lieu

Nombre de

poste à

équiper par

structure

Nbre de

structure Equipements préconisés DIGIUM Totaux

6730i

Aastra

Tarif

unitaire

(HT)

Tarif

unitaire

(TTC)

D70

Tarif

unitair

e (HT)

Tarif

unitaire

(TTC)

Total 1er prix Total haut de

gamme Total

Nombre

de pièce

Centrale

d’achat 19 1 12 79 94,8 4 247,94 297,53 € 948,00 € 991,76 € 1 939,76 € 19

Plateforme

de stockage 7 1 6 79 94,8 2 247,94 297,53 € 474,00 € 495,88 € 969,88 € 7

Hypermarch

é 12 52 520 79 94,8 104 247,94 297,53 € 41 080,00 € 25 785,76 € 66 865,76 € 624

42 502,00 € 27 273,40 € 69 775,40 € 650



c. La solution retenue

Asterisk est un logiciel IP-PBX développé par la société Digium.

Pour la petite histoire, Asterisk est né en 1999, créé par Mark Spencer, alors étudiant

de l'université d'Auburn (États-Unis - Alabama). À la recherche d'un commutateur

téléphonique privé pour créer un centre de support technique sur Linux, il est dissuadé

par les tarifs trop élevés des solutions existantes, et décide de se créer son propre

routeur d'appels sous Linux, le PBX Asterisk. Quelque temps après, il fonde la société

Digium, fournisseur de cartes FXO et FXS compatibles avec Asterisk (Source :

Wikipédia).

Elle permet de transformer n'importe quelle machine en un commutateur IPBX

disposant des fonctionnalités les plus évoluées en matière de voix sur IP.

Dans l'industrie des télécommunications, on désigne par PABX IP (PBX IP ou encore

IPBX) un autocommutateur téléphonique privé utilisant le protocole internet (IP) pour

gérer les appels téléphoniques d'une entreprise, en interne sur son réseau local (LAN).

Il permet de créer des réseaux téléphoniques privés avec un ordinateur fonctionnant

sur une des plateformes suivantes: GNU/Linux pour x/86 et PowerPC et sur OpenBSD,

FreeBSD et Mac OS X et tout récemment sous Windows.

Asterisk est un logiciel open-source GNU/General Public License (GPL), ce qui signifie

que le code source du programme est disponible gratuitement pour tous. Cela permet

à de nombreux développeurs de se rassembler en communautés autour de projets

comme TrixBox/Asterisk@Home, AsteriskNow,....

Asterisk est le logiciel libre de IP-PBX le plus répandu car il est le plus fonctionnel

pour les entreprises et facile à mettre en place pour une utilisation simple. Il supporte

les protocoles les plus courants sont H.323, Session Initiation Protocol (SIP), Media

Gateway Control Protocol (MGCP), and Skinny Client Control Protocol (SCCP). Grâce

au protocole spécifique Inter-Asterisk eXchange (IAX), la communication entre deux

serveurs Asterisk ainsi qu'entre client et serveur Asterisk est assurée. Asterisk peut

également jouer le rôle de registrar et passerelle avec les réseaux publics (RTC, GSM,

etc.) Asterisk est extensible par des scripts ou des modules en langage Perl, C, Python,

http://fr.wikipedia.org/wiki/1999_en_informatique

http://fr.wikipedia.org/w/index.php?title=Mark_Spencer&action=edit&redlink=1

http://fr.wikipedia.org/wiki/%C3%89tats-Unis

http://fr.wikipedia.org/wiki/Alabama

http://fr.wikipedia.org/wiki/Commutateur_t%C3%A9l%C3%A9phonique

http://fr.wikipedia.org/wiki/Commutateur_t%C3%A9l%C3%A9phonique

http://fr.wikipedia.org/wiki/Linux

http://fr.wikipedia.org/wiki/T%C3%A9l%C3%A9communications

http://fr.wikipedia.org/wiki/Internet_Protocol

http://fr.wikipedia.org/wiki/R%C3%A9seau_local



PHP, et Ruby ; ainsi, il est assez facile de relier plusieurs systèmes Asterisk entre eux

et créer alors un réseau privé de plus grande envergure tout en gardant les

fonctionnalités les plus avancées.

Le logiciel Asterisk peut fonctionner avec n'importe quel matériel (carte réseau) pour

la partie VoIP du réseau.

Le fournisseur d’accès choisi a une offre spécifique de convergence du réseau et de

la téléphonie : la solution Centrex de Bouygues. L’offre tarifaire pour notre bascule

est promotionnelle et s’élevé à 25000 Euros pour le projet.



OS : GNU/LinuxIP : 10.10.3.226/23IP : 10.20.3.20/23

IP : 172.10.2.226/24

Serveur Asterix Call manager

OS : GNU/LinuxIP : 10.10.3.226/23IP : 10.20.3.20/23

IP : 172.10.2.226/24

Serveur Asterix Call manager

MPLS

T0/T2



T0/T2


Centrale d’achat Plateforme de stockage

Hypermarchés

Plateforme Bouyges VOIP

Vers l’extérieur

Passerelle VOIP

T0/T2

RTC

Architecture téléphonie - Astérisk



G. La supervision, la gestion des incidents et la gestion de parc

Pour superviser les serveurs nous utiliserons la distribution FAN (Fully Automated

Nagios) qui est une distribution Cent OS optimisé pour Nagios. Nagios est un outil de

supervision qui permet, via son interface centrale, de vérifier l’état des équipements

qu’il supervise. Il s’appuie principalement sur le protocole SNMP (Simple Network

Management Protocol) pour récupérer ces informations.

1. SNMP

SNMP est un protocole de communication qui travaille sur la couche 7 du Modèle

OSI. Il a deux concepts SNMP :

SNMP : le mode classique que l’on nommera actif et donc qui va chercher

l’information,

SNMP Trap : Le mode dit passif qui va attendre que l’équipement envoie

l’information.

Ces requêtes se font par des paquets UDP sur le port 161 pour SNMP et 162 pour

SNMP Trap. Il existe actuellement trois versions différentes du modèle SNMP, la version

1 n’étant plus utilisée par manque de sécurité et la version 3 étant encore en

développement nous utiliserons ici SNMP v2.

Par mesure de sécurité, le protocole SNMP s’appuie sur ce que l’on appelle une

communauté pour valider l’entrée des requêtes. Par défaut, la communauté utilisée

public que nous modifierons par l’appellation « Newstore_SNMP »



2. Centreon

a. Généralités

Comme expliqué, ci-dessous le but de la distribution FAN est de simplifier la mise en

place de la supervision par Nagios. Pour optimiser ce rendement FAN inclut également

l’outil Centreon de la société Méréthis, qui est en fait une surcouche de web. Il est

permet l’administration de Nagios sans avoir modifié les fichiers de configuration

manuellement comme il est normalement nécessaire de faire avec Nagios. Centreon

dispose de sa propre interface de monitoring ce qui en fait un outil de supervision à

part entière.

b. Les points forts de Centreon :

Interfaçable par LDAP,

Facilités d’administration

Broker de supervision (Pour le déploiement d’une configuration)

Analyse graphique des temps d’indisponibilité

Reporting sur une année ou plus des équipements indisponibles

Alerte par mail

Alerte par SMS

Customisation utilisateurs de l’interface d’accueil

Mise à jour automatique du produit

Centre de maintenance

Communauté très active sur le web

Comme indiqué plus ci-dessus avec la solution FAN, l’environnement est déjà

préinstallé. Nous passons par Centreon pour configurer Nagios cela évite de configurer

tous les fichiers manuellement. De plus, Centreon rajoute plusieurs éléments qui

justifient le choix de la distribution. Nous pouvons gérer le reporting des alertes,

historiciser les informations, superviser ou encore créer directement des modules à

partir de Centreon. Après validation, les fichiers Nagios sont édités.

Sur les clients supervisés, nous passons par un système. Il faut au préalable autoriser

le protocole SNMP sur les firewalls pour que les informations puissent transiter sur le

réseau. Nous adaptons ensuite la configuration SNMP de chaque client pour faire

correspondre la version et la communauté afin de valider la configuration.



c. Fonctionnement des alertes

Avant d’entamer la configuration Hosts et les services, il est nécessaire de faire un

point sur tous les services qui seront supervisés par Centreon. Cela implique de

recenser tous les équipements ainsi que leurs services correspondants. Vérifier sur

chaque équipement s’il peut gérer des SNMP et des SNMP Trap et recenser toutes

les MIB qui correspondent aux équipements. Rappelons que les MIB, ou Management

Information Base fournis par les marques (HP, Cyberoam etc…) dans lequel sont

contenus des OID, elles peuvent gérer des SNMP ou des SNMP TRAP. Ces Mib sont à

importer dans Centreon directement. Les OID contenus dans ces fichiers permettent

de faire corresponde une requête à un service. Ainsi pour monitorer la température

d’un onduleur EATON nous recherchons la MIB correspondant au modèle. Dans les

spécifications du modèle, nous notons l’OID correspondant à la température pour

ensuite la déclarer par le biais d’un service dans Centreon.

Avec ces informations, il reste à créer l’hôte pour un équipement et différent service

sur l’hôte. De faire correspondre au service l’OID souhaité et de configurer ce que

l’on appelle un check. Ce check permettra de définir le statut du service : OK,

UNKNOWN, CRITICAL, WARNING. Nous pourrons ainsi voir distinctement l’état d’un

équipement, est déclencher des procédures en fonction de cet état.

(Voir annexe Centreon)

d. Recensement des hôtes et des services

Nous créons dans Centreon :

Host Template : Pour la configuration des services dépendants d’un hôte

Host Group : Pour classifier les équipements

Host : Déclaration d’un équipement

Template service : Pour créer des Template de services indépendants

Service : Un service indépendant qui se peut rattacher à n’importe quel hôte

Switch Contient tous switchs HP

Routeur Contient tous les routeurs opérateur

Firewall Contient tous les firewalls

Châssis HP Contient les Blades system

NAS QNAP Contient les NAS QNAP

Bandothéque Contient les lecteurs de bandes



Hyper-V Contient les hôtes Hyper-V

Machine Virtuelle Contient toutes les machines virtuelles

Imprimantes Contient toutes les imprimantes

Réseaux

Ping-WAN Ping les adresses IP publiques

Ping-LAN Ping les adresses IP LAN

Trafics-BD Mesure le trafic bandes passantes

Trafics-Boucle Alertes sur les boucles locales

Physiques

CPU Vérifie la consommation CPU

RAM Vérifie la consommation RAM

DISQUE Vérifie l’espace disque disponible

Température Vérifie la température du châssis en degré

Ventilation Vérifie la température du châssis en Warning

Humidité Vérifie le taux d’humidités

Alimentation Vérifie la défaillance d’alimentation

Logiques

Service en check actif Vérifie les services spécifiés par OIE

Service en check passif Attente les TRAP générés par les équipements



Ci-dessous la liste des hôtes éléments supervisés :

Equipement Type de requête Cible Actif ou

passif Services

Routeurs opérateurs Ping Adresse IP privé et

publique Actif

Switchs Ping Adresse IP des VLANs Actif

Switchs TRAP Port en erreurs Passif Par l'OID

Châssis HP Ping Adresse IP Actif

Châssis HP SNMP Ventillation Actif

Châssis HP TRAP Alimentation Passif

NAS QNAP Ping Adresse ip Actif

NAS QNAP SNMP Occupation des disques Actif

NAS QNAP SNMP Erreur sur les raids Actif

NAS QNAP TRAP Erreur détectée Passif

Hyper-V Ping Adresse IP Actif

Hyper-V SNMP CPU Actif

Hyper-V SNMP Mémoire Actif

Hyper-V SNMP Disque Actif

Hyper-V SNMP Temps d'arrêt Actif

Hyper-V TRAP Erreur détecté Passif Par l'OID

Serveur virtuel Ping Adresse ip Actif

Serveur virtuel SNMP CPU Actif

Serveur virtuel SNMP Mémoire Actif

Serveur virtuel SNMP Disque Actif

Serveur virtuel SNMP Temps d'arrêt Actif

Serveur virtuel TRAP Erreur détectée Passif Par l'OID

Firewalls Ping Adresse IP Actif

Firewalls SNMP QoS Actif

Firewalls SNMP Filtrage Actif

Firewalls TRAP Erreur détecté Passif Par l'OID

Imprimantes TRAP Erreur détecté Passif Par l'OID

Onduleur Eaton TRAP Redondance alimentation Passif Par l'OID

Onduleur Eaton TRAP Humidité Passif Par l'OID

Onduleur Eaton TRAP Erreur détectée Passif Par l'OID

Cette liste n’est ici qu’à titre d’exemple, les paramètres seront ajustés en fonction

des besoins de Newstore.



3. Nagvis

Nagvis est un outil qui permet de compléter Nagios, et donc de ce fait Centreon. Il

permet de mettre en évidence sur une image au format souhaitée, les checks et les

services passifs que l’on supervise sur cette image. Dans un cas concret, nous

supervisons tous les routeurs opérateurs de tous les hypermarchés de la société, en

envoyant des requêtes de ping toutes 30 secondes sur les adresses IP définies dans

l’interface de Centreon. Sur une carte de France, nous reportons tous ces checks sur

l’emplacement des hypermarchés. Cela permet de mettre en évidences les défaillances.

En poussant le concept de Nagvis au maximum nous avons préparé des schémas des

baies de la salle Serveur de la centrale d’achat, mais aussi les baies des switchs des

hypermarchés. Nous pourrons reporter sur ces schémas tous les checks de Centreon

(Voir annexes Schéma des baies de serveurs)

Dans une situation précise où un membre du service informatique repère une erreur

sur l’hypermarché d’Agen via Nagvis, il peut basculer directement sur la vue des baies

de switch de cet hypermarché et repérer directement lequel est impacté sans avoir à

se déplacer. Les temps de réactivité sont augmentés et ceux d'intervention diminués.



4. Serveur RANCID

Le serveur RANCID est à l’instar de Centreon une application toute prête pour la

configuration des switchs. C’est une distribution disponible sous Cent-OS dont le

principe est de sauvegarder et conserver des traces des modifications des switchs. Il

enregistre sur un partage Linux toutes les modifications effectuées sur un Switch. Il

est ainsi possible de retrouver n’importe quelle configuration d’un switch.

Dans le cadre d’une architecture centralisée, il est pratique voir indispensable d’avoir

une traçabilité des modifications manuelles apportées sur les switchs. La distribution

utilise une base CVS des informations de configuration, ils sont ensuite mis à

disposition sur un espace WEB. Il prend compte plusieurs marques d’équipement type

:

HP

Cisco

Juniper

La distribution doit en revanche disposer des informations d’administration des switchs

pour pouvoir se connecter dessus. Pour la consultation par internet, il faut prévoir le

package CVS-Web.

(Voir annexes RANCID)



5. Serveur GLPI

Glpi (Gestion libre de parc informatique) est un outil de gestion de parc informatique

et de service d’assistance sous licence GPL. Nous l’intégrons dans notre solution pour

la partie assistance soit ‘l’interface de gestion de ticketing dédié.

Dans tous les cas notre projet s’inscrivant dans la démarche des bonnes pratiques

ITIL, il est nécessaire et même primordial dans une entreprise de disposer d’un outil

qui permet de recevoir, traiter et tracer les demandes des utilisateurs. Cela fait partie

aussi bien des mesures préventives, curatives qu’actives de la sécurité que du système

d’information.

GLPI est développé en PHP/HTML. Il sera installé sur un serveur Linux sous Cent-OS

6.5. Un moteur MySQL assurera la conformité de la base de données alors qu’Apache

gèrera la partie WEB de la solution.

GLPI peut couvrir les points suivants :

Inventaires : Ordinateurs, Imprimantes, Utilisateurs, Consommable

Gestion de licences,

Affectation du matériel à une zone géographique (Hypermarchés, Centrale

d’achat…),

Gestion financière : Achats, Garantie, amortissement,

Demande d’intervention,

Gestion des contrats de services,

Gestion de planning,

Gestion de base de connaissance,

Déclaration d’incidents par un utilisateur,

Reporting des catégories citées plus haut.

(Voir annexe Définition des engagements de niveau de Service)



6. InTune dans l’entreprise

Windows InTunes est un outil de gestion parc informatique édité par Microsoft. Fournies

avec Office 365, la solution permet d’administrer et d’automatiser des tâches

d’administration, de type mise à jour, déploiement d’application, gestion de licences

et stratégie de sécurité. Le tout peut être couplé à SCCM (System Center Configuration

Manager), le logiciel de gestion de système pour grande entreprise de Microsoft.

L’interface d’InTune profite du cloud, de ce fait, l’interface de gestion est accessible

de n’importe où à partir d’un navigateur ce qui facilite les tâches d’intervention même

en cas de déplacement. La solution embarque par défaut Microsoft Endpoint protection

a. Le fonctionnement

Pour permettre la remontée d’information, un agent est déployé sur le poste administré,

qui peut être de type ordinateur fixe ou portable mais aussi tablette et smartphone.

Cet agent va alors remonter les informations du poste directement au serveur

Microsoft. Les alertes sont ensuite remontées dans l’interface de gestion afin d’avoir

une vue d’ensemble des activités du parc.

b. La gestion au quotidien

L’interface de gestion se divise en plusieurs catégories :

Groupes

o Utilisateurs : Les utilisateurs ayants accès à l’interface de gestion

o Périphériques : Les périphériques qui ont l’agent Intune déployé sur leurs

postes

Mises à jour : Interface similaire à WSUS elle rassemble toutes les mises à jour

du parc par type de système d’exploitation, par valeurs de criticités ou encore

par type de mise à jour

Endpoint Protection : Administre les clients Endpoint protection. Permet d’avoir

un visuel sur les menaces détecter sur les postes et les clients en alertes

Alertes

o Assistance à distance : Les demandes des utilisateurs pour la prise de

main à distance

o Endpoint protection : Les items en état d’alertes

o Mise à jour : Les items qui ne sont plus à jours ou qui n’arrive pas à

appliquer une mise à jour

o Stratégie : vue sur les items en ereur ou qui sont en alerte sur les stratégies

déployées



Logiciel : Déploiement des logiciels

Licences : Etat du parc sur les licences Windows et applicatives. Il est possible

de créer des types de licences en fonction d’un déploiement de logiciel

Stratégies : Permet de déployer des stratégies de sécurité sur des postes clients

Rapport : Génération de rapport sur les items cités plus haut. Exportables au

format HTML et CSV

Administration : Paramètre de Windows Intune et de ces entités



H. Les accès nomades

1. Office 365

Le service Office 365 a la particularité d’être accessible directement en ligne. Par

mesure de précaution il sera nécessaire de créer une charte encadrant les accès

depuis l’externe à ces services. La messagerie est accessible depuis un navigateur

connecté à internet (Optimiser pour Internet Explorer). Le site est sécurisé et il faut

par ailleurs se connecter à un portail d’authentification pour accéder à l’espace dédié.

La gestion mail est équivalente à la gestion sur un client lourd, toutes les options

par défaut si retrouve on peut ainsi :

Traiter son courrier

Définir des politiques de sécurités

Créer des règles de redirection ou de filtrage

Effectuer des recherches dans la boîte

Créer des messages d’absence

Gérer l’arborescence des dossiers

Accéder à son calendrier, ses contacts etc..

La seule limite se situe au niveau des archives hébergées localement sur les postes.



2. Direct Access

Pour répondre aux besoins des commerciaux dans leur travail à l’extérieur de

l’entreprise nous nous sommes penchés sur différentes solutions informatiques de

nomadisme. Nous avons sélectionné Direct Access pour son intégration avec les outils

Microsoft et sa simplicité d’utilisation vis-à-vis des utilisateurs.

Direct Access était une nouveauté de la version 2008 R2, le but de Microsoft était

de supplanter le classique couple VPN/SSL. Pour contourner les limites des réseaux

VPN, Direct Access établit automatiquement une connexion bidirectionnelle entre les

ordinateurs clients et le réseau de l'entreprise. Sur la version 2012, Direct Access se

déploie en tant comme un rôle à part entière.

Direct Access peut également être géré avec Forefront UAG pour profiter

principalement du NAT et DNS64 pour la version 2008.

Direct Access tranche complétement avec les technologies actuelles de nomadisme.

Toutes les solutions proposent généralement à l’utilisateur de lancer un système pour

pouvoir établir une connexion à distance.

Plusieurs problèmes sont mis en évidence, pour un utilisateur :

Ergonomie de l’outil

Difficulté de connexion

Mots de passe supplémentaire dans certains cas

Temps d’établissement de la connexion

Compatibilité de certaines applications

Accès aux ressources de l’entreprise

Ces facteurs de dysfonctionnement potentiel ne concernent que l’utilisateur, si nous

prenons en compte les avis des services informatiques, il est évident qu’une solution

« VPN/SSL » est souvent un casse-tête sur les trois points suivants :

Difficulté de mise en place

Authentification

Maintenance et dépannage

Direct Access propose un point de vue différent : augmenter l’expérience utilisateur.

L’usager d’un poste n’a plus à se soucier de lancer une connexion à distance (et le

cas échéant, ne pas lancer son client VPN en entreprise). Si l’authentification est forte



l’utilisateur devra simplement se munir d’une carte à puce, sinon l’authentification

Active Directory suffira.

La solution se positionne comme une extension du réseau d’entreprise et jongle de

façon autonome et automatique entre différentes technologies pour assurer la liaison

du poste avec l’entreprise.

Points essentiels

o Recours à la virtualisation pour répondre au besoin de répartition de charge et de redondance

o Stockage haute disponibilité via un NAS et de la technologie IPSAN

o Nouvelle politique de nommage des entités

o Accent sur la sécurité du système d’information

o Firewall, Sauvegarde, RAID, traçabilités, monitoring

o Anti-virus clients et serveurs, gestion des mises à jour

o Application du cloud pour les techniques de communication

o Office 365 : Exchange, Sharepoint, InTunes

Stratégie de déploiement


VI. Stratégie de déploiement

A. La gestion des risques du projet en bref

Type de risque Description globale du risque Points critiques Actions mises en place

Risque de démotivationEngagement managérial fort (voir partie VI Réorganisation des

équipes)

Séminaire d'entreprise

Alignement part variable sur résultat projet

Mesures de prise en compte des risques psychosociaux

Programme de formation

Risque de non-respect des délais (sous-qualité de

service)

Accompagnement au changement des utilisateurs finaux

(Recette utilisateur, support de début de vie)

Risque d'interruption de service Mise en place de SLA en interne pour la maintenance du secteur

Mise en place de SLA avec fournisseur d'accès (voir Annexe

partie III - solution opérateur)

Redondance de tous les éléments critiques : serveur en cluster,

equipements réseau redondants, liaisons inter-site avec back-

up,

Supervision du secteur des caisses

Redaction de procedure, documentation et mode opératoire

Mise à jour de la PSSI notamment mise en place de PCA/PRA

Sauvegarde delocalisée

Risque de dérive au niveau de la planificationPlanifier finement toutes les étapes et en particulier le

déploiement

Mettre en place des indicateurs fins

Définir des régles du jeu communes ainsi que des outils de

travail collaboratif (SharePoint)

Formaliser les relations entre les partenaires (Fiche projet,

reporting régulier, préparation et compte-rendu de réunion…)

Vigilance dans la relation entre les partenaires (pas de blancs

dans la communication…)

Supervision technique et organisationnelle du projet et du SI

Risque projet Risque lié à la difficuluté d'organisation d'un projet muti-sites

Risque au niveau de l'organisation globale

Risque humain lié à la réorganisation du SI

Risques techniques et organisationnels lié à la criticité du secteur

caisse

Risque produit -

risque humain

Risque produit - non

repect du besoin du

client sur le secteur

caisseRisque d'arrêt du service

Risque lié à un problème général de compétences



B. Les lots à déployer

Les lots à déployer sont les suivants :

Nom du lot Définition du lot Livrable

Initialisation du projet (1%) Remontées des données :

utilisateurs, …

Première étude du SI

existant

Analyse fonctionnelle d’étude

(4%),

Analyse des besoins de

Newstore

Cahier des charges

Exploration comparative des

solutions et conception (30%)

Réponse au cahier des

charges

Cahier des charges

fonctionnel détaillé de la

solution (partie IV et V de

ce document)

Tests et validation de la

solution (10%),

Test et validation Cahier des tests à fournir

en retour de la réunion

de Go no Go (ce cahier

est encore à présent

confidentiel)

Déploiement du Datacenter

Privé (centrale d’achat et

plateforme de stockage)

(20%) + premier hypermarché

béta + premier lot de trois

hypermarchés

Déploiement selon le

planning prédéfini de

l’ensemble des solutions

décrite en partie IV et V

Planning projet

Rédaction de la

documentation (5%),

Documentation technique

(voir comme exemple

annexe IV D)

Les annexes de ce

document sont la base

de la GED de ce projet

de refonte technique de

votre SI

Déploiement des 40

supermarchés « type »,

(20%)


planning prédéfini

Planning projet

Déploiement des huit

supermarchés « à profil »

(5%),


planning prédéfini

Planning projet

Support de début de vie (5%) Support de début de

mise en production

globale

SLA

(Voir annexe Fiche de test caissier)



C. Le planning de déploiement des hypermarchés

La méthode de déploiement pour NewStart est celle des vagues succesives, par phases.



D. Révision organisationnelle de l’exploitation du SI

1. La mise à jour de la politique de sécurité de Newstore

En 2013, Newstore choisit d’engager un plan de modernisation de son informatique,

et plus largement de son Système d’Information en installant un nouvel ERP pour les

hypermarchés au national comme à l’international. La société s’impose de ce fait, une

profonde refonte de sa politique de sécurité.

a. L’enjeu

L’enjeu principal est de garantir la sécurité globale du système d’information en

prévenant au maximum les intrusions et en garantissant l’intégrité des informations du

système. Cette préoccupation contribue à la stratégie et à l’image de marque de

Newstore, même s’il s’agit évidemment aussi d’être en conformité avec la

Règlementation concernée.

Conscient que la sécurité est autant une démarche organisationnelle que technique,

la direction de Newstore a exigé que le préalable à la définition d’une politique de

sécurité fut la réalisation (et le maintien à jour) des nouveaux schémas d’architecture

système et d’infrastructure réseau de chaque site de l’entreprise en centralisant cette

information auprès de l’administrateur système global et du responsable RSSI.

b. Le périmètre

Quelles informations vous sont essentielles ?

Concernant les données, trois bases sont hautement critiques. Elles composent le

cœur de l’activité de l’entreprise et doivent être hautement disponibles. En cas

d’incident majeur, elles doivent être sauvegardées et disponibles selon le plan de

reprise (Voir section Présentation générale du projet) :

La base produit

La base « fournisseurs »

La traduction technique de la vie de l’entreprise : annuaire de l’entreprise AD,

les configurations des serveurs (notamment serveurs de données) et des

équipements techniques (équipements réseau, pare-feu…)

D’autres le sont moins mais composent aussi des données critiques :

La base client (carte de fidélité)



La base documentaire technique de l’entreprise et notamment la

documentation décrivant les accords de services internes et externes

Quels matériels protéger ?

Tous les supports des données listées ci-dessus : éléments système (serveurs,

ordinateurs, caisses, périphériques, tous les objets connectés…) et les éléments réseaux

(accès réseau chez votre fournisseur d’accès, switch…).

Une attention particulière doit être portée à la liaison sécurisée au GIE interbancaire

STET-CORE dans les magasins ; sécurité physique et logique doivent être soignées.

Qui informer ?

L’ensemble des utilisateurs doit connaitre les éléments primordiaux de la politique de

sécurité et une déclinaison différentiée doit être prévue selon les profils d’utilisateur,

en particulier au moment clé de l’entrée de la sortie de l’entreprise.

c. Les besoins identifiés en sécurité

Quatre besoins de sécurité sont à respecter plus particulièrement :

Authentification : il s’agit d’améliorer la politique de gestion des accès et donc

renforcer l’authentification des utilisateurs que ce soit aux niveaux logique et

physique. La mesure emblématique, la complexité du mot de passe utilisateur et

administrateur, ne doit pas cacher d’autres mesures plus discrètes mais tout

aussi essentielles : fiabilisation des accès électriques à une hauteur équivalente

à la disponibilité exigée (onduleurs…), accès des salles informatiques protégé,

protection physique des locaux contre le feu, le brouillage électromagnétique…

Non-répudiation : toute action des administrateurs et toute navigation sur

Internet de l’ensemble des utilisateurs doit être tracé. Et les logs de ces actions

doivent être conservés. Conformément aux recommandations de la CNIL, la

direction s’engage à en informer les salariés : les salariés sont avisés par le

biais de la charte informatique placée en annexe et signée par chaque utilisateur

du SI des dispositions sécuritaires générales et particulières quant à l’utilisation

du SI de Newstore : la rétention et de la finalité du dispositif de contrôle et de

la durée pendant laquelle les données de connexion sont conservées (6 mois

au maximum) ; dans le même document, les procédures disciplinaires susceptibles

d’être engagées sur la base de ces fichiers sont clairement décrites.



Intégrité des données : être dans une démarche constante de veille technologique

afin de s’assurer de maintenir l’intégrité des informations de l’entreprise contre

le vol, la destruction ou la modification de celles-ci.

Interruption de service (disponibilité) : pour pallier toute interruption de service

des mesures au niveau de l’architecture les mesures suivantes ont été imposées :

la redondance des équipements et des accès, des bases et des supports. Des

sauvegardes régulières, externalisées quotidiennement dans un site différent des

structures centralisées du Datacenter privé.

d. Conservation et diffusion de la PSSI :

Une version écrite à jour de la PSSI globale doit être stockée dans les lieux suivants :

Dans le bureau du secrétariat du Directeur Général

Dans le bureau du RSSI (Directeur financier de Newstore)

Une version écrite à jour de la PSSI globale et locale doit être stockée dans les lieux

suivants :

Dans le bureau de chaque Responsable de magasin

Dans le bureau de chaque référent informatique local



2. La réorganisation des équipes informatiques et du support

a. Le support, nouvelle organisation et nouvelles équipes

A l’occasion de la réorganisation de votre SI, vous nous avez demandé de travailler

sur une réduction des coûts de la maintenance. Cela sera évidemment patent grâce

à la mise en place d’un SI entièrement rénové dont les matériels sont entièrement

garantis entre un et deux ans.

Nous vous suggérons d’étudier la possibilité d’améliorer la maintenance de votre futur

SI grâce une refonte de l’organisation de vos ressources humaines. En effet, une

structure centralisée demande aussi une DSI centralisée ; celle-ci ne peut naitre que

d’une transformation des équipes de correspondants locaux repartis encore aujourd’hui

dans chaque supermarché.

Nous proposons donc de faire de ce projet NewStart l’occasion d’une réorganisation

des équipes de terrain :

Mise en place de 6 régions pour distribuer les ressources à l’échelle des

territoires et non des hypermarchés,

Travail de gestion des ressources par la DRH afin de questionner chacun sur

son évolution professionnelle,

Conservation des personnels en place pour les hypermarchés dits à « profil »

comme ceux à l’étranger,

Plan de formation à l’échelle nationale et intégration de deux nouveaux

personnels en apprentissage (voir équipe MOA),

Proposition de mobilité fonctionnelle pour les plus de 55 ans et de départ à la

retraite anticipée pour les plus de 58 ans,

Ainsi, est-il possible de faire des « correspondants locaux » des personnels bien

formés et donc capables de prendre en charge les nouveaux besoins du secteur

critique qu’est le secteur de caisse, besoins décrits dans votre analyse fonctionnelle

et détaillés dans les SLA internes (Cf. qualité du SI : les accords de niveau de service

du secteur caisse).

Chaque correspondant local se verra attribuer un créneau de prise en charge de la

Hotline sur son lieu de travail traditionnel.



Les horaires du service Hotline seront les suivantes : 8h-20h 6 j/7 pour les équipes

en région.

Pour la dernière plage horaire de la journée de 20h à 22h30, un système de ticketing

sur GLPI est proposé pour les incidents non-urgents. Les équipes nationales se relaient

pour couvrir ces horaires de soirée en même temps qu’une astreinte de l’architecture

centralisée.

DSI - carte de France simplifiée

Identification des nouvelles régions

Nombre de

supermarché

Dont hypermarché à

"profil"

Nombre de correspondants

locaux initiaux ETP

ETP

(heures)

perdus

Nombre de correspondants

locaux post-déploiement DSI

DSI Centralisée 3

Région 1 : région parisienne et

hypermarchés à l’international 10 2 10 5 4

Région 2 : région grand-ouest 7 3 7 3,5 3

Région 3 : région nord-est 12 1 12 6 3

Région 4 : région sud-ouest 10 0 10 5 3

Région 5 : région sud-est 5 2 5 2,5 2

Région 6 : région extrême sud-est

(Marseille, Nice et Corse) 8 8 4 2

TOTAUX 52 8 52 26 6 17 3



b. Le support de début de vie, un enjeu essentiel post-déploiement

Le support de début de vie de la solution commence à la fin du déploiement et avant

que le service ne soit complètement accepté en production. Au cours du support de

début de vie, nous souhaitons être très attentifs et très présents en surveillant

notamment les indicateurs clés de performance, les niveaux de service ainsi que les

seuils de surveillance. Il s’agît de garantir que les cibles de service sont atteintes.

En mettant en place ce moment particulier d’une semaine entre déploiement du

Datacenter et de l’hypermarché pilote et la première phase de production en mode

nominal, nous fournissons durant cette période, des ressources additionnelles à vos

équipes de production centralisée ou en région.

c. Qualité du SI : les accords de niveau de service et une procédure représentative du

processus ITIL de gestion d’incident et du processus de mise en production

La gestion d’incident

Les accords de niveau de service : le contrat

Avant-propos :

Le document suivant est un contrat de service (ou service level agreement en Anglais).

C’est un contrat qui quantifie le niveau de service minimal pour une prestation qu’un

fournisseur s’engage à délivrer à son client. Dans le cas présent, celui-ci est particulier

car il constitue un contrat de service interne ; en effet, c’’est la direction informatique

de Newstore (fournisseur) qui assume directement les engagements de niveaux de

services concernant l'exploitation opérationnelle des caisses le client).

Rappel : ce document est un élément particulier du contrat de service global qui existe déjà

au sein de Newstore. Pour les autres SLA de Newstore, se référer au contrat de service

général.

Les buts de ce contrat sont :

de rappeler les besoins du client final pour pouvoir les exprimer clairement d’une

manière compréhensible par chacune des parties (fournisseur et client),



d’énoncer les critères d’évaluation ainsi que les moyens de mesure avec lesquels

on pourra évaluer la qualité de la prestation fournie.

Le fait de rédiger ce document alors que les deux parties appartiennent toutes les

deux à Newstore permet d’établir une relation de confiance, voire de partenariat entre

les parties tout en cherchant le meilleur niveau de service au meilleur prix. Ce contrat

est révisable à échéance chaque année.

Quelques définitions :

Ce contrat précise la prise en charge des incidents (il ne s’agit aucunement de décrire

par exemple la prise en charge des problèmes dont le processus fait l’objet d’un autre

document). Un incident se manifeste par une non-conformité, une dégradation ou une

interruption du service (ici concernant l’exploration opérationnelle des caisses).

Le service peut être :

Nominal : il fonctionne comme il a été spécifié et conçu

Normal : il fonctionne en conformité avec ce qui est mentionné dans ce

document

Dégradé : le service fonctionne mais avec un niveau de qualité en dessous de

ce qui est spécifié dans ce document

Arrêté : il ne fonctionne pas

La codification de chaque incident permet de déterminer la priorité que l’on va

attribuer à cet incident et pour cela il faut identifier l’impact (effet de l’incident sur

l’utilisation du service) et l’urgence (le temps alloué pour rétablir le service avant que

les effets de l’incident ne se fassent ressentir sur la production). La priorité est donc

la conjonction de l’impact et de l’urgence.

Nota bene : les incidents majeurs sont traités de façon différentiée dans un document dit de

« procédure de crise ».



Rappelons aussi à chacun des partenaires du contrat que les objectifs du processus

de la gestion des incidents, et donc de ce contrat, est de rétablir le service en

minimisant au maximum l’impact de celui-ci sur la production.

Contexte du contrat :

Ce contrat définit les services rendus par la direction informatique de Newstore

concernant l'exploitation opérationnelle des caisses. La DSI de Newstore s’engage en

premier lieu dans une démarche d’information et de conseil à tous les niveaux

d’intervention de ce secteur critique.

L’exploitation des caisses est entièrement gérée par la DSI ; même si la prise en

charge de la maintenance matérielle (remplacement des éléments de configuration de

tout type (équipement réseau, informatique ou monétique) restent confiée à des

prestataires externes qui peuvent être propres à chaque hypermarché.

Le lien privilégié et unique entre la DSI et le personnel des caisses est une ligne

interne dédiée entièrement à cet effet. Il constitue un POINT UNIQUE D’ENTREE pour

la déclaration d’un incident. Même si les correspondants locaux organisent parfois sur

le terrain le lien entre tous les acteurs de ce contrat : DSI centralisée, prestataires

internes et client final (personnel de caisse), il n’est pas possible de déclarer auprès

d’eux un incident - ou une demande de service - autrement que par le biais de ce

numéro centralisé. Et toute demande non formalisée ainsi ne sera pas traitée.

Pour rappel, seul le secteur de caisse a accès à ce service. La déclaration des

incidents impactant tout autre secteur (administratif, laboratoire…) a déjà fait l’objet

d’un contrat de service général dont l’outil de suivi est GLPI. Le gestionnaire du

processus de gestion des incidents concernant l’exploration opérationnelle des caisses

est le responsable administrateur système et réseau de Newstore : Renaud ROLAND.

Rappel du besoin :

Métiers impactés par ce contrat : caissier, chef de secteur, chef de caisse

Services « clé » impactés : demande prix-réponse prix, vente-encaissement,

relation clientèle



Usages les plus fréquents du Service : encaissement

Volumes associés : 240 articles par seconde max

Définition des engagements de niveau de Service :

Métier : caissier, chef de caisse (éventuellement chef de secteur)

Horaires de Service : 8h30 – 22h30 lundi au samedi

Horaires de support : 8h30 – 22h30 lundi au samedi

Disponibilité (%) : 99,99 %

Fiabilité : aucune perte d’information

Débit : 13 Mo/jour pour la demande de prix et réponse de prix, 30 Mo/jour

pour les ventes, 10Mo/ pour les ventes

Temps de réponse : 1s et temps réel pour les ventes (<1s)

Fonctionnement dégradé : voir processus de gestion des incidents majeurs, type

procédure de crise

Réactivité : immédiate si incident bloquant même individuel car changement de

poste de travail

Suivant le type de demande de changement matériel : H4 à H8 en fonction de

la typologie de l’élément de configuration impacté (informatique et réseau : H4,

monétique H8)

Suivant le type d’incident : voir tableau ci-dessous

Indicateurs :

Niveau 1

Délai prise en charge de l’appel : 3 minutes

Délai d’enregistrement de l’appel : 10 minutes

Taux de résolution du Niveau 1 : 89% des incidents enregistrés



Tableau calcul de criticité des incidents :

Impact

Urgence

Faible Normal Haute

Non Bloquant 2J 1J 12H

Bloquant 1 Utilisateur 1J 12H 6H

Bloquant N Utilisateurs 12H 6H 4H

Déclaration d’incident :

Pour chaque incident remonté par un utilisateur, les informations suivantes devront

être respectées :

Statut du ticket : Ouvert, résolu ou Clôturé

Identité du déclarant (nom, prénom, identifiant unique d’entreprisse : A

sélectionner dans la liste

Date et heure de l’appel : renseigner automatiquement modification manuelle

possible

Catégorie de l’appel : Voir annexe correspondante

Equipement ou solution impactée : à sélectionner dans la liste filtrée par la

catégorie

Objet de l’appel : Titre bref de l’incident

Description de l’appel : Description exhaustive du problème rencontré

Description de la résolution : Résolution effectuée pour remettre en état de

fonctionnement la solution

Niveau de criticité de l’appel (se référer au tableau ci-dessus)

Remontée hiérarchique : N+1 / N+2 / N+3

Priorité de l’appel : Haute, Moyenne, Basse (se référer au tableau ci-dessus)

Insertion dans la base de connaissance : Oui ou Non en fonction du cas



La procédure de gestion des incidents



La procédure de mise en production d’un switch



Points essentiels

o Planning de déploiement des hypermarchés en 2 phases, pilotes et production

o Mise en place d’une politique de sécurité de Newstore

o Quatre besoins en sécurité identifié :

o Authentification, Non-répudiation, intégrité des données et Interruption de service

o Réorganisation des équipes informatiques

o 6 régions pour la distribution des ressources

o Personnels sur site pour hypermarchés à profil

o Plan de formation national

o Définition des accords de niveau de service

o Respect du cahier des bonnes pratiques ITIL

o Procédure de gestion des incidents

Gestion budgétaire


VII. Gestion budgétaire

A. Le contexte financier

1. Les données de la feuille de route de la direction informatique

a. Les missions

La direction informatique de Newstore a pour missions (ou fonctions) :

La Gestion technique et opérationnelle du SI : définition, planification,

implémentation et maintenance sur le périmètre suivant : l’infrastructure système

(serveurs, stockage, postes de travail) et réseau (équipement du LAN, moyens

télécoms, internet),

La Gestion des applications dans le périmètre de l’identification des exigences

fonctionnelles, de performances et d’exploitation car la conception et

maintenance évolutive étant sous-traitée à Aldata,

Le Centre de service,

La conduite, le suivi et la mise en œuvre des projets informatiques en particulier

NewStart.

b. Les enjeux

Les défis que doit relever la direction informatique dans le cadre du projet NewStart

sont au nombre de trois :

Maintenir un haut niveau de qualité pour les utilisateurs du système d’information

de l’entreprise et le client final

Développer un haut niveau technique pour les équipes de la DSI

Mener le projet dans les délais et les coûts fixés

Gestion budgétaire


2. Le projet Newstart : définition initiale

La direction informatique a donc comme projet prioritaire la mise en place de l’ERP

Gold d’Aladata. Suite à un appel d’offre, la société Lynk Systems a été retenue par

Newstore dans les conditions suivantes :

a. Les données techniques :

Implémentation de l’ERP en étroite relation avec l’éditeur- intégrateur de la

solution Gold,

Rénovation de l’infrastructure du SI pour accueillir d’ERP

Refonte organisationnelle de la DSI pour accompagner la mise en place d’une

nouvelle structure

b. Les objectifs

Ce projet a un double objectif :

de réduire les coûts de fonctionnement de 3% soit 3.5 M€ à l’année

d’augmenter la capacité d’absorption du secteur caisse de 12% afin de traiter

5400 charriots par jour contre 4800 actuellement.

Ainsi, ces objectifs définis, le projet est-il doté de 4 M€ dont 15K€ pour l’étude (déjà

effectuée). Le Taux Retour sur Investissement demandé est de 14 mois au maximum.

c. Les données financières globales :

Budget total du projet : 4M€

Analyse fonctionnelle : 150 000 €

budget d’investissement : 1 910 000M€

budget de prestation globale : 750 000 €

Budget de formation : 100 000 €

Budget de communication (opérateur incluant la solution Centrex pour la VOIP) :

490 000 € (Même si le budget de communication, c’est-à-dire la solution

opérateur, est réglée directement par votre société et qu’il s’agit d’un budget de

fonctionnement, nous l’incluons dans ce budget global)

Gestion budgétaire


B. Les moyens humains du projet (MOE)

La provision des ressources humaines pour le projet se présente ainsi :

80 jours pour le chef de projet MOA pour la planification, la coordination,

l’animation du projet dont les réunions et leur compte-rendu (Cf. Organisation

du projet en première partie de ce document) ainsi que l’organisation globale

de la gestion documentaire du projet (architecture de l’information et mise à

disposition de ressources documentaires ordonnées et indexées de façon

minimale (QUI ?, QUAND ?, QUOI ? OU ? Les annexes de ce document

constituent la base de la gestion documentaire du projet. Trois types de

documentations sont mis à disposition : la documentation « PRODUITS », la

DOCUMENTATION TECHNIQUE (configuration des équipements réseau…,

configuration système, et la documentation liée à l’animation du PROJET lui-

même (fiche projet…).), ainsi que la communication du projet (SharePoint), et le

pilotage du processus de gestion du changement dans le cadre du projet,

350 jours pour le chef de projet technique pour la mise en place de l’ensemble

de la solution technique, la rédaction de la documentation technique et

l’accompagnement de son alter-ergo MOA (votre administrateur système),

250 jours pour la personne chargée de l’accompagnement au changement des

utilisateurs du système d’information (dans sa partie impactée) : principalement

les caissiers et les membres de l’équipe informatique ; sa mission est aussi au

fil du projet d’assister le chef de projet technique,

8 jours pour le consultant réseau, 5 jours pendant la phase de création de

l’architecture dans un rôle d’expert qui valide les choix globaux des

administrateurs et 3 jours au moment de la mise en place de la solution,

6 jours pour le consultant sécurité, 3 au moment de la création de l’architecture

globale et 3 au moment de la phase de déploiement « pilote »,

Vous trouverez à la page suivante le détail de la facturation des prestations et des

frais de déplacement.

210 jours de prestations informatiques afin de mettre en place la solution dans

les supermarchés,

270 jours de prestations électriques afin de remplacer le câblage du secteur de

caisse.

Gestion budgétaire


Tableau temps prestation Hommes / Jours

Détail profil

prestataires

Nombre de

jours

Total

prestation

Frais de

déplacement

1

Frais de

déplcament

2

Total

prestation

TJ-CF-Chef de

projet MOA CJ 80 64000 4800 4000

TJ-LU-Chef de

projet technique 440 264000 26400 22000

TJ-BL-

Accompagnement

utilisateur

150 30000 9000 7500

TJ-RL-CPIE HP

ASE 8 8000 480 400

TW-Sécurité 6 6000 360 300

684 372000 41040 34200 447240

Gestion budgétaire


C. L’investissement

Le projet Newstart est avant tout un projet d’investissement, à la hauteur de 1,9

millions d’euros. La très grande majorité de l’infrastructure du SI est renouvelée. En

ce qui concerne le secteur caisse, qui est le secteur critique de ce projet, le

remplacement matériel est massif. Seules les ordinateurs de caisse et leurs

périphériques sont conservés ; le câblage, tous les éléments du réseau (toutes les

couches) ainsi que ceux du système centralisé sont neufs et bénéficient des nouvelles

technologies (dernière version du système d’exportation, éligibles aux nouveaux

protocoles de communication comme l’Openflow…). Pour les éléments du système,

l’ensemble est entièrement neuf également.

Cette nécessité de renouvèlement matériel se justifie au regard des objectifs ambitieux

d’augmenter la capacité d’absorption du secteur caisse de 12% afin de traiter 5400

charriots par jour contre 4800 actuellement.

Les tests réalisés en laboratoire et les calculs de charge théoriques permettent de

prévoir une capacité d’interrogation de la base Gold par l’ordinateur de caisse en

moyenne en 1,7 secondes, ce qui situe votre solution dans les exigences exprimées

lors de votre analyse fonctionnelle principalement grâce :

A la mise en place de l’ERP et son hébergement sur les serveurs puissants et

fournissant une répartition de charge garantissant des temps de réponse rapides,

A la mise en place d’un câblage de qualité réalisé par des professionnels certifiés,

Au changement des équipements réseau tous éligibles à un trafic à 12 Gb/s

pour les équipements de périphérie ou 144 Gb/s voire 176 Gb/s (latence 10

Gbits/s : < 3 µs), pour les équipements de cœur de réseau.

Nous vous suggérons, dans un souci d’exhaustivité, que dans le cadre de ce secteur

caisse extrêmement sensible, l’encaissement reste un élément à reconsidérer

rapidement ; certes il se trouve en périphérie de votre SI mais il s’agit d’un secteur

au cœur duquel il est possible d’effectuer des gains de productivité importants. Vous

trouverez la proposition d’un prestataire leader sur le marché dans la dernière partie

de ce document.

Evolutions potentielles


VIII. Evolutions potentielles Le réseau étant entièrement renouvelé, il n’est pas nécessaire de faire évoluer dans

les 5 années à venir.

A. Système

1. Le projet téléphonie

La deuxième étape du projet téléphonie en VOIP devra être entreprise pour le

remplacement de l’ensemble des postes. C’est un projet d’investissement dont le

déploiement est assez simple, étant donné qu’il ne s’agit que de mettre en place les

téléphones sur IP puisque le câblage réseau vient d’être rénové.

2. Le changement des postes de travail utilisateur

Les PC de caisses et les équipements bureautiques avaient déjà été upgradés en

Windows Seven au fil de l’eau avant le projet NewsStart. Il s’agit peut-être de prévoir

dans un horizon de deux années de remplacer aussi ce matériel désormais amorti.

B. La monétique intégrée et centralisée

1. Le contexte

Nous avons continué à travailler pour ce projet avec votre prestataire privilégié

responsable de la mise en œuvre et de la maintenance de votre solution actuelle :

CIRRA. La seule différence notable est celle-ci : CIRRA fait partie désormais d’un

regroupement stratégique sous l’égide du Crédit Agricole qui a assemblé ses expertises

et crée AVEO avec MONECAM, SOMAINTEL, CMM et MONETICA qui ne forment

désormais qu'un seul groupe, présent au niveau national avec 35 sites de proximité

et 8 sites de production. Il réalise 112 M€ de chiffre d'affaires et compte plus de 800

collaborateurs.

A l’heure où Newstore fait évoluer son système d’information dans le sens d’une plus

grande concentration et d’une plus grande intégration à tous les niveaux, la monétique

aussi doit suivre naturellement cette tendance.

Ainsi, la solution Axis intégrée d’Ingenico s’est imposée :





2. Description de la solution

Centralisée, elle déporte et concentre toutes les transactions vers une plateforme de

serveurs centralisés gérés par Ingénico. Elle est multi-canal, internationale, compatible

PCI-DSS, avec la possibilité de bénéficier d’un ticket commerçant dématérialisé.

La solution répond aux exigences suivantes :

Solution opérée de 2 sites distincts,

Architecture en load-balancing,

Tous les éléments sont redondés,

Liens entrants et sortants dupliqués

Systèmes de reprise sur incident automatisée en moins de 1 mn

Solution certifiée PCI-DSS niveau 1 (Niveau 1 : commerces totalisant plus de 6

millions de transactions par an avec Visa et MasterCard – toutes transactions

confondues)

Certification Verizon – 14 sept. 2009

Ainsi, vos 52 magasins vont évoluer de la solution locale à la solution centralisée :

3. Les bénéfices fonctionnels

Les bénéfices de changement de solutions : la mise à disposition de Reporting ‘e-

Portal’ :



Outil Web 2.0

Recherche multicritères, y compris données privées de l’enseigne

Outils de réconciliation

Tickets commerçant archivées électroniquement

Rapports et interfaces personnalisables

Export CSV et PDF

En option, en plus de l’acceptation de tous les moyens européens classiques :

La solution intégrée permet de piloter

Services : Paiement N Fois, VAD, Quasi-Cash, PLBS

DCC – Conversion de change dynamique

Chèques : télécollecte, consultation FNCI, garantie, lutte contre les chèques

‘flambants’

Cartes cadeaux / Prépayées

Paiement sans contact

http://www.venusfort.co.jp/multi/images/unionpay.gif

http://www.venusfort.co.jp/multi/images/unionpay.gif

http://images.google.fr/imgres?imgurl=http://stickbase9000.free.fr/images/9000/9500/9591.jpg&imgrefurl=http://alexandre.nouvel.online.fr/sticker_lists/questions51.html&h=296&w=309&sz=29&tbnid=XVWvPhc0XC26cM:&tbnh=107&tbnw=112&hl=fr&start=19&prev=/images?q%3DTOTAL%2BGR%26svnum%3D10%26hl%3Dfr%26lr%3D

http://images.google.fr/imgres?imgurl=http://stickbase9000.free.fr/images/9000/9500/9591.jpg&imgrefurl=http://alexandre.nouvel.online.fr/sticker_lists/questions51.html&h=296&w=309&sz=29&tbnid=XVWvPhc0XC26cM:&tbnh=107&tbnw=112&hl=fr&start=19&prev=/images?q%3DTOTAL%2BGR%26svnum%3D10%26hl%3Dfr%26lr%3D



3. La qualité de service

En outre, cette solution répond aux exigences du cahier des charges en matière de

qualité de service :



4. Les avantages pour toutes les directions

a. Avantages productifs en magasin :

Magasins libérés de la gestion monétique

o Suppression de la télécollecte, de la carte de domiciliation, du paramétrage

en magasin

o Migrations et évolutions logicielles pilotées en centrale jusqu’au terminal

o Changements de domiciliation et des seuils d’appels chèques pilotés en

centrale

o BENEFICES : des vendeurs dédiés à la vente avec un équipement à jour

Suppression de l’édition du ticket commerçant (PCI-DSS R3)

o BENEFICES : Sécurité, gain temps en caisse, économie papier, écologique

Temps moyen d’une autorisation inférieur à 2 secondes

o BENEFICES : accélération du passage en caisse

Intégration optimale au point de vente

o Connectique limitée & réduction des périphériques

o Interface étroite avec l’encaissement

o TPE adaptés à chaque besoin Fixe / Mobilité / Automate / Sans Contact

intégré

o BENEFICES : excellente ergonomie et réduction maximale des incidents

b. Avantages productifs au niveau DSI :

Mutualisation des infrastructures :

Mutualisation du VPN pour les traitements monétiques

Suppression des autres accès et consommations télécom (RNIS/X25) monétique

Mutualisation des sites et de l’infrastructure d’hébergement Ingenico

BENEFICES : Economies, sécurité et performance liées à la mutualisation des moyens

Hébergement et infogérance Ingenico

Respect des normes sécuritaires : Axis hébergé par Ingenico certifié PCI-DSS

Continuité des services garantie par SLA : 99,80%

Sauvegarde des données garantie par SLA, stockage des transactions chez

Ingenico

Helpdesk 7/7j de 05h00 à 22h00 dimanches et jours fériés compris

BENEFICES : La DSI se concentre sur son cœur de métier

Aucune donnée monétique stockée sur site (PCI-DSS – R3)

BENEFICES : le personnel n’est pas au contact des données sensibles : pas de

possibilité de fraude interne au n° de carte. La DSI s’assure de la sécurité.

Interface Web à disposition de la DSI et du helpdesk niveau 1



BENEFICES : La DSI a la visibilité des opérations en temps réel et sur un an

Pilotage des évolutions en centrale :

o Demande du marketing de rajouter un moyen de paiement (ex. : carte

cadeau, sans contact, PNF) ou un service (ex. : recharge de carte

téléphonique)

o Demande de la DAF de changer d’organisme financier ou de garantisseur)

o Demande de la DAF de bénéficier du DCC

o Demande de la DAF de lutter contre la fraude

BENEFICES : La DSI peut répondre rapidement et à moindre coût à ses clients internes

grâce au pilotage centralisé de la solution

Interface étroite entre la monétique et l’encaissement :

o La monétique opère selon l’ordre transmis par l’encaissement

o La monétique rend compte de l’opération effectuée à l’encaissement

o Pas de différence de caisse en fin de journée

o Gestion de l’identifiant unique de transaction visible sur le Web

BENEFICES : parfaite cohérence des opérations entre la monétique et l’encaissement

Maintenance matérielle simplifiée : Terminal « plug and play »

BENEFICES : allègement de l’action de maintenance sur site

c. Avantages productifs au niveau DAF

Pilotage des évolutions en centrale :

o Demande du marketing de rajouter un moyen de paiement (ex. : carte

cadeau, sans contact, PNF) ou un service (ex. : recharge de carte

téléphonique)

o Demande de la DAF de changer d’organisme financier ou de garantisseur

o Demande de la DAF de bénéficier du DCC

o Demande de la DAF de lutter contre la fraude

BENEFICES : La DSI peut répondre rapidement et à moindre coût à ses clients internes

grâce au pilotage centralisé de la solution

Interface étroite entre la monétique et l’encaissement :

o La monétique opère selon l’ordre transmis par l’encaissement

o La monétique rend compte de l’opération effectuée à l’encaissement

o Pas de différence de caisse en fin de journée

Gestion des ordres atypiques : cartes cadeaux, recharges téléphoniques…



Gestion de l’identifiant unique de transaction visible sur le Web

BENEFICES : parfaite cohérence des opérations entre la monétique et l’encaissement

Maintenance matérielle simplifiée : Terminal « plug and play »

BENEFICES : allègement de l’action de maintenance sur site

Le cas du Portugal



Glossaire termes techniques

Vous trouverez dans la liste suivante des définitions des termes techniques

employés dans ce document

A

ACL: Liste de contrôle d'accès - Utilisée en

sécurité informatique pour filtrer des ports

autorisés ou interdits · - 82 -

Active Directory: Annuaire LDAP par Microsoft ·

42

adresse IP: Numéro d'identification pour

communiquer sur un réseau informatique ·

44

Adresse MAC: Identifiant physique utilisé dans

les réseaux informatiques pour identifier une

carte réseau · - 30 -

ADSL: Technologie de communication utilisée

pour le transport d'information numérique · -

25 -

AES: Algorithme de chiffrement · 58

Agrégation: Combinaison de plusieurs ports

d’un équipement réseau pour cumuler les

débits · - 37 -

ATM: Technologie de communication

asynchrone · - 29 -

B

back-to-back: Ciblage entre un routeur DSL et

3G · - 32 -

Back-up: Solution de communication de secours

· - 26 -

BAL: Boite aux lettres d'un utilisateur sous

exchange · - 91 -

Bastion: Mode de configuration d'une DMZ · -

82 -

BDD: Base de données · - 82 -

boucle locale: Partie d'une ligne téléphonique

entre un répartiteur et les équipements

opérateur · - 25 -

Broker: Service utilisé par centreon pour faire

le lien entre nagios et sa propre interface · -

103 -

C

CIDR: Système de répartition des adresses sur

un réseau informatique, supplante l'ancienne

méthode par classe · - 47 -

CLI: Interface en ligne de commande · - 92 -

cluster: Système de Haute disponiblité méthode

active/active basé sur l'implantation de

grappe de serveur · 42

Contrôleur de domaine: Système maitre qui

contrôle un domaine d'un environnement

Microsoft · 42

CVS: Système de gestion chronologique de

version de fichier centralisé · - 108 -

D

DFS: Système de fichier logique réparti sur

plusieurs serveurs réunis par des liens

logiques · - 71 -

DHCP: Protocole qui assure la gestion de

distribution des adresses IP sur un réseau ·

59

DMZ: Zone tampon qui isole les services

accessibles depuis intenet d'une entreprise

par un pare feu · - 36 -

DNS: Service de translation de nom d'hôte en

information de plusieurs types notamment

d'adresse IP · 59

DNS64: Protocole de transition de nom d'hôte

IPv4 vers IPv6 · - 112 -



DSLAM: Multiplexeur qui permet d'assurer à un

abonné une liaison téléphonique de type DSL

· - 32 -

E

ERP: Progiciel de gestion intégré orienté vers le

métier d'une entreprise · 42

F

FAN: Fully Automated Nagios distribution libre

intégrant des outils de supervision nottement

nagios et centreon · - 102 -

FCoE: Protocole qui encapsule des trames de

fibre channel sur un réseau ethernet · 57

Fibre optique: Fil de verre qui conduit de la

lumière et est employé dans les réseaux

informatique pour assurer de haut debit · -

32 -

Firewall: Elément informatique qui assure le

filtrage des paquets transitant sur un réseau

d'entreprise · - 26 -

FTP: Protocole de communication utilisé pour

des échanges informatiques · - 82 -

G

GPL: Licence de distribution des logiciels libres

· - 99 -

H

Hash: Fonction qui permet d'identifier

rapidement une donnée · - 52 -

HBA: Carte d'extension utilisée sur un serveur

pour le connecter à un bus externe de

sotckage · - 55 -

I

IOPS: Unité de mesure des opérations d'entrée

et de sortie d'un équipement · 57

IpSAN: Système de stockage qui s'appuie sur

des protocoles tels que le ISCSI · 57

ISCSI: Protocole de stockage qui encapsule des

trames SCSI sur du protocole IP · 57

ITIL: Ensemble d'ouvrage des bonnes pratiques

du management d'un système d'information ·

- 109 -

L

LACP: Protocole de niveau 2 du modèle OSI

qui permet de grouper plusieurs ports

physiques en une seule voie logique · - 37 -

LDAP: Normes des systèmes d'annuaire

informatique · - 103 -

LDP: Label Distribution Protocol (ou LDP) est un

protocole standardisé pour l'échange

d'information sur les étiquettes (labels ou

tags) entre routeurs MPLS. Il est normalisé

dans le RFC 5036. · - 29 -

LTO: Stockage de données sur bande

magnétique · 58

LUN: Unité de stockage d'un équipement SCSI ·

- 75 -

M

MIB: Les MIB (Management Information Base)

sont les fichiers descriptifs des objets utilisés

par le protocole SNMP et implémentés dans

les agents SNMP. · - 104 -

MPLS: MultiProtocol Label Switching (MPLS) est

un mécanisme de transport de données basé

sur la commutation d'étiquettes ou "labels",

qui sont insérés à l'entrée du réseau MPLS

et retirés à sa sortie. · - 26 -

multimode: Type de fibre optique couramment

employée sur des courtes distances · - 79 -

N

NAS: Système de stockage réseaux · 57

NAT: Fait de correspondre des adresse IP

internet non-uniques ves une adresse

externe unique · - 36 -

NETBIOS: Système de nommage d'un poste de

travail Microsoft · - 67 -

nœud: Hôte Hyper-V dans un environnement

cluster · 61



NTFS: Système de fichier propriétaire Microsoft

· - 68 -

O

OID: Identifiant universel représenté sous forme

numérique d'un éléments informatique · -

104 -

OneDrive: Service de stockage personnel dans

le cloud microsoft · - 72 -

OSI: Standard de communication sur les

réseaux informatiques décomposés en 7

couches · - 29 -

OU: Unité d'organisation utilisée sur l'annuaire

Active Directory de Microsoft · - 68 -

P

PCI-DSS: (acronyme anglais de Payment Card

Industry Data Security Standard) Une

traduction française serait « standard de

sécurité des données pour l’industrie des

cartes de paiement » · - 134 -

PHP: Langage de progammation pour des

pages web dynamique · - 99 -

POE: Permet de faire passer une tension

éléctrique jusqu'à 48 V sur un cable réseau

RJ45 · - 37 -

Q

QoS: Permet d'optimiser les ressources réseau

en assurant de bonnes conditions de trafics

par l'intermédiaire de règles · 40

Quorum: Disque témoin utilisé sur les clusterq

hyper-V pour définir la priorité des nœuds ·

61

R

RAID: Technique de stockage qui permet

d'assembler plusieurs disques durs en un

logique pour des questions de performances

ou de sécuité · - 73 -

S

SAN: Réseau spécialisé permettant de

mutualiser des ressources de stockage. · -

75 -

SAS: Interface de disque dur évolution du SCSI

et gérant la norme SATA · - 55 -

SCCM: Plateforme de gestion de produtis

Microsoft déstinés à gérer de grand parc

informatique · - 85 -

SDSL: Technique de communication réseau

assurant des débits symétriques

contrairement à L'ADSL · - 28 -

SFP: Interface de connexion qui supporte des

standards de communication type fiber

channel · - 36 -

SIP: Protocole de session utilisé dans les

réseaux informatiques pour de la

communication type VOIP · - 96 -

SLA: Préstation de service entre un préstataire

et un client · - 137 -

SMB: Protocole permettant le partage de fichier

dans ca version 3 · - 251 -

SNMP: Protocole de communication utilisé en

supervision sur des produits type Nagios · -

88 -

Spanning Tree: Protocole de communication

prévenant des réseaux locaux sans boucle ·

- 51 -

SSD: Type de disque de donnée composé d'un

controleur mémoire à la différence d'un

disque dur classique · 57

stratégie de groupe: Règles de gestion

centralisée à déployer sur poste d'un

environnement Microsoft · - 68 -

Syslog: Protocole qui permet de traiter les

événements d'un système informatique · -

88 -

T

TPE: Terminal de paiement électronique · - 137

-

Trunk: Méthode d'encapsulation qui permet de

faire passer plusieurs Vlan sur un port · - 38

-



TSE: Système de Microsoft permettant d'ouvrir

une session distante sur un environnement

Windows · 59

V

Vhdx: Format de fichier émulant un disque dur

virtuel utilisé dans les environnements

Microsoft · - 75 -

VLAN: Réseau logique indépendant · - 37 -

VOIP: Technique de communication qui permet

de faire passer de la Voix sur un réseau IP ·

- 37 -

VPN: Réseau privé virtuel qui consiste à

joindre plusieurs ordinateurs distants par le

biais d'un méme réseau en toute sécurité · -

28 -

W

Wimax: Standard de communication sans-fil

permettant d'accéder à internet sur une

étendue · - 32 -

WSUS: Rôle de Microsoft de gestion centralisée

des mises à jour Microsoft · 59

Z

Zero Day: Utilisation d'une vulnérabilité sur un

système d'exploitation inconnue du public · -

84 -



Bibliographie

Vous trouverez dans la liste suivante les documentations, livres et références sur

lesquels nous nous sommes appuyés pour construire ce dossier. Certain documents

ne sont pas listé par des clauses de confidentialité ou de non divulgation.

Centreon

Auteur : Merethis, Date de publication : 2014

http://www.centreon.fr/

Auteur : Merethis, Date de publication : 2014

http://forum.centreon.com/

Auteur : Olivier JAN Date de publication : 2007

http://www.monitoring-fr.org/2014/02/centreon-sortie-de-la-version-2-5/

Auteur : Loic Fontaine Brunos Legros Date de publication : 2013

Livre Centreon Maîtrisez la supervision de votre système d'information édition

ENI

Rancid

Auteur : Communauté UBUNTU Date de publication : 2012

http://doc.ubuntu-fr.org/rancid

Auteur : Alex Nogard Date de publication : 2013

http://alexnogard.com/backup-de-vos-switches-cisco-hp-juniper-2524-

automatise-rancid/

Auteur : Openmaniak Date de publication : 2008

http://openmaniak.com/fr/rancid_tutorial.php

http://www.centreon.fr/

http://forum.centreon.com/

http://www.monitoring-fr.org/2014/02/centreon-sortie-de-la-version-2-5/

http://doc.ubuntu-fr.org/rancid

http://alexnogard.com/backup-de-vos-switches-cisco-hp-juniper-2524-automatise-rancid/

http://alexnogard.com/backup-de-vos-switches-cisco-hp-juniper-2524-automatise-rancid/

http://openmaniak.com/fr/rancid_tutorial.php



Fibre Optique

Auteur : Cisco Goffinet Date de publication : 2014

http://cisco.goffinet.org/s1/fibre_optique#.U2pKCvl_tHU

Auteur : Black Box Date de publication : 2014

http://www.blackbox.fr/fr-fr/page/5454/fibre-multimode-ou-monomode-

QNAP

Auteur : Société QNAP Date de publication : 2014

http://www.qnap.com/i/fr/

http://www.qnap.com/index.php?lang=fr&sn=2871


Switch HP

Auteur : Société HP Date de publication : 2014

http://h17007.www1.hp.com/fr/fr/networking/products/switches/index.asp

http://h20565.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisp

lay?javax.portlet.begCacheTok=com.vignette.cachetoken&javax.portlet.endCacheT

ok=com.vignette.cachetoken&javax.portlet.prp_ba847bafb2a2d782fcbb0710b053c

e01=wsrp-navigationalState%3DdocId%253Demr_na-c02601831-

Auteur : InfoAnouille Date de publication : 2013

http://infonanouille.wordpress.com/2013/02/05/configuration-dun-switch-hp-

procurve/

Châssis HP


http://h20565.www2.hp.com/portal/site/hpsc/public/psi/setupInstallResults?sp4

ts.oid=1844065&ac.admitted=1399475033345.876444892.492883150

http://h10032.www1.hp.com/ctg/Manual/c00698534.pdf

https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&u

act=8&ved=0CDYQFjAA&url=http%3A%2F%2Fh20564.www2.hp.com%2Fportal%2F

http://cisco.goffinet.org/s1/fibre_optique#.U2pKCvl_tHU

http://www.blackbox.fr/fr-fr/page/5454/fibre-multimode-ou-monomode-

http://www.qnap.com/i/fr/



http://h17007.www1.hp.com/fr/fr/networking/products/switches/index.asp

http://h20565.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay?javax.portlet.begCacheTok=com.vignette.cachetoken&javax.portlet.endCacheTok=com.vignette.cachetoken&javax.portlet.prp_ba847bafb2a2d782fcbb0710b053ce01=wsrp-navigationalState%3DdocId%253Demr_na-c02601831-




http://infonanouille.wordpress.com/2013/02/05/configuration-dun-switch-hp-procurve/

http://infonanouille.wordpress.com/2013/02/05/configuration-dun-switch-hp-procurve/

http://h20565.www2.hp.com/portal/site/hpsc/public/psi/setupInstallResults?sp4ts.oid=1844065&ac.admitted=1399475033345.876444892.492883150

http://h20565.www2.hp.com/portal/site/hpsc/public/psi/setupInstallResults?sp4ts.oid=1844065&ac.admitted=1399475033345.876444892.492883150

http://h10032.www1.hp.com/ctg/Manual/c00698534.pdf

https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CDYQFjAA&url=http%3A%2F%2Fh20564.www2.hp.com%2Fportal%2Fsite%2Fhpsc%2Ftemplate.PUBLIC_SP4TS_REDIRECTOR%2Fbc%2Fdocs%2Fsupport%2FSupportManual%2Fc00698286%2Fc00698286.pdf&ei=a0tqU4mTHIWI0AXppoDwDQ&usg=AFQjCNHp9f3lGww2j-ELgRRm2pU1oXnJ_g&sig2=q5jrnPwhTjLorXhTePs2MA&bvm=bv.66111022,d.d2k




site%2Fhpsc%2Ftemplate.PUBLIC_SP4TS_REDIRECTOR%2Fbc%2Fdocs%2Fsupport

%2FSupportManual%2Fc00698286%2Fc00698286.pdf&ei=a0tqU4mTHIWI0AXppo

DwDQ&usg=AFQjCNHp9f3lGww2j-

ELgRRm2pU1oXnJ_g&sig2=q5jrnPwhTjLorXhTePs2MA&bvm=bv.66111022,d.d2k

Renseignement opérateur

Auteur : SFR Business Team Date de publication : 2009 et

2012

Catalogue_tarifaire_PME_fev09.pdf

Catalogue-tarifaire-Solutions-Services-avril-2012.pdf

http://pme.sfrbusinessteam.fr/telephoner/telephonie-mobile/choix-forfait-

mobile-pro/index.jsp?gclid=CKeqjtynnL4CFWvkwgod9VMA4w

Auteur : Bouygues Télécom Date de publication : 2013

guide-tarifs-entreprises.pdf

http://www.bouyguestelecom-entreprises.fr/web/search/generique#xtor=SEC-

700909-GOO

Auteur : Société Celeste Date de publication : 2014

http://www.celeste.fr/sdsl

http://www.celeste.fr/sdsl-technologie

Auteur : Société Magic Date de publication : 2014

https://www.magic.fr/solutions/sdsl

Auteur : Société Completel Date de publication : 2014

http://www.completel.fr/

Auteur : Société Colt Date de publication : 2014

http://www.colt.net/fr/fr/about-us/index.htm

Auteur : Société Nerim Date de publication : 2014

http://www.nerim.fr/

Auteur : Orange business Date de publication : 2014

http://www.orange-business.com/fr





http://pme.sfrbusinessteam.fr/telephoner/telephonie-mobile/choix-forfait-mobile-pro/index.jsp?gclid=CKeqjtynnL4CFWvkwgod9VMA4w

http://pme.sfrbusinessteam.fr/telephoner/telephonie-mobile/choix-forfait-mobile-pro/index.jsp?gclid=CKeqjtynnL4CFWvkwgod9VMA4w

http://www.bouyguestelecom-entreprises.fr/web/search/generique#xtor=SEC-700909-GOO

http://www.bouyguestelecom-entreprises.fr/web/search/generique#xtor=SEC-700909-GOO

http://www.celeste.fr/sdsl

http://www.celeste.fr/sdsl-technologie

https://www.magic.fr/solutions/sdsl

http://www.completel.fr/

http://www.colt.net/fr/fr/about-us/index.htm

http://www.nerim.fr/

http://www.orange-business.com/fr



Communication Satellite

Auteur : Société Alsatis Date de publication : 2014

https://www.alsatis.com/

Auteur : Société Connexion verte Date de publication : 2014

http://www.connexion-verte.fr/

Auteur : Société internet satellite Date de publication : 2014

http://www.internetsatellite.fr/

Auteur : Société Tooway Date de publication : 2014

http://www.tooway.fr/contact/contacter-

tooway/?gclid=CNfjnY2onL4CFTQQtAodPjYAQA

Technique de communication

Auteur : Julien Perriard Date de publication : 2014

http://www.e-communal.fr/Mieux-comprendre-les-technologies

Auteur : CESO Groupe Date de publication : 2014

http://www.ceso-gto.com/sdsl+.html

Auteur : Société Ariase Date de publication : 2014

http://www.ariase.com/fr/guides/wimax.html

Auteur : Société Wibox Date de publication : 2014

http://www.wibox.fr/wimax/

Auteur : Société ZDNET Date de publication : 2014

http://www.zdnet.fr/actualites/wimax-4000002280q.htm

Auteur : Internet Satellite Date de publication : 2014

http://www.internetparsatellite.net/index.php

https://www.alsatis.com/

http://www.connexion-verte.fr/

http://www.internetsatellite.fr/

http://www.tooway.fr/contact/contacter-tooway/?gclid=CNfjnY2onL4CFTQQtAodPjYAQA

http://www.tooway.fr/contact/contacter-tooway/?gclid=CNfjnY2onL4CFTQQtAodPjYAQA

http://www.e-communal.fr/Mieux-comprendre-les-technologies

http://www.ceso-gto.com/sdsl+.html

http://www.ariase.com/fr/guides/wimax.html

http://www.wibox.fr/wimax/

http://www.zdnet.fr/actualites/wimax-4000002280q.htm

http://www.internetparsatellite.net/index.php



Auteur : Société Vivéole Date de publication : 2014

http://www.viveole.fr/

Auteur : Network innovations Date de publication : 2014

http://www.networkinv.com/technology/vsat/vsat-optimization/

Auteur : Paul Andersen Date de publication : 2013

http://www.wirelessweek.com/articles/2013/11/performance-optimization-vsat-

technologies

Auteur : Société ComTech Date de publication : 2014

http://www.comtechefdata.com/

Auteur : Société Idirect Date de publication : 2014

http://www.idirect.net/Products/Hardware/Optimization-Solutions/Network-

Accelerators.aspx

Auteur : Société Viasat Date de publication : 2014

http://www.viasat.com/government-communications/network-acceleration-and-

optimization

Firewall

Auteur : Société Cyberoam Date de publication : 2014

http://www.cyberoam.com/fr/


act=8&ved=0CDYQFjAA&url=http%3A%2F%2Fkb.cyberoam.com%2Fredirfile.asp%

3Fid%3D1004&ei=_3hrU5boIMjpPIa4gYgG&usg=AFQjCNGVS2F2M7MiVuKklQKF7q1

byYvCwA&sig2=lla74PZlXhJjpokY_-KJQw&bvm=bv.66330100,d.ZWU


act=8&ved=0CEAQFjAB&url=http%3A%2F%2Fwww.cyberoam.com%2Fdownloads

%2Fguides%2FCyberoam-Version-5.0.6-Installation-

Guide.pdf&ei=_3hrU5boIMjpPIa4gYgG&usg=AFQjCNGIJjfDaij9PztVqNR-

udXrAzQ5gg&sig2=JWTpYntyNqaW_O9dHP5XJg&bvm=bv.66330100,d.ZWU

http://demo.cyberoam.com/

http://kb.cyberoam.com/default.asp?id=2743

http://kb.cyberoam.com/default.asp?id=1370&Lang=1&SID=

Auteur : Société Fortinet Date de publication : 2014

http://www.viveole.fr/

http://www.networkinv.com/technology/vsat/vsat-optimization/

http://www.wirelessweek.com/articles/2013/11/performance-optimization-vsat-technologies

http://www.wirelessweek.com/articles/2013/11/performance-optimization-vsat-technologies

http://www.comtechefdata.com/

http://www.idirect.net/Products/Hardware/Optimization-Solutions/Network-Accelerators.aspx

http://www.idirect.net/Products/Hardware/Optimization-Solutions/Network-Accelerators.aspx

http://www.viasat.com/government-communications/network-acceleration-and-optimization

http://www.viasat.com/government-communications/network-acceleration-and-optimization

http://www.cyberoam.com/fr/

https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CDYQFjAA&url=http%3A%2F%2Fkb.cyberoam.com%2Fredirfile.asp%3Fid%3D1004&ei=_3hrU5boIMjpPIa4gYgG&usg=AFQjCNGVS2F2M7MiVuKklQKF7q1byYvCwA&sig2=lla74PZlXhJjpokY_-KJQw&bvm=bv.66330100,d.ZWU




https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0CEAQFjAB&url=http%3A%2F%2Fwww.cyberoam.com%2Fdownloads%2Fguides%2FCyberoam-Version-5.0.6-Installation-Guide.pdf&ei=_3hrU5boIMjpPIa4gYgG&usg=AFQjCNGIJjfDaij9PztVqNR-udXrAzQ5gg&sig2=JWTpYntyNqaW_O9dHP5XJg&bvm=bv.66330100,d.ZWU





http://demo.cyberoam.com/

http://kb.cyberoam.com/default.asp?id=2743

http://kb.cyberoam.com/default.asp?id=1370&Lang=1&SID



http://www.fortinet.com/

http://www.fortigate.com/login

http://www.fortianalyzer.com/login.htm

http://www.fortimanager.com/login.htm

Auteur : Société Cisco Date de publication : 2014

http://www.cisco.com/web/FR/solutions/smb/products/security/asa_5500_seri

es_adaptive_security_appliances.html

Auteur : Société Paloalto Date de publication : 2014

http://connect.paloaltonetworks.com/ondemand-fr?utm_source=google-

search&utm_medium=cpc&utm_term=palo%20alto%20firewall&utm_campaign=FY

13-fr-search&utm_content=42034384711&custom2=

Configuration Réseaux

Auteur : Cisco Date de publication : 2014

Plateforme cisco en CCNA

Auteur : Académie de reims Date de publication : 2014

Académire cisco de reims champagne ardenne 10 PDF

Environnement Windows et Office 365

Auteur : Armelin ASIMANE Date de publication : 2012

Edition cetification Microsoft environnement serveur http://www.editions-

eni.fr/livres/certification-microsoft/.d560a101547039220ca78226ca776b9b.html

Auteur : Total Date de publication : 2011

Documentation environnement Microsoft "TOTAL" du domaine privés

Documentation environnement Office 365 "Filiales TOTAL" du domaine privés

PDF techniques des annexes.


http://h20195.www2.hp.com/v2/GetPDF.aspx/4AA3-0722ENW.pdf


http://h20195.www2.hp.com/V2/GetPDF.aspx/4AA0-5978ENW.pdf


http://www.fortinet.com/

http://www.fortigate.com/login

http://www.fortianalyzer.com/login.htm

http://www.fortimanager.com/login.htm

http://www.cisco.com/web/FR/solutions/smb/products/security/asa_5500_series_adaptive_security_appliances.html

http://www.cisco.com/web/FR/solutions/smb/products/security/asa_5500_series_adaptive_security_appliances.html

http://connect.paloaltonetworks.com/ondemand-fr?utm_source=google-search&utm_medium=cpc&utm_term=palo%20alto%20firewall&utm_campaign=FY13-fr-search&utm_content=42034384711&custom2



http://www.editions-eni.fr/livres/certification-microsoft/.d560a101547039220ca78226ca776b9b.html

http://www.editions-eni.fr/livres/certification-microsoft/.d560a101547039220ca78226ca776b9b.html







Auteur : Société Cyberoam Date de publication : 2014

http://www.cyberoam.com/downloads/Brochure/CyberoamBrochure.pdf

Auteur : Société QNAP Date de publication : 2014

http://files.qnap.com/news/pressresource/datasheet/TS-

x79_x70_series_datasheet[ENG]_20131024.pdf

Auteur : Société Microsoft Date de publication : 2014

http://download.microsoft.com/download/D/2/C/D2CDA5BA-E440-4A50-A418-

5362291156C1/Windows_Server_2012_R2_Datasheet.pdf

http://office.microsoft.com/fr-fr/business/microsoft-office-365-entreprise-e3-

FX103030346.aspx

Auteur : Société Sophos Date de publication : 2014

http://www.sophos.com/fr-fr/medialibrary/PDFs/factsheets/sophos-server-

protection-dsna.pdf

Auteur : Société Veeam Date de publication : 2014

http://www.veeam.com/fr/wp-dossier-esg-lab-veeam-backup-replication-concu-

pour-virtualisation-2013.htmlx

Auteur : Société Splunk Date de publication : 2014

http://www.splunk.com/web_assets/pdfs/secure/Splunk_Product_Datasheet.pdf

Itil V3_2011

http://www.itil-officialsite.com/

Auteur : Jean-Luc BAUD Date de publication : 2012

ITIL V3 - Préparation à la certification ITIL Foundation V3 http://www.editions-

eni.fr/livres/itil-v3-2011-preparation-a-la-certification-itil-foundation-v3-2ieme-

edition/.90e87cbeb66746182a65a5ec7e9b568e.html

Gestion de projet

http://gestiondeprojet.pm/

http://amdec.fmeca.free.fr/

http://www.cyberoam.com/downloads/Brochure/CyberoamBrochure.pdf

http://files.qnap.com/news/pressresource/datasheet/TS-x79_x70_series_datasheet%5bENG%5d_20131024.pdf

http://files.qnap.com/news/pressresource/datasheet/TS-x79_x70_series_datasheet%5bENG%5d_20131024.pdf

http://download.microsoft.com/download/D/2/C/D2CDA5BA-E440-4A50-A418-5362291156C1/Windows_Server_2012_R2_Datasheet.pdf

http://download.microsoft.com/download/D/2/C/D2CDA5BA-E440-4A50-A418-5362291156C1/Windows_Server_2012_R2_Datasheet.pdf

http://office.microsoft.com/fr-fr/business/microsoft-office-365-entreprise-e3-FX103030346.aspx

http://office.microsoft.com/fr-fr/business/microsoft-office-365-entreprise-e3-FX103030346.aspx

http://www.sophos.com/fr-fr/medialibrary/PDFs/factsheets/sophos-server-protection-dsna.pdf

http://www.sophos.com/fr-fr/medialibrary/PDFs/factsheets/sophos-server-protection-dsna.pdf

http://www.veeam.com/fr/wp-dossier-esg-lab-veeam-backup-replication-concu-pour-virtualisation-2013.htmlx

http://www.veeam.com/fr/wp-dossier-esg-lab-veeam-backup-replication-concu-pour-virtualisation-2013.htmlx

http://www.splunk.com/web_assets/pdfs/secure/Splunk_Product_Datasheet.pdf

http://www.itil-officialsite.com/

http://www.editions-eni.fr/livres/itil-v3-2011-preparation-a-la-certification-itil-foundation-v3-2ieme-edition/.90e87cbeb66746182a65a5ec7e9b568e.html



http://gestiondeprojet.pm/

http://amdec.fmeca.free.fr/



G r o u p e N e w s t o r e

Projet Fil rouge

Annexes

Newstore

Annexes partie II Présentation générale



A. La fiche projet

La société Newstore en bref

5037 employés

Chiffre d’affaires : 5 475 600 000€ en 2012

Valeur de l’action Newstore (Bourse NYSE EURO) au 01/01/2014 : 23,15 € pour

2,5 millions d’actions.

Deux sites centraux : une centrale d’achat et une plateforme de stockage

52 hypermarchés répartis sur le territoire national dont 2 hypermarchés au

Portugal.

Description du projet Newstart

Votre projet est de concevoir une nouvelle infrastructure réseau et télécom de

Newstore dans le but d’accueillir le nouvel ERP, Goldata préalable à une vision

centralisée et propice à un pilotage réactif. Le projet nécessite en premier lieu de

moderniser les liaisons entre la centrale d’achat, la plateforme de stockage et les

hypermarchés. La société doit engager une refonte en profondeur de son Système

d’Information selon trois grands axes, qui seront en déclinés en objectifs, puis en

enjeux.

La communication : Le projet nécessite de rénover la communication au sein de

l’ensemble de l’entreprise. Deux points précis ont été pointés :

Mettre en place un moyen de communication entre chaque utilisateur ainsi qu’une

interconnexion des deux sites centraux et des hypermarchés en permettant aussi

aux commerciaux de se connecter à distance.

Garantir la communication avec les fournisseurs et les prestataires intégrés en

respectant les normes et les standards en vigueur actuel (Gencod, PCI DSS)

La fiabilité et la sécurité : Un point est apparu prioritaire sur ce sujet : il s’agit de la

mise en sécurité globale du secteur caisse et en particulier de la liaison entre les

caisses (TPE..) et les serveurs de production et les serveurs du groupement



interbancaire. Et de façon plus secondaire et spécifique l’accès filtré des salariés à

Internet.

La rentabilité et le développement durable : Newstore souhaite globalement inscrire

ce projet dans une stratégie de réduction des coûts (notamment de la refonte de la

téléphonie) et une vision de type Green IT (en particulier la mesure du bilan Carbonne).

Les objectifs

Il s’agit en tout premier lieu et essentiellement de mettre en place une infrastructure

capable de d’accueillir dans les meilleures conditions le nouvel Enterprise Resource

Planning ou Progiciel de Gestion Intégré en français

La communication

La mise en place d’un nouveau système de messagerie et de téléphonie va permettre

une fluidification de la communication interne tout en maitrisant les coûts (moins 20%

pour la téléphonie). L’interconnexion et la fiabilisation de la relation entre tous les

sites amélioreront les flux d’informations de l’entreprise (objectif de réduction de 90%

des interruptions de service). Les commerciaux voient leur condition de travail

s’améliorer (connectivité permanente) et donc leur productivité augmenter.

La sécurité

De façon prioritaire, Newstore veut une sécurisation physique et logique du secteur

des caisses, en garantissant l’intégrité, la disponibilité, la non répudiation, l’imputabilité

et la confidentialité des transactions et des données transmises. Le filtrage de l’accès

à Internet est une autre piste de réflexion pour la mise en place d’une politique

globale de sécurité

La rationalisation

Le projet amorce une démarche globale de maitrise des coûts par l’implémentation

d’une nouvelle organisation centralisée et la mise en place d’outils de pilotage à tous

les niveaux de production (baisse drastique des interruptions de service, refonte de



la téléphonie, fiabilisation du parc) ; une démarche Green It doit permettre de mesurer

puis de réduire l’impact écologique de l’entreprise dans une démarche de maitrise de

l’empreinte carbone de Newstore.

Enjeux

Communication

Les enjeux principaux de communication sont la mise en place de l’interconnexion des

sites ainsi que l’installation de moyens de communication performants (messagerie et

téléphonie) au sein de l’entreprise pour bénéficier d’un réseau central qui facilitera les

échanges et augmentera la satisfaction des utilisateurs.

Sécurité

La sécurisation et fiabilisation du secteur caisse ainsi que sa liaison avec le

groupement interbancaire est une préoccupation prioritaire pour la direction de

Newstore. Secondairement, le filtrage de l’accès à Internet augmente la productivité

des salariés et répond aux critères essentiels de sécurité : confidentialité, intégrité et

disponibilité. La journalisation répond aux normes en vigueur.

Rentabilité

Il s’agit d’améliorer la rentabilité de l’infrastructure (économies) et l’image de marque

de l’entreprise (Green IT).

Contraintes

De nombreuses et diverses contraintes ont été observées :

Contraintes techniques (Deux sites non éligibles au haut-débit…)

Périmètre du projet (ensemble de l’entreprise)

Volumétrie importante : 50 sites

Sites à l’étranger (gestion des normes, des fournisseurs…)

Accompagnement aux changements des utilisateurs

Coordination

Présence d’acteurs différents (calendriers…)



Contraintes inhérentes au métier (disponibilité absolue des caisses, sécurité de

la liaison des terminaux bancaires – GIE)

Gestion des ressources humaines

Budget

Dead line

Risques

Les risques sont à deux niveaux :

Risques lié au produit :

Fiabilité et disponibilité du secteur caisse

Risques lié au projet :

Ne pas respecter le budget et le délai

Evaluation

Communication

Pour la mesure de l’interconnexion :

Taux de réponse et disponibilité du réseau : monitoring du réseau et

délivrance en temps réel de tableaux de bord

Pour les utilisateurs de la messagerie :

Questionnaire satisfaction

Sécurité

Utilisation de la journalisation des accès web

Taux d’effraction

Rentabilité



Taux de fréquentation des hypermarchés

TCO / ROI

Bilan Carbonne



B. Les fiches de compétences

Fiche de compétences MOE

Date : 18/06/2013 Employeur : Link Systems

Nom : Foucaud Prénom : Céline

Nom de l’emploi : Chef de projet MOE

Mission : Assurer la coordination, le bon déroulement et l’aboutissement du projet (MOE)

Activités :

Activités Clé (O/N) Commentaires

S’assurer de la conformité

du projet livré avec le cahier

des charges initial

O

Gérer le planning du projet

et en être garant (MOE)

Gérer le budget du projet et

en être garant (MOE) O

Conduire la réalisation du

projet O

Définir et mettre en œuvre

l’application des procédures

qualités et sécurité

O

Diriger une équipe projet O



Fiche de compétences MOE

Date : 18/06/2013 Employeur : Link Systems

Nom : Urrutia Prénom : Laurent

Nom de l’emploi : Chef de projet MOE

Mission : Assurer la réalisation technique du projet

Activités :

Activités Clé (O/N) Commentaires

Conception et mise œuvre

de la solution O

Documentation technique

projet O

Réalisation technique du

projet O

Responsable et garant de

l’accompagnement

utilisateur

N

Détachement sur secteur

géographique N

Pilotage courant des

fournisseurs O

Support des correspondants

informatiques terrains O



C. Les fiches de postes

Fiche de poste Céline Foucaud

Date : 18/06/2013 Employeur : Lynk Systems

Nom : Foucaud Prénom : Céline

Service : Informatique Fonction : Maitrise d’œuvre

Mission de l’employé :

Réceptionner le cahier des charges et l’analyser

Faire des propositions concernant les acteurs du projet

Coordonner la partie Maitrise d’Œuvre du projet

Etablir le planning et le coût

Choisir, encadrer et manager les équipes techniques

Répartir les tâches affectées à chaque service(s) et ou personne(s)

Environnement et contexte du poste :

Mobilité : secteur géographique des magasins (International, France Portugal)

Caractéristique du poste :

Autonomie

Capacité de reporting et de communication

Encadrement d’équipe

Organisation et méthodologie de travail

Compétences techniques

Sens relationnel

Degré d’influence :

Influences Degrés (0 à 4)

Sur les délais 4

Sur les coûts 4

Sur la qualité 3

Coordinateurs du poste : Hiérarchie : Directeur de Lynx

System

Partenaire(s) privilégié(s) : MOE chef de projet

Newstore

Binôme : Urrutia Laurent



Fiche de poste Urrutia Laurent

Date : 18/06/2013 Employeur : Lynk Systems

Nom : Urrutia Prénom : Laurent

Service : Informatique Fonction : Maitrise d’œuvre

Mission de l’employé :

Proposer et mettre en œuvre les solutions techniques en regard du cahier des charges que ce

soit sur la partie réseau ou la partie système

Concevoir, développer et réaliser la documentation technique liée au projet : infrastructure

système et réseau

Aider dans le choix des équipes techniques et les manager

Etre garant de la qualité technique du projet

Environnement et contexte du poste :

Mobilité : secteur géographique des magasins (International, France Portugal)

Caractéristique du poste :

Compétences techniques avancées système et réseau

Autonomie

Encadrement d’équipe

Sens relationnel

Degré d’influence :

Influences Degrés (0 à 4)

Sur les délais 4

Sur les coûts 4

Sur la qualité 3

Coordinateurs du poste : Hiérarchie : Directeur de Lynx System

Partenaire(s) privilégié(s) : MOE chef de projet Newstore

Binôme : Céline Foucaud



D. Le planning de déploiement global

Annexes partie III Phase d’étude



A. L’analyse des risques

Les documents ci-dessous sont les outils qui ont permis la rédaction de la partie

rédactionnelle de la gestion des risques.

1. La fiche récapitulatrice du risque « insatisfaction des caissiers »

Projet : Newstore Phase du projet : déploiement (suivi de projet)

FICHE RISQUE

Date : 12 juillet 2013

N° Risque: 1

Type de risque : PRODUIT

Description du risque : Insatisfaction du personnel de caisse

Pilote : F. Foucaud L. Urrutia

N° Conséquences (effets) majeures Gravité (GRA)

Détection (DEC)

Priorité (IPR)

1 Retard de prise en charge de la clientèle 5 2 10

2 Démotivation du caissier 4 2 8

3 Perte de chiffres d'affaires 3 2 6

N° Causes majeures Probabilité d’occurrence

(OCC)

1 Mauvaise connaissance de son environnement de travail 3

2 Problème de réactivité du matériel de caisse 4

3 Mauvaise connaissance du processus de prise en charge d’incident 4

4 Problème de robustesse, ergonomie et fiabilité du poste de travail 3



N° Réduction des causes majeures Actions CoûtCriticité

cible

Recette utilisateur (conditions réelles) sur chaque poste 1j/h

Tests par lot pour valider le respect des exigences de production 1j/h

Prévoir la mise en place d'un PRA/PCA de la ligne de caisse 0,5j/h

Rédaction des procédures de prises en charge – rappel du circuit du ticket 1j/h

Travail sur une meilleure ergonomie de déclaration du ticket 1j/h

Rédaction des SLA « maintenance » matériel 2j/h

Rédaction de procédures et de documentation 3j/h

Formation du personnel de caisse 0,5j/h

Rédaction de SLA précises avec le fournisseur d’accès (redondance des liens) 2j/h

Redondance des matériels réseau et mise en place de la haute-disponibilité x 2 coût en matériel

Mesure de la bande passante entre chaque caisse et le serveur de caisse local

et national afin de prévoir les baisses de qualitéEn continu (rapport journalier)

Surveillance du service (serveurs de production virtualisés) qui supporte la base

produitsEn continu (rapport journalier)

4

Problème de réactivité / reponse /

interruption (disponibilité) du

matériel de caisse

1

1Robustesse, ergonomie et fiabilité

du poste de travail2

2

Bonne connaissance du

processus de prise en charge

d’incident

2

3Bonne connaissance de son

environnement de travail2

N° Réduction des conséquences majeures

Action Coût Criticité cible

1

Bonne prise en charge de la clientèle

Support spécifique de début de vie Mise à disposition des chefs de caisse de la base de gestion des incidents liées aux caisses (1er niveau)

5j/h

1j/h

2

2

Motivation du personnel de caisse

Mettre en place une ligne spécialisée « incident de caisse » Recueil journalier des impressions du personnel de caisse dans la semaine post-déploiement

5j/h

0,5j/h

2

3

Perte de chiffres d'affaires

Mise en place d’une équipe de deux personnels de caisse en secours la semaine post-déploiement (un chef de caisse et un personnel de caisse expérimenté)

0,5j/h

2



N°

Amélioration de la détection des

conséquences majeures

Action

Coût

Criticité

cible

1

Bonne prise en charge de la clientèle

Enquête satisfaction clientèle en semaine post-déploiement

1j/h

2

Motivation du personnel de caisse

Enquête satisfaction personnel de caisse en semaine post-déploiement

0,5j/h

3

Perte de chiffres d'affaires

Mesure plus fréquente du CA des caisses après déploiement

-



2. Le diagramme d’Ishikawwa – risque insatisfaction du personnel de caisse

Ce document est le résultat du Brain-Storming de début de projet.



3. La fiche récapitulatrice du risque projet

Projet : Newstore Phase du projet : déploiement (suivi de projet)

FICHE RISQUE

Date : 12 juillet 2013

N° Risque: 1

Type de risque : PROJET

Description du risque : Non-respect des délais

Pilote : F. Foucaud L. Urrutia

N° Causes majeures Probabilité d’occurrence (OCC)

1 Difficultés de planification 5

2 Difficultés d’organisation 4

3 Transformation de la DSI 3

4 Problème maitrise nouvelle technologie 3

FOURNISSEUR

CLIENT

N°

Conséquences

Majeures

Gravité (GRA)

Détection

(DEC)

Priorité (IPR)

N°

Conséquences

majeures

Gravité (GRA)

Détection

(DEC)

Priorité (IPR)

1

Pénalités de retard

5

3

15

1

Perturbation de

l’activité

4

2

8

2

Perte de confiance

2

4

8

2

Perte de

productivité

4

3

12

3

Perte du client

5

2

10



N°

Réduction des causes majeures

Action

Coût

Criticité cible

1

Meilleure planification

Recensement exhaustif des tâches et de leur synchronicité Evaluer correctement les ressources Prévoir des indicateurs d’avancement précis et mesurables régulièrement

2j/h 1j/h 1j/h

2

2

Meilleure d’organisation

Définir des règles du jeu (fiche projet contresignée par l’ensemble des acteurs) Formaliser la relation (SLA) le plus précisément (faire évoluer la relation vers une obligation de résultat) Mise en place des outils collaboratifs (communication)

0,5j/h 2j/h 5j/h

2

3

Transformation de la DSI

Accompagner les collaborateurs dans leur évolution Intégration volontariste (séminaires…)

2j/h 2j/h

2

4

Meilleure maitrise nouvelle technologie

Former les collaborateurs et les utilisateurs aux nouvelles technologies Documentation précise livrée en même temps que le projet

3j/h 2j/h

2

Fournisseur

N°

Réduction des conséquences majeures

Action

Coût

1


Négocier à la signature du contrat des pénalités plafond

0,5j/h

2

Perte de confiance

Accompagner le client

Tout au long du projet

5j/h

3

Perte du client

Diversifier sa clientèle

Préoccupation permanente

Client

N°

Réduction des conséquences majeures

Action

Coût

1

Perturbation de l’activité

Suivi étroit de l’activité impactée par le projet la semaine post-déploiement

0,5j/h

2

Perte de productivité

Suivi étroit de la productivité impactée par le projet

5j/h



Fournisseur

N°



Action

Coût

1


Mise en place d’un tableau de bord pointant les retards

0,5j/h

2

Perte de confiance

Vigilance retour client (multiplication des appels et des mails…)


5j/h

3

Perte du client

Détection signes avant-coureur : sur-communication (courrier recommandé, recours justice …) ou perte de communication (silence en phase importante du projet

Préoccupation permanente

Client

N°



Action

Coût

1

Perturbation de l’activité

Suivi régulier du projet surtout alerte points de vigilance aux moments clés (calcul de charges, finalisation budget, semaine post-déploiement)


5j/h

2

Perte de productivité

Supervision en temps réel de la liaison secteur de caisse – centrale d’achat


5j/h



4. Le diagramme d’Ishikawa – risque projet non-respect des délais

Non respect des délais

Transformation des 26 ETP des correspondants informatiques en 20 postes de techniciens

Déploiement concurrent sur un territoire étendu

Insuffisante formation de l’équipe technique

Documentations/procédures insuffisantes

Risques liée à l’embauche et à l’intégration de nouveaux techniciens en phase conception

Mauvaise affectation des ressources

Mauvaise gestion des compétences

Difficulté de coordination

Annexes partie IV Phase de conception : le réseau



A. Solution opérateur : Centrale d’achat

Solution opérateur Bouygues Centrale d'achat Quantité Prix UnitairePrix TTC Remise Coût après remise Prix Global

Accès internet MPLS Fibre 100 Mbits/s symétrique 1 2 375,00 € 2 850,00 € 100% 2 850,00 € 2 850 €

Accès internet Backup SDSL 4 Mbits/s symétrique 1 291,60 € 349,92 € 100% 349,92 € 350 €

Frais de mise en service 1 2 916,00 € 3 499,20 € 100% 3 499,20 € 3 499 €

Garantie de temps de rétablissement SLA 4H 7/7 1 250,00 € 300,00 € 100% 300,00 € 300 €

Solution : Répartition de charge 1 42,00 € 50,40 € 100% 50,40 € 50 €

Solution : Location matériel 2 inclus

Solution : Desserte interne 1 600,00 € 720,00 € 100% 720,00 € 720 €

Solution : Filtrage Web 40 1,60 € 1,92 € 100% 1,92 € 77 €

Coût par mois 3 627 €

Coût par an 43 525 €

Prestations internetInclus en

standardEn option

Changement de débit en 48h

Mise à disposition de 8 adresses IP publiques

Nom de domaine inclus

Messagerie d'entreprise

Espace client Web (Etat du parc, facture détaillés)

Architecture redondée par liaison de back-up

Architecture redondée en partage de charge

Priorisation de flux Internet

Mise à disposition d‘adresses IP publiques supplémentaires

Engagements contractuels

Garantie Temps de Rétablissement sous 4h, sur plage étendue à

24h/24 et 7j/7

Taux de disponibilité de 99,9 % par an

Délai de transit sur le backbone < 30 ms

Taux de perte de paquets sur le backbone < 0,001%

Prestations d’administration

Statistiques d’utilisation de la bande passante Internet

Statistiques de performance du backbone IP

Prestations Solution

Adresse ip publique incluse *1

Mise en service back-up offert (Réalisé en même temps que

l'ouverture de ligne principale)

Desserte interne (Cablage tête de ligne routeur)

Filtrage web (service hébergé Bouygues Télécom) Protection

contre les menaces véhiculés du web et politique d'utilisation

du web calibrée en fonction des demandes clients



B. Solution opérateur : Plateforme de stockage

Solution opérateur Bouygues Plateforme de Stockage Quantité Prix UnitairePrix TTC Remise Coût après remise Prix Global

Accès internet MPLS Fibre 100 Mbits/s symétrique 1 2 375,00 € 2 850,00 € 100% 2 850,00 € 2 850 €

Accès internet Backup SDSL 4 Mbits/s symétrique 1 291,60 € 349,92 € 100% 349,92 € 350 €

Frais de mise en service 1 2 916,00 € 3 499,20 € 100% 3 499,20 € 3 499 €


Solution : Répartition de charge 1 42,00 € 50,40 € 100% 50,40 € 50 €

Solution : Location matériel 2 inclus

Solution : Desserte interne 1 600,00 € 720,00 € 100% 720,00 € 720 €


Solution : adresse ip publique 8 16,00 € 19,20 € 100% 19,20 € 154 €



Prestations internetInclus en

standardEn option

Changement de débit en 48h

Mise à disposition de 8 adresses IP publiques

Nom de domaine inclus

Messagerie d'entreprise

Espace client Web (Etat du parc, facture détaillés)

Architecture redondée par liaison de back-up

Architecture redondée en partage de charge

Priorisation de flux Internet

Mise à disposition d‘adress IP publiques suplémentaires

Engagements contractuels

Garantie Temps de Rétablissement sous 4h, sur plage étendue à

24h/24 et 7j/7

Taux de disponibilité de 99,9 % par an

Délai de transit sur le backbone < 30 ms

Taux de perte de paquets sur le backbone < 0,001%

Prestations d’administration

Statistiques d’utilisation de la bande passante Internet

Statistiques de performance du backbone IP

Prestations Solution

Adresse ip publique incluse *1

Mise en service back-up offert (Réalisé en même temps que

l'ouverture de ligne principale)

Desserte interne (Cablage tête de ligne routeur)

Filtrage web (service hébergé Bouygues Télécom) Protection contre

les menaces véhiculés du web et politique d'utilisation du web

calibrée en fonction des demandes clients



C. Solution opérateur : hypermarché Solution opérateur 38 Hypermarchés Quantité Prix UnitairePrix TTC Remise Coût après remise Prix Global

Acces internet MPLS SDSL 4 Mbits/s symétrique 38 291,60 € 349,92 € 80% 279,94 € 10 638 €

Acces internet MPLS Back-up ADSL jusqu'à 20 Mbits/s 38 45,00 € 54,00 € 80% 43,20 € 1 642 €

Mise en Service 38 333,00 € 399,60 € 80% 319,68 € 12 148 €

Garantie de temps de rétablissement SLA 4H 7/7 38 62,00 € 74,40 € 80% 59,52 € 2 262 €

Solution : Firewall 38 50,00 € 60,00 € 80% 48,00 € 1 824 €

Solution : Location matériel 76 inclus 80%

Solution : Desserte back to back 38 250,00 € 300,00 € 80% 240,00 € 9 120 €

Solution : Filtrage Web 3420 1,60 € 1,92 € 80% 1,54 € 5 253 €

Solution opérateur 8 Hypermarchés 80%

Acces internet MPLS ADSL jusqu'à 20 Mbits/s en donwload 8 45,00 € 54,00 € 80% 43,20 € 346 €

Acces internet MPLS Back-up 3G 8 45,00 € 54,00 € 80% 43,20 € 346 €

Mise en Service 8 333,00 € 399,60 € 80% 319,68 € 2 557 €


Solution : Options firewall 8 30,00 € 36,00 € 80% 28,80 € 230 €



Solution : Filtrage Web 720 1,60 € 1,92 € 80% 1,54 € 1 106 €

Solution opérateur 4 Hypermarchés sans ADSL 80%

Acces internet Sattelite DL 18 Mbits/s UP 6 Mbits/s (Options 125GO) 4 369,00 € 442,80 € 80% 354,24 € 1 417 €

Acces internet Back-up 3G 4 45,00 € 54,00 € 80% 43,20 € 173 €

Mise en Service 4 333,00 € 399,60 € 80% 319,68 € 1 279 €





Solution : VPN Premium 4 125,00 € 150,00 € 80% 120,00 € 480 €

Solution opérateur 2 Hypermarchés au Portugal 80%

Acces internet SDSL 4 Mbits/s symétrique 2 291,60 € 349,92 € 80% 279,94 € 560 €

Acces internet MPLS Back-up ADSL jusqu'à 20 Mbits/s 2 45,00 € 54,00 € 80% 43,20 € 86 €

Mise en Service 2 333,00 € 399,60 € 80% 319,68 € 639 €




Solution : VPN Premium 2 125,00 € 150,00 € 80% 120,00 € 240 €

Coût de mise en service 20 124 €





D. Les procédures de configuration réseau

Ci-dessous sont listées les configurations des switch de la centrale d’achat. Ils sont

ici à titre d’exemple afin d’avoir une idée de la configuration d’ensemble à adapter. Il

est nécessaire d’apporter quelques précisions sur ces fichiers. Ils sont au format

CISCO, ne pouvant nous permettre de tester cette configuration en direct à ce stade

du projet, nous avons maquetté la solution via un outil de virtualisation de switchs.

Nous avons donc eu recours à Packet Tracert produit CISCO. Néanmoins, ces

configuration seront adaptées au contexte de l’entreprise et donc en langage HP le

moment venu. Ces procédures seront donc traduites en conséquence.

1. Type : SW_CA_01

En rouge, le mode opératoire de configuraton du switch

Création des VLAN

##>enable

###vlan database

##(vlan)#vlan 10 name BUREAUTIQUE

##(vlan)#vlan 20 name VOIP

##(vlan)#vlan 40 name IMPRESSION

##(vlan)#vlan 50 name SUPERVISION

##(vlan)#vlan 60 name REPLICATION

##(vlan)#exit

###exit

Définition du nom du switch, jonction du domaine, activation de l’authentification SSH

##>enable

SW_CA_01#conf terminal

SW_CA_01(config)#Hostname SW_CA_01

SW_CA_01(config)#ip domain-name newstore.com

SW_CA_01(config)#username xxxx password xxxx

SW_CA_01(config)#crypto key generate RSA

SW_CA_01(config)#Lyne vty 0 4

SW_CA_01(config-line)#transport input SSH

SW_CA_01(config-exit)#transport input SSH

SW_CA_01#copy running-config startup-config



Mise en place du spanning-tree éléction du switch root


SW_CA_01(config)#spanning-tree mode rapid-pvst

SW_CA_01(config)#spanning-tree vlan 1-100 root primary

Déscription du role des interfaces

SW_CA_01(config)#int gigabitEthernet+ 0/1

SW_CA_01(config-if)#description G0/1+ VERS SW_ST_01

SW_CA_01(config-if)#exit


SW_CA_01(config-if)#description G0/2+ VERS FR_CA_01


SW_CA_01(config)#int gigabitEthernet 0/1

SW_CA_01(config-if)#description G0/1 VERS SW_ST_02



SW_CA_01(config-if)#description G0/2 VERS FR_CA_02



SW_CA_01(config-if)#description G0/3 VERS SW_CA_03



SW_CA_01(config-if)#description G0/4 VERS SW-CA-04








SW_CA_01(config)#int fastEthernet 0/1

SW_CA_01(config-if)#description F0/1 VERS CL-CA-01






Configuration du mode de fonctionnement des ports mode trunk ou access


SW_CA_01(config-if)#switchport mode access

SW_CA_01(config-if)#switchport access vlan 60

SW_CA_01(config-if)#spanning-tree vlan 1-100 port-priority 64







SW_CA_01(config-if)switchport trunk encapsulation dot1q

SW_CA_01(config-if)switchport mode trunk

SW_CA_01(config-if)switchport trunk allowed vlan 10,20,40,50








SW_CA_01(config)#int range gigabitEthernet 0/3-4

SW_CA_01(config-if-range)switchport trunk encapsulation dot1q

SW_CA_01(config-if-range)switchport mode trunk

SW_CA_01(config-if-range)switchport trunk allowed vlan 10,20,40,50

SW_CA_01(config-if-range)# channel-protocol lacp

SW_CA_01(config-if-range)# channel-group 1 mode active

SW_CA_01(config-if-range)#exit









SW_CA_01(config-if-range)switchport trunk allowed vlan 10,20,40,50,60







SW_CA_01(config)#int range fa 0/1-2



SW_CA_01(config-if-range)#switchport trunk allowed vlan 20,50




SW_CA_01(config)#int FastEthernet 0/1



Configuration du routage Inter Vlan


SW_CA_01(config)#ip routing

SW_CA_01(config)#int vlan 10

SW_CA_01(config-if)#ip address 10.10.2.1 255.255.254.0
















Sauvegarde de la configuration du switch





2. Type : SW_CA_02

##>enable

###vlan database






##(vlan)#exit

###exit

##>enable












SW_CA_02(config)#spanning-tree vlan 1-100 root secondary


SW_CA_02(config-if)#description G0/1+ VERS SW_ST_01



SW_CA_02(config-if)#description G0/2+ VERS FR_CA_01



SW_CA_02(config-if)#description G0/1 VERS SW_ST_02





SW_CA_02(config-if)#description G0/2 VERS FR_CA_02










































SW_CA_02(config-if-range)switchport trunk allowed vlan 10,20,40

















SW_CA_02(config)#int range fa 0/1-2



SW_CA_02(config-if-range)#switchport trunk allowed vlan 20,50






























3. Type : SW_CA_03

##>enable

###vlan database





##(vlan)#exit

###exit

##>enable












SW_CA_03(config)#spanning-tree vlan 1-100 primary







SW_CA_03(config)#int range fastEthernet 0/1-40

SW_CA_03(config-if)#description vers POSTES TRUNK VLAN 10 et 20




SW_CA_03(config-if)#description vers IMPRIMANTES ACCESS VLAN 40









SW_CA_03(config)#int gigaEthernet 0/1






SW_CA_03(config-if-range)switchport trunk allowed vlan 10,20

SW_CA_03(config-if-range)#spanning-tree portfast



SW_CA_03(config-if-range)#switchport mode access

SW_CA_03(config-if-range)#switchport access vlan 40

SW_CA_03(config-if)#spanning-tree portfast






















4. Type : SW_CA_04

##>enable

###vlan database





##(vlan)#exit

###exit

##>enable












SW_CA_04(config)#spanning-tree vlan 1-100 secondary








SW_CA_04(config-if)#description vers POSTES TRUNK VLAN 10 et 20




SW_CA_04(config-if)#description vers IMPRIMANTES ACCESS VLAN 40



















SW_CA_04(config-if-range)#switchport mode access

SW_CA_04(config-if-range)#switchport access vlan 40























5. Type : SW_CA_05

##>enable

###vlan database






##(vlan)#exit

###exit

##>enable














SW_CA_05(config-if)#description G0/1+ VERS SW_CA_01






SW_CA_05(config-if)#description G0/1 VERS SW-BLADE-HP-01












SW_CA_05(config)#int range gigabitEthernet+ 0/1-2







SW_CA_05(config)#int gigaEthernet+ 0/1






SW_CA_05(config-if)switchport trunk allowed vlan 10,20,40,50,60











SW_CA_05(config-if-)switchport trunk encapsulation dot1q

SW_CA_05(config-if-)switchport mode trunk



SW_CA_05(config-if-)switchport trunk allowed vlan 10,20,40,50,60

SW_CA_05(config-if-)#spanning-tree portfast

SW_CA_05(config-if-)#exit






















6. Type : SW_CA_06

##>enable

###vlan database






##(vlan)#exit

###exit

##>enable
































SW_CA_06(config)#int range gigabitEthernet+ 0/1-2







SW_CA_06(config)#int gigaEthernet+ 0/2






SW_CA_06(config-if)switchport trunk allowed vlan 10,20,40,50,60











SW_CA_06(config-if-)switchport trunk encapsulation dot1q

SW_CA_06(config-if-)switchport mode trunk



SW_CA_06(config-if-)switchport trunk allowed vlan 10,20,40,50,60

SW_CA_06(config-if-)#spanning-tree portfast

SW_CA_06(config-if-)#exit






















7. Type : SW_CA_07

##>enable

###vlan database



##(vlan)#exit

###exit

##>enable




















SW_CA_07(config-if)#description F0/1 VERS SAN 01



SW_CA_07(config-if)#description F0/2 VERS SAN02





SW_CA_07(config-if)#description F0/3 VERS ROBOT SAUVEGARDE










SW_CA_07(config)#int range FastEthernet 0/1-3


















8. Type : SW_CA_08

##>enable

###vlan database



##(vlan)#exit

###exit

##>enable




















SW_CA_08(config-if)#description F0/1 VERS SAN 01



SW_CA_08(config-if)#description F0/2 VERS SAN02





SW_CA_08(config-if)#description F0/3 VERS ROBOT SAUVEGARDE










SW_CA_08(config)#int range FastEthernet 0/1-3


















E. Schémas avancés d’interconnexion des équipements

Switch HP A5500-24G (JG541A)


SPF (JG543A)


Switch HP 3600 48 POE (JG307B)





MPLS


Architecture réseau Centrale d achat (Newstore)


Salle Serveur

Légende

Bureaux

Lien commuté

Fibre optique sur

connecteur SFP


Catégorie 6 IP

Fibre optique sur

connecteur SFP +


(Centrale d achat –






Port en Mode Trunk


(VOIP)

Port en Mode Access


Vers plateforme de stockage

Firewall Cyberoam CR500 INGRouteur Opérateur Bouygues



Switch HP 3600 48 POE (JG307B)Switch HP A5500-24G (JG541A)


SPF (JG543A)


Switch HP 3600 48 POE (JG307B)



Routeur Opérateur Bouygues Firewall Cyberoam CR500 INGMPLS

Architecture réseau Plateforme de stockage (Newstore)






Salle Serveur

Légende

Bureaux

Lien commuté

Fibre optique sur

connecteur SFP

Câble Ethernet Blindés

Catégorie 6 IP

Fibre optique sur

connecteur SFP +


(Centrale d achat –






UID


UID


UID


UID


UID


UID


UID


UID


UID


UID


UID


UID


UID


UID



Port en Mode Trunk


(VOIP)

Port en Mode Acces





Ligne de caisse

HP ProLiant DL320e Gen8 4-LFF

Switch HP 3600 24 Poe SI (JG306A)

PWR

RPS

ModeUnitConsol e

282726S25S26T25T

1000Base-X1000Base- T

242322212019181716151413121110987654321

10/ 100Base-TX

Green =SpeedYel low=DuplexFlashing= POE

Speed :Green= 100Mbps, Yel low= 10Mbps Duplex:Green= Ful l Dupl ex, Yel low= Half Duplex PoE:Green =Deliver ing Power, Yel low=Fault , Flashing Green=Over BudgetHP A3600 Series Sw itch JG301AHP 3600 Series Sw itch JG306A


HP JD318B A3100-8 PoE SI SwitchHP JD318B A3100-8 PoE SI SwitchHP JD318B A3100-8 PoE SI SwitchHP JD318B A3100-8 PoE SI SwitchHP JD318B A3100-8 PoE SI Switch









MPLS

Architecture réseau hypermarché type (Newstore)

Salle Serveur

LégendeSalle Serveur Bureaux

Ligne de caisse

Bureaux

Hypermarché avec option

firewall

Solution 2 options serveur sur

site

Lien commuté

redondé

Fibre optique sur connecteur

SFP


Catégorie 6 IP (Serveurs)





Catégorie 6 IP (Clients)




Ligne de caisse

HP ProLiant DL320e Gen8 4-LFF


PWR

RPS

ModeUnitConsol e

282726S25S26T25T

1000Base-X1000Base- T

242322212019181716151413121110987654321

10/ 100Base-TX

Green =SpeedYel low=DuplexFlashing= POE

Speed :Green= 100Mbps, Yel low= 10Mbps Duplex:Green= Ful l Dupl ex, Yel low= Half Duplex PoE:Green =Deliver ing Power, Yel low=Fault , Flashing Green=Over BudgetHP A3600 Series Sw itch JG301AHP 3600 Series Sw itch JG306A


HP JD318B A3100-8 PoE SI SwitchHP JD318B A3100-8 PoE SI SwitchHP JD318B A3100-8 PoE SI SwitchHP JD318B A3100-8 PoE SI SwitchHP JD318B A3100-8 PoE SI Switch









MPLS

Architecture réseau hypermarché satellite

(Newstore)

Salle Serveur

LégendeSalle Serveur Bureaux

Ligne de caisse

Bureaux

Serveurs sur site en cluster

hébergeant ERP/BDD/AD

RODC

Lien commuté

redondé

Fibre optique sur connecteur

SFP


Catégorie 6 IP (Serveurs)





Catégorie 6 IP (Clients)




F. Schéma des baies de serveurs

Qnap TS-EC1679U-RP

Full 64TB

Firewall

Cyberoam CR500 ING

Bibliothèque de bande HP

MSL4048

HP A5500-24G + 4 SFP + 2 SFP+ PoE (JG541A)

Switch Cœur de réseau 5500 24G SPF (JG543A)

Gateway VOIP

Cisco 2951

Chassis Blade System HP

C7000

HP Networking 3600-48-PoE+ SI Switch

(JG307A)

Gestion baies centrale d achat

HP A5500-24G + 4 SFP PoE (JD377A)

Onduleur Eaton 9P 5000i

RT3U


RT3U



Qnap TS-EC1679U-RP

Full 64TB

Firewall

Cyberoam CR500 ING

Bibliothèque de bande HP

MSL4048

Chassis Blade System HP

C7000

Gestion baies plateforme de stockage

HP A5500-24G + 4 SFP + 2 SFP+ PoE (JG541A)

Switch Cœur de réseau 5500 24G SPF (JG543A)

Gateway VOIP

Cisco 2951

HP Networking 3600-48-PoE+ SI Switch

JG307B

HP A5500-24G + 4 SFP PoE (JD377A)


RT3U

Firewall

Cyberoam CR500 ING


RT3U



Onduleur Eaton

5P UPS

HP JG306A

3600-24-PoE SI Switch

HP Networking A5500-24G (JG377A)

Gateway VOIP

Cisco 2901

HP ProLiant DL320e

Gen8 4-LFF

Onduleur Eaton 9PX 6000

HotSwap

HP JD318B

A3100-8 PoE SI Switch

Gestion baies hypermarché

HP Networking A5500-24G (JG377A)

FirewallCyberoam CR100ING

HP JG306A3600-24-PoE SI Switch

Hypermarché avec options

firewall

Solution deux options serveur

sur site

Switch supplémentaires

Annexes partie V Phase de conception : le système



A. Les règles et plans de l’entreprise

1. Plan d’adressage IP

a. Vlan 10 Bureautique

Plan d'adressage global Newstore 10.10.0.0/16

Nom de l'entité Adresse

réseau Masque Masque (décimal)

Plage d'adresses

utilisables Broadcast Equipement

Centrale d'achat PARIS 10.10.2.0 /23 255.255.254.0 10.10.2.1 - 10.10.3.254 10.10.3.255 10.10.3.255

Plateforme de

stockage PARIS 10.10.4.0 /23 255.255.254.0 10.10.4.1 - 10.10.5.254 10.10.5.255 10.10.5.255

Hypermarché Agen 10.10.6.0 /23 255.255.254.0 10.10.6.1 - 10.10.7.254 10.10.7.255 10.10.7.255

Hypermarché Ajaccio 10.10.8.0 /23 255.255.254.0 10.10.8.1 - 10.10.9.254 10.10.9.255 10.10.9.255

Hypermarché Alençon 10.10.10.0 /23 255.255.254.0 10.10.10.1 - 10.10.11.254 10.10.11.255 10.10.11.255

Hypermarché Angers 10.10.12.0 /23 255.255.254.0 10.10.12.1 - 10.10.13.254 10.10.13.255 10.10.13.255

Hypermarché Annecy 10.10.14.0 /23 255.255.254.0 10.10.14.1 - 10.10.15.254 10.10.15.255 10.10.15.255

Hypermarché Bayonne 10.10.16.0 /23 255.255.254.0 10.10.16.1 - 10.10.17.254 10.10.17.255 10.10.17.255

Hypermarché Bergerac 10.10.18.0 /23 255.255.254.0 10.10.18.1 - 10.10.19.254 10.10.19.255 10.10.19.255

Hypermarché

Bordeaux 10.10.20.0 /23 255.255.254.0 10.10.20.1 - 10.10.21.254 10.10.21.255 10.10.21.255

Hypermarché Bourges 10.10.22.0 /23 255.255.254.0 10.10.22.1 - 10.10.23.254 10.10.23.255 10.10.23.255

Hypermarché Brest 10.10.24.0 /23 255.255.254.0 10.10.24.1 - 10.10.25.254 10.10.25.255 10.10.25.255

Hypermarché Brive 10.10.26.0 /23 255.255.254.0 10.10.26.1 - 10.10.27.254 10.10.27.255 10.10.27.255

Hypermarché Caen 10.10.28.0 /23 255.255.254.0 10.10.28.1 - 10.10.29.254 10.10.29.255 10.10.29.255

Hypermarché Cahors 10.10.30.0 /23 255.255.254.0 10.10.30.1 - 10.10.31.254 10.10.31.255 10.10.31.255

Hypermarché

Clermont-Ferrand 10.10.32.0 /23 255.255.254.0 10.10.32.1 - 10.10.33.254 10.10.33.255 10.10.33.255

Hypermarché Digne 10.10.34.0 /23 255.255.254.0 10.10.34.1 - 10.10.35.254 10.10.35.255 10.10.35.255

Hypermarché Dijon 10.10.36.0 /23 255.255.254.0 10.10.36.1 - 10.10.37.254 10.10.37.255 10.10.37.255

Hypermarché Epinal 10.10.38.0 /23 255.255.254.0 10.10.38.1 - 10.10.39.254 10.10.39.255 10.10.39.255

Hypermarché Grenoble 10.10.40.0 /23 255.255.254.0 10.10.40.1 - 10.10.41.254 10.10.41.255 10.10.41.255

Hypermarché Hyères 10.10.42.0 /23 255.255.254.0 10.10.42.1 - 10.10.43.254 10.10.43.255 10.10.43.255

Hypermarché La

Rochelle 10.10.44.0 /23 255.255.254.0 10.10.44.1 - 10.10.45.254 10.10.45.255 10.10.45.255

Hypermarché Le Havre 10.10.46.0 /23 255.255.254.0 10.10.46.1 - 10.10.47.254 10.10.47.255 10.10.47.255

Hypermarché Lille 10.10.48.0 /23 255.255.254.0 10.10.48.1 - 10.10.49.254 10.10.49.255 10.10.49.255

Hypermarché Limoges 10.10.50.0 /23 255.255.254.0 10.10.50.1 - 10.10.51.254 10.10.51.255 10.10.51.255

Hypermarché Lisbonne 10.10.52.0 /23 255.255.254.0 10.10.52.1 - 10.10.53.254 10.10.53.255 10.10.53.255

Hypermarché Lyon 1 10.10.54.0 /23 255.255.254.0 10.10.54.1 - 10.10.55.254 10.10.55.255 10.10.55.255





Hypermarché

Marmande 10.10.60.0 /23 255.255.254.0 10.10.60.1 - 10.10.61.254 10.10.61.255 10.10.61.255

Hypermarché

Marseilles 10.10.62.0 /23 255.255.254.0 10.10.62.1 - 10.10.63.254 10.10.63.255 10.10.63.255

Hypermarché Metz 10.10.64.0 /23 255.255.254.0 10.10.64.1 - 10.10.65.254 10.10.65.255 10.10.65.255

Hypermarché

Montpellier 10.10.66.0 /23 255.255.254.0 10.10.66.1 - 10.10.67.254 10.10.67.255 10.10.67.255

Hypermarché Nancy 10.10.68.0 /23 255.255.254.0 10.10.68.1 - 10.10.69.254 10.10.69.255 10.10.69.255

Hypermarché Nantes 10.10.70.0 /23 255.255.254.0 10.10.70.1 - 10.10.71.254 10.10.71.255 10.10.71.255

Hypermarché Nice 10.10.72.0 /23 255.255.254.0 10.10.72.1 - 10.10.73.254 10.10.73.255 10.10.73.255

Hypermarché Nimes 10.10.74.0 /23 255.255.254.0 10.10.74.1 - 10.10.75.254 10.10.75.255 10.10.75.255

Hypermarché Niort 10.10.76.0 /23 255.255.254.0 10.10.76.1 - 10.10.77.254 10.10.77.255 10.10.77.255

Hypermarché Orléans 10.10.78.0 /23 255.255.254.0 10.10.78.1 - 10.10.79.254 10.10.79.255 10.10.79.255

Hypermarché Orly 10.10.80.0 /23 255.255.254.0 10.10.80.1 - 10.10.81.254 10.10.81.255 10.10.81.255

Hypermarché Pau 10.10.82.0 /23 255.255.254.0 10.10.82.1 - 10.10.83.254 10.10.83.255 10.10.83.255

Hypermarché

Perpignan 10.10.84.0 /23 255.255.254.0 10.10.84.1 - 10.10.85.254 10.10.85.255 10.10.85.255

Hypermarché Porto 10.10.86.0 /23 255.255.254.0 10.10.86.1 - 10.10.87.254 10.10.87.255 10.10.87.255

Hypermarché Rennes 10.10.88.0 /23 255.255.254.0 10.10.88.1 - 10.10.89.254 10.10.89.255 10.10.89.255

Hypermarché Rodez 10.10.90.0 /23 255.255.254.0 10.10.90.1 - 10.10.91.254 10.10.91.255 10.10.91.255

Hypermarché Rouen 10.10.92.0 /23 255.255.254.0 10.10.92.1 - 10.10.93.254 10.10.93.255 10.10.93.255

Hypermarché Sète 10.10.94.0 /23 255.255.254.0 10.10.94.1 - 10.10.95.254 10.10.95.255 10.10.95.255

Hypermarché

Strasbourg 10.10.96.0 /23 255.255.254.0 10.10.96.1 - 10.10.97.254 10.10.97.255 10.10.97.255

Hypermarché Toulon 10.10.98.0 /23 255.255.254.0 10.10.98.1 - 10.10.99.254 10.10.99.255 10.10.99.255

Hypermarché Toulouse

1 10.10.100.0 /23 255.255.254.0 10.10.100.1 - 10.10.101.254 10.10.101.255 10.10.101.255


2 10.10.102.0 /23 255.255.254.0 10.10.102.1 - 10.10.103.254 10.10.103.255 10.10.103.255

Hypermarché Tours 10.10.104.0 /23 255.255.254.0 10.10.104.1 - 10.10.105.254 10.10.105.255 10.10.105.255

Hypermarché Troyes 10.10.106.0 /23 255.255.254.0 10.10.106.1 - 10.10.107.254 10.10.107.255 10.10.107.255

Hypermarché Vannes 10.10.108.0 /23 255.255.254.0 10.10.108.1 - 10.10.109.254 10.10.109.255 10.10.109.255

b. Vlan 20 VOIP




Plage d'adresses



Plateforme de

stockage PARIS 10.20.4.0 /23 255.255.254.0 10.20.4.1 - 10.20.5.254 10.20.5.255 10.20.5.255










Hypermarché

Bordeaux 10.20.20.0 /23 255.255.254.0 10.20.20.1 - 10.20.21.254 10.20.21.255 10.20.21.255






Hypermarché






Hypermarché Hyeres 10.20.42.0 /23 255.255.254.0 10.20.42.1 - 10.20.43.254 10.20.43.255 10.20.43.255

Hypermarché La

Rochelle 10.20.44.0 /23 255.255.254.0 10.20.44.1 - 10.20.45.254 10.20.45.255 10.20.45.255








Hypermarché

Marmande 10.20.60.0 /23 255.255.254.0 10.20.60.1 - 10.20.61.254 10.20.61.255 10.20.61.255

Hypermarché

Marseilles 10.20.62.0 /23 255.255.254.0 10.20.62.1 - 10.20.63.254 10.20.63.255 10.20.63.255


Hypermarché

Montpellier 10.20.66.0 /23 255.255.254.0 10.20.66.1 - 10.20.67.254 10.20.67.255 10.20.67.255








Hypermarché Pau 10.20.82.0 /23 255.255.254.0 10.20.82.1 - 10.20.83.254 10.20.83.255 10.20.83.255

Hypermarché

Perpignan 10.20.84.0 /23 255.255.254.0 10.20.84.1 - 10.20.85.254 10.20.85.255 10.20.85.255








Hypermarché

Strasbourg 10.20.96.0 /23 255.255.254.0 10.20.96.1 - 10.20.97.254 10.20.97.255 10.20.97.255



1 10.20.100.0 /23 255.255.254.0 10.20.100.1 - 10.20.101.254 10.20.101.255 10.20.101.255


2 10.20.102.0 /23 255.255.254.0 10.20.102.1 - 10.20.103.254 10.20.103.255 10.20.103.255




c. Vlan 30 TPE




Plage d'adresses









Hypermarché

Bordeaux 10.30.9.0 /24 255.255.255.0 10.30.9.1 - 10.30.9.254 10.30.9.255 10.30.9.255






Hypermarché







Hypermarché La

Rochelle 10.30.21.0 /24 255.255.255.0 10.30.21.1 - 10.30.21.254 10.30.21.255 10.30.21.255










Hypermarché

Marmande 10.30.29.0 /24 255.255.255.0 10.30.29.1 - 10.30.29.254 10.30.29.255 10.30.29.255

Hypermarché

Marseilles 10.30.30.0 /24 255.255.255.0 10.30.30.1 - 10.30.30.254 10.30.30.255 10.30.30.255


Hypermarché

Montpellier 10.30.32.0 /24 255.255.255.0 10.30.32.1 - 10.30.32.254 10.30.32.255 10.30.32.255








Hypermarché Pau 10.30.40.0 /24 255.255.255.0 10.30.40.1 - 10.30.40.254 10.30.40.255 10.30.40.255

Hypermarché

Perpignan 10.30.41.0 /24 255.255.255.0 10.30.41.1 - 10.30.41.254 10.30.41.255 10.30.41.255






Hypermarché

Strasbourg 10.30.47.0 /24 255.255.255.0 10.30.47.1 - 10.30.47.254 10.30.47.255 10.30.47.255



1 10.30.49.0 /24 255.255.255.0 10.30.49.1 - 10.30.49.254 10.30.49.255 10.30.49.255


2 10.30.50.0 /24 255.255.255.0 10.30.50.1 - 10.30.50.254 10.30.50.255 10.30.50.255




d. Vlan 40 Impression




Plage d'adresses



Plateforme de

stockage PARIS 10.40.2.0 /25 255.255.255.192 10.40.2.129 - 10.40.2.254 10.40.2.254 10.40.2.254










Hypermarché

Bordeaux 10.40.10.0 /24 255.255.255.0 10.40.10.1 - 10.40.10.254 10.40.10.255 10.40.10.255






Hypermarché







Hypermarché La

Rochelle 10.40.22.0 /24 255.255.255.0 10.40.22.1 - 10.40.22.254 10.40.22.255 10.40.22.255








Hypermarché

Marmande 10.40.30.0 /24 255.255.255.0 10.40.30.1 - 10.40.30.254 10.40.30.255 10.40.30.255

Hypermarché

Marseilles 10.40.31.0 /24 255.255.255.0 10.40.31.1 - 10.40.31.254 10.40.31.255 10.40.31.255


Hypermarché

Montpellier 10.40.33.0 /24 255.255.255.0 10.40.33.1 - 10.40.33.254 10.40.33.255 10.40.33.255




Hypermarché Nîmes 10.40.37.0 /24 255.255.255.0 10.40.37.1 - 10.40.37.254 10.40.37.255 10.40.37.255




Hypermarché Pau 10.40.41.0 /24 255.255.255.0 10.40.41.1 - 10.40.41.254 10.40.41.255 10.40.41.255

Hypermarché

Perpignan 10.40.42.0 /24 255.255.255.0 10.40.42.1 - 10.40.42.254 10.40.42.255 10.40.42.255








Hypermarché

Strasbourg 10.40.48.0 /24 255.255.255.0 10.40.48.1 - 10.40.48.254 10.40.48.255 10.40.48.255



1 10.40.50.0 /24 255.255.255.0 10.40.50.1 - 10.40.50.254 10.40.50.255 10.40.50.255


2 10.40.51.0 /24 255.255.255.0 10.40.51.1 - 10.40.51.254 10.40.51.255 10.40.51.255




e. Vlan 50 Supervision




Plage d'adresses



Plateforme de

stockage PARIS 172.10.3.0 /24 255.255.255.0 172.10.3.1 - 172.10.3.254 172.10.3.255 172.10.3.255








Hypermarché

Bordeaux 172.10.6.128 /25 255.255.255.128 172.10.6.129 - 172.10.6.254 172.10.6.255 172.10.6.255






Hypermarché



Hypermarché Dijon 172.10.10.128 /25 255.255.255.128 172.10.10.129 -

172.10.10.254 172.10.10.255 172.10.10.255


Hypermarché Grenoble 172.10.11.128 /25 255.255.255.128 172.10.11.129 -

172.10.11.254 172.10.11.255 172.10.11.255



Hypermarché Hyères 172.10.12.0 /25 255.255.255.128 172.10.12.1 - 172.10.12.126 172.10.12.127 172.10.12.127

Hypermarché La

Rochelle 172.10.12.128 /25 255.255.255.128

172.10.12.129 -

172.10.12.254 172.10.12.255 172.10.12.255


Hypermarché Lille 172.10.13.128 /25 255.255.255.128 172.10.13.129 -

172.10.13.254 172.10.13.255 172.10.13.255


Hypermarché Lisbonne 172.10.14.128 /25 255.255.255.128 172.10.14.129 -

172.10.14.254 172.10.14.255 172.10.14.255


Hypermarché Lyon 2 172.10.15.128 /25 255.255.255.128 172.10.15.129 -

172.10.15.254 172.10.15.255 172.10.15.255


Hypermarché

Marmande 172.10.16.128 /25 255.255.255.128

172.10.16.129 -

172.10.16.254 172.10.16.255 172.10.16.255

Hypermarché

Marseilles 172.10.17.0 /25 255.255.255.128 172.10.17.1 - 172.10.17.126 172.10.17.127 172.10.17.127

Hypermarché Metz 172.10.17.128 /25 255.255.255.128 172.10.17.129 -

172.10.17.254 172.10.17.255 172.10.17.255

Hypermarché

Montpellier 172.10.18.0 /25 255.255.255.128 172.10.18.1 - 172.10.18.126 172.10.18.127 172.10.18.127

Hypermarché Nancy 172.10.18.128 /25 255.255.255.128 172.10.18.129 -

172.10.18.254 172.10.18.255 172.10.18.255


Hypermarché Nice 172.10.19.128 /25 255.255.255.128 172.10.19.129 -

172.10.19.254 172.10.19.255 172.10.19.255

Hypermarché Nîmes 172.10.20.0 /25 255.255.255.128 172.10.20.1 - 172.10.20.126 172.10.20.127 172.10.20.127

Hypermarché Niort 172.10.20.128 /25 255.255.255.128 172.10.20.129 -

172.10.20.254 172.10.20.255 172.10.20.255


Hypermarché Orly 172.10.21.128 /25 255.255.255.128 172.10.21.129 -

172.10.21.254 172.10.21.255 172.10.21.255

Hypermarché Pau 172.10.22.0 /25 255.255.255.128 172.10.22.1 - 172.10.22.126 172.10.22.127 172.10.22.127

Hypermarché

Perpignan 172.10.22.128 /25 255.255.255.128

172.10.22.129 -

172.10.22.254 172.10.22.255 172.10.22.255


Hypermarché Rennes 172.10.23.128 /25 255.255.255.128 172.10.23.129 -

172.10.23.254 172.10.23.255 172.10.23.255


Hypermarché Rouen 172.10.24.128 /25 255.255.255.128 172.10.24.129 -

172.10.24.254 172.10.24.255 172.10.24.255


Hypermarché

Strasbourg 172.10.25.128 /25 255.255.255.128

172.10.25.129 -

172.10.25.254 172.10.25.255 172.10.25.255



1 172.10.26.128 /25 255.255.255.128

172.10.26.129 -

172.10.26.254 172.10.26.255 172.10.26.255


2 172.10.27.0 /25 255.255.255.128 172.10.27.1 - 172.10.27.126 172.10.27.127 172.10.27.127

Hypermarché Tours 172.10.27.128 /25 255.255.255.128 172.10.27.129 -

172.10.27.254 172.10.27.255 172.10.27.255




Hypermarché Vannes 172.10.28.128 /25 255.255.255.128 172.10.28.129 -

172.10.28.254 172.10.28.255 172.10.28.255



f. Vlan 60 Réplication




Plage d'adresses



Plateforme de

stockage PARIS 172.20.2.16 /25 255.255.255.128 172.20.2.129 - 172.10.2.254 172.20.2.255 172.20.2.255

g. Vlan 70 DMZ




Plage d'adresses


Centrale d'achat PARIS 192.168.0.0 /25 255.255.255.128 192.168.2.1 -

192.168.2.126 192.168.2.127 192.168.2.127

Plateforme de

stockage PARIS 192.168.0.32 /25 255.255.255.128

192.168.2.129 -

192.168.2.254 192.168.2.255 192.168.2.255



2. Règles ACL des firewalls

a. Règles de NAT

Etat Interfac

e

Protocol Source Source Port Destination Redirectio

n

Actif WAN TCP ANY 80 (HTTP) LAN Adresse 192.168.2.1

Actif WAN TCP ANY 443 (HTTPS) LAN Adresse 192.168.2.1

Actif WAN UDP ANY 69 (TFTP) LAN Adresse 192.168.2.1

Actif WAN TCP ANY IPSEC LAN Adresse 192.168.2.1

Actif WAN TCP / UDP ANY 8580 LAN Adresse 192.168.2.1

Actif WAN TCP / UDP ANY 8581 LAN Adresse 192.168.2.2

Actif WAN TCP/ UDP 10.10.0.0/16 Any LAN Adresse 10.10.2.1



Actif WAN UDP 172.10.0.0/16 161 - 162 (SNMP) LAN Adresse 172.10.2.1

Actif LAN TCP 10.0.0.0/8 80 (HTTP) WAN Adresse 0.0.0.0

Actif LAN TCP 10.0.0.0/8 443 (HTTPS) WAN Adresse 0.0.0.0

Actif LAN UDP 10.0.0.0/8 69 (TFTP) WAN Adresse 0.0.0.0

Actif LAN TCP / UDP 10.0.0.0/8 IPSEC WAN Adresse 0.0.0.0

Actif LAN TCP / UDP 10.0.0.0/8 8580 WAN Adresse 0.0.0.0

Actif LAN TCP / UDP 10.0.0.0/8 8581 WAN Adresse 0.0.0.0

b. Règles de filtrage interne

Action Interface TCP/IP

Version

Protocol Source Destination Port de

destination

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 22 (SSH)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 38-39 (RAP / RLP)

ACCEPT WAN IPv4 UDP ANY 10.10.0.0 53 (DNS)

ACCEPT WAN IPv4 UDP ANY 10.10.0.0 68 (bootcp)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 88 (Kerberos)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 92(NPP)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 101 (NIC NAMES)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 111(SUNRPC)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 113 (Auth)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 118 (SqlServ)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 138-139 (NetBios)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 389 (LDAP)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 445 (SMB)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 500 (ISAKMP)

ACCEPT WAN IPv4 TCP ANY 10.10.0.0 631 (TCP)



ACCEPT WAN IPv4 TCP ANY 10.10.0.0 1433 (Microsoft SQL

server)

ACCEPT WAN IPv4 TCP ANY 10.20.0.0 5060 (SIP)

ACCEPT WAN IPv4 TCP ANY 10.40.0.0 115 (SFTP)

ACCEPT WAN IPv4 TCP ANY 10.40.0.0 170 (Print-SRV)

ACCEPT WAN IPv4 UDP ANY 172.10.0.0 123 (NTP)

ACCEPT WAN IPv4 UDP ANY 172.10.0.0 161-162 (SNMP)

ACCEPT WAN IPv4 TCP ANY 172.10.0.0 381-383 (HP

manager)

ACCEPT WAN IPv4 TCP ANY 172.10.0.0 5900 (VNC)

ACCEPT WAN IPv4 TCP ANY 192.168.0.0 443 (HTTPS)

ACCEPT WAN IPv4 TCP ANY 192.168.0.0 3306 (MySQL)

ACCEPT WAN IPv4 TCP ANY 192.168.0.0 8580-8581 (Direct

Access)

Reject WAN IPv4 TCP ANY ANY ANY

c. Règles de filtrage externe

Action Interface TCP/IP

Version

Protocol Source Destination Port de

destination

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 22 (SSH)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 38-39 (RAP / RLP)

ACCEPT LAN IPv4 UDP 10.10.0.0 ANY 53 (DNS)

ACCEPT LAN IPv4 UDP 10.10.0.0 ANY 68 (bootcp)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 88 (Kerberos)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 92(NPP)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 101 (NIC NAMES)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 111(SUNRPC)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 113 (Auth)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 118 (SqlServ)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 138-139 (NetBios)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 389 (LDAP)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 445 (SMB)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 500 (ISAKMP)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 631 (TCP)

ACCEPT LAN IPv4 TCP 10.10.0.0 ANY 1433 (Microsoft

SQL server)

ACCEPT LAN IPv4 TCP 10.20.0.0 ANY 5060 (SIP)

ACCEPT LAN IPv4 TCP 10.40.0.0 ANY 115 (SFTP)

ACCEPT LAN IPv4 TCP 10.40.0.0 ANY 170 (Print-SRV)

ACCEPT LAN IPv4 UDP 172.10.0.0 ANY 123 (NTP)

ACCEPT LAN IPv4 UDP 172.10.0.0 ANY 161-162 (SNMP)

ACCEPT LAN IPv4 TCP 172.10.0.0 ANY 381-383 (HP

manager)



ACCEPT LAN IPv4 TCP 172.10.0.0 ANY 5900 (VNC)

ACCEPT LAN IPv4 TCP 192.168.0.0 ANY 443 (HTTPS)

ACCEPT LAN IPv4 TCP 192.168.0.0 ANY 3306 (MySQL)

ACCEPT LAN IPv4 TCP 192.168.0.0 ANY 8580-8581 (Direct

Access)

Reject LAN IPv4 TCP ANY ANY ANY

3. Règles QoS des firewalls

a. Règles de la QoS

Name Policy

Based On

Policy

Type

Implementation

ON Priority

Guaranteed

- Burstable

Upload and

Download

Bandwith

Usage

Type

Description

Règle DMZ-

Zone

Web

Category Strict Total

1

(Bussiness

Critical)

5000-50000 Shared

Limite de la bande

passante pour toute

la partie Web de la

DMZ (de 50 Mo a 500

Mo Max)

Règle ERP Par

Hypermarchés

Firewall

rules Committed Total 3

50000-

100000 Shared

Limite accès à l'ERP

est aux bases de

données pour

chaques Hyper limité

à 1 Go

Règle Direct-

Access Application Strict Total 3

50000-

400000 Shared

Limite pour le traffic

Nomade limité à 4

Go aux total pour

Direct Access

Règle

Impression

Firewall

Rules Strict Individual 2 100-6000 Shared

Limite le traffic des

impréssions jusqu’à

600 Mo

Règle

Supervision Application Strict Total 5 100-6000 Shared

Limite du traffic de

600 Mo pour le

protocol SNMP et

SNMP Trap

Règle VOIP Application Strict Total 4 100000-

300000 Shared

Limite du traffic

téléphonique jusqu'à

3Go cumuler

b. Application des stratégies QoS

Name Source Service Schedule Action Destination QoS

Hypermarché Agen 10.10.6.0 8463-

84364

07H00 - 21H30 ACCEPT 10.10.3.111/23 Règle ERP Par Hypermarchés



Hypermarché Ajaccio 10.10.8.0 8463-

84364


Hypermarché Alençon 10.10.10.0 8463-

84364


Hypermarché Angers 10.10.12.0 8463-

84364


Hypermarché Annecy 10.10.14.0 8463-

84364


Hypermarché

Bayonne

10.10.16.0 8463-

84364


Hypermarché

Bergerac

10.10.18.0 8463-

84364


Hypermarché

Bordeaux

10.10.20.0 8463-

84364


Hypermarché Bourges 10.10.22.0 8463-

84364


Hypermarché Brest 10.10.24.0 8463-

84364


Hypermarché Brive 10.10.26.0 8463-

84364


Hypermarché Caen 10.10.28.0 8463-

84364


Hypermarché Cahors 10.10.30.0 8463-

84364


Hypermarché

Clermont-Ferrand

10.10.32.0 8463-

84364


Hypermarché Digne 10.10.34.0 8463-

84364


Hypermarché Dijon 10.10.36.0 8463-

84364


Hypermarché Epinal 10.10.38.0 8463-

84364


Hypermarché

Grenoble

10.10.40.0 8463-

84364


Hypermarché Hyères 10.10.42.0 8463-

84364


Hypermarché La

Rochelle

10.10.44.0 8463-

84364


Hypermarché Le

Havre

10.10.46.0 8463-

84364


Hypermarché Lille 10.10.48.0 8463-

84364


Hypermarché Limoges 10.10.50.0 8463-

84364


Hypermarché

Lisbonne

10.10.52.0 8463-

84364


Hypermarché Lyon 1 10.10.54.0 8463-

84364



84364



84364


Hypermarché

Marmande

10.10.60.0 8463-

84364


Hypermarché

Marseilles

10.10.62.0 8463-

84364




Hypermarché Metz 10.10.64.0 8463-

84364


Hypermarché

Montpellier

10.10.66.0 8463-

84364


Hypermarché Nancy 10.10.68.0 8463-

84364


Hypermarché Nantes 10.10.70.0 8463-

84364


Hypermarché Nice 10.10.72.0 8463-

84364


Hypermarché Nîmes 10.10.74.0 8463-

84364


Hypermarché Niort 10.10.76.0 8463-

84364


Hypermarché Orléans 10.10.78.0 8463-

84364


Hypermarché Orly 10.10.80.0 8463-

84364


Hypermarché Pau 10.10.82.0 8463-

84364


Hypermarché

Perpignan

10.10.84.0 8463-

84364


Hypermarché Porto 10.10.86.0 8463-

84364


Hypermarché Rennes 10.10.88.0 8463-

84364


Hypermarché Rodez 10.10.90.0 8463-

84364


Hypermarché Rouen 10.10.92.0 8463-

84364


Hypermarché Sète 10.10.94.0 8463-

84364


Hypermarché

Strasbourg

10.10.96.0 8463-

84364


Hypermarché Toulon 10.10.98.0 8463-

84364


Hypermarché

Toulouse 1

10.10.100.0 8463-

84364


Hypermarché

Toulouse 2

10.10.102.0 8463-

84364


Hypermarché Tours 10.10.104.0 8463-

84364


Hypermarché Troyes 10.10.106.0 8463-

84364


Hypermarché Vannes 10.10.108.0 8463-

84364


Hypermarché Agen 10.10.6.0 1521 07H00 - 21H30 ACCEPT 10.10.3.165/23 Règle ERP Par Hypermarchés

Hypermarché Ajaccio 10.10.8.0 1521 07H00 - 21H30 ACCEPT 10.10.3.166/23 Règle ERP Par Hypermarchés

Hypermarché Alençon 10.10.10.0 1521 07H00 - 21H30 ACCEPT 10.10.3.167/23 Règle ERP Par Hypermarchés

Hypermarché Angers 10.10.12.0 1521 07H00 - 21H30 ACCEPT 10.10.3.168/23 Règle ERP Par Hypermarchés

Hypermarché Annecy 10.10.14.0 1521 07H00 - 21H30 ACCEPT 10.10.3.169/23 Règle ERP Par Hypermarchés

Hypermarché

Bayonne

10.10.16.0 1521 07H00 - 21H30 ACCEPT 10.10.3.170/23 Règle ERP Par Hypermarchés

Hypermarché

Bergerac




Hypermarché

Bordeaux


Hypermarché Bourges 10.10.22.0 1521 07H00 - 21H30 ACCEPT 10.10.3.173/23 Règle ERP Par Hypermarchés

Hypermarché Brest 10.10.24.0 1521 07H00 - 21H30 ACCEPT 10.10.3.174/23 Règle ERP Par Hypermarchés

Hypermarché Brive 10.10.26.0 1521 07H00 - 21H30 ACCEPT 10.10.3.175/23 Règle ERP Par Hypermarchés

Hypermarché Caen 10.10.28.0 1521 07H00 - 21H30 ACCEPT 10.10.3.176/23 Règle ERP Par Hypermarchés

Hypermarché Cahors 10.10.30.0 1521 07H00 - 21H30 ACCEPT 10.10.3.177/23 Règle ERP Par Hypermarchés

Hypermarché

Clermont-Ferrand


Hypermarché Digne 10.10.34.0 1521 07H00 - 21H30 ACCEPT 10.10.3.179/23 Règle ERP Par Hypermarchés

Hypermarché Dijon 10.10.36.0 1521 07H00 - 21H30 ACCEPT 10.10.3.180/23 Règle ERP Par Hypermarchés

Hypermarché Epinal 10.10.38.0 1521 07H00 - 21H30 ACCEPT 10.10.3.181/23 Règle ERP Par Hypermarchés

Hypermarché

Grenoble


Hypermarché Hyères 10.10.42.0 1521 07H00 - 21H30 ACCEPT 10.10.3.183/23 Règle ERP Par Hypermarchés

Hypermarché La

Rochelle


Hypermarché Le

Havre


Hypermarché Lille 10.10.48.0 1521 07H00 - 21H30 ACCEPT 10.10.3.186/23 Règle ERP Par Hypermarchés

Hypermarché Limoges 10.10.50.0 1521 07H00 - 21H30 ACCEPT 10.10.3.187/23 Règle ERP Par Hypermarchés

Hypermarché

Lisbonne


Hypermarché Lyon 1 10.10.54.0 1521 07H00 - 21H30 ACCEPT 10.10.3.189/23 Règle ERP Par Hypermarchés



Hypermarché

Marmande


Hypermarché

Marseilles


Hypermarché Metz 10.10.64.0 1521 07H00 - 21H30 ACCEPT 10.10.3.194/23 Règle ERP Par Hypermarchés

Hypermarché

Montpellier


Hypermarché Nancy 10.10.68.0 1521 07H00 - 21H30 ACCEPT 10.10.3.196/23 Règle ERP Par Hypermarchés

Hypermarché Nantes 10.10.70.0 1521 07H00 - 21H30 ACCEPT 10.10.3.197/23 Règle ERP Par Hypermarchés

Hypermarché Nice 10.10.72.0 1521 07H00 - 21H30 ACCEPT 10.10.3.198/23 Règle ERP Par Hypermarchés

Hypermarché Nîmes 10.10.74.0 1521 07H00 - 21H30 ACCEPT 10.10.3.199/23 Règle ERP Par Hypermarchés

Hypermarché Niort 10.10.76.0 1521 07H00 - 21H30 ACCEPT 10.10.3.200/23 Règle ERP Par Hypermarchés

Hypermarché Orléans 10.10.78.0 1521 07H00 - 21H30 ACCEPT 10.10.3.201/23 Règle ERP Par Hypermarchés

Hypermarché Orly 10.10.80.0 1521 07H00 - 21H30 ACCEPT 10.10.3.202/23 Règle ERP Par Hypermarchés

Hypermarché Pau 10.10.82.0 1521 07H00 - 21H30 ACCEPT 10.10.3.203/23 Règle ERP Par Hypermarchés

Hypermarché

Perpignan


Hypermarché Porto 10.10.86.0 1521 07H00 - 21H30 ACCEPT 10.10.3.205/23 Règle ERP Par Hypermarchés

Hypermarché Rennes 10.10.88.0 1521 07H00 - 21H30 ACCEPT 10.10.3.206/23 Règle ERP Par Hypermarchés

Hypermarché Rodez 10.10.90.0 1521 07H00 - 21H30 ACCEPT 10.10.3.207/23 Règle ERP Par Hypermarchés

Hypermarché Rouen 10.10.92.0 1521 07H00 - 21H30 ACCEPT 10.10.3.208/23 Règle ERP Par Hypermarchés

Hypermarché Sète 10.10.94.0 1521 07H00 - 21H30 ACCEPT 10.10.3.209/23 Règle ERP Par Hypermarchés



Hypermarché

Strasbourg


Hypermarché Toulon 10.10.98.0 1521 07H00 - 21H30 ACCEPT 10.10.3.211/23 Règle ERP Par Hypermarchés

Hypermarché

Toulouse 1


Hypermarché

Toulouse 2


Hypermarché Tours 10.10.104.0 1521 07H00 - 21H30 ACCEPT 10.10.3.214/23 Règle ERP Par Hypermarchés

Hypermarché Troyes 10.10.106.0 1521 07H00 - 21H30 ACCEPT 10.10.3.215/23 Règle ERP Par Hypermarchés

Hypermarché Vannes 10.10.108.0 1521 07H00 - 21H30 ACCEPT 10.10.3.216/23 Règle ERP Par Hypermarchés

QoS VOIP 10.20.0.0 Any 07H00 - 21H31 ACCEPT 10.20.2.1/23 Règle VOIP

QoS Direct Access Any 3544 All the time ACCEPT 192.168.2.32/25 Règle Direct-Access

QoS Impression 10.40.0.0 515 All the time ACCEPT 10.40.2.1/25 Règle Impression

QoS Supervision 172.10.0.0 161-162

(SNMP

- SNMP

TRAP)

All the time ACCEPT 172.10.2.106/24 Règle Supervision

QoS DMZ Any HTTP /

HTTPS

All the time ACCEPT 192.168.2.1 Règle DMZ-Zone



4. Convention de nommage

a. Plan groupes Active Directory

Nom Type Description

Groupe de sécurité Applicatif

les groupes liées aux applications seront baser sur le même modèle

FRNS-APP-OFFICE Groupe de sécurité - Global Applicatif - Accés suite office

FRNS-APP-INTERNET-EXPLORER Groupe de sécurité - Global Applicatif - Accés Internet explorer

FRNS-APP-ERP Groupe de sécurité - Global Applicatif - Accés application ERP

FRNS-APP-IMPRESSION Groupe de sécurité - Global Applicatif - Accés autorisation d'impression

FRNS-APP-WEB Groupe de sécurité - Global Applicatif - Accés accès application web

FRNS-APP-ADOBE Groupe de sécurité - Global Applicatif - Accés package adobe reader

Groupe de sécurité Direction

les groupes liées aux dossiers seront baser sur le même modèle

FRNS-DIR-HYPER-Agen Groupe de sécurité - Global Direction - Accés au dossier hypermarché Agen

FRNS-DIR-HYPER-Ajaccio Groupe de sécurité - Global Direction - Accés au dossier hypermarché Ajaccio

FRNS-DIR-HYPER-Alençon Groupe de sécurité - Global Direction - Accés au dossier hypermarché Alençon

FRNS-DIR-HYPER-Angers Groupe de sécurité - Global Direction - Accés au dossier hypermarché Angers

FRNS-DIR-HYPER-Annecy Groupe de sécurité - Global Direction - Accés au dossier hypermarché Annecy

FRNS-DIR-HYPER-Bayonne Groupe de sécurité - Global Direction - Accés au dossier hypermarché Bayonne

FRNS-DIR-HYPER-Bergerac Groupe de sécurité - Global Direction - Accés au dossier hypermarché Bergerac

FRNS-DIR-HYPER-Bordeaux Groupe de sécurité - Global Direction - Accés au dossier hypermarché Bordeaux

FRNS-DIR-HYPER-Bourges Groupe de sécurité - Global Direction - Accés au dossier hypermarché Bourges

FRNS-DIR-HYPER-Brest Groupe de sécurité - Global Direction - Accés au dossier hypermarché Brest

FRNS-DIR-HYPER-Brive Groupe de sécurité - Global Direction - Accés au dossier hypermarché Brive

FRNS-DIR-HYPER-Caen Groupe de sécurité - Global Direction - Accés au dossier hypermarché Caen

FRNS-DIR-HYPER-Cahors Groupe de sécurité - Global Direction - Accés au dossier hypermarché Cahors

FRNS-DIR-HYPER-Clermont-

Ferrand Groupe de sécurité - Global

Direction - Accés au dossier hypermarché Clermont-

Ferrand

FRNS-DIR-HYPER-Digne Groupe de sécurité - Global Direction - Accés au dossier hypermarché Digne

FRNS-DIR-HYPER-Dijon Groupe de sécurité - Global Direction - Accés au dossier hypermarché Dijon

FRNS-DIR-HYPER-Epinal Groupe de sécurité - Global Direction - Accés au dossier hypermarché Epinal

FRNS-DIR-HYPER-Grenoble Groupe de sécurité - Global Direction - Accés au dossier hypermarché Grenoble

FRNS-DIR-HYPER-Hyères Groupe de sécurité - Global Direction - Accés au dossier hypermarché Hyères

FRNS-DIR-HYPER-La Rochelle Groupe de sécurité - Global Direction - Accés au dossier hypermarché La Rochelle

FRNS-DIR-HYPER-Le Havre Groupe de sécurité - Global Direction - Accés au dossier hypermarché Le Havre

FRNS-DIR-HYPER-Lille Groupe de sécurité - Global Direction - Accés au dossier hypermarché Lille

FRNS-DIR-HYPER-Limoges Groupe de sécurité - Global Direction - Accés au dossier hypermarché Limoges

PTNS-DIR-HYPER-Lisbonne Groupe de sécurité - Global Direction - Accés au dossier hypermarché Lisbonne

FRNS-DIR-HYPER-Lyon1 Groupe de sécurité - Global Direction - Accés au dossier hypermarché Lyon1



FRNS-DIR-HYPER-Marmande Groupe de sécurité - Global Direction - Accés au dossier hypermarché Marmande



FRNS-DIR-HYPER-Marseilles Groupe de sécurité - Global Direction - Accés au dossier hypermarché Marseilles

FRNS-DIR-HYPER-Metz Groupe de sécurité - Global Direction - Accés au dossier hypermarché Metz

FRNS-DIR-HYPER-Montpellier Groupe de sécurité - Global Direction - Accés au dossier hypermarché Montpellier

FRNS-DIR-HYPER-Nancy Groupe de sécurité - Global Direction - Accés au dossier hypermarché Nancy

FRNS-DIR-HYPER-Nantes Groupe de sécurité - Global Direction - Accés au dossier hypermarché Nantes

FRNS-DIR-HYPER-Nice Groupe de sécurité - Global Direction - Accés au dossier hypermarché Nice

FRNS-DIR-HYPER-Nimes Groupe de sécurité - Global Direction - Accés au dossier hypermarché Nimes

FRNS-DIR-HYPER-Niort Groupe de sécurité - Global Direction - Accés au dossier hypermarché Niort

FRNS-DIR-HYPER-Orléans Groupe de sécurité - Global Direction - Accés au dossier hypermarché Orléans

FRNS-DIR-HYPER-Orly Groupe de sécurité - Global Direction - Accés au dossier hypermarché Orly

FRNS-DIR-HYPER-Pau Groupe de sécurité - Global Direction - Accés au dossier hypermarché Pau

FRNS-DIR-HYPER-Perpignan Groupe de sécurité - Global Direction - Accés au dossier hypermarché Perpignan

PTNS-DIR-HYPER-Porto Groupe de sécurité - Global Direction - Accés au dossier hypermarché Porto

FRNS-DIR-HYPER-Rennes Groupe de sécurité - Global Direction - Accés au dossier hypermarché Rennes

FRNS-DIR-HYPER-Rodez Groupe de sécurité - Global Direction - Accés au dossier hypermarché Rodez

FRNS-DIR-HYPER-Rouen Groupe de sécurité - Global Direction - Accés au dossier hypermarché Rouen

FRNS-DIR-HYPER-Sète Groupe de sécurité - Global Direction - Accés au dossier hypermarché Sète

FRNS-DIR-HYPER-Strasbourg Groupe de sécurité - Global Direction - Accés au dossier hypermarché Strasbourg

FRNS-DIR-HYPER-Toulon Groupe de sécurité - Global Direction - Accés au dossier hypermarché Toulon

FRNS-DIR-HYPER-Toulouse1 Groupe de sécurité - Global Direction - Accés au dossier hypermarché Toulouse1

FRNS-DIR-HYPER-Toulouse2 Groupe de sécurité - Global Direction - Accés au dossier hypermarché Toulouse2

FRNS-DIR-HYPER-Tours Groupe de sécurité - Global Direction - Accés au dossier hypermarché Tours

FRNS-DIR-HYPER-Troyes Groupe de sécurité - Global Direction - Accés au dossier hypermarché Troyes

FRNS-DIR-HYPER-Vannes Groupe de sécurité - Global Direction - Accés au dossier hypermarché Vannes

FRNS-SRV-HYPER-Agen-Achats Groupe de sécurité - Global Dossier - Accés au service hypermarché Agen-Achats

FRNS-SRV-HYPER-Agen-Caisse Groupe de sécurité - Global Dossier - Accés au service hypermarché Agen-Caisse

FRNS-SRV-HYPER-Agen-Compta Groupe de sécurité - Global Dossier - Accés au service hypermarché Agen-Compta

FRNS-SRV-HYPER-Agen-

Laboratoire Groupe de sécurité - Global

Dossier - Accés au service hypermarché Agen-

Laboratoire

FRNS-SRV-HYPER-Agen-Magasin Groupe de sécurité - Global Dossier - Accés au service hypermarché Agen-Magasin

FRNS-SRV-HYPER-Agen-Stock Groupe de sécurité - Global Dossier - Accés au service hypermarché Agen-Stock

FRNS-SRV-HYPER-Ajaccio-Achats Groupe de sécurité - Global Dossier - Accés au service hypermarché Ajaccio-Achats

FRNS-SRV-HYPER-Ajaccio-Caisse Groupe de sécurité - Global Dossier - Accés au service hypermarché Ajaccio-Caisse

FRNS-SRV-HYPER-Ajaccio-

Compta Groupe de sécurité - Global

Dossier - Accés au service hypermarché Ajaccio-

Compta




Laboratoire


Magasin Groupe de sécurité - Global


Magasin

FRNS-SRV-HYPER-Ajaccio-Stock Groupe de sécurité - Global Dossier - Accés au service hypermarché Ajaccio-Stock

FRNS-SRV-HYPER-Alencon-

Achats Groupe de sécurité - Global

Dossier - Accés au service hypermarché Alencon-

Achats

FRNS-SRV-HYPER-Alencon-Caisse Groupe de sécurité - Global Dossier - Accés au service hypermarché Alencon-Caisse


Compta Groupe de sécurité - Global


Compta




Laboratoire


Magasin Groupe de sécurité - Global


Magasin



FRNS-SRV-Service-Administration Groupe de sécurité - Global Dossier - Accés au service Service-Administration

FRNS-SRV-Service-CE Groupe de sécurité - Global Dossier - Accés au service Service-CE

FRNS-SRV-Service-Commerce Groupe de sécurité - Global Dossier - Accés au service Service-Commerce

FRNS-SRV-Service-Comptabilite Groupe de sécurité - Global Dossier - Accés au service Service-Comptabilite


FRNS-SRV-Service-

Développement Groupe de sécurité - Global Dossier - Accés au service Service-Développement

FRNS-SRV-Service-Direction Groupe de sécurité - Global Dossier - Accés au service Service-Direction

FRNS-SRV-Service-Hypermarchés Groupe de sécurité - Global Dossier - Accés au service Service-Hypermarchés

FRNS-SRV-Service-Informatique Groupe de sécurité - Global Dossier - Accés au service Service-Informatique

FRNS-SRV-Service-Logistique Groupe de sécurité - Global Dossier - Accés au service Service-Logistique

FRNS-SRV-Service-Marketing Groupe de sécurité - Global Dossier - Accés au service Service-Marketing

FRNS-SRV-Service-Procedure Groupe de sécurité - Global Dossier - Accés au service Service-Procedure

FRNS-SRV-Service-RH Groupe de sécurité - Global Dossier - Accés au service Service-RH

FRNS-SRV-Service-Securite Groupe de sécurité - Global Dossier - Accés au service Service-Securite

FRNS-SRV-Service-Stock Groupe de sécurité - Global Dossier - Accés au service Service-Stock

FRNS-SRV-Service-Achats Groupe de sécurité - Global Dossier - Accés au service Service-Achats

FRNS-SRV-Service-Administration Groupe de sécurité - Global Dossier - Accés au service Service-Administration

FRNS-SRV-Service-CE Groupe de sécurité - Global Dossier - Accés au service Service-CE


FRNS-SRV-Service-Comptabilite Groupe de sécurité - Global Dossier - Accés au service Service-Comptabilite


FRNS-SRV-Service-

Développement Groupe de sécurité - Global Dossier - Accés au service Service-Développement

FRNS-SRV-Service-Direction Groupe de sécurité - Global Dossier - Accés au service Service-Direction

FRNS-SRV-Service-Hypermarchés Groupe de sécurité - Global Dossier - Accés au service Service-Hypermarchés

FRNS-SRV-Service-Informatique Groupe de sécurité - Global Dossier - Accés au service Service-Informatique

FRNS-SRV-Service-Logistique Groupe de sécurité - Global Dossier - Accés au service Service-Logistique

FRNS-SRV-Service-Marketing Groupe de sécurité - Global Dossier - Accés au service Service-Marketing

FRNS-SRV-Service-Procedure Groupe de sécurité - Global Dossier - Accés au service Service-Procedure

FRNS-SRV-Service-RH Groupe de sécurité - Global Dossier - Accés au service Service-RH

FRNS-SRV-Service-Securite Groupe de sécurité - Global Dossier - Accés au service Service-Securite

FRNS-SRV-Service-Stock Groupe de sécurité - Global Dossier - Accés au service Service-Stock

Groupe de sécurité Inter Services

Model de groupe adaptable en fonction des besoins d'échange entre les différents services de la société

FRNS-INT-Achats Groupe de sécurité - Global

Inter Service - Echange entre les différents services

achats de Newstore

FRNS-INT-Compta Groupe de sécurité - Global

Inter Service - Echange entre les différents services

Compta de Newstore

FRNS-INT-Stock Groupe de sécurité - Global

Inter Service - Echange entre les différents services Sotck

de Newstore

Groupe de sécurité d'administration

Model de groupe adaptable en fonction des besoins en charge de la sécurité du système d'information

FRNS-ADM-AD Groupe de sécurité - Global Administration - Groupe de sécurité AD

FRNS-ADM-DirectAccess Groupe de sécurité - Global Administration - Groupe de sécurité Direct Access

FRNS-ADM-Veeam Groupe de sécurité - Global Administration - Groupe de sécurité Veeam Backup



FRNS-ADM-WSUS Groupe de sécurité - Global Administration - Groupe de sécurité Windows Update

FRNS-ADM-Sophos Groupe de sécurité - Global Administration - Groupe de sécurité Sophos Endpoint

FRNS-ADM-Switch Groupe de sécurité - Global Administration - Groupe de sécurité Randic

FRNS-ADM-Hyper-V Groupe de sécurité - Global Administration - Groupe de sécurité Hyperviseur



b. Plan d’adressage mail

Groupe Mail Type

Newstore [email protected] Boîte partagé

Centrale d'achat PARIS [email protected] Boîte partagé

Plateforme de stockage PARIS [email protected] Boîte partagé

Hypermarché Agen [email protected] Boîte partagé

Hypermarché Ajaccio [email protected] Boîte partagé

Hypermarché Alençon contact.hyper-Alenç[email protected] Boîte partagé

Hypermarché Angers [email protected] Boîte partagé

Hypermarché Annecy [email protected] Boîte partagé

Hypermarché Bayonne [email protected] Boîte partagé

Hypermarché Bergerac [email protected] Boîte partagé

Hypermarché Bordeaux [email protected] Boîte partagé

Hypermarché Bourges [email protected] Boîte partagé

Hypermarché Brest [email protected] Boîte partagé

Hypermarché Brive [email protected] Boîte partagé

Hypermarché Caen [email protected] Boîte partagé

Hypermarché Cahors [email protected] Boîte partagé

Hypermarché Clermont-

Ferrand

[email protected] Boîte partagé

Hypermarché Digne [email protected] Boîte partagé

Hypermarché Dijon [email protected] Boîte partagé

Hypermarché Epinal [email protected] Boîte partagé

Hypermarché Grenoble [email protected] Boîte partagé

Hypermarché Hyeres [email protected] Boîte partagé

Hypermarché La Rochelle contact.hyper-La [email protected] Boîte partagé

Hypermarché Le Havre contact.hyper-Le [email protected] Boîte partagé

Hypermarché Lille [email protected] Boîte partagé

Hypermarché Limoges [email protected] Boîte partagé

Hypermarché Lisbonne [email protected] Boîte partagé

Hypermarché Lyon 1 [email protected] Boîte partagé



Hypermarché Marmande [email protected] Boîte partagé

Hypermarché Marseilles [email protected] Boîte partagé

Hypermarché Metz [email protected] Boîte partagé

Hypermarché Montpellier [email protected] Boîte partagé

Hypermarché Nancy [email protected] Boîte partagé

Hypermarché Nantes [email protected] Boîte partagé

Hypermarché Nice [email protected] Boîte partagé

Hypermarché Nimes [email protected] Boîte partagé

Hypermarché Niort [email protected] Boîte partagé

Hypermarché Orléans contact.hyper-Orlé[email protected] Boîte partagé

mailto:[email protected]





Hypermarché Orly [email protected] Boîte partagé

Hypermarché Pau [email protected] Boîte partagé

Hypermarché Perpignan [email protected] Boîte partagé

Hypermarché Porto [email protected] Boîte partagé

Hypermarché Rennes [email protected] Boîte partagé

Hypermarché Rodez [email protected] Boîte partagé

Hypermarché Rouen [email protected] Boîte partagé

Hypermarché Sète contact.hyper-Sè[email protected] Boîte partagé

Hypermarché Strasbourg [email protected] Boîte partagé

Hypermarché Toulon [email protected] Boîte partagé

Hypermarché Toulouse 1 [email protected] Boîte partagé

Hypermarché Toulouse 2 [email protected] Boîte partagé

Hypermarché Tours [email protected] Boîte partagé

Hypermarché Troyes [email protected] Boîte partagé

Hypermarché Vannes [email protected] Boîte partagé

Service-Achats [email protected] Boîte partagé

Service-Administration [email protected] Boîte partagé

Service-CE [email protected] Boîte partagé

Service-Commerce [email protected] Boîte partagé

Service-Comptabilite [email protected] Boîte partagé


Service-Développement contact.Service-Dé[email protected] Boîte partagé

Service-Direction [email protected] Boîte partagé

Service-Hypermarchés contact.Service-Hypermarché[email protected] Boîte partagé

Service-Informatique [email protected] Boîte partagé

Service-Logistique [email protected] Boîte partagé

Service-Marketing [email protected] Boîte partagé

Service-Procedure [email protected] Boîte partagé

Service-RH [email protected] Boîte partagé

Service-Securite [email protected] Boîte partagé

Service-Stock [email protected] Boîte partagé

Service-Achats [email protected] Boîte partagé

Service-Administration [email protected] Boîte partagé

Service-CE [email protected] Boîte partagé


Service-Comptabilite [email protected] Boîte partagé


Service-Développement direction.Service-Dé[email protected] Boîte partagé

Service-Direction [email protected] Boîte partagé

Service-Hypermarchés direction.Service-Hypermarché[email protected] Boîte partagé

Service-Informatique [email protected] Boîte partagé

Service-Logistique [email protected] Boîte partagé

Service-Marketing [email protected] Boîte partagé

Service-Procedure [email protected] Boîte partagé



Service-RH [email protected] Boîte partagé

Service-Securite [email protected] Boîte partagé

Service-Stock [email protected] Boîte partagé

Achats-Fournisseur [email protected] Liste de diffusion

Achats-Partenaire [email protected] Liste de diffusion

Administration-oragnisation [email protected] Liste de diffusion

Administration-procedure [email protected] Liste de diffusion

CE-vacances [email protected] Liste de diffusion

CE-meeting [email protected] Liste de diffusion

Commerce-fournisseur [email protected] Liste de diffusion

Commerce-entreprise [email protected] Liste de diffusion

Compta-facturation [email protected] Liste de diffusion

Compta-reclamation [email protected] Liste de diffusion

Compta-avoir [email protected] Liste de diffusion

Develop-prod [email protected] Liste de diffusion

Develop-test [email protected] Liste de diffusion

Direction-secretariat [email protected] Liste de diffusion

Direction-comite [email protected] Liste de diffusion

Hypermarches-Laboratoire [email protected] Liste de diffusion

Hypermarches-rayonnage [email protected] Liste de diffusion

Hypermarches-gondole [email protected] Liste de diffusion

Hypermarches-Caisse [email protected] Liste de diffusion

Informatique-supervision [email protected] Liste de diffusion

informatique-prestataire [email protected] Liste de diffusion

informatique-test [email protected] Liste de diffusion

logistique-localisation [email protected] Liste de diffusion

logistique-transport [email protected] Liste de diffusion

Marketing-prestaire [email protected] Liste de diffusion

Marketing-Web [email protected] Liste de diffusion

Procedure-interne [email protected] Liste de diffusion

Procedure-externe [email protected] Liste de diffusion

RH-Paye [email protected] Liste de diffusion

RH-salaries [email protected] Liste de diffusion

Securite-prestaire [email protected] Liste de diffusion

Sotck-compta [email protected] Liste de diffusion

Sotck-fournisseur [email protected] Liste de diffusion

stock-hyper [email protected] Liste de diffusion



c. Plan Groupe SharePoint

Serivce Nom du groupe

Centrale d'achat PARIS NS-SP-Central

Plateforme de stockage PARIS NS-SP-Plateforme

Hypermarché Agen NS-SP-Agen

Hypermarché Ajaccio NS-SP-Ajaccio

Hypermarché Alençon NS-SP-Alençon

Hypermarché Angers NS-SP-Angers

Hypermarché Annecy NS-SP-Annecy

Hypermarché Bayonne NS-SP-Bayonne

Hypermarché Bergerac NS-SP-Bergerac

Hypermarché Bordeaux NS-SP-Bordeaux

Hypermarché Bourges NS-SP-Bourges

Hypermarché Brest NS-SP-Brest

Hypermarché Brive NS-SP-Brive

Hypermarché Caen NS-SP-Caen

Hypermarché Cahors NS-SP-Cahors

Hypermarché Clermont-Ferrand NS-SP-Clermont-Ferrand

Hypermarché Digne NS-SP-Digne

Hypermarché Dijon NS-SP-Dijon

Hypermarché Epinal NS-SP-Epinal

Hypermarché Grenoble NS-SP-Grenoble

Hypermarché Hyeres NS-SP-Hyeres

Hypermarché La Rochelle NS-SP-La Rochelle

Hypermarché Le Havre NS-SP-Le Havre

Hypermarché Lille NS-SP-Lille

Hypermarché Limoges NS-SP-Limoges

Hypermarché Lisbonne NS-SP-Lisbonne

Hypermarché Lyon 1 NS-SP-Lyon1



Hypermarché Marmande NS-SP-Marmande

Hypermarché Marseilles NS-SP-Marseilles

Hypermarché Metz NS-SP-Metz

Hypermarché Montpellier NS-SP-Montpellier

Hypermarché Nancy NS-SP-Nancy

Hypermarché Nantes NS-SP-Nantes

Hypermarché Nice NS-SP-Nice

Hypermarché Nimes NS-SP-Nimes

Hypermarché Niort NS-SP-Niort

Hypermarché Orléans NS-SP-Orléans

Hypermarché Orly NS-SP-Orly



Hypermarché Pau NS-SP-Pau

Hypermarché Perpignan NS-SP-Perpignan

Hypermarché Porto NS-SP-Porto

Hypermarché Rennes NS-SP-Rennes

Hypermarché Rodez NS-SP-Rodez

Hypermarché Rouen NS-SP-Rouen

Hypermarché Sète NS-SP-Sète

Hypermarché Strasbourg NS-SP-Strasbourg

Hypermarché Toulon NS-SP-Toulon

Hypermarché Toulouse 1 NS-SP-Toulouse1

Hypermarché Toulouse 2 NS-SP-Toulouse2

Hypermarché Tours NS-SP-Tours

Hypermarché Troyes NS-SP-Troyes

Hypermarché Vannes NS-SP-Vannes

Service-Achats NS-SP-Service-Achats

Service-Administration NS-SP-Service-Administration

Service-CE NS-SP-Service-CE

Service-Commerce NS-SP-Service-Commerce

Service-Comptabilite NS-SP-Service-Comptabilite


Service-Développement NS-SP-Service-Développement

Service-Direction NS-SP-Service-Direction

Service-Hypermarchés NS-SP-Service-Hypermarchés

Service-Informatique NS-SP-Service-Informatique

Service-Logistique NS-SP-Service-Logistique

Service-Marketing NS-SP-Service-Marketing

Service-Procedure NS-SP-Service-Procedure

Service-RH NS-SP-Service-RH

Service-Securite NS-SP-Service-Securite

Service-Stock NS-SP-Service-Stock

Service-Achats NS-SP-Service-Achats

Service-Administration NS-SP-Service-Administration

Service-CE NS-SP-Service-CE


Service-Comptabilite NS-SP-Service-Comptabilite


Service-Développement NS-SP-Service-Développement

Service-Direction NS-SP-Service-Direction

Service-Hypermarchés NS-SP-Service-Hypermarchés

Service-Informatique NS-SP-Service-Informatique

Service-Logistique NS-SP-Service-Logistique

Service-Marketing NS-SP-Service-Marketing

Service-Procedure NS-SP-Service-Procedure

Service-RH NS-SP-Service-RH



Service-Securite NS-SP-Service-Securite

Service-Stock NS-SP-Service-Stock



B. Les procédures des services Microsoft

Les procédures ci-dessous sont décrites dans le cadre d’un maquettage de la solution.

Ainsi pour virtualiser le stockage QNAP nous avons recours à un serveur virtuelle qui

hébergera le stockage. Le rôle « Serveur cible Iscsi » est intégré au serveur. Les

hyper-V initient ensuite la connexion vers la cible QNAP.

1. Hyper-V cluster et réplication

a. Mise en place des rôles

1°) et 2°) Ajout du rôle Hyper-V sur le serveur

3°) Ajout des commutateurs

4°) Sans migration dynamique gérée directement par le cluster

5°) Ajout du rôle « Clustering avec basculement »

1

2



3

4

5



b. Serveur cible Iscsi sur l’IPSAN

1°) Ajout du rôle serveur de fichier et les options « Serveur cible ISCSI»

2°) et 3°) Création d’un pool de stockage

4°) Vue des nœuds disponible

5°) Mode de contrôle des disques du pool

6°) Création d’un disque virtuel qui contiendra les iscsi

7°) et 8°) Disque en miroir utilisant la totalité de l’espace

9°) Le disque virtuel créé

10°) et 11°) Création du volume Iscsi

12°) et 13°) Création d’un disque virtuel Iscsi sur l’emplacement créé ci-dessus

« nommer Quorum et de 8 Go)

14°) Création d’une nouvelle cible Iscsi sur le serveur IPSAN

15°) Inscription des initiateur iscsi

16°) Effectuer la même étape pour un deuxième disque stockage

1

2



3

4

5

7



8

9

8

1

0



1

1

1

2

1

3



1

4

1

5

1

6



c. Initialiser le stockage ISCSI sur les hyper-V

1°) Renseigner l’ipsan dans la partie découverte des options Iscsi

2°) et 3°) connexion sur le serveur cible

4°) Les disques sont remontés et hors connexion

1

2

3



4



d. Cluster de basculement

1°) 2°) et 4°) Valider la configuration du cluster

3°) Valider via l’ad les nœuds du cluster

4°) Création et nommage du cluster

5°) Rapport de validation du cluster

6°) Ajout des disques

7°) Vérifier le nœud actif

8°) Placer les disques en mode maintenance

9°) Formater les disques Quorum + Stockage à partir du nœud actif

10°) En sortant du mode maintenance les disques sont initialisés correctement

11°) Mettre en place le quorul

12°) En mode avancé sélectionnez l’option disques témoins

13°) et 14°) Rattacher au le disque Quorum de 8 Go prévue à cette effet

15°) et 16°) Activer le disque de Stockage en tant que « Volume partager de

cluster »

17°) Ajouter un rôle Broker et réplication

18°) Définir un nom et une adresse IP pour la réplication

19°) Configurer la réplication

20°) Les deux nœuds sont actifs en load balancing comme le confirme le

statut vote actif 1 des deux hyper-v

1

2



3

4

3

5

3



5

3

6

5

3

3

7

5

3

3



8

5

3

3

9

8

5

3

3

5

3

3

1

0

8

5

3

3

5

3

3



1

1

8

5

3

3

5

3

3

1

2

8

5

3

3

5

3

3

1

3

8

5

3

3

5

3

3



1

4

8

5

3

3

5

3

3

1

5

8

5

3

3

5

3

3

1

6

8

5

3

3

5

3

3



1

7

8

5

3

3

5

3

3

1

8

8

5

3

3

5

3

3

1

9

8

5

3

3

5

3

3



2

0

8

5

3

3

5

3

3

2

1

8

5

3

3

5

3

3



e. Configuration de l’hyper-V

Prendre la main ou en tse sur le cluster principal

1°) et 2°) Modifier l’emplacement de destination des fichiers sur le « Volume

partagé de cluster » remonter ici dans C:\ClusterStorage

3°) créer les machines virtuels

4°) Ajouter le rôle « Ordinateur »

5°) 6°) et 7°) Sélectionner les machines virtuelles à placer dans le cluster

8°) Tester l’interruption de service et la migration à chaud est instantanés des

Machines virtuelles

1

8

5

3

3

5

3

3

2

8

5

3

3

5

3

3



3

8

5

3

3

5

3

3

4

8

5

3

3

5

3

3

5

8

5

3

3

5

3

3



8

8

5

3

3

5

3

3

7

8

5

3

3

5

3

3

6

8

5

3

3

5

3

3



2. Les Shadows Copy Microsoft

Les shadows copy sont des clichés que l’on met en place sur les serveurs de fichiers

pour pouvoir restaurer rapidement des dossiers ou des documents supprimer ou

déplacer par inadvertance. Ces sauvegardes sont gérer directement sur le disque

concerné par les shadows copy et qui plus est-elle ne prenne qu’un certain

pourcentage du disque maximum. Nous ne perdons pas d’espace nécessaire.

1°) Ce système est très simple à mettre en place. Il suffit de se rendre sur le

disque concerner est d’activer les clichés instantanée.

2°) Les quotas seront définie au préalable ici nous appliquons une limite de 20%

du disque

3°) 3 sauvegardes par jours du lundi au samedi

o 7H00

o 12H00

o 18H00

4°) Les clichés mise en place, la restauration est disponible directement sur le

dossier cible

1

2



3

4



3. Les audits du système de fichiers

Les audits des serveurs de fichiers sont détaillés dans la section …..

1°) Nous mettons en place les audits via une stratégie de groupe sur l’OU

« Serveurs Fichiers »

2°) Définir les paramètres de la stratégie ici :

o Auditer l’accès au service d’annuaire : tous les éléments du service

d’annuaire

o Auditer l’accès objets : Tous les objets non Active Directory

o Auditer les événements de connexion : Ouverture et fermeture de session

3°) et 4°) Pour le système de fichiers sur le dossier cible, mettre en place les

Audits au niveau des droits de sécurités NTFS

5°) Vérifier dans les journaux d’événements sur la partie sécurité les logs qui

remontent

1

2



3

4

5



C. Veeam Backup & Réplication

Veeam est le produit utilisé pour le service de sauvegarde. Sa réputation vient du

support de la virtualisation. Veeam backup supporter parfaitement les plateformes

Hyper-V, VmWare et à développer son produit en conséquence. En résultat des

fonctionnalités avantageuses vis-à-vis de la concurrence.

Prise en charge native complète d’Hyper-V

Temps de sauvegardes diviser par 2

Support du protocole Iscsi

Restauration granulaire sur une sauvegarde globale

Restauration de Virtual Machine complète

Restauration au VHD

Gestion du stockage par des repository

Sauvegarde sur disques

Sauvegarde sur bande

1. Création des ressources de stockages

Pour intégrer plusieurs types de stockage la méthode est similaire. Nous prenons en

compte :

NAS QNAP connecter comme éléments SMB3 en mode cluster

1

2



3

4

5



2. Import de la bandothèque

Pour gérer le lecteur de bande nous avons recours à un lien ISCSI. L’Hyperviseur sera

la cible ISCSI tandis que le serveur de backup initiera la connexion

1°) Installer le lecteur de bande sur l’hyperviseur

2°) Installer SolarWind pour gérer les Target ISCSI

3°) Créer les devices dans solarwinds

4°) Créer les Target

5°) Initialiser la connexion vers les Target sur le serveur de backup

6°) Importer la bandothèque dans Veeam Backup

7°) Vérifier la reconnaissance de la bandothèque en cataloguant les bandes

1

2



3

4

5



3. Déclaration des Hyperviseurs

Ils y a plusieurs possibilités pour sauvegarder dans Veeam Backup. Nous pourrions

choisir de sauvegarder indépendamment chaque VM, ceci il sera plus rapide pour les

sauvegardes sauvegarder directement les hyperviseurs le travail de restauration étant

identiques. Néanmoins s’il s’avère nécessaire de sauvegarder un serveur en particuliers

nous suivrons cette méthode pour mettre en place la sauvegarde.

6



1

2

3



Pour terminer le paramétrage de Veeam backup il suffit de créer les jobs en fonctions

des tableaux de sauvegarder étudier dans l’annexe….



D. Les procédures de la Supervision

1. Centreon

a. Création d’un Host sous Centreon

Host Name Nom de l’hôte

Alias Description de l’hôte

IP Adresse / DNS Adresse IP de l’hôte ou par le nom de

NETBIOS

SNMP Communauté et version SNMP

Host Template Dépend du Template prédéfinie

Create Services linked… Attacher automatiquement les services

qui dépendent de l’hôte créer

Check Period

Période pendant laquelle l’hôte et

contrôle. Via les downtime ont peu

définir des périodes ou l’équipement est

hors utilisation ou service

Check Command Service rattaché à l’hôte

Max Check Attempts Nombre de check maximum avant de

passer le service en statut KO



Normal check intervalle Nombre de seconde entre deux check

Retry check interval

Nombre de check maximum avant de

déclarer un équipement comme étant

de nouveau en statut OK

Active Check Check SNMP actif

Passive Check Utiliser pour les trap le service est en

attente de l’information de l’équipement

Notification enabled Activer les notifications pour ces

services

Linked contact Liste des utilisateurs à contacter

Linked Contact Groups Liste des groupes d’utilisateurs à

contacter

Notification interval Intervalle en secondes entre chaque

notification

Notification Options Statut pour lesquels les contacts sont

notifiés

First notification delay Délais d’attente entre chaque

notification

b. Création d’un service sous centreon

Description du service Nom du service

Service template

Définie un template pour le service

souhaiter. Si un template est déjà configurer

les informations ci-dessous ne sont pas

nécessaire le template prenant le pas

Is Volatile Pour les check SNMP le service attend les

requêtes de l’entité supervisée

Check period Période pendant laquelle l’hôte et contrôle.

Via les downtime ont peu définir des



périodes ou l’équipement est hors utilisation

ou service

Check command Choisie le type de commande à executer

Args

Dépend de la commande choisie. Pour

l’illustration ci-dessus le service est gérer

via l’OID de l’onduleur

Max Check Attempts Nombre de check maximum avant de passer

le service en statut KO

Normal check intervalle Nombre de seconde entre deux check

Retry check interval

Nombre de check maximum avant de

déclarer un équipement comme étant de

nouveau en statut OK

Active Check Check SNMP actif

Passive Check Utiliser pour les trap le service est en

attente de l’information de l’équipement

c. Configuration snmp sur un serveur Microsoft

Pour configurer les informations SNMP sur un serveur Microsoft, il faut se rendre dans

les services de l’ordinateur et activer le service « Service SNMP ». Pour avoir toutes

les options, il faut redémarrer le serveur une première fois.

Suite à cette configuration, retourner dans les services pour modifier les paramètres

selon les options de l’entreprise. Les deux onglets à configurer en priorité sont :

Interruption : Qui enverra le un requeté sur Centreon en cas d’erreur

Sécurité : Qui valide la configuration de la communauté en fonction de l’adresse

ip de destination

Les screenshot ci-dessous montrent cette configuration



1

2



3

4



d. Configuration snmp sur une distribution linux

Pour configurer les remonts SNMP sous linux il faut dans un premier installer les

packages. Suivre ensuite la procédure suivante

Décompression :

# cd

# tar xvzf net-snmp-5.0.2.tar.gz

# ln -s net-snmp-5.0.2 net-snmp

Configuration. On choisira d’utiliser par défaut SNMPv2 :

# cd ~/net-snmp

# ./configure

Erreur avec apt-get install pour des dependance. --> vider les caches sources.list

Rm /var/lib/apt/lists/* -vf

Netoyer le sources.list

Apt-get update

Apt-get upgrade

Reinstaller les sources, si make n’est pas trouver

Apt-get install Gcc

Apt-get install Build essential

/usr/bin/ld: cannot find –lperl

collect2: ld returned 1 exit status

make[1]: *** [libnetsnmpagent.la] Erreur 1

make[1]: quittant le rpertoire /home/zabbix3/net-snmp-5.5/agent

make: *** [subdirs] Erreur 1

sudo apt-get install libperl-dev



Compilation et installation

# make

# make install

Edition du PATH sur /usr/local/bin et /usr/local/sbin

PATH=$PATH:/chemin

Copier le fichier example.conf sur /usr/local/share/snmp/

Renseigner la comunauter du fichier

Démarrer le snmpd

Erreur while loading shared libraries : libnetsnmpagent.so.25

Verifier les chemins du fichier

Ldd /usr/local/sbin/snmpd

libnetsnmpagent.so.25 => not found

libnetsnmpmibs.so.25 => not found

export LD_LIBRARY_PATH=/tmp/net-snmp-5.6.2/agent/.libs/

ls -l /tmp/net-snmp-5.6.2/agent/.libs/libnetsnmpagent.so.25

Ldd /usr/local/sbin/snmpd

e. Configuration snmp sur un switch HP

Pour configurer l’envoie de trap SNMP depuis un switch HP, ce connecter avec putty

en SSH ou avec une connexion hyperterminal et rentrer les informations suivantes

SW-CA-01# snmp-server contact laurent URRRUTIA

SW-CA-01#snmp-server location NSCASUPE001

SW-CA-01#snmp-server location community Newstore_SNMP Unrestricted



f. Configuration Postfix pour les alertes Mail Office 365

Comme nous profitons de la distribution Fan, Postfix est déjà installer

Config du Main.cf (/etc/postfix/main.cf):

#Mydomain : fournisseurde.messagerie

#myorigin = $mydomain

#inet_interfaces = all

#inet_interfaces = localhost

#relayhost = mon serveur de relais "indiquer en ip avec sont port 25"

La configuration de l'aliaise (/etc/aliases) :

#root : Nagios

#Nagios : laurent.urrutia

Après chaque modification du fichier « alaises » redémarrer postfix

#newsaliases

#Postfix reload

#Postfix start

On configure Postfix juste en émission, modifier le ficher en conséquence

# SOFT BOUNCE

#soft_bounce = no

# LOCAL PATHNAME INFORMATION

queue_directory = /var/spool/postfix

# The command_directory parameter specifies the location of all

# postXXX commands.

command_directory = /usr/sbin

# The daemon_directory parameter specifies the location of all Postfix

daemon_directory = /usr/libexec/postfix

# QUEUE AND PROCESS OWNERSHIP

mail_owner = postfix

#default_privs = nobody

# INTERNET HOST AND DOMAIN NAMES



#myhostname = host.domain.tld

#myhostname = virtual.domain.tld

mydomain = newstore.fr

# SENDING MAIL

#myorigin = $myhostname

myorigin = $mydomain

# DEBUGGING CONTROL

# The debug_peer_level parameter specifies the increment in verbose

# logging level when an SMTP client or server host name or address

# matches a pattern in the debug_peer_list parameter.

debug_peer_level = 2

# The debugger_command specifies the external command that is executed

# when a Postfix daemon program is run with the -D option.

# Use "command .. & sleep 5" so that the debugger can attach before

# the process marches on. If you use an X-based debugger, be sure to

# set up your XAUTHORITY environment variable before starting Postfix.

debugger_command =

PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin

xxgdb $daemon_directory/$process_name $process_id & sleep 5

# INSTALL-TIME CONFIGURATION INFORMATION

# The following parameters are used when installing a new Postfix version.

# sendmail_path: The full pathname of the Postfix sendmail command.

# This is the Sendmail-compatible mail posting interface.

sendmail_path = /usr/sbin/sendmail.postfix

# newaliases_path: The full pathname of the Postfix newaliases command.

# This is the Sendmail-compatible command to build alias databases.

newaliases_path = /usr/bin/newaliases.postfix

# mailq_path: The full pathname of the Postfix mailq command. This

# is the Sendmail-compatible mail queue listing command.

mailq_path = /usr/bin/mailq.postfix

# setgid_group: The group for mail submission and queue management

# commands. This must be a group name with a numerical group ID that

# is not shared with other accounts, not even with the Postfix account.

setgid_group = postdrop

# html_directory: The location of the Postfix HTML documentation.



html_directory = no

# manpage_directory: The location of the Postfix on-line manual pages.

manpage_directory = /usr/share/man

# sample_directory: The location of the Postfix sample configuration files.

# This parameter is obsolete as of Postfix 2.1.

sample_directory = /usr/share/doc/postfix-2.3.3/samples

# readme_directory: The location of the Postfix README files.

readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES

Tester l'envoie d'un mail

#Echo "test" | mail -s "mail de teste" [email protected]

Pour debugger le schéma d'envoi de mail regarder les logs sous (/var/log/maillog)

L'étape d'envoi:

Postfix prépare le mail avec une adresse type localhost.localdomain

Une erreur est générée type : "domaine not found"

Postfix réécrit l'en-tête avec le nom de domaine du fournisseur

Postfix envoie le mail au destinataire.

Une fois cette étape effectuée, configurer Centreons.

1--> Pour la partie Configuration -> Contacts/Users

Activer les notifications pour les utilisateurs concernés:

Partie Notification : Enable Notifications -> Yes

Paramétré ensuite à convenance vos degré de notification, pour ma part ca

donne :

Hosts :

Host Notification Options : Down et Recovery

Host Notification Period : 24x7

Host Notification Commands : Séléctionnez

host-notify-by-email et host-notify-by-sendmailhost

Services :

Services Notification Options : Warning, Unknown, Critical

Services Notification Period : 24x7

Services Notification Commands : Séléctionnez notify-by-sendmailservices



2 --> Pour la partie Contacts Groups

Insérer les contacts dans des groupes spécifiques (Ex : informatique). Avec des

escalades d'incidents définissez vos groupes de façons clairs (Ex: Niveau 1, Niveau 2)

Les utilisateurs et les groupes sont définie il reste à mettre en place les notifications

sur les hosts ou sur les services.

3--> Configuration --> Services --> Template :

Plutôt que de définir une notification pour chaque service, on configure

directement unTemplate.

Template --> Snmp-Linux-Trafic :

Notification Enabled : Yes

Implied contacts : Pour remonter les informations pour un utilisateur

Implied contacts Groups : Pour remonter les informations pour un groupe

spécifique

Notification interval : Délais entre chaque notification 1 = 1 minutes

Notification Période : 24x7

Notification Type : Warning, Critical, Recovery

First notification delay : Délais avant la première notification (2 min pour un

problème de traffic)

Reste ensuite à mettre en place ces remontées pour tous les services ou hosts que

l’on a à gérer.

4--> Pour la partie Configuration / Notifications :

L'intérêt de cette partie est de pouvoir gérer des escalades d'incidents. On définit des

importances de criticités selon que ce soit des services, ou des host qui sont touché

par l'impact. On déclare ensuite le ou les incidents au Niveau 1, si une alarme se

déclenche, l'information est notifiées, si au terme de 5 alarmes le problème persiste

on escalade au niveau 2. Pour ce faire ajouter une notification sur les hosts, les

services ou les groupes. On joue ensuite sur les étapes de déclaration :

First notification = Nombre d'alarme avant le premier déclenchement de

l'escalade.



Last Notification = Nombre d'alarme avant de passer l'incident à niveau

supérieure.

Notification interval = Temps d'attente entre chaque notification

5--> Après avoir configuré complétement les notifications il reste à exporter la

configuration (Configuration --> Nagios) :

Generate Configuration Files

Run Nagios debug

Export

Move export Files

Restart Nagios

Export

6 --> Problème rencontré :

Configuration --> Commands --> Notifications-->Hosts-notify-by-emails:

/usr/bin/printf "%b" "***** Centreon Notification *****\n\nType:$NOTIFICATIONTYPE$\nHost:

$HOSTNAME$\nState: $HOSTSTATE$\nAddress: $HOSTADDRESS$\nInfo:

$HOSTOUTPUT$\nDate/Time: $DATE$" | /bin/mail -s "Host $HOSTSTATE$ alert for $HOSTNAME$!"

$CONTACTEMAIL$

Pour tester la commande sous linux enlever le "!" au dernier "HOSTNAME"



2. RANCID

Installation de rancid sur une CentOs 6.5

Les termes spécifiques de RANCID

OS = Centos 6.5

Rancid = Really Awesome New Cisco config Differ

SVN : Subversion pour gérer les dépots centralisé

ViewVC = Front end to CVS (http://www.viewvc.org/ )

Apache = Pour le web

MySQL = Pour la base de données

Pygments = Syntaque génériquee utilisé généralement sur le web s’appuyant sur

Python

a. Configuration de Rancid

Après installation du CentOS, effectuer un yum-update, installer les dépendances

nécessaires

yum -y install expect cvs python httpd mysql mysql-server gcc make autoconf gccc++ kernel-devel

mod_python

yum groupinstall “Development Tools” MySQL-python diffutils

yum install php-common php-gd php-mcrypt php-pear php-pecl-memcache phpmhash php-

mysql php-xml

yum upgrade

Pour sécuriser l’application on créée un groupe « Netadm » est un utilisateur attaché

à ce groupe « Networking backup »

groupadd netadm

useradd -g netadm -c "Networking Backups" -d /usr/local/rancid rancid

On crée un répertoire /usr/local/rancid et on installe ensuite RANCID

mkdir /usr/local/rancid/tar

cd /usr/local/rancid/tar

• wget ftp://ftp.shrubbery.net/pub/rancid/rancid-2.3.3.tar.gz

• tar -xvzf rancid-2.3.3.tar.gz

• cd rancid-2.3.3

/configure --prefix=/usr/local/rancid/

http://www.viewvc.org/

ftp://ftp.shrubbery.net/pub/rancid/rancid-2.3.3.tar.gz



• make install

• cp cloginrc.sample /usr/local/rancid/.cloginrc

• chmod 0640 /usr/local/rancid/.cloginrc

• chown -R rancid:netadm /usr/local/rancid/

• chmod 770 /usr/local/rancid/

On applique les droits sur ce répertoire

chmod 0640 /usr/local/rancid/.cloginrc

chown -R rancid:netadm /usr/local/rancid/

chmod 770 /usr/local/rancid/

Nous pouvons ensuite créer une liste « Networking » sur le fichier rancid.conf qui

nous permettra de grouper nos switchs

# vi /usr/local/rancid/etc/rancid.conf

// Ajouter la ligne suivante :

LIST_OF_GROUPS=”networking“

Dans le fichier /etc/aliases, nous créeons une redirection de mail vers notre domaine

#vi /etc/aliases

# Rancid email addresses

rancid-admin-networking: rancid-networking

rancid-networking: networking

networking : [email protected]

:w

:q

#newaliases

Par défaut RANCID s’appuie pour CSV pour gérer les dépôts, nous modifions le fichier

rancid.conf pour le gérer via SVN plus pratique d’utilisation

#cd /usr/local/rancid

#vi etc/rancid.conf

RCSSYS=svn ; export RCSSYS




CVSROOT=$BASEDIR/SVN ; export CVSROOT

On génère ensuite le répertoire de dépôt via le binaire rancid-cvs

#su – rancid

$ ./bin/rancid-cvs

On intègre les switchs supervisés dans le groupe Networking dans la database

router.db

# vi var/cvs/networking/router.dbd

10.10.2.1 :HP :up

:w

:q

#Svn update

Afin d’établir la connexion avec les switchs, il faut indiquer dans le fichier .clogin.rc

les méthodes de connexion sur les switchs. RANCID ira chercher par la suite

automatiquement les informations via u cron

#vi .clogin.rc

Add password 10.10.2.1 password ‘’remplacer l’ip par un * si les switch on le même mot de passe

Add method 10.10.2.1 ssh ‘’telnet interdit selon la politique de sécurité

Add autoenable 10.10.2.1 autoenable ‘’Configuration automatique

Vérifier la configuration avant d’attaquer la partie web par la commande

#su-rancid

$ bin/rancid-run

Afficher les logs pour vérifier que la config est sauvegardée

#tail –50 var/logs/networking.******.******

Utilisation du cron pour automatiser les sauvegardes

0 20 * * 1-5 /usr/local/rancid/bin/rancid-run #sauvegarde journalières



0 20 * * 0 /usr/local/rancid/bin/rancid-run #backup hebdomadaire écarter

b. Configuration de la partie WEB

Installation de Web-SVN pour mettre en place l’interface web

# cd /root

# wget http://websvn.tigris.org/files/documents/1380/49057/websvn-2.3.3.zip

# tar xvf websvn-2.3.1.tar.gz

# mkdir /usr/local/websvn

# cp –R ~/websvn-2.3.1/* /usr/local/websvn/

# chown apache:apache /usr/local/websvn

Ajout de la racine CVS sur apache

# vi /etc/httpd/conf.d/websvn.conf

Alias /websvn /usr/local/websvn

<Directory /var/www/cvs>

Allow from all

</Directory>

Copie de sauvegarde de la configuration php puis édition afin de rajouter le dépôt

# cp /usr/local/websvn/include/distconfig.php /usr/local/websvn/include/config.php

# vi /usr/local/websvn/include/config.php

$config->addRepository(‘Switches’, ‘file:///usr/local/rancid/var/CVS/’);

Rajouter ensuite un utilisateur apache pour l’interface WebSVN

usermod -a -G netadm apache

http://websvn.tigris.org/files/documents/1380/49057/websvn-2.3.3.zip



3. OwnCloud

Owncloud est un service de cloud personnel. Il nous est utilisé pour la relation

fournisseurs. Il est assez fréquent que le service Marketing par exemple soit confronté

à la mise à disposition de fichiers dépassent les 25 Mo par mail. Pour ce faire en

lieu et place d’un serveur FTP généralement non sécurisé, nous avons recours à

Ownlcoud. Les utilisateurs de l’entreprise (Politique à définir) peuvent uploader sur le

serveur des fichiers lourds, pour ensuite générer un lien unique rendant accessible de

fichier à l’extérieur. Le prestataire n’accédera qu’au fichier il lui sera impossible de

rebondir sur l’interface, de fait nous éliminons tous risque d’attaque.

Après installation d'un CentOS 6.5

Prérequis d'installation

apt-get install apache2 php5 php5-gd php-xml-parser php5-intl

apt-get install php5-sqlite php5-mysql smbclient curl libcurl3 php5-curl

Mise à jour de la sources.list

echo 'deb http://download.opensuse.org/repositories/isv:ownCloud:community/Debian_6.0/ /' >>

/etc/apt/sources.list.d/owncloud.list

apt-get update

apt-get install owncloud

Si une erreur de clé publique apparait type

GPG error: http://download.opensuse.org/ testing Release:

The following signatures couldn't be verified because the public key is not available: NO_PUBKEY

N°deClé

Passer soit :

wget http://download.opensuse.org/repositories/isv:ownCloud:community/Debian_6.0/Release.key

apt-key add - < Release.key

Soit :

gpg --keyserver pgpkeys.mit.edu --recv-key N°deClé gpg -a --export N°deClé | sudo apt-key add

-

http://download.opensuse.org/repositories/isv:ownCloud:community/Debian_6.0/

http://download.opensuse.org/

http://download.opensuse.org/repositories/isv:ownCloud:community/Debian_6.0/Release.key



Récupérer l'archive du client

Décompresser l'archive qui, pour ma part, est placée dans /tmp

#Cd /tmp

#Tar xvzf noip-duc-linux.tar.gz



#cd noip-duc-linux.tar.gz

#make install

Répondre aux trois questions ci-dessus

Suite à ça on configure un nouveau client :

#/usr/local/bin/noip2 -C

chmod 600 /usr/local/etc/no-ip2.conf

chown root:root /usr/local/etc/no-ip2.conf



Le script ci-dessous sur /etc/init.d/noip

#! /bin/sh

#. /etc/rc.d/init.d/functions # uncomment/modify for your killproc

case "$1" in

start)

echo "Starting noip2."

/usr/bin/noip2

stop)

echo -n "Shutting down noip2."

#killproc -TERM /usr/bin/noip2

killall noip2

;;

*)

echo "Usage: $0 {start|stop}"

exit 1

esac

exit 0

Chmod 0755 /etc/init.d/noip

Rediriger les flux entrants sur le port 80 vers l'adresse ip du serveur

Annexes partie VI Stratégie de Déploiement



A. Charte informatique de Newstore

Avant-propos

Ce document a pour vocation de rappeler et préciser le cadre de l’utilisation de

l’informatique dans l’entreprise de Newstore en référence aux textes en vigueur

notamment la Loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier

1978 et celle, rectificative, du 6 août 2004, qui transpose dans le droit français les

dispositions de la directive européenne 95/46/CE, complétée par décrets pris le 20

octobre 2005 et le 25 mars 2007.

Cette charte doit être remise avec le contrat de travail au moment de l’accueil de

tout nouveau salarié ou avant le premier accès au système d’information de l’entreprise

pour les personnes bénéficiant d’un accès temporaire. Le Responsable de la Sécurité

du Système d’Information, le directeur financier de Newstore, est garant de l’aspect

systématique de cette remise d’information. Il doit aussi d’assurer de la preuve de

cette remise.

Définitions

On désignera sous le terme ressources informatiques : les réseaux, les moyens

informatiques mis à disposition (outils matériels – ordinateurs, supports de données

divers…, ou immatériels – logiciels, applications, bases de données…).

On désignera par services internet la mise à disposition par des serveurs locaux ou

distants de moyens d’échanges ou informations diverses : web, messagerie, forum,

téléphonie IP, visioconférence…

On désignera sous le terme utilisateur la personne ayant un accès ou utilisant les

ressources informatiques quel que soit son statut.

Nota Bene : Toute utilisation de ressources informatiques privées (BYOD…) est interdite sans

demande d’autorisation préalable auprès du RSSI.



Article 1 : informations d’ordre général concernant l’accès à l’information, aux

ressources informatiques et services internet.

Toute utilisation, même temporaire, limitée ou partielle, du Système d’Information de

Newstore est soumise à authentification. Ainsi, chaque membre de l’entreprise, chaque

prestataire, intérimaire ou client ayant un accès doit être authentifié et ses traces

d’actions et de navigation conservées pendant six mois.

Chaque salarié de Newstore se voit attribuer un accès aux ressources de l’entreprise

(espace de stockage, logiciels…), et ce, selon les profils d’emploi, un compte de

messagerie. Tout utilisateur est responsable de l’usage qu’il fait de ces ressources et

celui-ci doit être rationnel afin d’en éviter la saturation et le détournement.

L’accès au SI, notamment à la messagerie électronique, est dédié strictement à un

usage professionnel et, si l’usage privé est toléré, il s’entend à titre exceptionnel.

Même dans ce cas, les accès au SI et, à travers lui, à Internet font l’objet d’une

journalisation et se limitent à des consultations de sites d’ordre pratique. Sont

strictement prohibées la diffusion d’information et la consultation de sites internet

contraires aux lois et règlements en vigueur et notamment celles qui sont de nature

à porter atteinte aux bonnes mœurs, à la dignité, à l’honneur, ou à la vie privée des

personnes.

Article 2 : règles de sécurité

Tout utilisateur est soumis aux recommandations de sécurité du RSSI ; il doit

notamment se conformer aux dispositifs mis en place pour lutter contre les virus et

les attaques externes. Il ne doit pas quitter son poste de travail ou ceux en espace

partagé en laissant des ressources ou des services accessibles.

Une attention particulière doit être apportée lors de l’usage d’appareils nomades, plus

vulnérables encore.

Article 3 : Règles d’utilisation



Toute information est professionnelle à l’exclusion des données explicitement désignées

par l’utilisateur comme relevant de sa vie privée. Ainsi, il appartient à l’utilisateur de

procéder au stockage éventuel de ses données à caractère privé dans les répertoires

explicitement prévus à cet effet et intitulés « privé ».

Il doit suivre les règles en vigueur au sein de Newstore pour toute installation de

logiciel et ne pas télécharger ou utiliser des logiciels autres que ceux fournis par la

DSI. Ces logiciels doivent être utilisés dans le cadre des licences souscrites.

Il doit veiller à la protection des différents moyens d’authentification personnels. Il doit

choisir des mots de passe sûrs, les garder secrets et en aucun cas les communiquer

à des tiers. Si, dans des circonstances exceptionnelles, il divulgue ce mot de passe,

il s’agit pour l’utilisateur de le renouveler ensuite dans les meilleurs délais. Si

l’utilisateur dispose d’une signature électronique ou d’un certificat électronique, il est

rappelé que ceux-ci sont strictement personnels et l’utilisateur s’engage à n’autoriser

personne à en faire usage à sa place.

Sentinelle essentielle au système d’information, tout utilisateur doit signaler toute

tentative de violation de son compte et de façon générale toute anomalie constatée

ou supposée.

Il s’engage enfin à ne pas mettre à disposition de tiers non autorisé un accès aux

ressources informatique et aux services Internet, à travers des matériels dont il a

l’usage. Il ne doit pas utiliser ou tenter d’utiliser des comptes autres que le sein ou

masquer son identité. Il ne doit pas accéder aux informations autres qui lui sont

propres et en particulier ceux qui sont publics et partagés. Il ne doit pas tenter de le

lire, les modifier, copier ou détruire même si l’accès est techniquement possible.

Article 4 : préservation de l’intégrité des ressources informatiques

L’utilisateur s’engage à ne pas apporter volontairement des perturbations au bon

fonctionnement des ressources informatiques et des réseaux que ce soit par des

manipulations non-appropriées du matériel ou par l’introduction de logiciels parasites

(virus, chevaux de trois, bombes logiques…). Si les membres de la DSI se doivent de



le faire dans le cadre de leur travail dans un but de recherche ou de test, ils doivent

en informer leur supérieur hiérarchique qui en réfèrera si nécessaire au RSSI.

Article 5 : Usage des services Internet (web, messagerie,…)

Internet : Internet est un outil de travail ouvert à de strictes utilisations

professionnelles à utiliser dans le cadre de la législation en vigueur. En

particulier, tout utilisateur se doit :

o De ne pas se livrer sciemment à des opérations susceptibles de nuire

au Système d’information,

o De ne pas usurper l’identité d’un autre utilisateur et ne pas interception

toute forme de communication destinée à un autre,

o Ne pas divulguer toute information professionnelle considérée a priori

comme confidentielle,

o Doit respecter dans sa pratique de navigation les lois en vigueur

notamment concernant les publications à caractère injurieux, raciste,

pornographique et diffamatoires.

Messagerie électrique : la messagerie électronique est un outil de travail ouvert

aux usages professionnels.

o Tout message est réputé professionnel par défaut sauf si son objet par

exemple stipule clairement le contraire.

Article 6 : Analyse, contrôle et traçabilité de l’utilisation des ressources

Pour des raisons de traçabilité, de maintenance ou de gestion technique, de sécurité,

d’optimisation ou de détection d’intrusion, l’utilisation des ressources et des services

d’internet ainsi que les échanges sur le réseau peuvent être surveillé dans le respect

de la législation applicable.

Article 7 : traçabilité

Newstore est dans l’obligation légale de procéder à la mise en place d’un outil de

journalisation des accès à Internet ainsi qu’aux outils collaboratifs.

La CNIL a été informée de ce fait, du délai de la rétention des traces, qui mentionnent

notamment la durée de connexion et de la durée de connexion.



B. Fiche de rapport d’intervention

RAPPORT D’INTERVENTION

N° DE FICHE :

LIEU (HYPER/CENTRALE) :

ADRESSE :

TEL :

OBJET :

MATERIEL :

GARANTIE : OUI NON

NATURE DU CONTRAT :

DIAGNOSTICS/OBSERVATIONS :

TRAVAUX REALISES/PIECES FOURNIES :

DATE D’INTERVENTION :

HEURE D’INTERVENTION :

DUREE D’INTERVENTION :

DEPLACEMENT (KM) :

REMARQUE :

NOM et Prénom du TECHNICIEN :

SIGNATURE DU TECHNICIEN :

NOM DU SIGNATAIRE :

CACHET ET SIGNATURE CLIENT :

Lynx System Projet NewStart



C. Fiche de test caissier

EXTRAIT DU CAHIER DE TEST DE DEPOIEMENT DE NEWSTART

FICHE DE TEST CAISSIER

Depuis le début de l’étude, le secteur de caisse est le point critique du projet. Il doit

donc être évalué souvent et selon un protocole élaboré et faire l’objet d’un suivi très

régulier.

Le test

Chaque jour, 5 caissiers, dont le chef de projet utilisateur, font un encaissement fictif

sur un panier de 30 articles prédéterminés et représentatifs du panier du client.

Un pop-up s’ouvre au moment de la signature du caissier sur son outil de travail et

il effectue son test. Le test s’arrête jusqu’avant l’encaissement (car le test

d’encaissement est du domaine du prestataire).

Il y a deux indicateurs chiffrés :

Le temps d’interrogation de la base client,

Le temps d’enregistrement de la vente.

Et des indicateurs de ressenti et d’ergonomie par rapport du caissier :

Questionnaire qualité évolutif (avez-vous l’impression que l’interrogation de la

base est fluide, plus rapide, moins rapide, avez-vous rencontré une difficulté,

Question ouverte : avez-vous remarqué quelque chose d’inhabituel dans votre

usage de du SI ?

L’organisation du test

Le test est quotidien, effectué par 5 personnes différentes :

Le chef de projet utilisateur,

Un caissier de l’hypermarché pilote en région parisienne,

Un caissier d’un hypermarché raccordé par satellite,

Un caissier au Portugal,

Un caissier d’un hypermarché raccordé en ADSL



L’utilisation du test

Chacun de ces résultats sont consignés chaque jour dans un ticket GLPI, ce qui

permet d’avoir des tableaux de bord en temps réel depuis le depuis le début du

projet et ce, à toutes les étapes du déploiement et aidera :

Au niveau du support de début de vie de la solution,

Au niveau du support nominal de la solution en septembre 2015

Annexes partie VII Gestion budgétaire



A. Tarifs équipements Centrale d’achat

Marque Model Fournisseur Quantité Prix HT U Prix TTC U Remise Prix Après remise Prix TTC Global

Eaton Eaton 9P 5000i RT3U http://www.mononduleur.fr/ 6 2 164,72 € 2 597,66 € 190% 4 935,56 € 29 613,37 €

Helvet Parckard Câble fibre optique multimode OM2 50/125 LC/LC (5 mètres) Orangehttp://www.ldlc-pro.com/ 4 24,91 € 29,89 € 90% 26,90 € 107,61 €




Helvet Parckard Cordon RJ45 catégorie 6a FTP 2 m (Vert)http://www.ldlc-pro.com/ 20 9,91 € 11,89 € 90% 10,70 € 214,06 €

Helvet Parckard Cordon RJ45 catégorie 6 SFTP 5 m (Bleue)http://www.ldlc-pro.com/ 20 8,25 € 9,90 € 90% 8,91 € 178,20 €


Helvet Parckard HP A5500-24G + 4 SFP + 2 SFP+ PoE (JG541A)http://www.senetic.fr/ 2 3 356,39 € 4 027,67 € 90% 3 624,90 € 7 249,80 €

Helvet Parckard HP A5500 24 G EI (JD377A) http://www.senetic.fr/ 4 2 147,40 € 2 576,88 € 90% 2 319,19 € 9 276,77 €

Helvet Parckard HP 3600 48 PoE SI (JG307A) http://www.senetic.fr/ 2 1 774,41 € 2 129,29 € 90% 1 916,36 € 3 832,73 €

Helvet Parckard HP E5500 24G SFP POE (JG543A)http://www.senetic.fr/ 2 5 503,42 € 6 604,10 € 90% 5 943,69 € 11 887,39 €

HP X132 10G SFP+ LC SR Transceiver (J9150A)http://www.senetic.fr/ 10 320 € 384,00 € 90% 345,60 € 3 456,00 €HP X120 1G SFP LC SX

(JD118B) http://www.senetic.fr/ 48 189,00 € 226,80 € 90% 204,12 € 9 797,76 €

Helvet Parckard Blade Center chassis C7000 (507015-B21)http://www.senetic.fr/ 2 9 350,00 € 11 220,00 € 0,00 € 22 440,00 €

HP Proliant BL465 Gen 8 2P 12 Core 64 GB (634969-B21)http://www.senetic.fr/ 16 2 478,01 € 2 973,61 € 75% 2 230,21 € 71 366,69 €

HP 146GB 6G SAS 15K rpm SFF (652605-B21)http://www.senetic.fr/ 32 151,80 € 182,16 € 75% 136,62 € 8 743,68 €

HP 6125G/XG Ethernet Blade Switch (403626-B21)http://www.senetic.fr/ 2 4 080,00 € 4 896,00 € 0,00 € 19 584,00 €

HP BLc7000 DDR2 Encl Mgmt Option (456204-B21)http://www.senetic.fr/ 1 680,00 € 816,00 € 0,00 € 1 632,00 €

HP BLc Cisco B22HP Fabric Ext Module (641146-b21)http://www.senetic.fr/ 2 7 437,50 € 8 925,00 € 0,00 € 35 700,00 €

Helvet Parckard HP MSL4048 1 LTO-5 3280 FC Tape Lbry (BL532B )http://www.senetic.fr/ 1 7 437,50 € 8 925,00 € 0,00 € 8 925,00 €

CiscoCisco 2951 SRE 900 PVDM3-

32 UC and SEC License PAK http://www.senetic.fr/ 2 4 947,87 € 5 937,44 € 90% 5 343,70 € 10 687,40 €

Four-Port Voice Interface Card (VIC3-4FXS)http://www.senetic.fr/ 4 354,14 € 424,97 € 0,00 € 3 399,74 €

1-Port 3rd Gen Multiflex Trunk V/W (VWIC3 - 1MFT)http://www.senetic.fr/ 4 398,33 € 478,00 € 0,00 € 3 823,97 €

IP Communications High-Density (NM HDV2)http://www.senetic.fr/ 4 552 € 662,32 € 0,00 € 5 298,53 €

Cyberoam CR500 IA http://www.firewallshop.com/ 2 4 841,08 € 5 809,30 € 75% 4 356,97 € 8 713,94 €

Qnap TS-EC1679U-SAS-RP http://www.nasexpert.fr 2 9 735 € 11 681,94 € 75% 8 761,46 € 17 522,91 €

Disque SAS Seagate Nearline ST6000NM004 6TB 6Gbit/s 7,2RPM 22 480,46 € 576,55 € 75% 432,41 € 9 513,11 €

Disque SSD OCZ-Vertex4 512 GB SATA III 10 564,10 € 676,92 € 75% 507,69 € 5 076,90 €

Total 260 309 008,58 €



B. Tarifs équipements Plateforme de stockage

Marque Model Fournisseur Quantité Prix HT U Prix TTC U Remise Prix Après remise Prix TTC Global

Eaton Eaton 9P 5000i RT3U http://www.mononduleur.fr/ 6 2 164,72 € 2 597,66 € 90% 2 337,90 € 14 027,39 €





Helvet Parckard Cordon RJ45 catégorie 6a FTP 2 m (Vert)http://www.ldlc-pro.com/ 20 9,91 € 11,89 € 90% 10,70 € 214,06 €



Helvet Parckard HP A5500-24G + 4 SFP + 2 SFP+ PoE (JG541A)http://www.senetic.fr/ 2 3 356,39 € 4 027,67 € 90% 3 624,90 € 7 249,80 €

Helvet Parckard HP A5500 24 G EI (JD377A) http://www.senetic.fr/ 4 2 147,40 € 2 576,88 € 90% 2 319,19 € 9 276,77 €

Helvet Parckard HP 3600 48 PoE SI (JG307B) http://www.senetic.fr/ 4 1 774,41 € 2 129,29 € 90% 1 916,36 € 7 665,45 €

Helvet Parckard HP E5500 24G SPF POE (JG543A)http://www.senetic.fr/ 2 5 503,42 € 6 604,10 € 90% 5 943,69 € 11 887,39 €

HP X132 10G SFP+ LC SR Transceiver (J9150A)http://www.senetic.fr/ 8 320 € 384,00 € 90% 345,60 € 2 764,80 €HP X120 1G SFP LC SX

(JD118B) http://www.senetic.fr/ 44 189,00 € 226,80 € 90% 204,12 € 8 981,28 €

Helvet Parckard Blade Center chassis C7000 (507015-B21)http://www.senetic.fr/ 1 9 350,00 € 11 220,00 € 0,00 € 11 220,00 €

HP Proliant BL465 Gen 8 2P 12 Core 64 GB (708931-B21)http://www.senetic.fr/ 16 2 478,01 € 2 973,61 € 75% 2 230,21 € 35 683,34 €

HP 146GB 6G SAS 15K rpm SFF (652605-B21)http://www.senetic.fr/ 32 151,80 € 182,16 € 75% 136,62 € 4 371,84 €

HP 6125G/XG Ethernet Blade Switch (403626-B21)http://www.senetic.fr/ 1 4 080,00 € 4 896,00 € 0,00 € 4 896,00 €

HP BLc7000 DDR2 Encl Mgmt Option (456204-B21)http://www.senetic.fr/ 1 680,00 € 816,00 € 0,00 € 816,00 €

HP BLc Cisco B22HP Fabric Ext Module (641146-b21)http://www.senetic.fr/ 1 7 437,50 € 8 925,00 € 0,00 € 8 925,00 €

Helvet Parckard HP MSL4048 Storage Works autoloader (AH164A )http://www.senetic.fr/ 1 2 353,50 € 2 824,20 € 0,00 € 2 824,20 €

CiscoCisco 2951 SRE 900 PVDM3-

32 UC and SEC License PAK http://www.senetic.fr/ 2 4 947,87 € 5 937,44 € 90% 5 343,70 €

21 374,80 €

Four-Port Voice Interface Card (VIC3-4FXS)http://www.senetic.fr/ 4 354,14 € 424,97 € 0,00 € 3 399,74 €

1-Port 3rd Gen Multiflex Trunk V/W (VWIC3 - 1MFT)http://www.senetic.fr/ 4 398,33 € 478,00 € 0,00 € 3 823,97 €

IP Communications High-Density (NM HDV2)http://www.senetic.fr/ 4 552 € 662,32 € 0,00 € 5 298,53 €

Cyberoam CR500 IA http://www.firewallshop.com/ 4 4 841,08 € 5 809,30 € 75% 4 356,97 € 17 427,89 €

Qnap TS-EC1679U-SAS-RP http://www.nasexpert.fr 1 9 735 € 11 681,94 € 75% 8 761,46 € 8 761,46 €

Disque SAS Seagate Nearline ST6000NM004 6TB 6Gbit/s 7,2RPM 11 480,46 € 576,55 € 75% 432,41 € 4 756,55 €

Disque SSD OCZ-Vertex4 512 GB SATA III 5 564,10 € 676,92 € 75% 507,69 € 2 538,45 €

Total 294 199 741,24 €



C. Tarifs équipements Hypermarchés

Marque Model Fournisseur QuantitéPrix HT U Prix TTC U Remise Prix Après remise Prix TTC Global

Eaton 5P 850 IR http://www.mononduleur.fr/ 3 325,25 € 390,30 € 70% 273,21 € 819,63 €

Helvet Parckard Câble fibre optique multimode OM2 50/125 LC/LC (3 mètres)http://www.ldlc-pro.com/ 4 20,75 € 24,90 € 70% 17,43 € 69,72 €



Helvet Parckard Cordon RJ45 catégorie 6a FTP 2 m (Vert) http://www.ldlc-pro.com/ 10 9,91 € 11,89 € 70% 8,32 € 83,24 €

Helvet Parckard Cordon RJ45 catégorie 6 SFTP 5 m (Bleue) http://www.ldlc-pro.com/ 20 8,25 € 9,90 € 70% 6,93 € 138,60 €

Helvet Parckard Cordon RJ45 catégorie 6 SFTP 3 m (Bleue) http://www.ldlc-pro.com/ 20 5,81 € 6,97 € 70% 4,88 € 97,61 €

Helvet Parckard Cordon RJ45 catégorie 6 SFTP 2 m (Jaune) http://www.ldlc-pro.com/ 80 4,99 € 5,99 € 70% 4,19 € 335,33 €

Helvet Parckard HP 3600 24 Poe SI (JG306A) http://www.senetic.fr/ 6 1 006,46 € 1 207,75 € 70% 845,43 € 5 072,56 €


Helvet Parckard HP A3100-8 PoE v2 EI Switch (JD318B) http://www.senetic.fr/ 28 302,72 € 363,26 € 70% 254,28 € 7 119,97 €

HP X110 100M SFP LC FX Transceiver (JD102B) http://www.senetic.fr/ 24 127,80 € 153,36 € 70% 107,35 € 2 576,45 €


Helvet Parckard HP DL320eGen8v2 16Go (722547-421) http://www.senetic.fr/ 1 1 199,81 € 1 439,77 € 70% 1 007,84 € 1 007,84 €

CiscoCisco 2901 SRE 300 PVDM3-16 UC and SEC License PAK

bundle (C2901-VSEC-SRE/K9)http://www.senetic.fr/ 2 1 728,43 € 2 074,12 €

70% 1 451,88 € 2 903,76 €

Four-Port Voice Interface Card (VIC3-4FXS) http://www.senetic.fr/ 2 354,14 € 424,97 € 70% 297,48 € 594,96 €

1-Port 3rd Gen Multiflex Trunk V/W (VWIC3 - 1MFT) http://www.senetic.fr/ 2 398,33 € 478,00 € 70% 334,60 € 669,19 €

IP Communications High-Density (NM HDV2) http://www.senetic.fr/ 2 551,93 € 662,32 € 70% 463,62 € 927,24 €

Cyberoam CR100 ING http://www.firewallshop.com/ 2 1 867,90 € 2 241,48 € 2 241,48 € 4 482,96 €

Total Unitaire 25 324,95 €

Total 44 Hyper sans firewall 1 114 297,80 €

Total Firewall des 6 hypermarchés 26 897,76 €

Total Global Hypermarchés 1 141 195,56 €

Total Equipement CA + PS + Hyp 1 649 945,38 €

Total avec option serveur sur site 29 940,42 €

Total 44 Hyper sans firewall 1 317 378,59 €

Total Firewall des 6 hypermarchés 26 897,76 €

Total Global Hypermarchés 1 344 276,35 €

Total Equipement CA + PS + Hyp 1 853 026,17 €

Annexes supplémentaires les Fiches techniques PDF



A. Les Switchs HP





























B. Les Blade HP

















C. Les Lame Proliant BL465 HP















D. Les Firewall Cyberoam

















E. Le stockage QNAP















F. Windows Server 2012 R2





G. Office 365









H. Sophos









I. Veeam Backup









J. Splunk



Annexe spéciale Cahier des charges fonctionnel











































































Documents

Projet fil rouge celine-foucaud laurent-urrutia