EXAMEN PROFESSIONNEL DE TECHNICIEN DE CLASSE

SUPERIEURE DES SYSTEMES D’INFORMATION ET DE

COMMUNICATION DU MINISTERE DE L’INTERIEUR

- SESSION 2017 -

Epreuve écrite du jeudi 09 février 2017

L’épreuve écrite unique d’admission consiste à partir d’un dossier à caractère technique, en une étude de cas faisant appel à des connaissances relatives à l’environnement et à

la technique des systèmes d’information et de communication et permettant de vérifier

les capacités d’analyse et de synthèse du candidat ainsi que son aptitude à dégager des solutions appropriées.

L’épreuve porte sur l’un des deux thèmes suivants soumis au choix du candidat le jour

de l’épreuve écrite :

- Les réseaux de télécommunications et équipements associés ;- La gestion des systèmes d’information

LES RESEAUX DE TELECOMMUNICATIONS ET EQUIPEMENTS ASSOCIES

Durée 3h00

Le dossier documentaire comporte 25 pages.

IMPORTANT

IL EST RAPPELE AUX CANDIDATS QU’AUCUN SIGNE DISTINCTIF NE DOIT

APPARAITRE NI SUR LA COPIE NI SUR LES INTERCALAIRES.

ECRIRE EN NOIR ET EN BLEU - PAS D’AUTRES COULEURS

SUJET 

Le Plan Préfectures Nouvelle Génération modifie sensiblement l’organisation des préfectures en confirmant notamment leur rôle dans la gestion de crise.

Les centres opérationnels départementaux (COD) constituent un outil à la disposition du Préfet pour gérer une crise. En cas de crise, il s’entoure de tous les acteurs nécessaires, en fonction de la situation : Services de l’Etat, gendarmerie, police nationale, collectivités, opérateurs de réseaux (téléphonie, haut débit, énergie...).

Votre autorité vous demande d’envisager une solution de repli du COD au cas où les locaux et moyens deviendraient inaccessibles (inondation, incendie, …).

Afin de faciliter votre analyse : - L’hôtel de police a été choisi pour être le site de repli du COD.- Un Poste de Commandement Opérationnel (PCO) dont la localisation géographique est précisée

dans le document 13 du dossier.

Dans une note technique qui pourra être appuyée de schémas d’organisation, vous identifierez des solutions qui permettent aux acteurs de pouvoir être opérationnels à leur arrivée sur les lieux du site de repli (un mode dégradé peut être admis).

Votre étude sera menée en 2 temps :

1° Hypothèse 1 : Seul l’accès au bâtiment de la préfecture hébergeant le COD est devenu impossible. Les moyens INPT, téléphonie, réseau (RIE et LAN), et serveurs locaux (messagerie, fichiers et bases de données) sont préservés et restent disponibles.

2° Hypothèse 2 : L’accès au bâtiment de la préfecture hébergeant le COD est impossible. Les moyens INPT (commutateur de gestion et commutateurs secondaires), téléphonie, réseau (RIE et LAN), et serveurs locaux (messagerie, fichiers et bases de données) sont hors service. Leur rétablissement n’est pas envisageable à court terme.

Votre analyse fera apparaître une réflexion sur : - la téléphonie ;- les moyens de radiocommunication INPT en considérant une solution qui tienne compte de la localisation proposée du PCO dans le département (vous pourrez compléter votre analyse en vérifiant que votre proposition peut être indépendante de la localisation du PCO) ;- les réseaux ;- la messagerie ;- les données (fichiers et bases de données) ;- l’accès au portail ORSEC.

Dossier documentaire :

Document 1 RIE Document interne Ministère de l’Intérieur DSIC- 04/012015

Pages 1 et 2

Document 2 ToIP Document interne Ministère de l’Intérieur DSIC - 07/01/2016 http://dsic.minint.fr/index.php/telephonie/telephonie-sur-ip

Pages 2 à 5

Document 3 Offre OBS de continuité d’appel http://www.orange-business.com/fr/produits/continuite-dappels

Pages 6 à 7

Document 4 OPACHE Document interne Ministère de l’Intérieur DSIC – 12/10/2015 http://dsic.minint.fr/index.php/telephonie/telephonie-mobile

Pages 7 et 8

Document 5 Nomadisme Document interne Ministère de l’Intérieur DSIC - 15/01/2016 http://ssi.minint.fr/files/PSSI/Dossier/20160114%20_Nomadise%281%29.pdf

Pages 8 à 10

Document 6 HESPERIS Document interne Ministère de l’Intérieur DSIC – 20/09/2016 http://hesperisng.dsic.minint.fr/

Page 10

Document 7 ICASSO 2 Document interne Ministère de l’Intérieur DSIC - 30/12/2016 http://messagerie.dsic.mi/doku.php?id=icasso2:presentation

Page 11

Document 8

Nomade 2 - Extrait de la charte d’accès à la messagerie ICASSO via internet par nomade 2 Document interne Ministère de l’Intérieur DSIC - 08/07/2013 http://messagerie.dsic.mi/icasso/docs/Charte_nomade2.pdf

Page 11

Document 9 SPAN Ministère de l’Intérieur DSIC – 24/03/2016 - http://span.dsic.minint.fr/index.php

Pages 12 et 13

Document 10

Terminaux légers Ministère de l’Intérieur DSIC http://dsic.minint.fr/index.php/poste-de-travail/terminaux-legers - 27/10/2015 http://postedetravail.dsic.minint.fr/index.php)legers – 05/07/2016

Pages 14 à 17

Document 11

Sauvegarde de données en Datacenter http://www.symantec.com/content/fr/fr/enterprise/fact_sheets/b-datasheet_netbackup_6_5_fr.pdf) (Veeam & DFS : Solutions en production sur sites pilotes en DDSP & Datacenter zonal . Source DZSIC OUEST présentée en séminaire et appliquée) – 01/06/2016

Pages 17 à 20

Document12 ORSEC et SYNERGI https://fr.wikipedia.org/wiki/Dispositif_ORSEC - Janvier 2015 Document interne ministère de l’intérieur « mode d’emploi SYNERGI »

Page 21

Document 13 Synoptique du réseau INPT et éléments de gestion Ministère de l’Intérieur DSIC - INPT – 20/12/2016

Pages 22 et 23

Document 14 Valise de rebouclage (GATEPRO) Ministère de l’Intérieur INPT

Page 23 et 24

Document 15 Relais Indépendant Portable (RIP) Ministère de l’intérieur INPT

Page 24

Document 16 Offres opérateurs Offres pro des opérateurs SFR et Orange

Page 25

Document 1 - RIE

Le RIE constitue un élément essentiel de la transition numérique de l’action publique. Il s’inscrit dans les orientations arrêtées lors du comité interministériel de la modernisation de l’action publique du 18 décembre 2012

Un réseau unifié et sécurisé pour l’État La création du réseau interministériel de l’État (RIE) répond au besoin d’évolution des systèmes d’information et de communication (SIC) de l’État et de mise en place d’une gestion globale de la sécurité face à la montée générale et continue des menaces sur les systèmes d’information.

Un programme d’envergure nationale Le RIE raccordera l’ensemble des sites ministériels, des administrations centrales et déconcentrées, en métropole et dans les DOM-COM.

Une infrastructure performante et pérenne s’appuyant sur un existant robuste Des choix technologiques et un cœur de réseau à haut débit sur fibre optique s’appuyant sur l’infrastructure de RENATER (Réseau national de télécommunications pour la technologie, l’enseignement et la recherche) permettent au RIE de répondre durablement aux besoins métier des agents et de garantir un service de qualité.

Des échanges renforcés et simplifiés Le déploiement du RIE facilite et soutient le développement des échanges interministériels grâce à une interconnexion maîtrisée et renforcée entre les ministères. La communication vers les partenaires sera optimisée tout en garantissant une protection accrue du système d’information de l’État.

Un système sécurisé L’architecture technique du RIE contribue à la sécurisation en profondeur des infrastructures des administrations vis-à-vis de réseaux tiers et notamment d’Internet.

Un opérateur unique Le pilotage et la gestion du RIE sont placés sous la responsabilité du service à compétence nationale (SCN) RIE, qui constituera l’opérateur réseau unique des ministères et leur proposera des services réseau natifs (accès Internet, par exemple).

Des services évolutifs Le RIE, doté d’une architecture réseau souple, offre aux administrations et aux partenaires plusieurs options de raccordement adaptées à leurs besoins. Intégrant l’ensemble des services existants, ce réseau interministériel constitue un vecteur de développement fort des offres de services ministérielles et interministérielles

Le RIE prévoit un certain nombre de cloisonnements au travers de réseaux privés virtuels (VPN). Il est très important pour le Ministère de l’Intérieur en termes de flux métiers et de fonctionnement des réseaux et des applications de déterminer ces VPN et leurs modes d’interconnexion.

Une architecture autour de 4 VPN a été retenue : - VPN ATE-PR : Préfectures, Sous-Préfectures, SGAR, DDI- VPN INT – SC : Sites DGPN, PP, DGSCGC, Administration centrale, agences (ANTAI,

ANTS…) - VPN INT-TR : dédié à l’INPT- VPN INT- DC : Datacenters nationaux et zonaux, Administrateurs DSIC et SGAMI, centres

de supervision…

1

Document 2 – Offre ToIP

Pour faire face à l’obsolescence des technologies de téléphonie dites “classiques” RTC, la Direction des Systèmes d’Information et de Communication (DSIC) du Ministère de l’Intérieur travaille depuis plusieurs années au déploiement de la ToIP et de la VoIP avec la participation active des services zonaux et locaux.

L’avènement des technologies IP et des solutions de téléphonie reposant sur ce protocole est une étape nécessaire à franchir pour les différents ministères pour répondre à un ensemble de demandes et de critères suivants :

• Harmonisation des infrastructures téléphoniques• Concentration des équipements de téléphonie sur les sites départementaux/zonaux,• Réduction des coûts via la mutualisation des infrastructures, des accès téléphoniques et la

suppression d’un certain nombre d’équipements et contrats de maintenance associés,• Utilisation du RIE pour l’acheminement des communications inter-site,• Interopérabilité et évolutivité en termes de matériels et services assuré,• Suivre l’évolution naturelle des technologies de téléphonie fixe.

Les solutions de ToIP et de VoIP, en plus de reprendre les fonctionnalités de la téléphonie classique et d’en apporter des nouvelles, apportent un certain nombre de gains financiers, organisationnels, et technologiques :

Gains Financiers : • Investissements sur les cœurs et gros sites de concentration, minime sur petits sites• Moins d’accès opérateur via la concentration des accès• Moins d’équipements à maintenir donc baisse du MCO• Optimisation des ressources humaines• Plus on a de concentration, plus le ROI sera important• Économies de locaux techniques, d’énergie, etc.

2

Extranet filtré

Extranet DirectVoix/Visio

Extranet Direct

Extranet Direct

Extranet Direct

Extranet Direct sélectif

DC Mi nationaux

DC MI Zonaux

Autre DC

DC SIR

DC GN GN Collectechiffrée

Gains métiers: Nomadisme et itinérance (déménagements facilités) Services (annuaires, messagerie vocale, SVI, outils d’enregistrement, taxation) mutualisés Centralisation des standards téléphoniques Les équipements étant centralisés, moins de déplacement des techniciens Centralisation du support et de la supervision Souplesse d’administration Continuité de service et redondance

Evolution de la technologie : Nouvelles fonctionnalités (multi-conférence, visio téléphonie, etc.) Convergence téléphonie / informatique Obsolescence des technologies TDM Compatible IPV6 pour la pérennité Pallier aux manques de ressources compétentes en TDM

Cas de la Police Nationale : architecture zonale L’avènement des technologies IP et des solutions de téléphonie reposant sur ce protocole est uneétape nécessaire à franchir pour les différents ministères pour répondre à un ensemble dedemandes et de critères suivants :

Harmonisation des infrastructures téléphoniques, Concentration des équipements de téléphonie sur les sites départementaux/zonaux, Réduction des coûts via la mutualisation des infrastructures, des accès téléphoniques et la

suppression d’un certain nombre d’équipements et contrats de maintenance associés, Utilisation du RIE pour l’acheminement des communications inter-site, Interopérabilité et évolutivité en termes de matériels et services assuré, Suivre l’évolution naturelle des technologies de téléphonie fixe.

La mise en service du RIE va dans ce sens et ouvre de nouvelles possibilités de mutualisation etrationalisation d’infrastructure et de réduction des coûts engendrés. Cette offre de service couvreégalement le cas de la mise en réseau d’IPBX via le RIE.

La solution de téléphonie «Projet STATE » a pour objectif de présenter et de proposer lesdifférents services offerts pour installer ou migrer un site de l’administration territoriale (AT), de lagendarmerie ou d’une direction départementale inter-ministérielle (DDI) vers une installation detéléphonie sur IP (ToIP) ou Voix sur IP (VoIP) en utilisant le Réseau Interministériel de l’État (RIE).

3

En réponse à l’objectif de mutualisation et de concentration, le principe de typer les sites en catégorie a été retenu pour la stratégie de déploiement de la téléphonie :

• Site A+

de très forte criticité, il est autonome et nécessite une très haute disponibilité de sonservice de téléphonie. Cela se traduit par une redondance distante des locaux et de tousles équipements. Chaque site A+ possède deux accès distincts au RIE et deux accès auRTC par passerelle avec de préférence un opérateur différent.

• Site A

de forte criticité, il est autonome et nécessite une haute disponibilité de son service detéléphonie. Chaque site A possède deux accès distants au RIE, et un accès au RTC(réseau téléphonique commuté) par passerelle avec le même opérateur. Selon le niveaud’exigence du site, une redondance d’une partie ou de l’ensemble des équipementsd’infrastructure est mise en œuvre. Dans certains cas, cette redondance pourra êtreeffectuée à distance sur deux sites A consentants de même métier et souhaitant déployerune solution de téléphonie en limitant le coût de la redondance.

• Site B+

critique, il est partiellement autonome et nécessite une meilleure résilience de son servicede téléphonie. Cela se traduit par la présence en local d’une partie des équipements duservice de téléphonie et d’une partie à distance d’équipements mutualisés sur un site A ouA+ via le RIE. En cas de panne de cette partie ou du RIE, un serveur d’appel de secourspermet de fournir en local un service de téléphonie en mode dégradé.

• Site B

de moyenne criticité, il dépend des équipements de téléphonie d’un site A ou A+ auquel ilest connecté via le RIE pour lui permettre de fournir en local le service de téléphonie. Celase traduit par un système de secours local non redondé qui en cas de panne du RIE ou deséquipements distants (site A ou A+) permet de fournir en local un service de téléphonie enmode dégradé. Des accès opérateurs locaux sont également utilisés pour tous les appelsd’urgences sortants afin que le service de secours localement compétent soit contacté.

• Site Cde faible criticité, il dépend entièrement des équipements de téléphonie d’un site A ou A+auquel il est connecté via le RIE. La continuité du service de téléphonie n’étant pasnécessaire, il ne possède pas d’équipements de secours en local, mais il est dotégénéralement de moyens palliatifs (mobiles, ligne téléphonique indépendante).

4

Coeur ToIP

Hôtel de Police : site B+

Commissariats : site BBureaux de police : site C

Opérateur

Opérateur

5

RTC

RTC

DMZToIP

WAN LAN

WAN LAN

DMZToIP

Serveurs d'appels secours

Terminaux analogiques

Passerelle

Parefeux

Passerelle

Parefeux

Serveur d'appels

Serveur(s) applicatif(s)(messagerie, ...)

Serveur(s) d'administration

Terminauxanalogiques

Station(s)d'adminToIP PoPC

Document 3 – Offre OBS de continuité d’appel

Un réacheminement des appels en cas d'incident sur votre site… En cas d'incident, de sinistre, de fermeture temporaire ou impromptue de votre site, Continuité d'appels vous permet de réacheminer tout ou partie de vos appels vers un ou plusieurs numéros.

Une continuité d'activité assurée Réceptionner vos appels téléphoniques est indispensable à votre activité ? En cas d'incident, de catastrophe naturelle, d'indisponibilité de votre site, Continuité d'appels permet de renvoyer vos appels vers un site de secours. Vos clients, partenaires, fournisseurs continuent de vous joindre en toute occasion.

Un service après-vente disponible 24h/24 et 7j/7 Quel que soient le jour et l'heure de votre sinistre, un service après-vente est à votre disposition 24h/24 et 7j/7.

Vous devez rester joignable même en cas d'incident sur votre site ? Aidé par nos équipes, vous définissez le ou les scripts de secours précisant les numéros ou tranches de numéros à secourir et les numéros de réception associés. Vous écartez notamment tout risque de perte d'appels vers vos numéros stratégiques : postes de dirigeants et collaborateurs, télécopies, numéros en Sélection Directe à l'Arrivée, etc. L'impact d'un incident, d'un sinistre ou d'une panne matérielle survenue sur votre site est ainsi fortement limité.

Le service Continuité d'appels vous propose quatre formules à choisir :

• Continuité d'appels Multi-sites: les numéros stratégiques de tous vos sites sont renvoyésvers un ou des numéros de téléphones fixes ou mobiles de votre choix en France ou àl'étranger, ou vers des numéros contacts majorés ou Guide Vocal Plan de Secours.

• Continuité d'appels Mono-site: les numéros stratégiques de mon site sensible sontrenvoyés vers des numéros de téléphones fixes de votre choix en France.

• Continuité d'appels Globale: tous les numéros de votre site sont renvoyés vers desnuméros de téléphones d'un site en France, à l'international, ou vers des numéros contactsmajorés ou Guide Vocal Plan de Secours.

• Continuité d'appels Mono-ligne: le numéro de ma ligne analogique stratégique est renvoyévers un numéro de téléphone fixe ou mobile en France ou vers les DOM.

Vous souhaitez être autonome et suivre l'évolution de vos plans de secours ? Avec l'offre Continuité d'appels Mono-site, vous disposez d'une interface Web d'activation de réacheminement d'appels vous permettant une autonomie totale 24h/24 et 7j/7.

Une solution sûre et sécurisée Vous disposez d'une garantie de temps d'activation en moins de deux heures. Aussi, le service Continuité d'appels repose sur les plateformes hautement sécurisées d'Orange Business Services.

Une activation du service via le Web Vous activez Continuité d'appels Mono-site depuis votre interface web qui s'applique à tout ou partie des numéros de votre site. Vous procédez à autant d'activations que nécessaires pour chacun des numéros réacheminés (5 activations annuelles sont incluses).

6

entreprise

réseau téléphonique

site injoignable secouru

site de secours

Prérequis Continuité d'appels est accessible à toute entreprise disposant d'une Ligne Analogique Contrat Professionnel, Ligne Analogique Contrat Professionnel Présence, Numéris ou de Business Talk IP.

Assurez une continuité de service même en cas de crise Vous définissez à l'avance vos scénarios de repli en fonction de différents événements : catastrophe naturelle, sinistre, simple incident, panne matérielle, absence ou mobilité du personnel, etc. Vous pouvez ainsi compléter votre Plan de Continuité d'Activité (PCA) en assurant le réacheminement des appels reçus sur tout ou partie de vos numéros. Vous écartez tout risque d'isolement de votre site et disposez d'une solution pour répondre aux recommandations en situation de crise

Activez à tout moment vos plans de secours Dans certaines conditions, Continuité d'appels vous permet d'activer le routage de vos appels quand vous le souhaitez, en fonction de vos besoins. Vos scénarios de repli sont sauvegardés sur les serveurs sécurisés d'Orange Business Services.

Maîtrisez votre budget Un abonnement mensuel fonction du nombre de numéros vous assure la maîtrise de votre budget. Les tarifs Continuité d'appels sont dégressifs et vous permettent d'envisager la protection de tous vos numéros stratégiques.

Des services optionnels sont proposés pour l'offre Continuité d'appels afin de mieux vous accompagner en cas de sinistre sur votre site dont l’option Express qui en cas de sinistre, vous permet de déclarer au dernier moment vos numéros secourus au SAV.

Document 4 – Offre OPACHE

Les projets interministériels «OPACHE» ont pour objet la fourniture de solutions de communications mobiles (voix et données), de terminaux, et de services associés, en France métropolitaine.

Le service attendu doit notamment : - Permettre l’émission et la réception d’appels téléphoniques, de SMS et de MMS sur le territoire métropolitain, y compris la Corse ; - Permettre la transmission de données sur des réseaux sans fils indépendamment ou simultanément à la voix (via Internet et via un APN dédié) ; - Autoriser l’itinérance voix et données à l’international et dans les départements, régions, collectivités d’outre-mer (roaming) ; - Permettre l’acquisition, le prêt et la maintenance de terminaux mobiles et des accessoires idoines ; - Accompagner les utilisateurs et les gestionnaires dans la vie quotidienne du marché grâce à un ensemble de services complémentaires : outils de suivi, formations, supports technique / administratif.

Préambule Les performances relèvent de la réglementation de l' ARCEP (Autorité de Régulation des Communications Electroniques et des Postes) qui impose actuellement en termes de couverture des règles d'évaluation définies pour des usages en extérieur. Les opérateurs n'ont ainsi aucun engagement à tenir ni dans les véhicules, ni dans les bâtiments. Gestion de flotte mobile : prestations OPACHE L’accord-cadre OPACHE a été conçu pour offrir des solutions de communications mobiles, pour les usages professionnels de l'administration de type "Grandes Entreprises" (à l'exclusion des communications opérationnelles portées par des moyens spécifiques de type réseau INPT, etc.).

- aucun engagement de durée n'est associé à la mise en place d'une prestation (en dehors de la prestation opérateur tiers) - l'achat des téléphones est dissocié de l'activation d'une ligne

7

Gestion de flotte mobile : bonnes pratiques à partager

- obligation pour tous les acteurs de l'administration du périmètre de souscrire les solutions de communications mobiles auprès du titulaire de l'accord-cadre pendant toute sa durée de validité - respect des usages liés à des pratiques de bonne gestion d'une flotte de téléphone mobile dans un milieu professionnel, et notamment : - la gamme « standard » est associée aux usages voix (profil PV) - la gamme « smartphone » est associée aux usages de transmission de données en situations de nomadisme (profils PVD)

Document 5 – NOMADISME

Nomadisme numérique (source wikipédia) : Le nomadisme numérique désigne les usages et usagers des technologies électroniques et informatiques permettant d’accéder aux médias numériques et à des informations numériques, de les modifier ou de communiquer par la téléphonie mobile ou par Internet et travailler en ligne et hors-ligne quel que soit l’endroit où l’on se trouve.

Le nomadisme numérique permet aussi de nouvelles formes de travail ou télétravail ou de travail collaboratif. Le nomadisme se traduit par un usage en forte croissance de produits tels que les téléphones 3G, 4G et/ou équipés de Wi-Fi , les ordinateurs portables, les PDA, etc. mais aussi par une forte demande des métiers.

Nomadisme numérique au sein du ministère de l’intérieur Il convient de distinguer trois usages de nomadisme numérique au sein du ministère :

• accès Web et mail ;• accès en télétravail ;• accès en administration.

Chacun de ces usages se traduit par l’accès à tout ou partie du système d’information. Ils impliquent par ailleurs la mise en œuvre de chaîne de traitement plus ou moins complexe pour permettre à l’utilisateur d’accéder à ces données tout en garantissant la sécurité du système d’information du ministère. L’ANSSI recommande d’ailleurs que chacun soit couvert par des offres de services différentes tant dans leur chaîne de traitement que dans le traitement des mécanismes de sécurité. Plus particulièrement, l’activité de nomadisme se caractérise par la mise en œuvre :

• d’un poste client nomade avec un client VPN ;• d'un lien de communication VPN (intégrant une terminaison VPN) ;• d'une passerelle de service permettant le traitement des flux.

La mise en œuvre d’un service de nomadisme ne doit pas se restreindre aux deux premières technologies. Il est nécessaire de prévoir des passerelles d’interconnexion permettant d’assurer l’accès aux services internes du système d’information. Ces passerelles de services correspondent aux différents usages cités précédemment. Elles sont plus ou moins complexes en fonction du service et des fonctions de sécurité adaptées permettant de maîtriser/contrôler la légitimité des connexions, l’innocuité des équipements connectés et l’accès aux ressources. Ces passerelles de service doivent être protégée par une DMZ mettant en œuvre des mécanismes de filtrage, d’authentification, de contrôle d’accès et de traçabilité.

Pour mémoire, les principaux risques liés au nomadisme sont : • le vol et la perte des équipements nomades et, par conséquent, des données métiers et

de connexion contenues dans ces équipements ; • l’interception des données métiers et des données de connexion• les tentatives de compromission du système d’information au travers des services en

écoute sur Internet

Pour chacun de ces usages, le ministère dispose des offres de services suivantes : • NOMADE 2 (Site intranet Nomade2) permettant l’accès à la messagerie professionnelle

depuis un poste personnel (Webmail) 8

◦ L’utilisateur s’engage à se connecter seulement depuis un poste et un réseau qu’ilmaîtrise (pas de cyber-café, wi-fi d’hôtel, etc.) ; ◦ L’utilisateur s’engage à ce que les éléments de configuration de son poste de

travail respectent des bonnes pratiques de sécurité (mises à jour, antivirus, pare- feu, pas de logiciel contrefait, données sensibles chiffrées, mots de passe robustes, etc.).

• HESPERIS/HESPERIS NG (Site intranet Hesperis) permettant l’accès aux services Web(Intranet/Internet), mails, agendas et contacts via la téléphonie mobile.

◦ Une solution de gestion de flotte permettant le durcissement et la conformitédes terminaux ; ◦ une politique de mots de passe conforme ;◦ le chiffrement des données sensibles ;◦ un APN dédié ;◦ une DMZ dédiée permettant le traitement des flux par des services relais etl’interconnexion avec le système d’information du ministère.

• SPAN (Site intranet SPAN) permettant l’accès soit en télé-travail pour les agents soit enadministration sur les infrastructures pour les administrateurs SIC à partir d’un ordinateur portable dédié.

◦ le durcissement de la configuration du poste nomade ;◦ le chiffrement intégral des données sur le poste ;◦ une authentification forte basée sur un token USB et l’usage de certificatsX.509 personnels ; ◦ le chiffrement d’un VPN IPsec pour garantir la sécurité des flux jusqu’ausystème d’information du ministère ; ◦ une DMZ dédiée permettant :

▪ l’authentification de l’agent et de son poste ;▪ le contrôle et la gestion des accès aux ressources du ministère ;▪ la traçabilité de l’ensemble des actions ;▪ le traitement des flux par des services relais.

Ces solutions sont conformes aux exigences de la PSSIE, de la PSSI MI, de la PSSI Pref-DDI, de la PSSI RIE et de la réglementation spécifique si nécessaire (II901 pour les systèmes traitant d’informations de type Diffusion Restreinte). Elles font l’objet d’une analyse de risques identifiant les exigences de sécurité concourant à la réduction des risques identifiés.

Les bonnes pratiques liées au nomadisme • Respecter les termes des chartes liées à l’offre de service

◦ Nomade 2 : http://messagerie.dsic.mi/icasso/docs/Charte_nomade2.pdf◦ SPAN : http://span.minint.fr/◦ Hesperis : http://wiki.messagerie.si.mi/doku.php?id=nomadisme:sommaire;

• Ne pas se connecter simultanément et/ou alternativement à Internet puis au SI duministère avec le même équipement. Les connexions à Internet doivent se faire au travers des passerelles ministérielles prévues à cet effet (dont Orion) ; • Ne pas attirer l’attention, transporter l’ordinateur portable dans une pochette banalisée,utiliser un filtre de confidentialité aussi bien pour les ordinateurs que pour les téléphones portables ; • Ne pas laisser le terminal/portable sans surveillance ;• Pour les terminaux mobiles:

◦ verrouillage par code PIN;◦ si le terminal contient des données sensibles, préférer un mot de passe fort

• Verrouiller la session ou l’écran dès que l’équipement n’est plus utilisé ;• En cas de perte ou de vol, alerter sans délai la chaîne opérationnelle SSI et votrehiérarchie.

Le nomadisme pour l’ATE La rationalisation des solutions nomades au profit des préfectures et des DDI apparaît aujourd’hui comme un objectif à atteindre, car elle tend à réaliser des économies d’échelle, à améliorer la gestion des flottes de terminaux et à homogénéiser les niveaux de sécurité des solutions déployées en territorial.À ce jour, les ministères de l’Intérieur, de l’Ecologie, du Développement

9

Durable et de l’Energie (MEDDE), de l’Agriculture, de l’Agroalimentaire et de la Forêt (MAAF), des Affaires sociales, de la Santé et des droits des femmes (MASD) et de l’Economie, de l’Industrie et du Numérique (MEIN) disposent de solutions de nomadisme historiques et distinctes. Dans l’attente des travaux de convergence initiés par la DINSIC (Direction interministérielle du numérique et des systèmes d’information et de communication) et l’émergence d’offres de service interministérielles, ces solutions continueront d’être déployées et utilisées respectivement sur les périmètres historiques (solutions MI pour les préfectures, solutions MEDDE, MAAF, MASD pour les DDI).

Document 6 – HESPERIS

Hesperis est un service qui permet d'accéder, via le réseau de données de l'opérateur de téléphonie mobile du ministère (Orange dans le cadre du marché OPACHE 4), à ses messages, ses contacts et son agenda depuis un terminal mobile ou une tablette.

Le service permet également d'accéder à certains intranets et à Internet via ORION (et uniquement via ORION, cloisonnement vis à vis des flux internet). En effet, ce service est disponible via un APN dédié, l'accès à cet APN dédié est exclusif c'est à dire qu'il interdit tout accès à un autre APN direct de manière concomitante sur un même appareil. De la même manière, il est strictement interdit d'utiliser le téléphone en tant que modem pour connecter un PC lorsque le service HESPERIS est positionné sur la ligne. Pour bénéficier du service Hespéris, il faut accepter les conditions d'une charte.

HESPERIS NG : le service Hespéris évolue en 2016 L'ouverture du service Hespéris NG sur les tablettes est désormais possible. Il faut respecter les mêmes règles que pour les smartphones : choisir une tablette qualifiée, souscrite un abonnement à l'APN dédié MI et un abonnement de données seules via l'accord-cadre Opache 4.

RAPPEL : ne pas omettre d'installer le certificat sur le smartphone comme indiqué dans chaque documentation

Liste des matériels testés et validés : Modèle Compatible Hespéris Compatible Hespéris NG Galaxy SII (Samsung) Oui Non Xperia Z3 (Sony Ericsson ) Oui Non Galaxy mini (Samsung) Oui Non Galaxy YOUNG 2 (Samsung) Oui Non Galaxy SIII mini (Samsung) Oui Non XCOVER 3 (Samsung) Oui Oui CORE PRIME VE (Samsung) Oui Oui Galaxy A3 (2016) (Samsung) Oui Oui Galaxy SIII (Samsung) Oui Non Optimus L7 (LG) Oui Non Moto G (Motorola) Oui Non

10

Document 7 – ICASSO 2

ICASSO 2 (Infrastructure de Courriel s'Appuyant Sur des Systèmes Ouverts 2 - Programme d'Accès aux Boîtes aux Lettres icassO) est une nouvelle version de l'outil de messagerie du MI intégrant la plupart des demandes d'évolutions formulées par les utilisateurs lors du déploiement.

ICASSO 2 est la partie serveur de la solution (l'équivalent du serveur Exchange), c'est là où sont les boîtes aux lettres, les agendas, bref les données, vos données…

PABLO est le client qui permet d'accéder à ces données. Celui-ci est “basé” sur Thunderbird. Pour être plus précis, Pablo EST Thunderbird, agrémenté d'extensions (ou modules complémentaires) afin de le rendre plus agréable d'utilisation et plus fonctionnel. La différence se situe aussi au niveau de l'autoconfiguration, qui permet le paramétrage automatisé du client de messagerie (en s'appuyant sur des options existantes de Thunderbird et non sur des développements spécifiques au MI).

Document 8 – Nomade2

Extrait de la charte d’accès à la messagerie ICASSO via Internet par nomade 2

1. Contexte

La charte définit les obligations que l’utilisateur s’engage à respecter lors de l'utilisation du service d’accès "Nomade 2". Elle doit être remplie et signée par le demandeur préalablement à l’ouverture du service. La DSIC, en sa qualité d’administratrice du service "Nomade 2", se réserve le droit de contrôler les conditions de son utilisation et de prendre, en tant que de besoin, les mesures pour restreindre ou fermer l’accès au service. Pour des raisons de sécurité, le service Nomade est réservé exclusivement aux boîtes aux lettres nominatives

2. Règles de sécurité associées au service

L’utilisateur s’engage à : • Ne pas se connecter au portail nomade depuis un « WIFI public » (hôtel, cybercafé …) ;• Changer le mot de passe de connexion au service de messagerie ICASSO tous les 3 mois;• Utiliser un mot de passe de protection de l’accès au PC qui comporte au moins 10caractères et possède un minimum de complexité (minuscules, majuscules, chiffres, ponctuation) ; conformément à la directive d'emploi; • Ne jamais enregistrer le mot de passe sur le PC utilisé pour accéder au service"Nomade 2" ; • Ne pas communiquer le mot de passe à un tiers ;• Protéger par tous moyens la clé privée d'authentification et la faire révoquer au moindredoute. • Si la connexion se fait via une clef USB 3G/4G, utiliser un code PIN différent de 0000 ;

Le poste d’accès au service "Nomade 2" respecte les règles de sécurité suivantes : • Il est doté du système d’exploitation configuré pour avoir les mises à jour et correctifs desécurité dès que disponibles ; • Le navigateur est configuré pour avoir les mises à jour et correctifs de sécurité dès quedisponibles. Il est aussi configuré pour supprimer automatiquement les informations contenues dans le cache de navigation Internet, les cookies; • Il est doté d’un antivirus avec une mise à jour automatique activée ;• Il utilise un pare-feu qui filtre les paquets en entrée et sortie de l’ordinateur;• Il n’héberge aucun logiciel contrefait ou « piraté »• Il est doté d’un logiciel de chiffrement pour protéger les données sensibles ou protégées.• Il est configuré pour supprimer automatiquement et de façon sécurisée les fichierstemporaires. • Ne doit jamais être connecté au réseau du ministère.

Lors de la déclaration d’accès au service nomade2, l’utilisateur indiquera s’il utilise un pc fournit par l‘administration ou un pc personnel. La charte est signée entre l’utilisateur et le RSSI.

11

Document 9 – SPAN

Les usages et les besoins en mobilité évoluent vite. La DSIC propose des solutions qui facilitent le quotidien des agents dont l'activité exige lors de leurs déplacements (astreintes, interventions sur le terrain...) qu'ils puissent se connecter à leur messagerie, leur agenda ou même tout leur environnement de travail, facilement et de manière sécurisée.

L'une de ces solutions prend la forme d'un poste nomade sécurisé, baptisé SPAN. SPAN, "Sécurisation des Postes d'Accès Nomades", permet hors de son lieu de travail habituel (en déplacement ou depuis son domicile), d'accéder à distance via une connexion internet ou le réseau du ministère à son environnement de travail (messagerie, dossiers locaux, ressources réseaux, etc...) comme si on était au bureau et en toute sécurité.

La solution de nomadisme SPAN du Ministère de l'Intérieur offre une solution sécurisée d'accès distant aux infrastructures du Ministère, qui permet :

• de prendre la main à distance sur son environnement de travail de façon totalementsécurisée,

• depuis internet ou le réseau du ministère• par une liaison filaire (Ethernet) , Wifi (Box internet) ou 3G/4G (via un boitier Domino Airbox

3G/4G commercialisé par Orange dans le cadre du marché Opache 4),• de connecter des périphériques (clavier et souris, écran externe déporté, imprimante

mobile dédiée, lecteur de carte agent).• de mettre à jour le système SPAN à distance.• en l'absence de connexions réseau, le mode "déconnecté" permet de travailler sur des

documents personnels grâce la suite bureautique LibreOffice, un lecteur de PDF et unlecteur de médias (VLC).

Ce site présente l'essentiel des informations nécessaires à l'utilisation de la solution nomade SPAN depuis la procédure de demande, jusqu'à la mise en route de votre poste, ainsi que les règles à respecter pour une bonne utilisation de cette solution.

Pour quels utilisateurs ? • Les agents d'astreintes SIC ou juridique, qui utilisent SPAN pour se connecter depuis leur

domicile, • Les services opérationnels de police, de gendarmerie ou de la sécurité civile qui utilisent

SPAN, par exemple depuis un véhicule d'intervention, • L'encadrement et les autorités en mobilité.

A noter que SPAN est également accessible aux personnes handicapées ou pour des raisons médicales (en relation avec la médecine de prévention) avec la mise en application de la note de la DRH 2015-008 du 2 mars 2015. Des réflexions ont été engagées par la DRH sur le télétravail en utilisant à la solution SPAN. Néanmoins aucune décision n'a encore été prise à ce jour ; le cas échéant les modalités d'application de ce dispositif feront l'objet d'une circulaire au moment opportun. SPAN ne rentre donc pas, pour le moment, dans ce cas d'usage.

12

MINISTERE DE L'INTERIEUR

Au domicile ou en déplacementvia un accès internet

Vers un poste de travail classiqueou une ferme de terminaux légers

Les Configurations

L’accès à la solution SPAN requiert, la mise à disposition d’un poste de travail préparé avec le système SPAN et d’un token personnel. Le poste SPAN peut être attribué à un service et servir pour plusieurs utilisateurs, tandis que le token est personnel et propre à chaque utilisateur. Plusieurs modèles de poste de travail sont proposés, chacun répondant à des besoins de mobilité différents. Les modèles de la catégorie hybride sont actuellement en cours de développement et seront disponibles prochainement pour SPAN.

1 - Poste de travail type STANDARD : Le modèle DELL Latitude 5570 (écran 15,6"). 2 - Postes de travail type ULTRA-BOOK : Le modèle DELL Latitude 7470 (écran 14"). 3 - Postes de travail type HYBRIDE : La DELL Venue 11 Pro (écran 10,1")

4 - Token : Chaque utilisateur d'un poste SPAN est authentifié par un token Neowave "Weneo-SPAN", doté d'une carte à puce Gemalto IDPrime, obligatoirement attribué à une personne physique. En aucun cas, un token ne pourra pas être "générique" et attribué à un service.

Prérequis nécessaires à la mise en service du poste SPAN.

Avant de pouvoir utiliser son poste SPAN, certains prérequis sont indispensables et concernent essentiellement le poste de travail de l'utilisateur :

- Le poste de travail doit toujours être allumé (*) et la session utilisateur verrouillée (désactivation de la mise en veille et la mise en veille prolongée).

(*) Cette disposition ne s’applique pas en cas de terminal léger (voir document 10). - Le mode "bureau à distance" doit être activé (l'utilisateur doit être déclaré autorisé à

prendre la main à distance sur son poste de travail). - Activation du token dans le poste de travail du poste bureautique de l'utilisateur pour

qu'il puisse être utilisé comme une clé USB pour enregistrer des documents personnels.

13

Document 10 – Terminaux légers

Les gains pour les agents : - Le terminal léger ne dégage pas de chaleur, n’émet aucun bruit et occupe peu d’espace. - Un confort optimum d’utilisation du poste de travail : les applications (bureautiques, métiers)

se lancent et réagissent très rapidement. Les terminaux s’allument quasiment instantanément. - Une plus grande liberté de circulation : possibilité de se connecter sur un autre terminal léger et de retrouver tout son environnement de travail hors de son bureau (dans une salle de réunion par exemple).

Les gains économiques : - Une réduction de 21% des coûts liés au poste de travail (RH inclus). - Une réduction de 45 % des coûts (hors RH) liés entre autres à l’électricité et au renouvellement récurrent du matériel classique. - Une contribution au développement durable. - Une réduction conséquente de la consommation électrique et une durée de vie des

terminaux légers bien supérieure à celle des unités centrales classiques.

RDS RDS (Remote Desktop Services) autrement dit Service Bureau à distance est une architecture centralisée permettent de réduire un poste de travail à un simple terminal le temps d'une session à distance sur serveur hébergeant le rôle RDS. Une fois l'utilisateur connecté à l'architecture centralisée offert par les services Bureau à distance, l'application lancée est exécutée sur un des serveurs de l'infrastructure RDS, puis seul l’affichage de l’application est rendu sur le terminal léger (TL). Cette configuration apporte une flexibilité importante qui permet de s'adapter rapidement aux besoins de changements du Ministère de l’intérieur ou d'évolutions de l'infrastructure. Cette flexibilité de l'infrastructure RDS peut se résumer ainsi :

« Permet à des utilisateurs d’accéder à leur Bureau et applications de n’importe où que ce soit sur un poste ou un périphérique mobile, elle permet donc une meilleure efficacité de travail tout en permettant de sécuriser son infrastructure. »

Présentation des services Bureau à distance Il est possible de diffuser en RDP (via RDS) :

• Soit un "bureau Windows virtuel complet", c’est à dire que l’utilisateur dispose d’unenvironnement Windows classique et complet, comportant tous les accessoires etapplicatifs installés sur le serveur (sous réserve de droits d’exécution appropriés pour lesapplications).

• Soit une "monoapplication", c’est à dire qu’au sein d’un poste de travail classique de typePC ou autre, une icône pointe vers une application non pas locale, mais diffusée en RDPdepuis un serveur RDS. Cette diffusion est aussi appelée RemoteAPP ou seamless.

Avant de passer à l’installation du rôle RDS sur notre serveur, il serait souhaitable de connaître les services qui composent ce rôle :

Accès Web des services Bureau à distance (Remote Desktop Web Access) Permet d’accéder aux applications par le réseau local ou internet en utilisant leur navigateur web. Service Broker pour les connexions Bureau à distance (Remote Desktop Connection Broker) Il permet de maintenir les connections de sessions aux hôtes RDS et de virtualisation. Serveur hôte de virtualisation des services bureau à distance (Remote Desktop Virtualization Host) Ce serveur donne accès aux machines virtuelles en utilisant RemoteApp ou les connexions RDP. Serveur hôte de session Bureau à distance (Remote Desktop Session Host) Ce serveur permet aux utilisateurs de se connecter à leurs sessions, d’exécuter des programmes au sein de leur Bureaux Windows. Gestionnaire de licences des services Bureau à distance. Pour poursuivre au-delà de la période de 120 jours attribuée par défaut pour l’accès aux services RDS, le gestionnaire de licences doit-être installé avec les licences appropriées.

14

Les gains d’une infrastructure RDS :Sans affirmer qu’il s’agit de la solution miracle, il reste assez évident que les architectures clients légers, et particulièrement celles basées sur RDS, apportent beaucoup d’avantages, tant en termes techniques que financiers.

En résumé, on peut considérer que les architectures clients légers peut permettre de revenir d’une informatique hétérogène, complexe et coûteuse, à une informatique centralisée, banalisée et pérenne, tout en :

• Facilitant l’administration du parc. Qui dit architecture centralisée dit à portée de main etréduite à quelques serveurs au lieu de centaines de machines. Il est évident qu’il est plussimple, plus efficace et donc moins coûteux, de gérer des serveurs RDS plutôt que lespostes utilisateurs et chacune de leurs spécificités.

• Réduisant les coûts par simple homogénéisation. Un système unique, des applicationshomogènes, et identiquement paramétrées réduisent les difficultés rencontrées par lesutilisateurs dans leur usage quotidien du système d’information.

• Facilitant toutes les tâches de support. L’assistance est simplifiée car tous les utilisateursdisposent des mêmes versions applicatives et surtout d’un seul et même systèmed’exploitation, dont la surveillance par voie d’administration est bien plus efficace Lesproblèmes sont donc limités et en cas de survenance, résolus directement à partir duserveur. En effet, les protocoles RDP autorisent la prise en main à distance des sessionsutilisateurs par le service informatique, augmentant ainsi la réactivité et l’efficacité duservice d’assistance.

• Réduisant les coûts Matériels. Il est difficile de faire vivre une architecture PC classiqueplus de 5 ans. Alors que si elle est basée sur des terminaux, l’architecture clients légerstiendra plus longtemps. Dû la non-obsolescence sous 5 ans de postes de type terminaux,et donc la non-nécessité de réinvestir à terme dans les postes de travail.

15

Globalement, et cela pourrait constituer un avantage à part entière, les architectures clients légers réduisent le TCO de façon drastique.

Terminaux

Compte tenu du principe technologique, les applications sont installées et exécutées directement sur et depuis le serveur : seule l’image est transmise et affichée sur le poste utilisateur.

La centralisation est donc réelle et il convient de qualifier le poste de l’utilisateur de simple poste de travail. Le terme "terminal passif" répond mieux à la réalité puisqu’il ne fait rien d’autre qu’afficher et renvoyer les événements du clavier et de la souris. Il ne faut pas considérer le qualificatif "passif" comme péjoratif.

En fait, il faut réaliser que le concept est resté le même qu’avant, mais que c’est simplement le protocole de communication graphique qui a changé, et surtout le serveur et ses capacités fonctionnelles. Même si le poste de travail est un réel poste puissant type PC, il devient, dès qu’il utilise les protocoles RDP, un simple terminal passif.

Un terminal est dit passif car son rôle est réduit au strict minimum dans une architecture RDS : il se contente de gérer la communication protocolaire avec le serveur et n’exécute pas les applications manipulées par l’utilisateur. C’est un poste de travail simplifié au maximum qui comporte un système d’exploitation relativement fermé, installé sur une mémoire permanente du poste. Il n’est pas possible de l’utiliser en tant que tel, ni de le modifier (hormis quelques paramètres), il est uniquement possible se connecter à un (ou plusieurs) serveur(s) RDS (ou autres).

Leur simplicité les rend fiables sur le long terme (+5 ans), la quantité de protocoles de communication intégrés et gérés les rendant plus ou moins universels.

CHIP PC XTREME PC LXD2 CHIP PC EX PC W7DCCE1 Client HP Windows

Les autres types de postes

En fait, il suffit de pouvoir installer un quelconque client protocolaire, RDP sur un ordinateur équipé d’une connexion réseau pour le transformer en poste de travail client léger.

Sécurisation

Pas « LA sécurité », mais bien « LES sécurités » ! En effet, l’architecture client léger apporte, par essence même, un lot de bénéfices en termes de sécurité. Une administration sécurisée.

• Les actions de type mises à jour systèmes ou applicatives sont facilement réalisables carlocalisées, réduites à quelques serveurs et immédiatement applicables pour l’ensemble desutilisateurs.

• L’utilisateur travaillant sur un système centralisé, dont il n’est plus "maître", limite lesfausses manipulations et les utilisations divergentes, sources fréquentes de problèmes.

16

Maîtrise du poste de travail

Dans le cas du terminal passif et du fait de sa conception matérielle et système, il n’est pas possible d’installer localement quelque application que ce soit. Et dans le cas du serveur RDS, un utilisateur ne dispose pas des droits nécessaires ou suffisants pour ajouter des composants systèmes, des logiciels ou des périphériques à volonté : c’est le rôle et la capacité unique du service informatique.

Le système de l’utilisateur reste propre, ce qui limite autant les problèmes de toutes sortes que les utilisations divergentes ou les vulnérabilités.

Vol de données

Les clients légers ne peuvent fonctionner que connectés à un serveur hôte. Rien n’est stocké sur le client, tout est stocké sur des serveurs centraux, ce qui rend presque nulle la probabilité d’une perte de données. En outre, un client léger est moins vulnérable au vol qu’un desktop ou un laptop, puisqu’il est assez inutilisable tout seul.

Techniques de sécurisation Objectifs

• Sécuriser les serveurs Remote Desktop Service sous Windows 2012 R2.• Empêcher les utilisateurs de copier des fichiers, exécuter des commandes systèmes.• Ne pas perturber le fonctionnement du système.• Permettre aux administrateurs d’administrer le système sans restrictions.• Permettre aux utilisateurs d’exécuter les programmes de la suite Office 2013

Sécurisation du serveur RDS 2012 R2 Pour cela, nous allons :

• Désactiver de nombreuses fonctionnalités de l’interface graphique via les stratégies degroupe.

• Bloquer l’exécution de certaines applications• Bloquer l'application des GPO aux administrateurs

Afin que les administrateurs puissent gérer le serveur, interdire l’application de la GPO aux groupes correspondant aux administrateurs du serveur.

Document 11 – Sauvegarde de données en datacenter

Réplication : La réplication est un processus de partage d’informations pour assurer la cohérence de données entre plusieurs sources redondantes pour améliorer la fiabilité (tolérance aux pannes, disponibilité). La réplication n’est pas à confondre avec une sauvegarde : les données répliquées évoluent à mesure que les données changent.

11.1 Fiche produit : « La plate-forme Veritas NetBackup — la nouvelle génération en matière de solution de protection des données » Introduction La plate-forme Veritas NetBackup offre une protection unifiée des données, à la fois sur disque et sur bande, ainsi que des fonctions d'archivage et de gestion des restaurations pour les environnements UNIX, Windows, Linux et NetWare. NetBackup protège les bureaux distants aussi bien que le datacenter et permet de gérer toutes les opérations de sauvegarde et restauration à partir d’une console unique. Cette plate-forme de gestion centralisée offre des fonctions d'archivage, de migration et de conservation des données, qui répondent aux normes en vigueur en matière de gouvernance et de conformité. Des fonctions de génération de rapports sur les opérations de sauvegarde et restauration permettent de gérer, sur la base de niveaux de service, toutes les données protégées de l’entreprise.

Composants de la plate-forme La plate-forme NetBackup inclut les composants intégrés suivants:

• Veritas NetBackup — Sauvegarde et restauration des environnements de systèmesd’exploitation et des infrastructures de stockage hétérogènes • Agents et options Veritas NetBackup — Spécialement conçus pour optimiser lessauvegardes et les restaurations sur disques et sur bandes ainsi que pour les applications

17

et les bases de données. Les agents et options permettent une gestion centralisée des technologies de protection des données de Symantec et de ses partenaires • Symantec Enterprise Vault — Archivage intelligent avec fonctions de recherche desdonnées dans les systèmes de messagerie, les serveurs de fichiers, la messagerie instantanée et les applications de gestion de contenu • Veritas NetBackup Vault — Automatise le processus de duplication des sauvegardes et lagestion des médias hors site • Veritas Backup Reporter — Génération de rapports centralisée et gestion de toutes lesopérations de sauvegarde sur la base de niveaux de service, sur tous les sites et pour les produits de sauvegarde disparates

Pour améliorer les objectifs de point de récupération et de délai de récupération, les datacenters ont déployé toute une panoplie de technologies (images instantanées, réplication et librairies de bandes virtuelles, déduplication et protection continue des données). Les différentes politiques, consoles de gestion et processus utilisés dans l’entreprise sont justifiés la plupart du temps par des technologies disparates plutôt que par les besoins réels de l'entreprise. Cela se traduit par une augmentation des coûts opérationnels de protection et d'archivage des données pour la conformité aux politiques de gouvernance interne et / ou externe.

La plate-forme NetBackup a été développée pour réduire la complexité et les coûts opérationnels de protection, de restauration et d'archivage des données. Elle offre les avantages suivants :

• Protection unifiée et gestion des restaurations• Fonctions de restauration avancées des applications stratégiques• Archivage, migration et conservation des données• Gestion des niveaux de service et conformité aux accords de niveau de service

Protection unifiée et gestion des restaurations Pour vous permettre de tirer profit de l’infrastructure existante tout en bénéficiant des nouvelles technologies de protection des données sur disque, la plate-forme NetBackup simplifie et centralise la gestion de l’environnement de sauvegarde à partir d'une console unique. Vous pouvez profiter pleinement de la sauvegarde sur disque pour améliorer les objectifs de point de récupération et de délai de récupération et utiliser tous les types d’infrastructures de disques : stockage DAS, NAS, SAN, mais également librairies de bandes virtuelles, images instantanées, déduplication des données et autres types de répliques.

Grâce à la gestion simplifiée et centralisée fournie par la plate-forme Veritas NetBackup, les entreprises peuvent personnaliser leur infrastructure de protection des données en fonction des exigences des applications. La protection, la conservation et la restauration des données peuvent être automatisées en fonction de politiques de stockage prédéfinies, basées sur le cycle de vie, qui correspondent aux niveaux de service déterminés pour vos applications.

Fonctions de restauration avancée des applications stratégiques Des objectifs de point de récupération et de délai de récupération audacieux permettent d'assurer une disponibilité constante des applications stratégiques. Ces objectifs peuvent être atteints grâce à une intégration étroite du processus de sauvegarde et de restauration avec les applications et bases de données à protéger. Une restauration granulaire et des options de restauration instantanée à partir d'images en ligne sont nécessaires pour améliorer le délai de récupération et effectuer ainsi des restaurations complètes des systèmes d'exploitation, des applications et des données en quelques minutes. La plate-forme NetBackup répond à ces besoins avec des fonctionnalités clés telles que la restauration granulaire pour Oracle, DB2, Sybase, SAP, VMware, Microsoft SharePoint Portal Server et Exchange, la restauration rapide d'images instantanées hétérogènes provenant d'une grande variété de fournisseurs, ainsi que les restaurations complètes en 15 minutes environ sur les platesformes Windows, Linux ou UNIX.

Archivage, migration et conservation des données Veritas NetBackup fournit la plate-forme d'archivage intelligent Enterprise Vault qui stocke et gère les données d'entreprise et permet une recherche dans les systèmes de messagerie, les serveurs de fichiers, les plates-formes de messagerie instantanée, ainsi que les systèmes de collaboration et de gestion de contenu. Les moteurs de classification intelligents gèrent les données de manière à améliorer les processus de conservation et de protection des informations de l'entreprise tout en réduisant les coûts de stockage et en simplifiant la gestion. Vous pouvez éliminer les quotas et les contraintes de taille des messages et octroyer aux utilisateurs des boîtes aux lettres de taille quasi

18

illimitée tout en contrôlant la croissance de l'espace de stockage des messages. Vous pouvez migrer toutes les données de fichiers PST vers les archives, ce qui permet de faire disparaître les fichiers PST. Archivez vos messages pour aider à réduire la taille de la banque de messages en ligne de 50 à 75 % ; vous améliorerez ainsi les délais de sauvegarde et de restauration dans les environnements Exchange et de serveurs de fichiers. Conservez par ailleurs une copie de tous les messages électroniques envoyés et reçus pendant la durée prescrite par la loi ou la réglementation.

Pour que vos données stratégiques soient conservées hors site en toute sécurité et puissent être récupérées en cas d'incident, Veritas NetBackup Vault automatise le processus complexe et fastidieux de duplication des sauvegardes et de gestion des médias hors site. Les utilisateurs peuvent définir des profils pour contrôler les modalités de duplication des sauvegardes et d'envoi des bandes à destination et en provenance du site distant de façon à minimiser les risques de perte de données en cas de sinistre.

Gestion des niveaux de service et conformité aux accords de niveau de service Vous pouvez améliorer la visibilité et l'efficacité de vos processus de sauvegarde et de restauration grâce à un outil avancé de génération de rapports de sauvegarde. La plate-forme NetBackup fournit des mises à jour proactives aux principales parties prenantes de votre entreprise avec la génération automatique de rapports pouvant être transmis par message électronique planifié. Les entreprises peuvent vérifier la conformité des niveaux de service de sauvegarde et aligner les coûts associés à la sauvegarde et à la restauration sur les besoins de l'entreprise. Il est possible de générer des rapports dans l'ensemble de l'entreprise pour Veritas NetBackup et Symantec Backup Exec, CommVault Galaxy, EMC NetWorker et IBM Tivoli Storage Manager.

Caractéristiques et avantages • Gestion simplifiée et centralisée des technologies de protection des données avecréduction des fenêtres de sauvegarde, du délai de récupération des données et des coûts de fonctionnement • Archivage, migration et conservation des données pour la gestion de la conformité• Prise en charge de la gamme la plus large d'environnements d'exploitation etd'infrastructures de stockage, s'accompagnant d'une réduction des coûts de fonctionnement et du volume des données pour les opérations de sauvegarde • Restauration complète de systèmes (serveur, application, données) avec diminution dudélai de récupération des données • Protection des données des postes de travail, des sites distants et des datacenterspermettant une réduction des pertes de données et des coûts de fonctionnement • Restauration granulaire portant sur un message électronique ou un fichier distinct maisaussi sur un datacenter entier, ce qui réduit le délai de récupération des données

Grande variété de technologies de protection de pointe Symantec et ses partenaires offrent une grande variété de technologies qui répondent aux divers besoins en matière de prix et de performances ainsi qu'aux problèmes de sauvegarde spécifiques, notamment :

• Options avancées de sauvegarde sur disque — Utilisation optimale du disque en tant quepériphérique cible pour les sauvegardes ou unité de transfert à plusieurs niveaux, qu'il s'agisse d'une librairie de bandes virtuelle ou d'un disque. • Protection continue des données — Disparition des sauvegardes lentes, des restaurationsfastidieuses, des pertes de données et des temps d'arrêt coûteux via la récupération des données à tout moment. • Déduplication — Optimisation de l'espace de stockage et de la bande passante réseauvia l'élimination des données redondantes. Lors du processus de déduplication, les données en double sont supprimées et une seule copie des données est stockée. • Images instantanées / réplication — Permet de récupérer des données à n'importe quelmoment avec une perte minimale (voire aucune) et de répliquer les données vers un datacenter distant en vue d'une reprise après sinistre. • Sauvegarde sur bande — Optimisation de la sauvegarde sur bande grâce au partage deslecteurs et des librairies de bandes via le réseau SAN et / ou au cryptage avant le transfert

hors site pour une sécurité maximale

19

11.2 Solution de réplication de données en datacenters (exemple de réplication appliquée)

En 2016 Gartner a positionné VEEAM dans le quadrant des leaders pour le haut de gamme mid-market et les environnements d’entreprise plus importants. Sont cités également au rapport au titre des leaders du marché EMC, IBM Veritas technologie. Veeam Backup & replication est une solution de protection de données.

Réplication DFS : La réplication DFS permet de maintenir des dossiers synchronisés entre serveurs par le biais de connexion réseau. DFS utilise un algorithme de compression différentielle à distance. L’algorithme détecte les modifications des données et permet à la réplication DFS de répliquer les blocs modifiés.

20

Hyper-V n°1 Hyper-V n°2

Hyper-V Extendu

Hyper V n°1

DATACENTER

Document 12 – ORSEC et SYNERGI

La mise en place du plan ORSEC permet l'organisation des secours sous une direction unique (DOS). Cette organisation s'inspire de l'organisation initiale de 1952 répartie en cinq services et adaptée à la nature et l'ampleur de l'événement :

• Premiers secours et sauvetage, assurés par les sapeurs-pompiers et les associationsagrées de sécurité civile

• Soins médicaux et entraide, assurés par l'agence régionale de santé et le service d'aidemédicale urgente (SAMU)

• Police et renseignements, assurés par la Police nationale et la Gendarmerie nationale• Liaisons et transmissions, assurés par le Service interministériel départemental des

Systèmes d'information et de Communication (SIDSIC) et l'ADRASEC• Transports et travaux, assurés par la direction interdépartementale des Routes et le conseil

général depuis le transfert des compétences sur les routes.

Plus largement le préfet doit veiller à alerter la population, gérer la partie administrative d'un événement majeur et assurer la mission de post crise. Il travaille pour cela avec d'autres services tels que la direction régionale de l'environnement, de l'aménagement et du logement (DREAL), la direction régionale ou départementale des finances publiques (DGFIP), le procureur et les ONG et les associations agréées de sécurité civile (Association nationale des premiers secours, Fédération nationale de protection civile, Croix-Rouge française, Urgence-Telecom, Fédération nationale des radioamateurs au service de la sécurité civile, etc.)

La direction des opérations de secours (DOS) est assurée par le préfet du département concerné. Pour sa mission il dispose du COD et éventuellement du PCO, il est conseillé par le commandant des opérations de secours (COS), un officier sapeur-pompier :

• Centre opérationnel départemental (COD) installé à la préfecture et qui dépend du préfet3.Sa composition est nécessairement multi-services et adaptée à la nature de l'évènement.

• Poste de commandement opérationnel (PCO) installé au plus près de la catastrophe et quidépend d'un sous préfet. Le PCO n'est pas systématiquement activé en cas d'accident.

SYNERGI https://www.portailorsec.interieur.gouv.fr

L’application SYNERGI (Système Numérique d’Echange, de Remontée et de Gestion des informations), est un outil de gestion de crise qui s’inscrit notamment (mais pas uniquement) dans le cadre du dispositif ORSEC. Son objectif principal est de faciliter la circulation de l’information entre les acteurs et les autorités, répondant ainsi aux recommandations de la loi de modernisation de la sécurité civile du 13 août 2004 et du décret ORSEC du 13 septembre 2005.

21

Document 13 – Synoptique du réseau INPT et éléments de gestionCarte de couverture des relais

Préfecture

Hôtlel de police

Relais

Poste de Commandement Opérationnel (PCO)

Point Haut

Le point haut a la particularité d’être le point le plus élevé du département et est en capacité de recevoir toutes les émissions des relais R1 à R6.

Synoptique du réseau

Ce synoptique représente une partie du réseau; Tous les relais (R1 à R6) sont raccordés au commutateur de gestion ou aux commutateurs secondaires. Dans le cas de l’hypothèse 2 tous les relais se trouvent isolés et seules les communications à l’intérieur d’une cellule sont possibles.

22

R1R3

R6 R2

R4

R5

Point Haut

Commutateur de gestion

Commutateurs secondaires

SSW

SSW

Arière technique (DL)

Relaisradio

R2

R1

Relaisradio

R4Relais radio

Interopérabilité

Afin de permettre l’interopérabilité, des conférences ont été créées pour que la police nationale, la gendarmerie nationale et les services d’incendie et de secours puissent communiquer entre eux. Il s’agit de :

• la conférence 100 dite « d’autorité », ouverte par le préfet et accessible aux seulesautorités ;

• la conférence 102 dite « d’interopérabilité », ouverte par le préfet et accessible à tous lesterminaux radio police, gendarmerie et SDIS ;

Sont concernés :

• La sécurité civile;• Les services d’incendie et de secours;• Les sapeurs pompiers de Paris;• Les marins pompiers de Marseille;• La police nationale;• La gendarmerie nationale;

• Les SAMU.

Document 14 – Valise de rebouclage (GATEPRO)

Présentation : La GATEPRO a pour tâche d’effectuer une passerelle radio entre 2 groupes d’interlocuteurs (sur un seul réseau ou sur 2 réseaux différents). La particularité de la GATEPRO est d’être un élément mobile pouvant être utilisé sur le terrain de façon totalement autonome pour établir des liaisons temporaires ou permanentes.

Trois types d’interconnexion sont possibles :

- une interconnexion dans un même réseau afin d’établir une extension de ce réseau dans une zone non couverte - une interconnexion entre 2 groupes d’interlocuteurs (canaux différents au sein d’un même réseau - une interconnexion entre 2 réseaux différents

BER : Boîtier d’Emission Réception CCP : Command and Control Panel

23

Document 15 – Relais Indépendant Portable (RIP)

RIP : Relais Indépendant Portable Dans le système TETRAPOL, il peut être parfois utile de recourir à la mise en œuvre de relais indépendant portable (RIP). Cette disposition permet d’établir une communication de phonie entre deux ou plusieurs terminaux TETRAPOL au sein d’une même zone de couverture (couverture du relais).

Le RIP a essentiellement 2 usages :

- En secours d’un relais existant

- Pour couvrir une zone non couverte par le réseau

Le RIP peut être couplé à une GATEPRO dans les conditions décrites au document 14

24

Document 16 – Offres opérateurs SFR : Offres internet pro - Abonnements internet, Fibre, ADSL/VDSL

- Bénéficiez de deux ligne fixes

- 1 ligne fixe classique + 1 ligne fixe par internet.

- Bénéficiez de la garantie de rétablissement 8H chrono en cas de coupure de services Internet ou fixe

- Selon votre éligibilité, bénéficiez d’un accès internet Haut Débit Illimité.

- Jusqu’à 10Go de stockage en ligne pour héberger et partager vos fichiers de façon sécurisée.

- Box très haut débit compatible ADSL, ADSL 2+, VDSL et Fibre Optique pour télécharger et surfer à pleine vitesse.

ORANGE – Livebox PRO

- Des connexions rapides : compatibilité avec les offres d’accès haut et très haut débit.

- Des critères élevés de sécurité.

- Vous pouvez connecter jusqu’à 4 téléphones sans fil - vous partagez vos fichiers et vos disques durs avec vos collaborateurs.

- Dotée d’un processeur de dernière génération, la Livebox pro connecte les équipements de votre réseau local, via ses ports Gigabit Ethernet ou en WiFi, à un accès ADSL, VDSL ou Fibre pro.

- Vous pouvez offrir à vos clients un accès gratuit (pour les clients Orange) et sécurisé à Internet en activant un HotSpot Wifi d’Orange.

- Vous bénéficiez d’une ligne téléphonique qui vous permet d’appeler en illimité les fixes de France métropolitaine.

- Equipée d’une carte de sauvegarde, la nouvelle Livebox Pro conserve tous vos paramétrages.

Caractéristiques techniques :

- Téléphone fixe par internet

- Internet : 1 port RJ-11 pour la ligne ADSL

- Réseau local (LAN) : 4 ports Gigabit Ethernet dont 1 port dédié à l'ONT pour la Fibre

- Téléphonie : 2 ports RJ-45 (compatible RJ-11).

- Autres connectiques : 2 ports USB (1 A) et 1 port e-Sata

- Technologie sans fil Wi-Fi

- Sécurisation des données Wi-Fi par cryptage (WEP/WPA/WPA2)

- Possibilité de partage de l'accès Internet sur plusieurs ordinateurs.

25