1

0. INTRODUCTION

J'ai choisi d'aborder la sécurité des réseaux informatiques car elle

compose la majeure partie de mon travail à l'Université Mazenod dans laquelle
j'effectue mon alternance.

En effet, l'Université Mazenod fournit une boîte à outils qui permet de

déployer une PSSI au niveau des réseaux informatiques avec une forte composante
sécurité. Les outils composants cette boîte à outils s'intègrent dans les différentes
étapes de l'approche PDCA et, c'est pourquoi j'aborde le déploiement de la politique
de sécurité des réseaux informatiques avec cette même approche. Comme pour l'EBT,
ce mémoire est destiné avant tout au DSI (« Directeur du Système d'Information »)
ou RSSI (« Responsable de la Sécurité du Système d'Information ») souhaitant mettre
en application sa PSSI au niveau des réseaux informatiques.

Cependant, si dans l'UDMAZ la PSSI tenait compte de toutes les

composantes, dans ce mémoire ne sera abordée que le composant réseau. Il propose,
dans une première partie, de décrire les réseaux informatiques pour mieux les cerner
et rappeler les quatre phases de l'approche processus. Cette partie est l'occasion de
mettre en avant les spécificités de la sécurité des réseaux. Ensuite s'enchaine les
parties Généralités sur le réseau informatique, la Télémaintenance; présentation de
l'UDMAZ Déploiement du système d'accès à distance (DSAA), qui forment
l'approche processus. Ces parties sont abordées en faisant des interconnexions avec
la PSSI généraliste, décrite, pour mettre en exergue les aspects techniques,
organisationnel et la conduite du changement nécessaire pour l'appliquer au niveau
des réseaux informatiques. La dernière partie balaye les Plannings Prévisionnels de
la politique de sécurité des réseaux. Cette partie concrète se termine par une analyse
de la position des différents équipementiers.

0.1. CONTENUE DU SUJET

 2

0.2. PROBLEMATIQUE

Il sied de dire que les réseaux informatiques; constituent une nouvelle

manière de communiquer qui encouragent les utilisateurs à imaginer les multiples
services auxquels ils pourront accéder en dehors du transfert; d'encodage des données.
Toute fois ; le déploiement d'un réseau opérationnel à cette structure
universitaire permettra à la dit université de Mazenod d'avoir une interaction avec le
secrétariat de l'université.
A la lumière de ce qui précède; les questions suivantes peuvent résumer
notre réflexion scientifique au cours de la rédaction ce projet.
1) Que faut-il faire pour minimiser la mobilité des agents qui vont récolter les
données dans chaque salle universitaire ?
2) Quel mécanisme faut-il mettre en place pour assurer l'intégralité des données à
l'université de Mazenod ?
0.3. HYPOTHESES
A ces questions; un certain nombre de réponses anticipées s'est constitué
dans notre entendement. Nous retenons celles qui nous semblent capital pour la
soumettre à l'analyse et à l’expérimentation. La dit réponse; nous la formulons de la
manière suivantes: La conception et le déploiement d'un réseau sécurisé; comme
moyen efficace pour optimiser la récolte de données et gérer les transactions dans les
différents sites en fin de minimiser la mobilité des agents. C'est un projet qui s'étend
sur l'université de Mazenod en tenant en compte de la distance des aires de travail.
0.4. OBJECTIF POURSUIVI
Notre projet vise à instaurer une technologie permettant aux agents
administratifs; de pouvoir communiquer à distance avec le directeur général DG afin
d'exécuter les actions telles que : encoder; transférer les données et informer le
secrétaire académique de la situation éventuelle des outils informatiques sans se
déplacer mais simplement en utilisant le réseau informatique mis à sa disposition.
La réussite de ces actions serait possible grâce à une technique de pointe
qui se servira à interconnecter les différentes aires des travaux des agents
universitaires qui se constitueront de la manière suivante: les plus rapprochées
forment un site d'une part et ; celles qui sont éloignées constituent un autre site d'autre
part. Tout cela se réalise à l'aide de la distance parcours par les directeur général de
l'université.
0.5. CHOIX ET INTERET DU SUJET
 3

Le choix de ce sujet est motivé par des raisons suivantes:

1) Le souci de faciliter la communication et planification des réunions entre le
directeur général de l'université et les agents titulaires.
2) Le souci d'aider l'université de Mazenod d'assurer la liaison en temps réel entre
le D G et les agents responsables des autres domaines ; en vue de la
transmission mensuelle de la synthèse des activités informatique effectuées.
A cet ;dans le but d'assurer une liaison permanente entre le bureau
général; et les aires de travail provincial; malgré la distance qui sépare ;l'étude sur
la conception et déploiement d'un réseau sécurisé informatique pour la transaction
des données à l'université de Mazenod ; nous permettra de déployer une structure
informatique qui pourra aider les agents universitaires et la direction général de
rester en interaction avec DG/Kinshasa-Kintambo pour le bon fonctionnement et le
suivi des activités universitaire dans cette structure informatique.
0.6. TECHNIQUE ET METHODES
Nous avons effectué notre recherche au niveau de l'université de
Mazenod plus précisément au bureau administratif Ainsi pour vérifier nos hypothèses
de la solution retenue et atteindre nos objectifs spécifiques; nous avons recouru aux
méthodes et technique suivantes :
0.6.1. Méthode historique
Celle nous a permis d'étudier le passé de l'université de Mazenod pour
mieux cerner la situation actuelle afin de mieux préparer son évolution future.
0.6.2. Méthode descriptive
Elle nous a servi pour la description rigoureuse et objective de
l'université de Mazenod pour parvenir à disposer des éléments nécessaires à
l'approfondissement du sujet de notre mémoire et à présentation des faits récoltés.
La technique étant l'ensemble des procédés d'un art ; nous avons utilisés
les technique suivantes
a) Technique d’interview
Celle ici nous a permis de dialoguer avec le bureau pour avoir plus
d’amples informations fiables sur le fonctionnement de la structure informatique.

b) Technique Documentaire
 4

Elle nous a permis d'élaborer notre approche théorique en consultant des

ouvrages ; les mémoires ; les travaux de fin de cycle et notes de cours qui cadrent
avec notre sujet.
0.7. SUBDIVISION DU TRAVAIL
Notre mémoire se subdivise en cinq principaux chapitres repartis en deux
grands volets; notamment l'approche théorique et pratique. La première parlera sur
les généralités sur les réseaux informatiques et la télémaintenance, le deuxième
chapitre…………, le troisième parlera sur la présentation de l'université de Mazenod;
le quatrième nous parlera du déploiement du système d'accès distant et le dernière
approche contiendra le plannings prévisionnels.

CHAPITRE PREMIER : GENERALITES SUR LES RESEAUX

 5

INFORMATIQUES

1.1. Bref historique du réseau informatique

Au début des années 1970, les premiers grands systèmes informatiques
se composent d'ordinateurs centraux, volumineux, auxquels accèdent en temps
partagé des terminaux distant (terminaux passifs), c'est-à-dire des postes de travail
avec clavier et écran mais sans puissance de calcul. Ces systèmes constituent en
quelque sorte les premiers réseaux informatiques qui était réservait a l’interconnexion
de grand laboratoire et université ainsi que le centre de commandement militaire.
Au cours des années 1980, l'adoption en masse des micro-ordinateurs et,
d'une manière plus générale, la `démocratisation' de la puissance de calcul bouleverse
complètement le monde informatique. Les grands systèmes sont alors massivement
Décentralisés, si bien que l'importance des réseaux informatiques s'en
trouve multipliée, de par le nombre de machines connectées, les quantités de données
échangées et la diversité de nature des communications. Aujourd'hui, ces réseaux sont
d'un usage courant dans notre société, notamment grâce à la popularité du réseau
télématique Internet.
1.2. Définitions
Un réseau informatique est un ensemble d'équipements interconnecte en
vue de partager des ressource matériel et logiciel grâce à un langage de
communication appelle protocole. Un réseau informatique est un ensemble de nœud
et des liens

1.3. Nature Des Informations A Echanger Dans Un Réseaux

Voici les informations qu’on peut changer dans un réseau informatique :

1.3.1. La voix (parole) humaine
1.3.2. Données alpha numérique
1.3.3. Texte
1.3.4. Image fixe et animée
1.3.5. Information multimédia
 5

1.4. Classification De Réseaux Informatique Selon Leur Distance

1.4.1. PAN (Personal Area Network)

Un réseau local personnel (ou Personale Area Network, PAN) désigne
un type de réseau informatique restreint en terme d'équipements, généralement mis
en œuvre dans un espace d'une dizaine de mètres pour couvrir de petites zones telles
que les maisons privées ou les espaces de travail individuels. D'autres appellations
pour ce type de réseau sont : réseau domestique ou réseau individuel.
1.4.2. LAN (Local Area Network)
LAN signifie Local Area Network (en français Réseau local). Ces
réseaux s’étendent au- delà d’un bâtiment ou d’une entreprise.
La taille de ces type de réseau ne dépasse pas quelque kilométré, le
support réseau (câble a paire torsadés, fibre optique ou wifi) peut varier sur l’ensemble
de réseau mais la technologie de transmission utilisée est très souvent Ethernet
(CSMA/CD) .Ethernet (802 .3) est la technologie LAN la plus répandue aujourd’hui.

Figure 1.1: Réseau LAN

Le LAN offre un débit variables allant de 11mb/s (wifi norme802.11b)

jusqu’au Gb/s (le gigabit) .l’arrive récente du gigabit sur internet permet d’augmenter
de manière significative le débit de réseau locaux.
En élargissant le contexte de la définition aux services qu'apporte le
réseau local, il est possible de distinguer deux architectures de fonctionnement :
 d'égal à égal (en anglais Peer to Peer), dans lequel il n'y a pas d'ordinateur
central et chaque ordinateur à un rôle similaire.
 5

 client/serveur, dans lequel un ordinateur central fournit des services réseau

aux utilisateurs.
La majorité de LAN utilise le câble à paire torsadée. Récemment, l’arrivé
du réseau sans fil et de la technologie 802.11 (wifi) a permis au LAN de libérée le
câble.

1.4.3. MAN (Métropolitain Area Network)2

Le réseau Man couvre une ville ou une région et peut s’étendre à une
distance de 5 à 50km

1.4.4. WAN (Wide Area Network)

Le réseau étendue ou réseau à longue distance Wan se situe à l’échelle
d’une région, d’un pays, d’un continent et de la planète.
Contrairement au Lan et Man, les réseaux Wan et voue à connecter de
multiple site sépare par de distance importante.
En résume, le Wan doit répondre aux exigences suivantes :
 interconnexion de réseau de longue distance
 performance pour tout type de flux (voix, donnée)
 évolutivité du réseau à la demande.
1.5. Topologie
Une topologie de réseau informatique correspond à l'architecture
(physique ou logique) de celui-ci, définissant les liaisons entre les équipements du
réseau.
La topologie logique, par opposition à la topologie physique, représente
la façon dont les données transitent dans les lignes de communication. Les topologies
logiques les plus courantes sont Ethernet, Token ring et Fddi

1.5.1. Topologie en bus

Une topologie en bus est l'organisation la plus simple d'un réseau. En
effet, dans une topologie en bus tous les ordinateurs sont reliés à une même ligne de
transmission par l'intermédiaire de câble, généralement coaxial. Le mot « bus »
désigne la ligne physique qui relie les machines du réseau.

2
LUKELE KALUNGA, cours inédit: réseau local et internet, G1 RTM/J,
Esmicom, année académique 2016-2017
 7

Figure 1.2 : topologie en bus

Cette topologie a pour avantage d'être facile à mettre en œuvre et de

posséder un fonctionnement simple. En revanche, elle est extrêmement vulnérable
étant donné que si l'une des connexions est défectueuse, l'ensemble du réseau en est
affecté.

1.5.2. Topologie en anneau

Dans un réseau possédant une topologie en anneau, les ordinateurs sont
situés sur une boucle et communiquent chacun à leur tour.
En réalité, dans une topologie anneau, les ordinateurs ne sont pas reliés
en boucle, mais sont reliés à un répartiteur (appelé MAU, Multistation Access Unit)
qui va gérer la communication entre les ordinateurs qui lui sont reliés en impartissant
à chacun un temps de parole.

Figure 1.3 : topologie en anneau

1.5.3. Topologie en étoile

Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un
système matériel central appelé concentrateur (en anglais hub, littéralement moyen de
roue). Il s'agit d'une boîte comprenant un certain nombre de jonctions auxquelles il
est possible de raccorder les câbles réseau en provenance des ordinateurs. Celui-ci a
pour rôle d'assurer la communication entre les différentes jonctions.
 8

Figure I.4 : topologie en étoile

Contrairement aux réseaux construits sur une topologie en bus, les réseaux suivant
une topologie en étoile sont beaucoup moins vulnérables car une des connexions
peut être débranchée sans paralyser le reste du réseau. Le point névralgique de ce
réseau est le concentrateur, car sans lui plus aucune communication entre les
ordinateurs du réseau n'est possible.

1.5.4. Topologie en arbre

Aussi connu sous le nom de topologie hiérarchique, le réseau est divisé
en niveaux. Le sommet, le haut niveau, est connectée à plusieurs nœuds de niveau
inférieur, dans la hiérarchie. Ces nœuds peuvent être eux-mêmes connectés à
plusieurs nœuds de niveau inférieur. Le tout dessine alors un arbre, ou une
arborescence.

Figure 1.5 : topologie en arbre

1.5.5. Topologie maillée

Une topologie maillée, est une évolution de la topologie en étoile, elle
correspond à plusieurs liaisons point à point. Une unité réseau peut avoir (1, N)
connexions point à point vers plusieurs autres unités. Chaque terminal est relié à tous
les autres. L'inconvénient est le nombre de liaisons nécessaires qui devient très
élevé. Cette topologie se rencontre dans les grands réseaux de distribution (Exemple
: Internet). L'information peut parcourir le réseau suivant des itinéraires divers, sous
le contrôle de puissants superviseurs de réseau, ou grâce à des méthodes de routage
réparties.
 9

L'armée utilise également cette topologie, ainsi, en cas de rupture d'un lien,
l'information peut quand même être acheminée.

Figure 1.6 : topologie maillée

1.6. Technologie Ethernet

Ethernet est une technologie pour les réseaux de données câblés qui
connecte les logiciels et/ou les éléments matériels entre eux. Cela se fait généralement
via des câbles LAN, c’est pourquoi Ethernet est souvent appelé technologie LAN. Il
permet ainsi l’échange de données entre terminaux.
Cette technologie a comme avantage : La simplicité de la méthode
d'accès et la simplicité de l'interconnexion avec les autres technologies, ont fait
d'Ethernet une technologie évolutive à des coûts acceptables pour toutes les catégories
d'utilisateurs.

1.6.1. Technologie token ring

Le token ring ou anneau à jeton est une topologie de réseau associée à
un protocole de réseau local qui fonctionne sur la couche « liaison » du modèle OSI.
Le protocole utilise une trame spéciale de trois octets, appelée jeton, qui circule dans
une seule direction autour d'un anneau. Les trames token ring parcourent l'anneau dans
un sens qui est toujours le même. Le paradigme est celui du rond.

1.6.2. Technologie fddi

Le FDDI (Fibre Distributed Data Interface) est une technologie LAN
coûteuse qui utilise une paire d’anneaux de fibre optique. L’un est l’anneau principal
et l’autre est utilisé pour remplacer l’anneau principal en cas de défaillance du réseau.
 10

1.7. Les Supports De Transmission

Un support de transmission transporte les données sous forme de
signaux, entre les interfaces réseaux.
Il existe différents types de supports qui sont fonctions du prix, de la
simplicité d’installation, de la vitesse, de la résistance aux interférences.

1.7.1. Support physique

C’est Élément matériel sur lequel des données (texte, son, image)
peuvent être transmis d’un point A vers le point B.
1.7.2. Câble Coaxial
Le câble coaxial est un câble à deux conducteurs de pôles opposés
séparés par un isolant. Il est utilisé pour la transmission de signaux numériques ou
analogiques par fréquences hautes ou basses, notamment entre les antennes TV et les
téléviseurs. Il a été élaboré par l'Américain Herman Affel qui a obtenu le brevet de
cette invention en 1931.
Le câble se compose d'un conducteur central appelé l'âme, généralement
en cuivre, qui est enrobé dans un matériau diélectrique (isolant). Ce dernier est lui-
même entouré par un blindage qui fait office de second conducteur. Ce blindage peut
être une tresse de cuivre ou une feuille d'aluminium. Le tout est protégé dans une
gaine isolante. Cette configuration est pensée pour que les conducteurs ne produisent
et ne subissent aucune perturbation vers et depuis l'extérieur. La moindre détérioration
d'un câble coaxial altère son fonctionnement et ses performances.
Nous distinguons deux types de câble coaxial :
 câble coaxial 10base 2 : est un standard Ethernet standardisant une couche
physique dans le modèle OSI utilisant un câble coaxial fin. Celui-ci permet
le transfert de données à des débits jusqu’à 10 Mbit/s.
 câble coaxial 10base 5 : est une norme Ethernet spécifiant une couche
physique du modèle OSI utilisant une topologie réseau en bus, d'une
longueur maximale de 500 mètres avec 100 connexions espacées au
minimum de 2,50 m et une vitesse de 10 Mbit/s.
Le connecteur BNC est un connecteur électrique utilisé en terminaison
de câble coaxial, en particulier dans le domaine radiofréquence.
 11

1.7.3. Câble a Paire torsadée

Un câble a paires torsadées décrit un modèle de câblage où une ligne de
transmission est formée de deux conducteurs enroulés en hélice l'un autour de l'autre,
cette configuration a pour but de maintenir précisément la distance entre les fils et de
diminuer la diaphonie.
Le maintien de la distance entre fils de paires permet de définir une
impédance caractéristique de la paire, afin de supprimer les réflexions de signaux aux
raccords et en bout de ligne. Les contraintes géométriques (épaisseur de
l'isolant/diamètre du fil) maintiennent cette impédance autour de 100 ohms.

Figure 1.8 : Câble A Paire Torsadée

1.7.4. Câble a fibre optique
Permet de propager des ondes lumineuses entre deux lieux. La lumière
est conduite sans perte au cœur du câble, et elle suit les éventuelles courbures de son
support.

Figure 1.9 : câble à fibre optique

Dans les réseaux de télécommunications, la fibre optique est
particulièrement appréciée pour son atténuation très faible et ses débits très élevés.
Ces caractéristiques font de la fibre optique la meilleure solution disponible pour
transmettre des données sur de grandes distances, comme dans le cas des câbles sous-
marins intercontinentaux. De plus, la fibre optique est insensible aux interférences
électromagnétiques. Elle est donc fortement utilisée par les
 12

Armées et les entreprises exigeant une importante fiabilité, ou dans les

environnements où les câbles de cuivre seraient perturbés par des ondes radio.
Il en existe deux types :
 câble a fibre optique multi mode : contient plusieurs rayon lumineux qui
parcourt diffèrent trajet, il existe deux types :
 à saut d’indice : la bande passante peut atteindre 50 Mhz sur 1 Km
 à gradient d’indice : la bande passante peut atteindre 500 Mhz sur 1 Km

 câble à fibre optique mono mode : un seul rayon lumineux est admis dans la
fibre ; plus couteuses, de diamètre plus réduit, elles sont utilisées sur des réseaux
cœurs, anneau optique, câbles sous-marins….. ou les distances et les débits sont
élevés.
1.8. Architecture Des Réseaux
1.8.1. L'architecture Poste A Poste
Dans une architecture d'égal à égal (où dans sa dénomination anglaise
Peer to Peer), contrairement à une architecture de réseau de type client/serveur, il n'y
a pas de serveur dédié. Ainsi chaque ordinateur dans un tel réseau est un peu serveur
et un peu client. Cela signifie que chacun des ordinateurs du réseau est libre de
partager ses ressources. Un ordinateur relié à une imprimante pourra donc
éventuellement la partager afin que tous les autres ordinateurs puissent y accéder via
le réseau.
La politique de sécurité minimale consiste à mettre un mot de passe à
une ressource. Les utilisateurs d’un réseau poste à poste définissent leur propre
sécurité et comme tous les partages peuvent exister sur tous les ordinateurs, il est
difficile de mettre en œuvre un contrôle centralisé. Ceci pose également un problème
de sécurité globale du réseau car certains utilisateurs ne sécurisent pas du tout leurs
ressources.

Figure 1.10 : architecture poste à poste

 13

Avantages
L'architecture d'égal à égal a tout de même quelques avantages parmi
lesquels:

 un coût réduit (les coûts engendrés par un tel réseau sont le matériel, les câbles
et la maintenance)
 une mise en place simple
Inconvénients
L’architecture d'égal à égal ont énormément d'inconvénients:
 ce système n'est pas centralisé, ce qui le rend très difficile à administrer
 la sécurité est très peu présente
 aucun maillon du système n'est fiable
Ainsi, les réseaux d'égal à égal ne sont valables que pour un petit nombre
d'ordinateurs (généralement une dizaine).
1.8.2. L'architecture Client/serveur
L'architecture client/serveur désigne un mode de communication entre
plusieurs ordinateurs d'un réseau qui distingue un ou plusieurs postes clients du
serveur : chaque logiciel client peut envoyer des requêtes à un serveur. Un serveur
peut être spécialisé en serveur d'applications, de fichiers, de terminaux, ou encore de
messagerie électronique.
De nombreuses applications fonctionnent selon un environnement
client/serveur, cela signifie que des machines clientes (des machines faisant partie du
réseau) contactent un serveur, une machine généralement très puissante en termes de
capacités d'entrée- sortie, qui leur fournit des services. Ces services sont des
programmes fournissant des données telles que l'heure, des fichiers, une connexion,
etc.
Avantages de l'architecture client/serveur
Le modèle client/serveur est particulièrement recommandé pour des
réseaux nécessitant un grand niveau de fiabilité, ses principaux atouts sont :
 des ressources centralisées : étant donné que le serveur est au centre du réseau,
il peut gérer des ressources communes à tous les utilisateurs, comme par
exemple une base de données centralisée, afin d'éviter les problèmes de
redondance et de contradiction
 une meilleure sécurité : car le nombre de points d'entrée permettant l'accès aux
données est moins important
 une administration au niveau serveur : les clients ayant peu d'importance dans
ce modèle, ils ont moins besoin d'être administrés
 14

 un réseau évolutif : grâce à cette architecture il est possible de supprimer ou

rajouter des clients sans perturber le fonctionnement du réseau et sans
modification majeure
Caractéristiques d'un serveur :
 il est passif (ou maître) ;
 il est à l'écoute, prêt à répondre aux requêtes envoyées par des clients ;
 dès qu'une requête lui parvient, il la traite et envoie une réponse.
Inconvénients du modèle client/serveur
L'architecture client/serveur a tout de même quelques lacunes parmi
lesquelles :
 un coût élevé dû à la technicité du serveur
 un maillon faible : le serveur est le seul maillon faible du réseau
client/serveur, étant donné que tout le réseau est architecturé autour de lui !
Heureusement, le serveur a une grande tolérance aux pannes (notamment
grâce au système RAID)
 Le client émet une requête vers le serveur grâce à son adresse IP et le port,
qui désigne un service particulier du serveur
 Le serveur reçoit la demande et répond à l'aide de l'adresse de la machine
cliente et son port.

Figure 1.11 : architecture client serveur

1.9. Supports D’interconnexion
L’interconnexion des réseaux c’est la possibilité de faire dialoguer
plusieurs sous réseaux initialement isolés, par l’intermédiaire de périphériques
spécifiques (récepteur, Concentrateur, pont, Routeur, Modem), ils servent aussi à
interconnecter les ordinateurs d’une organisation, d’un campus, d’un établissement
scolaire, d’une entreprise. Il est parfois indispensable de les relier.
 15

Dans ce cas, des équipements spécifiques sont nécessaires. Lorsqu'il

s’agit de deux réseaux de même type, il suffit de faire passer les trames de l’un vers
l’autre. Dans le cas de deux réseaux qui utilisent des protocoles différents, il est
nécessaire de procéder à une conversion de protocole avant de transporter les trames
(paquet des données).
1.9.1. Le Répéteur
Le répéteur, encore appelé répéteur-régénérateur est un équipement
électronique servant à dupliquer et à réadapter un signal numérique pour étendre la
distance maximale entre deux nœuds d'un réseau.

Figure 1.12 : le répéteur

1.9.2. Le Concentrateur (Hub)

Un concentrateur est un élément matériel permettant de concentrer le
trafic réseau provenant de plusieurs hôtes, et de régénérer le signal. Le concentrateur
est ainsi une entité possédant un certain nombre de ports (il possède autant de ports
qu'il peut connecter de machines entre elles, généralement 4, 8, 16 ou 32). Son unique
but est de récupérer les données binaires parvenant sur un port et de les diffuser sur
l'ensemble des ports, voilà son manque d’intelligence.
Le concentrateur opère au niveau 1 du modèle OSI, c'est la raison pour
laquelle il est parfois appelé répéteur multiports.

Figure 1.13 : concentrateur (hub)

 16

Le concentrateur permet ainsi de connecter plusieurs machines entre

elles, parfois disposées en étoile, ce qui lui vaut le nom de hub (signifiant moyeu de
roue en anglais; la traduction française exacte est répartiteur), pour illustrer le fait
qu'il s'agit du point de passage des communications des différentes machines.
1.9.3. Le commutateur (Switch)
Un Switch ou commutateur réseau en français, est un équipement qui
fonctionne comme un pont multiport et qui permet de relier plusieurs segments d'un
réseau informatique entre eux. Le Switch est chargé d'analyser les trames qui arrivent
sur les ports d'entrée. Il opère une filtration des données afin de les orienter vers le bon
port. Le Switch a donc une double fonction de filtrage et de connectivité. Il sert de
véhicule au transport de trame, comme peut également le faire le routage. Il crée
également des circuits virtuels.

Figure I.14 : le commutateur (Switch)

1.9.4. Routeur
Un routeur est un équipement réseau informatique de la troisième couche
du modèle OSI assurant le routage des paquets.
Le Routage : est une opération qui consiste à choisir le chemin le plus
meilleur pour acheminer un paquet d’un point a vers le point b.

Figure 1.15 : Routeur

1.9.5. Passerelle (Gâte Way)
Traduit par "passerelle" ou "passerelle applicative" en français, le terme
Gateway désigne en informatique un dispositif matériel et logiciel qui permet de relier
deux réseaux informatiques, ou deux réseaux de télécommunications, de nature
différentes. Lorsque l'utilisateur d'un réseau souhaite accéder à un réseau utilisant un
protocole différent, la Gateway examine la légitimité de sa demande.
 17

Si celle-ci respecte les conditions fixées par l'administrateur du réseau

visé, alors la Gateway établit une liaison entre les deux réseaux. La passerelle joue
ainsi un rôle de pare-feu et participe à la sécurisation des échanges via des protocoles
réseau différents.
La plupart du temps, la passerelle applicative a pour mission de relier un
réseau local à Internet. La Gateway la plus connue est ainsi la box Internet. Sur le
plan technique, il existe diverses formes de passerelles : un répéteur est considéré
comme une passerelle de niveau 1, un pont comme une passerelle de niveau 2 et un
routeur comme une passerelle de niveau 3.

1.10. Modèle OSI

Le modèle OSI (de l'anglais Open Systems Interconnection) est une
norme de communication, en réseau, de tous les systèmes informatiques. C'est un
modèle de communications entre ordinateurs proposé par l'ISO (Organisation
internationale de normalisation) qui décrit les fonctionnalités nécessaires à la
communication et l'organisation de ces fonctions.
Le modèle comporte sept couches succinctement présentées ci-dessus de
bas en haut et détaillées dans leurs articles respectifs. Ces couches sont parfois
réparties en deux groupes.
Les trois couches inférieures sont plutôt orientées communication et sont
souvent fournies par un système d'exploitation et par le matériel.
Les quatre couches supérieures sont plutôt orientées application et plutôt
réalisées par des bibliothèques ou un programme spécifique. Dans le monde IP, ces
trois couches sont rarement distinguées. Dans ce cas, toutes les fonctions de ces
couches sont considérées comme faisant partie intégrante du protocole applicatif.

Le modèle OSI
Les couches Les fonctions
7 Application Point de contact avec le service réseau
6 Présentation Ajoute des informations de formatage, d’affichage, de cryptage
5 Session Responsable d’initialisation de la session, sa gestion et sa fermeture
4 Transport Spécifie le numéro de port utilise par l’application émettrice ainsi que
le numéro de port de l’application réceptrice, elle fragmente le
données en plusieurs séquence ou segment
3 Réseau Connexion logique des hôtes, l’identification et le routage dans le
réseau
2 Liaison Etabli une liaison physique entre les hôtes et la division de donnée
en plusieurs trame
 18

1 Physique Conversion de trame en bit et transmission physique de donnée

sur le media

Tableau I .1: Model OSI

1.11. Model TCP /IP

 TCP (transmission Control Protocol) : c'est le protocole qui assure la
transmission de données entre une source et une destination
 IP (Internet Protocol) : c'est un protocole sans connexion. Ce qui signifie que
chaque unité de données est adressée et acheminée individuellement du
périphérique source au périphérique cible, et la cible n'envoie pas d'accusé de
réception à la source.
TCP/IP est donc un protocole qui permet la communication entre les
équipements au sein d'un réseau.
Il a pour but d'acheminer les données entre l’émetteur et le destinataire
au travers de différents réseaux en mettant en place un système d’adressage
hiérarchique. Mais surtout il vérifie que la connexion s'établit bien, les données
transitent ne soient pas altérées.
Ainsi des mécanismes de vérifications et d'erreur sont mis en place.
TCP/IP fonctionne par couche ainsi on parle aussi de couches TCP/IP. On peut parfois
aussi parler de piles TCP/IP.
1.11.1. Composition
Le modèle TCP/IP est compose de 4 couches qui sont :
1) La couche accès réseaux
Ce sont les connexions de réseau à réseau qui rendent Internet possible.
La « couche réseau » est la partie du processus de communication Internet où ces
connexions se produisent, en envoyant des paquets de données dans les deux sens
entre différents réseaux
2) La couche Internet
La couche Internet est la couche "la plus importante" (elles ont toutes leur
importance) car c'est elle qui définit les datagrammes, et qui gère les notions
d'adressage IP.
 19

3) La couche de transport
La couche transport gère les communications de bout en bout entre
processus. Cette couche est souvent la plus haute couche où on se préoccupe de la
correction des erreurs.
4) La couche application
La couche Application est une couche qui offre aux applications des
sous-programmes et protocoles standards. Les utiliser, plutôt que d’intégrer les
fonctions dans un développement spécifique, offre des avantages en termes de
portabilité des processus, d’homogénéité d’architecture, de gains en développement.

Tableau de référence OSI et TCP/IP

Tableau I .2 : Modèle OSI Et TCP/IP

1.12. Notion D’adressage
Une adresse IP (avec IP pour internet Protocol) est un numéro
d'identification réseau qui est attribué de façon permanente ou provisoire à chaque
périphérique relié à un réseau informatique. L’adresse IP est codée a 32bits découpé
en 4octet de 8bits
Il existe des adresses IP de version 4 sur 32 bits, et de version 6 sur 128
bits. La version 4 est actuellement la plus utilisée : elle est généralement représentée
en notation décimale avec quatre nombres compris entre 0 et 255, séparés par des
points, ce qui donne par exemple « 192.168.50.50 ».

1.13. Utilisation des adresses IP

 20

L'adresse IP est attribuée à chaque matériel informatique possèdent le

l’interface réseau (routeur, ordinateur, Smartphone, modem, wifi, imprimante réseau,
etc.) connecté à un réseau utilisant l’Internet Protocol comme protocole de
communication entre ses nœuds. Cette adresse est assignée soit individuellement par
l'administrateur du réseau local dans le sous-réseau correspondant, soit
automatiquement via le protocole DHCP. Si l'ordinateur dispose de plusieurs
interfaces, chacune dispose d'une adresse IP spécifique.
Chaque paquet transmis par le protocole IP contient l'adresse IP de
l'émetteur ainsi que l'adresse IP du destinataire. Les routeurs IP acheminent les
paquets vers la destination de proche en proche. Certaines adresses IP sont utilisées
pour la diffusion (multicast ou Broad cast) et ne sont pas utilisables pour adresser des
ordinateurs individuels. La technique anycast permet de faire correspondre une
adresse IP à plusieurs ordinateurs répartis sur Internet.
Les adresses IPv4 sont dites publiques si elles sont enregistrées et
routables sur Internet, À l'inverse, les adresses privées ne sont utilisables que dans un
réseau local.
1.13.1. Classe D’adresse IP
Nous avons 5classe d’adresse IP qui sont réparti comme suit : CLASSE
A : DE 1 à 126
CLASSE B : DE 128 à
191 CLASSE C : DE
192 à 223
CLASSE D : DE 224 à 239 : réservée pour le Broad
caste CLASSE E : DE 240 à 254 : en phase
expérimentale Jusqu’à présent ; on utilise que la classe
A, B et C

1.14. Masque De Sous Réseaux

Le masque est un séparateur entre la partie réseau et la partie machine
d'une adresse IP. Le masque, comme l'adresse IP, est une suite de 4 octets, soit 32 bits.
Chacun de ces bits peut prendre la valeur 1 ou 0. Pour définir le masque, il nous suffit
de dire que les bits à 1 représenteront la partie réseau (Net-ID) de l'adresse, et les bits
à 0 la partie machine (Host-ID). Ainsi, on fera une association entre une adresse IP et
un masque pour savoir, dans cette adresse IP, quelle est la partie réseau et quelle est
la partie machine de l'adresse.
 21

Ainsi, dans l'exemple ci-dessus, il nous reste 8 bits à 0, on aura donc la

possibilité d'avoir 28 machines disponibles dans ce sous-réseau, machines qui pourront
dialoguer entre-elles.
Le masque est un séparateur entre la partie réseau et la partie machine d'une
adresse IP.
 22
CHAPITRE DEUXIEME : LA TELE MAINTENANCE

II.1. Définition
La télémaintenance est une Technologie de prise de contrôle à distance d'un
ordinateur via un réseau de communication (téléphone , intranet ou Internet) à l'aide l'un
logiciel afin de diagnostiquer, gérer et résoudre les problèmes liés à la machine, certains
de ces périphérique ainsi que certains problème lies a son système d’exploitation.

Figure 1 : télémaintenance
II.2. But
Télémaintenance ont pour but de faciliter l’intervention rapide du technicien
opérant en télémaintenance sur l'ordinateur distant sans être physiquement présent.
II.3. Objectif de la télémaintenance
La télémaintenance permet de dépanner le laboratoire le plus rapidement
possible, avec un minimum d’indisponibilité. C’est donc un gain de temps et d’efficacité
pour le laboratoire. Elle permet aussi d’explorer toutes les parties d’un automate, à partir
d’un PC au local de ROCHE DIAGNOSTIC FRANCE.
II.4. Caractéristiques de la télémaintenance:
La télémaintenance offre au technicien biomédical les avantages de pouvoir
accéder à une documentation technique mise à jour et de pouvoir profiter d’une aide au
diagnostic dans les cas de maintenance d’un équipement sur lequel il n’a pas reçu de
formation.

II.5. Aspects de la télémaintenance

L'organisation de la télémaintenance implique un traitement dans les
domaines:
§Personnel:
 La société externe : ce sont des spécialistes dans le domaine
 23
 Le technicien biomédical sur site
 Le service informatique
 Le service de soin
§.Communication:
Des lignes téléphoniques spécialisées, sûres et fiables reliant tous les systèmes
de la société externe au matériel sur site
§ Technologie de service : différentes fonctions sont assurées comme :
 Le diagnostic interne à distance
 Transfert d’informations
 L’assistance en direct
 L’analyse du journal des erreurs
 L’analyse des données brutes
 L’assistance en ligne centralisée
Un système de télémaintenance consiste toujours en 2 parties principales:
 Le centre expert de la télémaintenance.
 Les sites à maintenir
II.6. Fonctionnement
La procédure de la télémaintenance fonctionne grâce à l’installation d’un
logiciel sur la machine nécessitent. Ce logiciel rendra l’appareil accessible au technicien
sous réserve de l’accord préalable émis par la société. Pour lancer une procédure de
télémaintenance, l’ordinateur doit bénéficier d’un accès à l’Internet.
Lors d’une maintenance à distance, un Logiciel à distance entre un appareil et
un autre, une connexion est établie et des données sont transmises. Dans le cas de la
transmission passive, le technicien voit ce que l’utilisateur voit et fait à l’autre extrémité
de la connexion. La transmission active permet au technicien de contrôler lui-même
l’appareil.

II.7. Avantages
La télémaintenance présente de nombreux avantages dont :
1) Une rapidité d’intervention : la télémaintenance permet aux techniciens de
maintenance d’intervenir rapidement en cas de problème. Ils pourront mener des
actions à distance sans se rendre auprès de vos locaux ce qui offre un gain de temps
considérable ;
2) Un coût d’intervention optimisé: sans déplacement, les coûts d’intervention sont
optimisés puisqu’on évite les interventions longues et coûteuses.
 24
3) La sécurité informatique: contrairement à ce que l’on pourrait penser, les
interventions réalisées en télémaintenance sont extrêmement sûres. Et pour cause, les
techniciens effectuent leurs actions via des canaux hautement sécurisés et les données
transférées sont systématiquement chiffrées. Le but de toutes ces mesures est d’éviter
que des personnes mal intentionnées n’interceptent vos données.
4) Une efficacité et une fiabilité accrues: la télémaintenance est différente de la
téléassistance. Dans la téléassistance, un technicien vous guide à travers un échange
par téléphone ou par vidéoconférence pour résoudre un problème informatique
quelconque. Dans la télémaintenance, un technicien prend directement le contrôle de
votre ordinateur. En d’autres mots, l’intervention est réalisée par un expert, ce qui
implique plus de fiabilité, plus d’efficacité et surtout moins d’erreurs.
II.8. Inconvénients
La mise en place d’une procédure de la télémaintenance demande un minimum
de préparation avant l’intervention, il est important de bien fermer et d’enregistrer tous
les travaux en cour sur l’ordinateur.
Durant l’intervention du technicien, l’ordinateur ne doit pas se redémarrer (le technicien
s’en chargeras si besoin) pour que la procédure de la télémaintenance se déroule sans
problème, la connexion Internet ainsi que le courant ne doivent pas être coupe.
Risques pour la sécurité : L’accès à distance pose un certain nombre de risques pour la
sécurité. Par exemple, vous pouvez infecter le réseau de votre entreprise avec un virus si
votre ordinateur en a un.
II.9. Différents logiciels de télémaintenance
II.9.1 Logmeln
LogMeIn est un module d'accès à vos ordinateurs distants. Il peut ainsi
contrôler les ordinateurs distants sans utiliser de navigateur, transférer des fichiers ou
synchroniser deux dossiers. L'application dispose d'un paramètre de connexion
automatique, avec enregistrement des mots de passe cryptés en local et offre également
un moteur de recherche d'ordinateurs par nom.
Ce logiciel a été pensé pour gérer et contrôler un parc informatique. Cette
solution est assez performante, mais présente toutefois des défauts relativement majeurs,
dont la prise de contrôle de l’ordinateur sans accord de l’utilisateur distant ou encore les
ralentissements d’affichage qui surviennent lorsque les commandes transférées sont trop
importantes.
 25

Figure 2 : logmeln
II.9.2 splashtop
Est un logiciel de bureau à distance et de télémaintenance, développé par
Splashtop il permet aux utilisateurs d'accéder ou de maintenir des ordinateurs à distance.
Avec son application d’accès à distance, splashtop intègre les ordinateur
Mac,windows ou linux
II.9.3 Anny desk
Est une application de bureau à distance distribuée par AnyDesk Software. Le
programme logiciel propriétaire fournit un accès à distance indépendant de la plate-forme
aux ordinateurs personnels et autres dispositifs exécutant.
AnyDesk est le logiciel de bureau à distance de premier choix pour les zones
avec une connectivité Internet médiocre

Figure 3: anydesk

II.9.4 Vnc
Virtual Network Computing (VNC) est un système de visualisation et de
contrôle de l'environnement de bureau d'un ordinateur distant dans le but de faire la
télémaintenance. Du fait de sa simplicité, il est principalement utilise également dans
les entreprises et peut être aussi utilisé par des particulier dans le cadre d’un réseau
personnel
 26
II.9.5 Team viewer
a) Présentation
TeamViewer est un logiciel propriétaire de télémaintenance le plus performent
disposant de fonctions de bureau à distance, de télé administration, de conférence en ligne
et de transfert de fichiers.
Grâce à ses multiples options, TeamViewer est le plus complet des logiciels de
contrôle à distance. Il fonctionne sur tous les PC, les Mac et même sur les Smartphones.
Facile à prendre en main, ce logiciel permet de se connecter à un PC à dépanner en deux
clics. Avec ses diverses fonctionnalités, il est possible de paramétrer totalement
l'assistance à distance, de transférer des fichiers, d'établir des communications audio et
vidéo et de créer des téléconférences.
Face aux avantages cités, le seul inconvénient de l’outil TeamViewer est la
connexion internet. Pour assurer un fonctionnement optimal, ce logiciel de prise de la
main d’un ordinateur à distance à besoin d’une connexion rapide et puissante.

Figure 4 : présentation team viewer

b) Installation
Apres avoir téléchargé le logiciel, C’est l'option cochée par défaut) et cliquez
sur Suivant. Cochez les deux cases J'accepte les termes de la licence et Je confirme utiliser
TeamViewer exclusivement à des fins personnelles pour finaliser l'installation.
c) Prendre le contrôle d'un ordinateur à distance
Est maintenant installé sur les deux ordinateurs. Peu importe que l'on souhaite
prendre le contrôle d'un PC depuis un autre PC, d'un Mac depuis un PC ou inversement
ou d'un Mac depuis un Mac, les manipulations demeurent identiques.
Sur l'ordinateur devant être contrôlé, observez au centre de la fenêtre la section
Autoriser le contrôle à distance. Elle présente à la ligne Votre ID un numéro. Celui-ci
est votre identifiant. Il est associé à un mot de passe à la ligne du dessous. Transmettez
ces informations à la personne devant vous dépanner grâce à TeamViewer. Attention, ces
données sont sensibles : elles ouvrent un accès total à votre ordinateur ! Aussi, mieux
vaut les communiquer en passant un coup de téléphone ou en envoyant un SMS. Vous
éviterez qu'elles se promènent sur le Web en cas de piratage.
 27

Figure 5 : coordonnée de connexion à distance

Sur l'ordinateur devant prendre le contrôle à distance, saisissez le numéro

d'identifiant de la machine à dépanner que vous avez reçu dans le champ ID du
partenaire (inutile d'indiquer les espaces, ils seront intégrés automatiquement). Validez
d'un clic sur le bouton Connecter.

Figure IV.6 : connexion à distance

Dans la boîte de dialogue qui surgit, indiquez le mot de passe que vous avez
également reçu. Attention à bien respecter les majuscules et les minuscules. Cliquez sur
Se connecter.
Au bout de quelques secondes (cela dépend du débit de votre connexion à
Internet et de celui de la personne à dépanner), une fenêtre présente le Bureau de
l'ordinateur distant (un PC sous Windows 10 dans notre exemple).
 28

Figure 7 : contrôle à distance

Sur la machine contrôlée, le fond d'écran bascule en noir (si c'est un PC) ou en
gris (si c'est un Mac). Ne vous inquiétez pas, c'est tout à fait normal. Ce fond uni permet
d'alléger la quantité de données à transmettre par Internet.

Figure 8 : Machine contrôlé

Sur l'ordinateur qui a pris le contrôle, toutes les manipulations sont désormais
possible sur la machine distante. Modifier les réglages de Windows ou de mac OS, lancer
un logiciel, ouvrir des fichiers, surfer sur le Web avec un navigateur, télécharger des
fichiers ou des applis… vous pouvez utiliser l'ordinateur distant comme si vous l'aviez
sous les yeux.
 29

Figure 9 : Machine contrôlé

Si l'ordinateur contrôlé à distance est un PC sous Windows, il est même

possible d'envoyer la commande Ctrl + Alt + Sup pour accéder par exemple au
Gestionnaire de tâches sans demander à l'utilisateur resté devant son écran d'intervenir
en pressant les touches du clavier à votre place. Pour cela, cliquez, en haut de la fenêtre,
sur le bouton Actions et choisissez l'action à mener.
Lorsque la session de dépannage est terminée, refermez tout simplement la
fenêtre de TeamViewer. La communication entre les deux machines est immédiatement
rompue. Vous pouvez quitter TeamViewer sur les deux ordinateurs.
 30
CHAPITRE TROISIEME : PRESENTATION DE L’UNIVERSITE DE
MAZENOD
1
3.1. Historique
Le bref aperçu historique ci-dessous en trois grandes périodes nous en dira,
certes, long. Nous en soulignerons quelques repères importants, avec une attention
particulière sur le progrès académique et l’évolution statutaire de l’ISEM enregistrés
pendant les dix dernières années de son existence.
 Phase de gestation : 1982 – 2004
Né au cœur du Scolasticat, vingt ans après le concile Vatican II et, dans le
contexte de célébration du cinquantenaire de l’arrivée des Missionnaires Oblats de Marie
Immaculée sur le territoire du Congo Belge, le Théologat « Eugène de Mazenod » se
donnait pour objectif de relever le défi de formation d’une nouvelle génération d’Oblats.
Cette formation s’imposait alors comme une mission urgente et prioritaire, un véritable
ministère dans lequel la Province et la Congrégation devaient investir énergie, savoir-
faire, ressources humaines, matérielles et financières. Après un temps de tâtonnement et
de recherche, le projet d’un scolasticat oblat au Congo, alors Zaïre, avec un Théologat
intégré, se réalise. Les travaux de construction, entièrement financés par l’Administration
générale, commencèrent en 1980 et se terminent sept ans plus tard, avec la cérémonie de
l’inauguration officielle présidée par le Supérieur Général, le Très Révérend Père
Marcello ZAGO, le 1er mars 1987.
Mais le Théologat ouvrait déjà ses portes le lundi 18 octobre 1982 avec sept
étudiants oblats (Iwele Léon, Lakutu Thierry, Malenge Jean-Baptiste, Manessa Paul,
Musumbi Bosco, Ngundu Victor Mick, Ombum Delphin), encadrés par six professeurs.
Les enseignements étaient donnés et suivis chez les voisins, les Frères des Écoles
Chrétiennes, faute de locaux disponibles au Scolasticat oblat de Kintambo.
À l’ouverture de l’année académique 1983-1984, le Théologat inaugure
officieusement ses nouveaux locaux et accueille un étudiant Xavérien. L’année suivante,
ce sont des étudiants Xavériens, Carmes Deschaux, Trappistes et Prémontrés qui
prennent leur inscription au Théologat et portent les effectifs étudiants de 8 à 14.
D’une année académique à une autre, le Théologat accueille de nouveaux
étudiants et enseignants d’autres familles religieuses, de nationalités différentes et des
diocèses de deux Congo, qui grossissent la taille de ses auditoires. De fait, cinq ans
après sa fondation, le Théologat compte 63 étudiants issus de 15 Congrégations.

A. DUPAR LALHE, extrait de la petite historique de l’ISEM, 2017

 31
Le staff de direction du Théologat« Eugène de Mazenod », pense déjà à une
reconnaissance officielle par l’Enlisé universelle. En effet, le Père Benoit Kabongo omi
et le Père Paolo Archiati, omi, respectivement Recteur et Préfet des études, dévoilent leur
projet de porter le Théologat au standing des institutions académiques catholiques dignes
de ce rang, sans doute avec l’accord du Provincial des Oblats du Congo. Le 21 décembre
1987, le Père Paolo Archiati écrit au « R.P. Chargé des questions d’affiliation » et
introduit officiellement la demande de « l’affiliation de notre Institut à la Pontificia
Universitas Urbaniana » (Lettre au R.P. Chargé des questions d’affiliation). Le même 21
décembre 1987, le Recteur et le Préfet des études du Théologat contresignent une lettre
de demande d’approbation « pour une telle affiliation » à son Éminence le Cardinal
Frédéric Etsou Nabis Bamungwabi [sic], Archevêque de Kinshasa.
Dès lors une série de démarches, correspondances et contacts sont engagés
entre la Direction de l’ISEM et les autorités ecclésiastiques et religieuses (cf. la
Congrégation pour l’Éducation Catholique, l’Administration générale O.M.I., le
Provincial des Oblats en R.D. Congo, l’ASUMA) et académiques de l’Université
Pontificale Urbaniana jusqu’à l’Affiliation du Théologat « Eugène de Mazenod » à la
Faculté de Théologie de l’Université Pontificale Urbanienne, le 26mars 1992 (cf. Décret
d’Affiliation Prot. num. 631/91/15).Il en va de même pour les démarches de
renouvellement de ladite Affiliation que leurs successeurs introduiront en 1997, 2007
et 2017.
La détermination de l’Administration provinciale et de la Direction de l’ISEM
de faire de celui-ci une institution universitaire est aussi manifeste par l’organisation du
Colloque International de Missiologie (Kinshasa, 20-26 février 1994), à l’occasion du
lancement de l’Institut Africain des Sciences de la Mission, IASMI, en sigle.
L’agrégation de l’IASMI à la Faculté de Missiologie de l’Université Pontificale
Urbanienne est sollicitée et obtenue en 1996.L’IASMI, grâce à son programme de
deuxième cycle de Missiologie, ouvrait à l’ISEM des nouveaux horizons d’une institution
académique catholique vouée à l’enseignement supérieur et à la recherche.
De fait, le « plan pour le développement de l’ISEM (2004-2013) » conçu en
2004 par le Recteur et parrainé par le Supérieur Provincial, envisage l’ouverture du
programme de « Doctorat en Sciences de la Mission » et l’organisation d’un «
Département de formation au leadership, en projet … », et «une Ecole d’informatique,
en prolongement de l’actuel Centre de formation informatique : formation en bureautique
et langage de programmation, atelier de maintenance, cybercafé internet. »

 Phase de maturation : 2005 – 2013

 32
Mais, c’est à partir de 2005, la vague du syndrome « USAKIN » aidant, que
l’Administration provinciale et la Direction de l’ISEM réfléchissent sérieusement sur
l’avenir de ce dernier.
Le projet d’intégrer la dimension des sciences « profanes » au sein de l’ISEM,
qui lui manquait jusqu’à maintenant, se précise et prend forme. Des études et groupes
de réflexion sont organisés sur la faisabilité et la matérialisation dudit projet, comme en
témoignent les quelques documents repris ci-dessous : Le Comité ad hoc sur « L’ISEM
et son Avenir », réuni à Mbudi, du18-22 avril 2006, sur demande du Vicaire Provincial,
vote vingt-deux recommandations, dont la dernière est très incitative : « Que l’on mène
une étude de faisabilité d’une école supérieure professionnelle et universitaire
d’informatique et de leadership. » Faisant écho à cette « étude de faisabilité » et soucieux
des enjeux d’une reconnaissance officielle par l’État congolais de l’ISEM comme «
Établissement d’utilité public », le Conseil rectoral introduit une demande d’Autorisation
de Fonctionnement auprès du MINESURS.
Ladite Autorisation est accordée à l’ISEM par l’Arrêté Ministériel
N°MINESURS/CABMIN/042/2008 du 07/07/2008, sous la dénomination « Institut Saint
Eugène de Mazenod », à l’issue de « l’Audit Organisationnel et de l’Enquête de Viabilité
effectués dans la ville de Kinshasa » par le MINESU dans certains Établissements
d’Enseignement Supérieur et Universitaire en République Démocratique du Congo.
Un autre Comité ad hoc, dénommé Mbudi, II se réunit, sous l’impulsion du
Conseil rectoral, cette fois, du 27 au 29 juin 2009, au monastère de Mambré, sur le thème
« L’ISEM et son Avenir. Bilan et perspectives trois ans après Mbudi I ». Ce second
Comité entérine les Actes du premier Comité. Il évalue les « défis », mais comptabilise
surtout les « changes » de l’ISEM (ses infrastructures matérielles viables, le personnel
oblat qualifié et compétent) pour un avenir confiant, certain.
Deux ans après l’Autorisation de Fonctionnement, l’Institut Saint Eugène de
Mazenod acquiert le statut des Instituts Supérieurs et Universitaires Privés Agréés.
Arrangement qui lui accordé par l’Arrêté Ministériel collectif N°
078/MINESU/CABMIN.ESU/MML/KOB/2010, du 27 avril 2010, sous l’appellation :
INSTITUT SUPERIEUR SAINT EUGENE DE MAZENOD, ISEM, en sigle. A
l’occasion de la visite canonique du Supérieur Général, Louis LOUGEN, O.M.I., le Père
Baudouin MUBESALA, alors recteur, abordant le point sur « [nos] perspectives d’avenir
» pour l’ISEM, n’ira pas du dos de la cuillère pour informer le Très Révérend Père
Supérieur Général de la possibilité d’y « ouvrir d’autres facultés dans des domaines
comme les sciences humaines, sociales, informatiques, etc. » (Baudouin MUBESALA,
Rencontre du Conseil rectoral du complexe académique de Mazenod avec le Supérieur
Général, Kinshasa, 23 juin 2012, p. 4).
 33
 Phase d’étude de faisabilité et de matérialisation du projet : 2014 – 2018, Quelques
mois après la visite du Supérieur Général, le Supérieur provincial revient, en mars
2013, sur la question de l’avenir de l’ISEM et en institue une Commission de
réflexion, sous la présidence du Père Baudouin Mubesala. La Commission se réunit
le 25 avril, le 16 et 17 mai 2013 et livre ses conclusions au Provincial : la pertinence
de créer des filières non ecclésiastiques à côté de celles de Théologie, Spiritualité et
Animation Missionnaire et de Missiologie, dont les effectifs étudiants sont toujours
décroissants.
C’est le même message que le Père Anaclet DUPAR, O.M.I., qui, succédant
au Père Baudouin MUBESALA, O.M.I., à la tête de l’ISEM, relayera au Comité de
formation, conduit par le Révérend Père Cornelius NGOKA, O.M.I., premier Assistant
Général et Chargé de la formation, en visite dans notre Province. En effet, au deuxième
point - les « Projets d’avenir pour l’ISEM » - de son intervention devant les membres du
Conseil rectoral et leurs invités de marque, le recteur milite pour la « création de
nouvelles filières de formation : école d’informatique et de gestion, Maîtrise en Théologie
pratique » et, au finish, la « création d’une Université Saint Eugène de Mazenod à
Kinshasa ou dans l’arrière-pays » (Père Anaclet DUPAR, Présentation du Complexe
académique ISEM aux membres du Comité général de formation O.M.I., Kinshasa, 26
février 2014).Dans sa lettre AP/OMI/HN/002/05-032014, du 05 mars 2014, le Père
Provincial, réagissant au rapport à lui présenté par la commission MUBESALA, institue
un« comité de suivi »à qui il demande de « se joindre le plus tôt possible au conseil
rectoral pour examiner » et approfondir les recommandations de la Commission
susmentionnée, notamment « la situation générale de l’ISEM, la possibilité d’ouvrir au
sein de l’ISEM d’autres options plus attrayantes, … les sciences de l’informatique et la
gestion financière » et de lui faire « Des recommandations concrètes découlant du constat
et des réflexions sur la situation actuelle de l’ISEM »
La création des nouvelles filières d’études au sein de l’ISEM, autres que la
Théologie, la Spiritualité et la Missiologie, est consacrée par l’Assemblée provinciale de
janvier 2015, dans la deuxième de ses « quatre résolutions majeures » (cf. Echos N°71,
Janvier 2015, p. 5). Le Provincial ne cache plus son intention de faire de l’ISEM une
université. A l’occasion de la XIIIème Conférence internationale annuelle des recteurs
des Institutions académiques oblates, organisée par l’ISEM, le Provincial déclare aux
participants et invités : « Quant à l’Institut saint Eugène de Mazenod, martèle-t-il, nous
aimerions lui octroyer un statut d’une université » (Père Abel NSOLO, Adresse de
bienvenue au Comité exécutif de l’AOHIL, Kinshasa, 25 mai 2015), Une année plus
tard, le Supérieur Provincial informe la Province de la mission qu’il dévolue au conseil
rectoral, à savoir« L’ISEM devra organiser un Conseil rectoral élargi pour mener une
 34
réflexion approfondie sur l’avenir de cette institution académique. Les résultats seront
présentés au Conseil de mars » (Echos du Conseil provincial de novembre 2016).
Cette réunion du Conseil rectoral élargi est convoquée et tenue à l’ISEM, le 27
décembre 2016. 13 oblats – Supérieur Provincial, Recteur, membres du conseil rectoral
et Professeurs - participent à cette table ronde. Après débat et considérations, les
participants entérinent le projet du deuxième cycle en Théologie et des nouvelles filières
au sein de l’ISEM: Administration des affaires, Sciences économiques
et Politiques, Sciences et Technologie Informatiques. Par ailleurs, les participants
proposent la création de l’UNIVERSITE DE MAZENOD UNIVERSITY.
Cette dénomination est préférée à Université Saint Eugène de Mazenod pour
facilitation auprès des personnes et organismes internationaux et nationaux, devenus de
plus en plus sécularisés voire allergiques au religieux… Ils recommandent au Recteur et
aux membres du Conseil rectoral d’en faire les démarches administratives nécessaires
auprès du Supérieur provincial des Oblats et de l’État congolais, en l’occurrence le
Ministère de l’Enseignement Supérieur et Universitaire (cf. Compte rendu de la réunion
du 27 décembre 2016).
 Après le nihil obstat du Supérieur Provincial accordé le 08 avril 2017 (cf.
AP/OMI.HN/005/08-04-2017), les démarches administratives s’ébranlent.
Le Recteur de l’ISEM introduit la « Demande d’Approbation d’ouverture de
nouvelles filières » auprès du Ministre de l’Enseignement Supérieur et Universitaire »
(Cf. ISEM/REC/ADL/04/5-17). Le Ministre réagit en diligentant une « Mission de
Contrôle de viabilité » (cf. Ordre de Mission collectif N°
0320/MINESU/CABMIN/SMM/NC/2017, du 02 novembre 2017).
Les résultats du Contrôle de viabilité sont largement favorables. Le Secrétaire
Général du Ministère de l’Enseignement Supérieur et Universitaire en communique la
quintessence au Recteur de l’ISEM et ne cache pas de lui exprimer son souhait de
convertir notre actuelle institution académique en université. Il le dit en ces termes : « En
réponse à votre demande d’ouverture des trois nouvelles Filières à savoir :
l’Administration des Affaires, la Technologie et Sciences de l’Informatique et les
Sciences Économiques et de Gestion, Son Excellence Monsieur le Ministre de
l’Enseignement Supérieur et Universitaire a diligenté une Equipe d’Agents pour procéder
au Contrôle de viabilité conformément à l’Ordre de Mission Collectif N°
0320/MINESU/CABMIN/SMM/NC/2017 du 02 novembre 2017.
De l’examen de la copie me réservée du rapport de ce contrôle, il s’avère que
les Missionnaires des [sic] Oblats de Marie, Pouvoir Organisateur de cet Établissement,
dispose des atouts majeur pour le fonctionnement de ces trois nouvelles Filières.
 35
Cependant, il importe de signaler que ces nouvelles Filières étant facultaires ne
peuvent être organisées que dans une Université. Cela étant, avant de faire des
propositions concrètes à la Tutelle en rapport avec l’Acte juridique devant garantir le
fonctionnement de ces 3 nouvelles Filières, il serait souhaitable que le Pouvoir
Organisateur procède à l’harmonisation de la dénomination de l’Institution qui puisse
cadrer avec lesdites. » (SECRETARIAT GENERAL,
N°MINESU/SG/160/01/4098/2017, du 22 décembre 2017).
Le Conseil rectoral de l’ISEM se réunit le 29 décembre 2017 pour accuser
réception de la lettre du Secrétaire Général susmentionnée et promet de procéder à «
l’harmonisation de la dénomination » de l’ISEM, c’est-à-dire sa conversion en
Université. Celle-ci est faite par un Procès-verbal issu de la réunion du Conseil rectoral
du 03 janvier 2018, lequel est déposé le 05 janvier 2018 au Secrétaire Général du
Ministère de l’Enseignement Supérieur et Universitaire, sis Avenue Colonel Lukusa,
Kinshasa/Gombe (cf. Procès-verbal N° 001CRISEM/2018 de la réunion du Conseil
rectoral du 3 janvier 2018, portant harmonisation de la dénomination).
Le Recteur soumet le dossier à la nouvelle Administration provinciale, d’abord
le mardi 31 octobre 2017, à l’invitation du Secrétaire provincial à « prendre part à la
réunion du Conseil provincial du 30 octobre au 04 novembre 2017, puis à l’occasion des
autres rencontres avec le Provincial.
3.2. Situation géographique
L’Université de Mazenod (UDMAZ) est située sur l’avenue Kasa-vubu
n°3145 au quartier NGANDA (Jamaïque) dans la commune de Kintambo, ville-
province de Kinshasa en République Démocratique du Congo.
3.3. Statut juridique
Outre l’autorisation de fonctionnement lui conférée par l'Arrêté Ministériel N°
042/2008/MINESURS/CABMIN du 07 juillet 2008 et l’Admission à l'Agrément par
l'Arrêté Ministériel N° 078/MINESU/CABIN.ESU/MML/KOB/2010 du 27 avril 2010,
la reconnaissait comme « Établissement d’utilité publique » sous la dénomination Institut
Supérieur Saint Eugene de Mazenod, cette institution académique a bénéficié de deux
autres Arrêtés Ministériels. Comme « Établissement d’utilité publique » sous la
dénomination Institut Supérieur Saint Eugene de Mazenod, cette institution académique
a bénéficié de deux autres Arrêtés Ministériels.

3.4. Mission et perspective avenir

Le projet de création d’une université, avec la dénomination : UNIVERSITE
DE MAZENOD, est la conséquence logique de l’ouverture de nouvelles filières,
 36
matérialisation des souhaits de « formation diversifiée » au sein de l’université de
Mazenod, souhaits maintes fois exprimés lors de leurs différents rencontres tant au
niveau provincial que local.
Cette Université oblate aura pour mission celle dévolue à toute institution
d’enseignement catholique, à savoir servir de « passerelle et interface entre le monde et
l’Eglise ». De fait, fort de son potentiel humain et matériel, l’université de Mazenod
dispose du potentiel et à la facilitation de faire sien l’objectif affiché de l’Eglise
catholique de se « relancer dans le domaine de l’éducation » étant donné les nombreux
maux dont souffre ce secteur important du développement humain de nos sociétés et,
particulièrement, de la République Démocratique du Congo.
Le rêve de la formation diversifiée pourrait alors devenir une réalité vécue
grâce aux sciences humaines, sociales et autres que notre institution académique
offrira…

3.5. Organigramme général2

2
Source : Rectorat de l’université de Mazenod
 37

Pouvoir d’administration

Comité de gestion

Conseil académique

Recteur

Secrétaire Général Académique Secrétaire Général administratif

Officiers et personnel de service

Comptable ou caissier Secrétaire de direction

Professeurs Bibliothécaire

Doyens de facultés Cafétéria et entretien

Assemblée des étudiants Chauffeur

Gardiens

3.6. Analyse des postes de travail

 38
L’étude des postes de travail consiste à dégager à partir de l’organigramme
général, un organigramme spécifique par rapport au domaine ou processus à informatiser
et de décrire les rôles de chaque poste y repris.
3.7. Organigramme spécifique
C’est un schéma graphique permettant de présenter la structure
organisationnelle et fonctionnelle par rapport au domaine ou au processus à informatiser.

Recteur

Secrétaire Général Administratif Secrétaire Général Académique

Secrétariat Général

3.8. Description organigramme spécifique

 Recteur
Il est l’autorité compétente officiellement reconnue pour gérer, administrer
l’UDMAZ avec l’assistance des autres membres du comité de gestion et rendre compte
au conseil d’administration.

 Secrétaire général académique : Il a comme tâches :

 Il met à jour les dossiers administratif ;
 Il veille à l’applicabilité du calendrier académique d’une manière permanente ;
 Tenir à jour le suivi des taches et exécuter toute autre tâche demandée à la
hiérarchique ;
 Faire le rapport à la hiérarchique ;
 Il veille à ce que les enseignements soient bien donnés par les professeurs
ordinaires, chefs de travaux et les assistants conformément au programme national ;
 L’élaboration et l’application des horaires de cours, des interrogations et des
examens pour chaque année académique et le présente au secrétaire général
académique pour l’approbation ;

 Secrétaire administratif et Administrateur du budget

Il a comme tâches :
 39
 Il s’occupe de la gestion financière de l’Université Il assiste le directeur général
dans la gestion
 Le contrôle de l’application des décisions des Universités et de directive
d’organisation financière ;
 Il exécute son travail sous les pieds de directeur général académique.
 Il rédige des lettres administratives, PV et rapport suivant les instructions données
par son chef direct ;
 Il réalise d’autre tâche de routine à l’administration telles que le classement des
documents, l’expédition et la réception des courriels.
 Il contrôle les courriels électroniques et les imprimés.
 Le comptable
 Il travaille toujours sous la direction du budget
 Il perçoit les frais académiques et d’autre frais
 Il donne le rapport journalier des caisses auprès de son chef direct et ce dernier
(administrateur du budget) donne aussi le rapport à la hiérarchiques et ce
quotidiennement, c’est-à-dire chaque jour ouvrable ;
 Il actualise les caisses et passe les écritures comptables comme il est exigé.
 Secrétariat de direction
 Organise les archives de l’Université
 Il transcrit et calcul les points des examens
 Il s’occupe de la saisie des lettres, des syllabus.
 Il prélève la présence des professeurs pendant les séminaires et les cours de langue.
 Il surveille les examens et collabore avec le secrétaire académique pour les horaires
 Et il joue l’intérim de l’administratif en percevant les frais.
 40
CHAPITRE QUATRIEME : LE DEPLOIEMENT DU SYSTEME D’ACCES
DISTANT
Dans la PSSI généraliste, la phase de déploiement est composée des parties
« système documentaire » et « méthode de déploiement ». Le système de documentaire,
déjà abordé dans la phase de planification par le paragraphe 2.2, doit être mis en place
dans cette phase et pour y arriver, l'utilisation d'un « framework » est possible. Ce «
framework » met en place l'éventail de documents qui composent « la politique de
sécurité « cadre » et le panel opérationnel », définit dans l'EBT. Les méthodes de
déploiement, appelées stratégies de sécurité, vont permettre d'implémenter les objectifs
spécifiés dans la politique de sécurité. Commençons par l'aspect documentaire.

4.1. Définition d'un « framework »

Un « framework » est une structure basique permettant la résolution de
problèmes complexes. Le « framework » de sécurité réseau va permettre de définir un
guide de recommandation de haut niveau, d'après la décomposition de la vision en
objectifs, qui va ensuite être décliner en plusieurs guides et règles. Il doit tenir compte
des spécificités et besoins de sécurité de l'entreprise, mais dans tous les cas il devra
traiter des chapitres suivants, essentiels à la partie réseau : organisation et management,
ressources humaines, gestion de projet, gestion des accès logiques, exploitation et
administration, vérification des configuration, sécurité physique, plan de désastre et
vérification de l'application de la politique de sécurité réseau. Les paragraphes qui
suivent détaillent un certain nombre de ces guides et règles.
 Organisation et management
Une politique de sécurité doit faire partie intégrante de la stratégie de
l'entreprise. L'implication et le support du management sont primordiaux car la sécurité
a des impacts sur les projets informatiques en terme de priorité, de ressources, etc... Il
est judicieux de définir un comité, constitué des dirigeants de l'entreprise, et qui a pour
mission la définition de la stratégie de sécurité et le support de sa mise en place. Les
objectifs de sécurité doivent être inclus dans la stratégie de l'entreprise et définir un plan
de sécurité annuel. Une politique de sécurité générale doit être définie avec des objectifs
simples et précis, incluant les rôles et responsabilités de chacun des départements de
l'entreprise. Une équipe de sécurité, ayant pour mission la vérification de la bonne
application de la politique de sécurité réseau, doit être créée. Un ensemble de
recommandations, couvrant les domaines ciblés par la politique de sécurité réseau, est
défini pour tous les départements de l'entreprise. Enfin, des procédures de sécurité,
chargées de garantir la sécurité des ressources critiques, sont établies pour tous les
départements.
 41
 Ressources humaines
La politique de sécurité nécessite l'implication des salariés pour être appliquée
de façon optimale et c'est pourquoi le facteur humain dépasse souvent les aspects
purement techniques. Les procédures de recrutement doivent être clairement définies et
les contrats d'embauches doivent inclure un paragraphe relatif à la politique de sécurité
de l'entreprise. Les cadres juridiques et réglementaires de la politique de sécurité et des
actes de malveillance doivent être connus de tous. Des procédures disciplinaires doivent
être définies suite à l'implication d'un salarié dans un acte de malveillance. Les fonctions
clés de l'entreprise comme directeur de recherche, des opérations ou expert de la sécurité
doivent être identifiées. Les salariés, fournisseurs ou prestataires doivent recevoir une
sensibilisation à la sécurité car la connaissance par autrui de toutes informations
sensibles risque de faire perdre à l'entreprise un avantage important face à ces
concurrents.
 Gestion de projet
La politique de sécurité doit tenir compte des évolutions des produits et
services de l'entreprise afin de coller à la réalité. De manière générale la gestion de projet
doit tenir compte de la politique de sécurité, le plus en amont possible, afin d'y intégrer
les contraintes de sécurité. Les procédures de développement des produits et services
doivent être clairement définis et documentés et le développement des produits ou
services doivent tenir compte de la politique de sécurité dès la phase de conception. Des
tests de non régressions doivent être définis lors du développement et ont pour unique
objectif de valider que le niveau de sécurité préalablement défini reste valide.
Les éléments « hardware » et « software » nécessaires au développement des
produits doivent être connus et approuvés et tout élément critique doit être clairement
identifié. L'environnement de développement des produits et services doit être sécurisé
et les accords avec des tierces parties clairement défini. La documentation relative aux
projets informatiques est accessible au personnel de l'entreprise, classée en fonction de
la confidentialité et maintenue à jour.
 Gestion des accès
Les accès et droits d'accès aux ressources de l'entreprise composent le volet
de la politique de sécurité le plus dure à mettre en place, compte tenu de l'importance
des facteurs humains et des procédures de gestion associés. La gestion des accès
logiques repose à 90% sur des aspects organisationnels et à 10% sur des aspects
techniques. Il est nécessaire de définir au préalable les rôles et besoins d'accès associés
aux ressources de l'entreprise, puis d'attribuer à chaque utilisateur un ou plusieurs rôles
pour définir ces droit d'accès. Pour y parvenir, il faut avoir procéder à une classification
des ressources de l'entreprise, normalement effectuée pendant la phase de planification.
 42
Les responsables, administrateurs et utilisateurs de chacune des ressources sont définis
ainsi que les procédures et interactions entre eux, comme stipulé au paragraphe 2.2.a par
le principe de propriété. Enfin, toutes les activités d'un utilisateur vers des ressources
critiques sont chiffrées, authentifiées et sauvegardées à des fins d'investigation,
notamment en cas d'incident de sécurité.
 Exploitation et administration
L'exploitation du réseau et des services associés de l'entreprise suit un
ensemble de procédures opérationnelle afin d'en assurer l'intégrité et la sécurité à moyen
terme. Pour cela les procédures opérationnelles doivent être à jour. Elles doivent exister
pour la supervision des éléments critiques et il est même souhaitable d'en faire pour la
maintenance préventive qui permet de vérifier et corriger toute anomalie. Une
sauvegarde des informations critiques doit être effectuée dans un lieu physique distinct
de la source. Tout problème doit être détecté et résolu et la mise en place de contre-
mesures permet de vérifier qu'aucun problème ne reste sans solution. Ces mêmes
problèmes sont connus de tous et sont remontés en particulier par les procédures
opérationnelles aux responsables des domaines visés.
 Vérification des configurations
Les configurations des équipements réseau détiennent toute l'information
permettant de construire le réseau et ses services. Un certain nombre de règles de
sécurité génériques doivent être définies afin de garantir la disponibilité et l'intégrité du
réseau et de ses services. Il faut vérifier la consistance des plans d'adressage pour éviter
les doublons dans le plan d'adressage global du réseau y compris celui des VPN. La
configuration des équipements doit être consistante c'est à dire que tout élément de
configuration doit être appliqué et tout élément appliqué doit être vérifié. Cela inclus la
vérification de la syntaxe et de la grammaire du langage. Les filtrages réseau, utilisés
pour contrôler les flux de données ou de routage, doivent être consistants. Pour cela il
faut il faut s'assurer que les règles ne soient ni redondantes ni contradictoires et surtout
éliminer les règles inutiles qui ne font qu'allonger le temps de traitement des
équipements. Les règles de routages comme la configuration des services doivent être
vérifiée régulièrement pour s'assurer qu'elles sont à jour. Il s'agit, par exemple, de
vérifier la topologie de routage interne et externe ou encore de vérifier le périmètre de
sécurité d'un VPN MPLS ou IPsec.
 Sécurité physique
La sécurité physique est un facteur de la réussite de la politique de sécurité
d'une entreprise et consiste essentiellement à se protéger contre les vols, fuite d'eau,
incendies, coupures d'électricité et autres problèmes qui pourrait nuire au
fonctionnement du SI. Par exemple, si une pièce qui contient des équipements
 43
informatiques peut être vue de l'extérieur, l'installation de rideaux permettra de ne pas
susciter le vol ou le vandalisme. De même, une salle informatique n'est jamais installée
au rez-de-chaussée pour éviter les risques d'inondation en cas de brusque montée des
eaux. Un ou plusieurs périmètres de sécurité physique à accès restreint équipé d'appareil
de vidéo surveillance peuvent être définis et les ressources les plus critiques doivent être
installées dans le périmètre le plus sécurisé. Les modifications physiques
d'infrastructure doivent être reportées et validées. Des contrôles d'accès physiques
doivent être mis en place pour l'accès au périmètre de sécurité ainsi que des procédures
qui autorisent et révoquent ces accès. Il faut éviter d'installer un site dans un lieu connu
pour des catastrophes naturelles et des équipements contre la protection contre le feu,
l'humidité et tous les autres problèmes nuisibles au bon fonctionnement du SI doivent
être installés. Enfin, des procédures de supervision et de contrôle des équipements de
protection doivent être mis en place.
 Plan de contingence
Les éléments critiques, identifiés lors de l'état des lieux de la phase de
planification, doivent faire partie d'un plan global de contingence dont le but est de
protéger le périmètre de l'entreprise. Le temps de restauration d'un service après désastre
devient critique pour l'entreprise s'il vient à se prolonger car les impacts peuvent prendre
la forme de perte de revenu ou d'image de marque. Il n'est pas facile d'estimer le temps
minimal à partir duquel l'entreprise est mise en difficulté mais il est sûr que l'impact sur
celle-ci croît de façon exponentielle en fonction du temps. Pour éviter le pire, les
ressources critiques de l'entreprise doivent être identifiées, classées et faire partie du
plan de contingence. Ce dernier détaille les priorités, précise les temps de rétablissement
de chaque ressource, référence les procédures nécessaires et doit faire l'objet d'une revue
régulière qui tient compte des évolutions organisationnelles et techniques.
 Audit de la sécurité
Le fait de définir une politique de sécurité n'implique pas toujours sa correcte
implémentation. L'audit interne, par l'équipe de sécurité, ou externe, par une tierce partie
est primordiale pour s'assurer du degré d'application ou de déviation de la politique de
sécurité réseau. L'audit, véritable état des lieux de la sécurité physique et logique,
dégage les dispositions générales prises concernant la sécurité et identifie les
vulnérabilités techniques et organisationnelles afin de proposer des recommandations
lucides et réalistes. Afin d'éviter de se perdre dans des détails sans intérêt, l'approche
classique consiste à définir un plan d'audit détaillé afin de cerner les éléments critiques.
Ce plan comprend des contrôles de sécurité réguliers qui se closent par des rapports. Les
audits doivent être définis en accord avec l'équipe sécurité qui doit approuver
l'utilisation d'outils ou la sauvegarde de données. Les rapports d'audit doivent être
 44
présentés au comité de sécurité qui définit les actions à prendre.
Ce « framework » permet, à travers l'écriture de ces procédures, d'identifier
les processus qui composent l'entreprise, un peu comme le ferait une certification ISO
27001. A l'instar de la certification ISO 27001, l'objectif du « framework » n'est pas
d'augmenter la satisfaction du client mais bel et bien d'accroître l'efficacité en proposant
une approche transversale. Cette approche, qui identifie les différents corps de métiers
de l'entreprise engagés dans un processus, garantit voire accélère le bon déroulement
du dit processus. Prenons comme exemple l'embauche d'un nouvel administrateur de
serveurs de mails. La Direction des Ressources Humaines (DRH) définit la procédure
avec laquelle le service informatique va pouvoir définir la fiche de poste. Ensuite, une
deuxième procédure indique que pour les postes rattachés à la Direction du Service
Informatiques (DSI), les entretiens d'embauche sont menés avec un employé de la DRH
et un autre de la DSI. Pour assurer sa fonction d'administrateur de serveurs de mails, le
nouvel embauché a besoin d'accéder à la salle machine où se situent les serveurs. Pour
obtenir un badge avec des privilèges suffisants, la DSI utilise une procédure qui définit
pour le poste en question un profil de sécurité associé avec les bons droits d'accès (cf.
gestion des accès logiques). Pour terminer, le département achat fournit une procédure
qui définit, en fonction du poste, le matériel requis pour que le nouvel embauché puisse
travailler (bureau, poste fixe, portable, etc...). L'ensemble de ces procédures
appartiennent au processus d'embauche, qui utilise de manière transversale trois services
de l'entreprise : la DSI, la DRH et les achats. Le processus est représenté sur la figure
ci-dessous.
 45
Figure1. Processus d'embauche mis en place grâce au « framework »

On pourrait facilement imaginer, de la même façon isoler le processus du

contrôle de serveur de mail qui regrouperait des procédures appartenant aux domaines
« exploitation et administration »,
« vérification des configurations », « sécurité physique » et « audit de sécurité ».

Maintenant que le « framework » est en place, attardons nous sur

l'implémentation de la politique de sécurité réseau grâce aux stratégies de sécurité.
 46
4.2. Stratégies de sécurité
L'établissement de stratégies de sécurité exige de prendre en compte
l'historique de l'entreprise, l'étendue et l'organisation de son réseau, son nombre
d'employés, de prestataires ou encore le nombre de serveurs. Une bonne stratégie de
sécurité vise à définir et mettre en œuvre des mécanismes de sécurité, des procédures de
surveillance des équipements de sécurité et même des procédures de réponse aux
incidents de sécurité et des audits de sécurité. Cette mise en place de la stratégie est
débutée par une analyse de risque permettant de pondérer les risques encourus.

a) Gestion des risques

La première étape consiste à déterminer les menaces qui pèsent sur les
ressources de l'entreprise, ainsi que leurs impactes si elles devaient se concrétiser. Les
risques de sécurité sont déterminés par le triptyque menace / vulnérabilité / conséquence,
déjà abordé dans l'EBT, et que nous allons succinctement revoir. Pour commencer, le
risque est « la moyenne des conséquences des événements affectés de leur probabilité
d'arriver ». Une vulnérabilité est « une faiblesse de sécurité qui peut être de nature
logique, comme par exemple une faille logiciel, ou de nature physique comme une panne
de courant ». La menace représente « l'exploitation d'une vulnérabilité par une personne
tierce ». Pour terminer, la conséquence est « l'impacte sur l'entreprise de l'exploitation
d'une vulnérabilité ». Le rôle de la gestion des risquex est de prévenir les menacex car
elles ont un impact négatif sur les trois composantes protégées par les objectifs de
sécurité que nous avons décrites dans le chapitre 2.1 : l'intégrité, la confidentialité et la
disponibilité.
Le risque est évaluable de manière plus qualitatif grâce à la formule
communément admise :

Risque = MAX [ Confidentialité, Intégrité, Disponibilité ] x vraisemblance

Cependant cette formule nécessite d'évaluer les menaces qui pèsent sur
chacun des critères précédents, chose qui n'est simple, et d'utiliser la composante la plus
menacée.
Maintenant que la gestion des risques est redéfinie, attardons nous sur
l'élaboration d'une stratégie de sécurité réseau.
 47
b) Méthodologie pour élaborer une stratégie de sécurité
La première étape de l'élaboration de la stratégie consiste à faire de la gestion
des risques pour dégager les ressources critiques de l'entreprise et les menaces qui
planent sur elles. Pour protéger les biens critiques des menaces identifiées, il faut
analyser les techniques d'attaques utilisées pour tirer parti des vulnérabilités. Ce niveau
d'analyse plus poussé permet de définir des stratégies de sécurité proactives, visant à
diminuer les probabilités d'occurrences des menaces. Les différentes catégories de
menaces qui pèsent sur le système d'information ou sur le réseau sont représentées sur
la figure 10. Les menaces non intentionnelles ou imprévisibles, comme les catastrophes
naturelles, ne mettent pas en œuvre de stratagèmes particuliers et n'ont pas d'objectifs
déterminés. A contrario, les attaques intentionnées utilisent pléthores d'outils et de
techniques d'attaques. Beaucoup d'études montrent que les trois quarts, voire les 80%
des attaques, proviennent de l'intérieur de l'entreprise. Faces aux menaces identifiées
lors de l'analyse de risque, il faut adopter des stratégies pro-actives et réactives dans tous
les cas, chose que nous allons maintenant aborder.

Figure 2. Analyse des menaces qui planent sur le SI

a. Règles élémentaires
Lors de l'établissement d'une stratégie de sécurité il faut garder à l'esprit
quelques règles élémentaires. Tout d'abord, plus une stratégie de sécurité est complexe,
plus son implémentation, amélioration et évolution seront difficiles. Simplicité et
pragmatisme sont des critères de réussite. La règle du maillon le plus faible est
également à garder à l'esprit. Par exemple, intéressons-nous au périmètre d'une
l'entreprise qui aurais trois moyens d'accéder à son réseau interne. Deux moyens sont
des équipements implémentant de la sécurité comme un pare-feu et une passerelle VPN
et le troisième moyen est un routeur sans aucune couche de sécurité. Le troisième moyen
 48
d'accès constitue une faiblesse qui sera privilégié par le pirate pour effectuer son attaque.
La variété des protections mise en place est également importante. Dans l'exemple
précédent on s'intéressera à un seul moyen d'accès composé de deux pare-feu identiques
(même équipementier et même technologie). Si le pirate réussit à utiliser une
vulnérabilité sur l'un des pare-feu pour pouvoir le contourner, il y a de grande chance
pour qu'il puisse l'utiliser également sur l'autre. Si les pare-feu sont de marques
différentes, les vulnérabilités sont différentes, et il aura alors plus de mal à pénétrer dans
l'intranet de l'entreprise.
La sécurité ne doit jamais reposer sur un seul mécanisme de sécurité et une
imbrication de mécanisme offre un degré de protection supérieur face à la défaillance
de ceux-ci. Par exemple, pour accéder à un serveur sur un réseau distant, il est possible
de fournir un premier mécanisme de sécurité d'authentification comme une passerelle
VPN (avec IPsec ou SSL). Une fois l'individu authentifié sur le réseau, il faut encore
qu'il se connecte au serveur, et pour cela on peut utiliser un mécanisme de chiffrement
de session comme SSH. Cette imbrication, impose au pirate de contourner deux
barrières au lieu d'une et de natures différentes (authentification et connexion). La
séparation logique et physique des protections de sécurité permet de ne pas concentrer
la sécurité en un seul point qui devient alors un point de faiblesse. Cette séparation
engendre des compartiments étanches de sécurité ainsi qu'une meilleure implémentation
des fonctions de sécurité sur des matériels dédiés. En effet, sur des équipements UTM
(« Unified Threat Managment »), qui remplissent plusieurs fonctions de sécurité
comme celle de passerelle VPN, routeur, pare-feu ou encore anti-virus, comment savoir
dans quel ordre ces fonctions seront exécutées.
De plus, plus l'équipement assure de fonctions et plus sa configuration est
complexe et difficile à maintenir. Cependant, la solution de séparation est très souvent
beaucoup plus onéreuse que l'achat d'un UTM. Les différentes simulations sont
l'occasion d'améliorer les contre-mesures de sécurité, voire de les remettre en question.
Effectivement, si on constate que certains types d'attaques ne sont pas détectés par un
pare-feu, soit les règles de filtrages soit le pare-feu ne sont pas adaptés. Il est également
important de valider l'efficacité des stratégies de sécurité mise en place face aux
simulations utilisées. Si la stratégie existante n'a pas apporté de bons résultats, il faut soit
la modifier soit en implémenter une nouvelle.
b. Stratégie pro-active (dite de prévention)
Une stratégie pro-active comporte plusieurs étapes prédéfinies qui doivent
être exécutées afin de se prémunir d'attaques identifiées. Elle doit évaluer les dommages
causés par une attaque et mesurer les impacts qui peuvent aller de la perte mineur,
comme le redémarrage de la machine, jusqu'à la perte totale du bien attaqué
 49
(réinstallation de la machine). Elle évalue ensuite le degré de vulnérabilité et les
faiblesses exploitées par une attaque pour en définir les contre-mesures à mettre en
place. L'objectif est de réduire les risques liés à cette attaque. La dernière étape de cette
stratégie consiste à la mise en place d'un plan de contingence ou « Business Continuity
Plan », visant à définir les actions à mettre en place. Ce plan définit pour chaque tâche
à exécuter, la personne et le moment de l'exécution. Pour finir, il doit adresser le
problème de restauration des données. Le plan doit faire l'objet d'exercices réguliers
pour que, le jour de son application réelle, le personnel soit prêt.
c. Stratégie réactive
La stratégie réactive définit les étapes à mettre en œuvre après ou pendant un
incident et suppose que la stratégie pro-active a échouée. Elle analyse l'incident de
sécurité afin de déterminer le périmètre des dommages causés ainsi que les stratagèmes
utilisés pour mener l'attaque, pour décider des actions à prendre. Le plus important est
de déterminer la cause de l'incident par tous les moyens possibles comme les
événements de journalisation (« logs ») des équipements réseaux ou encore par la
détection de signature de programme comme les virus, vers ou chevaux de Troie sur les
systèmes attaqués. Un test de pénétration doit être réalisé pour confirmer la vulnérabilité
exploitée par l'intrus. L'étape suivante consiste à réparer les dommages causés par
l'attaque et vient naturellement à la fin de l'analyse post-mortem de façon à ne pas écraser
les traces de l'incident de sécurité.
Les leçons tirées de cet incident doivent faire l'objet d'un rapport qui détaille
les aspects techniques, comme les dommages causés ou les moyens mis en œuvre, et
analyse l'impact de l'incident sur l'entreprise comme la baisse de productivité, la fuite
d'information ou encore les données perdues. Ce rapport permet d’évaluer l'aspect
financier de l'incident de sécurité et d'améliorer les stratégies de réduction des risques.
La mise en œuvre d'un plan de contingence peut être envisagé selon la criticité du bien
impacté ou si l'analyse post-mortem prend trop de temps. Il permettra de résoudre la
crise plus rapidement, même en mode dégradé.
Maintenant que nous avons fait le tour des règles élémentaires ainsi que de la
méthodologie pour aborder les stratégies de sécurité, intéressons-nous aux différentes
stratégies de sécurité qui existent.
 50

c) Quelques stratégies de sécurité réseau

Les stratégies de sécurité doivent être considérées comme des briques à
adapter afin de construire une stratégie personnalisée. Les stratégies suivantes
seront abordées avec comme exemple le réseau d'une entreprise connectée à Internet
et qui comporte trois sous-réseaux, un de production, un de Recherche et
Développement (R&D) et un de bureautique.
a. Stratégie des périmètres de sécurité
L'objectif est de découper le réseau d'entreprise en périmètres de sécurité
logiques regroupant des entités ou fonctions afin de mettre en place des niveaux de
sécurité à la fois imbriqués et séparés. La première étape est la définition d'un
périmètre de sécurité autour du réseau d'entreprise face au réseau Internet. Il faut
également définir un périmètre de sécurité autour de chacun de ces réseaux inclut
dans le réseau intranet. Cette compartimentation du réseau intranet rend plus
difficile une éventuelle pénétration. Cependant cette stratégie n'est pas suffisante
est doit être couplée avec celle des goulets d'étranglement.
b. Stratégie des goulets d'étranglement
L'objectif est de définir des contrôles d'accès différenciés et en nombre limités pour
permettre l'accès à chaque périmètre de sécurité du réseau intranet. Les contrôles
d'accès définissent ce qu'il est autorisé de faire pour entrer dans un périmètre de
sécurité du réseau. Tout ce qui n'est pas autorisé doit être interdit et les contrôles
d'accès définissent les conditions à respecter pour avoir le droit d'entrer dans un
périmètre donné. Les contrôles d'accès s'accompagnent des quelques règles
évidentes suivantes :
c. Chaque système ne dispose que d'une seule connexion au réseau d'entreprise
pour éviter les attaques par rebonds. Effectivement, si un ordinateur est connecté
au réseau de l'entreprise d'un côté et de l'autre à Internet, un pirate pourrait,
depuis Internet rebondir dans le réseau intranet ;
d. Internet est un outil de travail et ne doit être utilisé que dans un cadre
professionnel ;
e. Des contraintes sont installées sur les stations de travail pour éviter les
installations de programmes non validées par l'équipe technique ;
 51

f. Les logiciels de sécurité installés sur le poste doivent être mis à jour
régulièrement ;
g. Interdiction d'utiliser un outil qui permettrait d'obtenir des informations sur le
réseau de l'entreprise (scanner de vulnérabilité, outil de découverte de réseau,
etc...).
Les communications entre le réseau intranet et d'autres réseaux doivent
être contrôlées et les services réseau accessibles sur Internet définis. Ces flux
doivent être également contrôlés pour vérifier qu’ils ne véhiculent pas de virus. Une
solution de filtrage de contenu pourra être mise en place pour s'assurer que les
employés ne naviguent pas sur des sites interdits par la loi (pédophiles,
pornographiques, pirates, etc.…). Des mécanismes de surveillance doivent être
appliqués aux périmètres de sécurité et toucher les domaines suivants : collecte et
stockage des logs, analyse des attaques (comme les sondes d'intrusion) ou encore
l'analyse de trafic.
Maintenant que les périmètres sont définis ainsi que les goulets d'étranglement,
attelons-nous à authentifier les utilisateurs du réseau.
h) Stratégie d'authentification en profondeur
L'objectif est de mettre en place des contrôles d'authentification pour
authentifier les accès aux périmètres de sécurité. Pour faire cela, il est recommandé
d'installer des systèmes de contrôle d'authentification au sein d'un périmètre qui leur
est réservé. Ces contrôles peuvent avoir lieu au moment de la sortie sur Internet
mais également au niveau de chaque serveur pour accéder au réseau interne. Chaque
fois qu'un utilisateur s'authentifie, un ticket est créé sur un système chargé de
stocker les logs afin que le parcours de l'utilisateur soit connu à tout moment. Cette
logique peut être étendue à chaque action de l'utilisateur comme la création,
suppression ou impression d'un document ou encore les adresses Web visitées.
Lorsqu'un tel système est mis en place on parle de modèle AAA (« Authentication,
Authorization, Accounting») ou authentification, autorisation et comptabilité
d'événements. Cependant la mise en place de ce type de système est lourde et
souvent très coûteuse.
 52

Voici un aperçu de notre réseau après la mise en place de ces trois stratégies de
sécurité.

Figure 3. Obtention d'une stratégie personnalisée

On peut voir les zones qui ont été définies par la stratégie des périmètres
de sécurité, les pare-feu qui constituent l'unique point d'entrée pour chaque zone,
comme spécifié dans la stratégie par goulets d'étranglement. Enfin, on voit
également les serveurs d'authentifications qui servent à authentifier les accès aux
périmètres de sécurité, comme spécifié dans la stratégie d'authentification en
profondeur.
a. Stratégie du moindre privilège
Cette stratégie a pour objectif d'assurer que chacun dispose uniquement
des privilèges dont il a besoin. La portée de tout acte de malveillance s'en retrouve
réduite aux privilèges dont dispose la personne qui le commet et il faudra une
complicité de plusieurs personnes pour pouvoir mettre en péril le réseau intranet.
Un moyen facile de renforcer cette stratégie est d'augmenter les autorisations
nécessaires pour accéder à une ressource. Par exemple, pour accéder aux données
comptable, la comptable a besoin de son code et de celui de sa responsable.
Cependant, ce mécanisme implique des contraintes supplémentaires de
disponibilité, qui font qu'une comptable ne pourra accéder aux données comptables
si sa responsable est en vacances. L'application stricte de cette stratégie est difficile
 53

à réaliser et souvent possible qu'avec la mise en place d'un système SSO (« Single
Sign On »), qui permet d'authentifier un utilisateur quelle que soit son adresse réseau
et de lui appliquer un profil à droit d'accès spécifique.
b. Stratégie de confidentialité des flux réseau
L'objectif de cette stratégie est de protéger tout message qui doit être émis
vers un autre réseau ou Internet. Cette stratégie est généralement utilisée lorsqu'une
entreprise a plusieurs sites qui sont reliés par le biais de réseau public comme
Internet, X25 ou encore de Ligne Spécialisées (LS). Lorsqu'une entreprise créé un
réseau de type WAN, elle construit un réseau centrale (« backbone ») et relie ces
sites à ce réseau. Des boîtiers de chiffrement, telles que des passerelles IPsec,
peuvent être installés entre les routeurs et les pare-feu pour garantir la
confidentialité des communication inter-sites. Ainsi, tous les flux qui sortent de
chaque site sont chiffrés à la volée par le boîtier de chiffrement placé en goulet
d'étranglement sur les connexions inter-sites. Il existe d'autres moyens de chiffrer
les communications comme SSL, qui est très utilisé pour chiffrer les flux des
serveur Web.
c. Stratégie de séparation de pouvoir
L'objectif est de créer des entités séparées chacune responsable de zones
de sécurité distinctes du réseau intranet. Cette stratégie s'adresse particulièrement
aux entreprises de grande taille. En effet, les petites entreprises, qui n'ont pas
beaucoup de ressources à protéger, se contentent souvent d'un seul département
chargé de leurs maintenances. En revanche, dans des entreprises plus grandes il est
nécessaire de séparer ou limiter les pouvoirs de chaque entité afin de limiter les
conséquences d'un acte de malveillance. On peut prendre comme exemple une entité
qui serait en charge d'assurer une fonction opérationnelle et d'en assurer le contrôle.
S'il n'y a pas de séparation, il est pratiquement certain que les procédures de contrôle
les plus contraignantes seront ignorées, créant ainsi une faiblesse de sécurité.
Maintenant que des responsables sont définis pour chaque périmètre, il s'agit de
contrôler tous les accès à ces périmètres.

d. Stratégie d'accès au réseau local

 54

L'objectif de cette stratégie est d'assurer qu'aucune porte dérobée interne

ne permettent d'accéder au cœur du réseau. Pour contourner ce risque, il faut créer
un contrôle d'accès à toutes les portes d'entrée du périmètre de sécurité. Ce contrôle
sera sous la responsabilité du périmètre de sécurité qui déterminera la politique
d'accès à mettre en œuvre. Pour y parvenir, il faut que tous les premiers éléments
intelligents d'accès au réseau (commutateurs ou routeurs) fasse un contrôle d'accès.
La technologie AAA, vue précédemment est particulièrement adaptée.
Maintenant que les postes et responsables sont définis il s'agit d'assurer une gestion
ou administration sécurisée de chaque périmètre de sécurité.
e. Stratégie d'administration sécurisée
L'objectif de cette stratégie est de créer une zone d'administration, dédiée
et séparée du réseau afin d'assurer une isolation des systèmes chargés de
l'administration de chaque périmètre de sécurité. Une zone d'administration est en
charge de vérifier le bon fonctionnement de tous les composants d'un périmètre de
sécurité donné. Cette zone est donc particulièrement sensible et doit être protégée
de manière adéquate. Cette stratégie est à mettre en place avec celle des goulets
d'étranglement qui visent ici à réduire le nombre de point d'entrée dans les zones
d'administration. Toute politique de sécurité réseau s'accompagne de stratégie ayant
pour objectif d'établir un premier niveau de règles de sécurité et, dans un deuxième
temps, de mettre en œuvre des solutions techniques. Les architectures réseau et les
services offerts deviennent tellement complexes qu'il faut remettre en cause les
mécanismes de sécurité préalablement définis le plus souvent possible. Cette
adaptabilité et cette réactivité vont permettre à l'entreprise de protéger au mieux ces
périmètres de sécurité.
Cette phase de déploiement a permis de mettre en place un « framework
» pour permettre d'utiliser la documentation afin d'identifier les différents processus
qui gravitent autour de la sécurité des réseaux. Elle a également permis d'aborder
les différentes stratégies de sécurité réseau, qui permettent l'application des objectifs
de sécurité vus dans la phase de planification. Ces stratégies doivent être couplées
entre elles pour produire une nouvelle stratégie de sécurité réseau parfaitement
adaptée à l'entreprise. Attardons-nous maintenant sur le contrôle et l'amélioration
de ces entités nouvellement mise en place.
Approche
 55

Il existe plusieurs façons de fournir un accès à distance sécurisé à un

IACS. On peut citer l’accès direct et l’accès indirect. L'approche choisie dépend des
critères décrits précédemment, comme les politiques et les procédures de sécurité du
client. Chaque approche présente plusieurs caractéristiques de conception qui
peuvent impacter le fonctionnement correct de l'IACS et qui doivent être prises en
considération lors de la conception et de la mise en œuvre d’une solution d’accès à
distance à un IACS.

Accès direct
L’accès direct permet à l’utilisateur distant d’établir une connexion
sécurisée « directement » avec l'IACS. Après avoir créé un tunnel VPN sécurisé, le
logiciel sur l’ordinateur de l’utilisateur distant initie une communication
directement avec l'IACS.
Caractéristiques de conception – comment les mettre en œuvre ?

 Authentification et autorisation de réseau et d’application

 Gestion des modifications, contrôle de version, conformité réglementaire et
gestion de licence de logiciel
 Gestion de la santé du client distant (ordinateur)
 Conformité aux normes de sécurité de l’IACS
REMARQUE : bien qu'aucune assistance informatique, ou très peu, soit
requise pour cette approche, les meilleures pratiques de sécurité doivent être
conformes aux normes de sécurité d'IACS établies.

ACCÈS DIRECT

Site distant

industriels

Accès indirect
 56

L’accès indirect permet à l’utilisateur distant d’établir une connexion

sécurisée avec l'IACS grâce à un serveur intermédiaire résidant généralement dans
la DMZ (zone démilitarisée) et donnant à la passerelle distante un accès à un serveur
d’accès à distance dans l'IACS. Le client distant utilise un logiciel client ou un
navigateur web pour établir une connexion au serveur d’accès à distance une fois la
session VPN établie.
Caractéristiques de conception

 Plusieurs niveaux d’authentification et d’autorisation sur le réseau

 Gestion simplifiée des actifs - Gestion des modifications, contrôle de
version, conformité réglementaire et gestion de licence de logiciel
 Gestion simplifiée de la santé du client distant
 Meilleure conformité aux normes de sécurité de l’IACS
REMARQUE
L’accès indirect est souvent considéré comme une approche plus
sécurisée du fait d’une plus grande conformité aux normes de sécurité de l’IACS.
C’est en partie grâce au fait qu’il y a, au sein de l’IACS, un actif dédié, un ordinateur
par exemple, utilisé pour l’accès à distance.

ACCÈS INDIRECT

Site distant

industriels

Lors de l’analyse des solutions d’accès à distance sécurisé, vous devez

déterminer si le type de système auquel il faut accéder est un IACS isolé autonome
ou un IACS intégré à l'entreprise.