RARE 07 - PFR - BEAUMELLE_ROLAND

Projet Fil Rouge
RARE
H R R B
2 0 / 0 4 / 2 0 1 4
Renaud Beaumelle
Hugo Roland
Réponse de HRRB à l’appel d’offre de la société
Newstore de modernisation de son système
d’information.

Projet Fil Rouge RARE 2014
1 Hugo ROLAND
Renaud BEAUMELLE
Introduction
Le présent document constitue la réponse de HRRB à l’appel d’offre émis par la société
Newstore de refonte de son système d’information.
La solution que nous allons vous présenter se base sur le cahier des charges
fonctionnel (ANNEXE A) ainsi que sur les schémas réseaux (ANNEXE B) transmis par la
société Newstore. Elle permettra d’accueillir le nouvel ERP GOLD (Aldata) dans les 52
hypermarchés (en France et au Portugal), dans la centrale d’achat et dans la plateforme de
stockage.
Cette solution permettra à la société Newstore d’améliorer sa compétitivité dans le
secteur de la grande distribution grâce à de meilleures performances et une meilleure
stabilité. Elle sera aussi plus homogène et robuste afin de réduire les coûts de
fonctionnement et apportera un confort d’utilisation supérieur aux utilisateurs.
Nous vous proposons aussi de prendre en charge toute l’exploitation du système afin
de laisser Newstore se concentrer sur son métier de la grande distribution.
Les acteurs majeurs du projet
Nom Fonction Société
Martin Thibault Maitre d’ouvrage Newstore
Deschamps Virginie Assistante maîtrise d’ouvrage Newstore
Roland Hugo Chef de projet et expert technique Systèmes et réseaux HRRB
Beaumelle Renaud Chef de projet et expert technique Systèmes et réseaux HRRB

1 Hugo ROLAND
Renaud BEAUMELLE
1 - Présentation
PRESENTATION DE L’ENTREPRISE HRRB................................................................... 3
1 Présentation....................................................................................................................... 3
2 Les chiffres clés................................................................................................................. 3
2.1 Chiffre d’affaires............................................................................................................ 3
2.2 Implantation................................................................................................................... 3
3 Nos clients.......................................................................................................................... 4
4 Partenariats........................................................................................................................ 4
RECAPITULATIF DES RISQUES IDENTIFIES ............................................................... 5
PROPOSITION DE SOLUTION ........................................................................................... 7
1 Lot infrastructure réseau étendu..................................................................................... 7
1.1 Rappel du besoin .......................................................................................................... 7
1.2 Réponse fonctionnelle .................................................................................................. 8
1.3 Détails techniques....................................................................................................... 10
2 Lot infrastructure réseau local ...................................................................................... 12
2.1 Rappel du besoin ........................................................................................................ 12
2.2 Réponse fonctionnelle ................................................................................................ 12
2.4 Adressage IP............................................................................................................... 19
2.5 Nommage.................................................................................................................... 20
2.6 Matériel........................................................................................................................ 21
3 Lot serveurs et stockage ................................................................................................ 22
3.1 Rappel du besoin ........................................................................................................ 22
4 Lot postes clients............................................................................................................ 30
4.1 Rappel du besoin ........................................................................................................ 30
5 Lot téléphonie .................................................................................................................. 34
5.1 Rappel du besoin ........................................................................................................ 34
6 Lot messagerie ................................................................................................................ 37
6.1 Rappel du besoin ........................................................................................................ 37

2 Hugo ROLAND
Renaud BEAUMELLE
1 - Présentation
7 Lot sécurité ...................................................................................................................... 39
7.1 Rappel du besoin ........................................................................................................ 39
8 Lot procédures................................................................................................................. 53
8.1 Rappel du besoin ........................................................................................................ 53
9 Lot déploiement............................................................................................................... 54
9.1 Rappel du besoin ........................................................................................................ 54
10 Lot infogérance ............................................................................................................ 58
10.1 Rappel du besoin..................................................................................................... 58
10.2 Réponse fonctionnelle............................................................................................. 58
10.3 Détails techniques ................................................................................................... 58
BILAN FONCTIONNEL ...................................................................................................... 60
BILAN FINANCIER.............................................................................................................. 61
1 Investissement................................................................................................................. 61
2 Coûts annuels.................................................................................................................. 62
3 Temps de retour sur investissement ............................................................................ 63
GLOSSAIRE........................................................................................................................... 64

3 Hugo ROLAND
Renaud BEAUMELLE
1 - Présentation
Présentation de l’entreprise HRRB
1 Présentation
HRRB est l'un des leaders des services informatiques et d'ingénierie de proximité, spécialisé
dans la gestion des applicatifs et des infrastructures (application and infrastructure
management), le conseil en technologies (high-tech engineering) et le testing.
De dimension internationale, fort de 21 ans d’expérience, le groupe apporte à ses clients des
réponses simples, concrètes et efficaces, avec une gamme complète de solutions sur
mesure et innovantes.
Sur le territoire national, HRRB accompagne ses clients localement, grâce à une
organisation décentralisée, souple et réactive.
2 Les chiffres clés
2.1 Chiffre d’affaires
2.2 Implantation
HRRB est implanté dans 20 des 22 régions françaises en métropole et intervient dans tout
l’hexagone. Le territoire est couvert par 28 agences ainsi que deux centres de services.
HRRB c’est aussi et surtout 2500 collaborateurs expérimentés, répartis en métropole et prêts
à intervenir avec toute la réactivité dont ont besoin nos clients.
0
20 000 000
40 000 000
60 000 000
80 000 000
100 000 000
120 000 000
140 000 000
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
EVOLUTION DU CA EN €

4 Hugo ROLAND
Renaud BEAUMELLE
3 - Nos clients
3 Nos clients
Historique de quelques installations :
2009 : Renouvellement du Parc informatique de la TBC avec la participation de Mr Leblanc
2010 : Ajout d’une application de gestion des incidents pour Veolia avec la participation de
Mme Butony
2012 : Mise en place d’un plan de sauvegarde sur tous les sites distants des Conforama en
France avec la participation de Mr Govare
2013 : Refonte du système de gestion des marchandises du groupe Carrefour via
l’installation d’un ERP.
4 Partenariats
HRRB a établi quatre alliances stratégiques avec des acteurs du marché : IBM, Cisco,
Microsoft et Magic Online.
Ces Alliances sont un facteur de succès décisif pour vos projets.
Dans le cadre de la maintenance, nous intervenons sur tout type de matériel ou logiciels,
quelle que soit leur marque ou éditeur.
HRRB travaille depuis de nombreuses années à l’intégration d’ERP pour de grandes
sociétés.

5 Hugo ROLAND
Renaud BEAUMELLE
1 - Risques produit
Récapitulatif des risques identifiés
Soucieux de vous proposer une solution pérenne nous avons réalisé deux analyses de
risque :
- une analyse de risque produit
- une analyse de risque projet.
Ces études font partie des éléments clés qui ont conditionnés la recherche ainsi que la
proposition de solution. Elles ont été menées selon la méthode de l’analyse des modes de
défaillance, de leurs effets et de leur criticité (AMDEC).
1 Risques produit
L’étude de risque produit a portée sur l’un des éléments critiques de l’activité de Newstore :
L’activité du secteur caisse.
Les risques identifiés concernant la perturbation de l’activité des caissiers sont les suivants :
- Baisse du chiffre d’affaires
- Dégradation de l’image du groupe
- Perte de produits (casse, produits frais,…)
- Augmentation des coûts de maintenance
Les causes identifiées sont les suivantes :
- Présence de points de défaillance unique
- Eventuelle faiblesse des procédures
- Possibilité de mauvaise connaissance du produit
- Performances potentiellement insuffisantes
Vous trouverez en ANNEXE C la fiche risque identifiant les causes probables de perturbation
de l’activité des caissiers ainsi que les éléments à mis en place afin de diminuer la criticité
des causes et des risques.
2 Risques projet
L’analyse de risque projet quant à elle traite des risques liés au retard de livraison de la
solution proposée.
Les risques identifiés concernant les risques liés au retard de livraison de la solution
proposée sont les suivants :
- Perte de production
- Mauvaise publicité client
- Mauvaise image Entreprise de Services du Numérique (ESN).
- Surcoût ESN

6 Hugo ROLAND
Renaud BEAUMELLE
2 - Risques projet
- Surcoût Client
Les causes probables sont les suivantes :
- Activité du client
- Fournisseurs
- Mauvaise procédure de déploiement
- Mauvais suivi du déploiement
Vous trouverez en ANNEXE D la fiche risque identifiant les causes probables de retard de
livraison de la solution proposée ainsi que les éléments à mettre en place afin de diminuer la
criticité des causes et des risques.

7 Hugo ROLAND
Renaud BEAUMELLE
1 - Lot infrastructure réseau étendu
Proposition de solution
Afin de répondre au mieux au besoin exprimé par la société Newstore, nous allons
maintenant vous exposer la solution définie par HRRB en lots techniques. Ces différents lots
représentent toutes les briques de l’infrastructure globale qui vous est proposée.
Les lots
Les différents lots :
- Lot Infrastructure Réseau étendu : La connectivité externe et inter-sites.
- Lot Infrastructure Réseau local : L’architecture réseau de chaque site.
- Lot serveurs et Stockage : L’infrastructure système mise en place.
- Lot postes clients : Les postes utilisés par les collaborateurs Newstore.
- Lot Téléphonie : Les moyens de téléphonie de l’entreprise.
- Lot Messagerie : La solution de messagerie électronique.
- Lot Sécurité : Les différents moyens mis en œuvre afin de garantir la sécurité du SI
(PSSI, Pare-Feu, QOS, PCA, Autonomie électrique, sauvegarde, supervision)
- Lot Processus : Les engagements de HRRB en termes de livraison de procédures
- Lot Déploiement : Le calendrier de déploiement de la solution et les moyens mis en
œuvre
En option :
- Lot Infogérance : L’offre d’externalisation de l’exploitation du SI.
1 Lot infrastructure réseau étendu
1.1 Rappel du besoin
La société Newstore a besoin de permettre à tous ses sites de communiquer entre eux, ce
qui implique leur interconnexion via un réseau étendu (WAN).
Récapitulatif des débits nécessaires :
Débits nécessaires
Charge normale
Absorbation de
pics
Prévision évolution
Hypermarché 5,16 Mb/s 6,42 Mb/s
Centrale d'achat 643,67 Mb/s 720,39 Mb/s 987,77 Mb/s
Plateforme de stockage 643,67 Mb/s 720,39 Mb/s 987,77 Mb/s
Hypermarché PRA (cf.
Lot sécurité)
317,62 Mb/s 354,81 Mb/s 468,12 Mb/s
Notes 15% de pics + 10 Hypermarchés
Le détail des débits nécessaires est disponible en ANNEXE E.3.
Ce lot traite de l’interconnexion des différents sites.

8 Hugo ROLAND
Renaud BEAUMELLE
1.2 Réponse fonctionnelle
L’architecture retenue est de type MPLS. Cela signifie que tous les sites sont en mesure de
communiquer entre eux, via un réseau dédié cloisonné.
Les hypermarchés éligibles à l’ADSL ainsi que la centrale d’achat et la plateforme de
stockage sont raccordés à internet par le même opérateur. Ils communiquent ainsi
directement via le réseau MPLS du dit opérateur.
Les hypermarchés situés au Portugal et les hypermarchés non éligibles à l’ADSL se
connectent au réseau MPLS via un Réseau Privé Virtuel (VPN). Cette connexion est
configurée par l’opérateur sur le routeur fourni.
La centrale d’achat et la plateforme de stockage forment une seule et même entité logique «
Site Central ». L’accès aux ressources externes (internet, fournisseurs, etc…) pour chaque
hypermarché est assurée via l’entité logique « Site Central ».
Les commerciaux en clientèle se connecteront en VPN au réseau Newstore via la centrale
d’achat (cf. Lot Sécurité).
Les avantages de cette architecture :
- Les flux en provenance des hypermarchés à destination de l’extérieur (WAN) sont
centralisés en un point unique de gestion et de contrôle, le « Site Central ».
- Les flux monétiques et VOIP vont directement à leur destination sans passer par ce
point de gestion unique : ils sont traités en amont par l’opérateur, dès leur arrivée sur
le réseau MPLS
Le schéma réseau détaillant cette architecture est disponible en page suivante.

9 Hugo ROLAND
Renaud BEAUMELLE
Schéma architecture WAN
Hypermarché
France éligible
SDSL
Hypermarché
non éligible
SDSL
Plateforme de
stockage
Centrale
d’achat
WAN
10GBASE-SR 10GBASE-SRWAN
1
2
3
1
2
1
2
Passerelle Monétique
Hypermarché
portugal
VPN
MPLS
7 Routeur
14 Liaison commutée
1 Pylône radio
4
Commutateur
Ethernet ATM/
FastGB
2 Nuage
2 Pare-feu
1 Passerelle
1
Antenne
parabolique
Symbole Total Description
Symboles
Légende Symboles
Flux
Monétique
Flux VOIP
Accès au
WAN
Liaison backup
Liaison principale
OM4
(50/125)
10GBASE-

10 Hugo ROLAND
Renaud BEAUMELLE
1.3 Détails techniques
Les différents sites seront interconnectés grâce à la solution de VPN MPLS proposé par
l’opérateur Magic Online.
Cet opérateur a été retenu pour plusieurs raisons :
- Les tarifs compétitifs
- Cet opérateur est un opérateur de tiers 2. De ce fait, le service « Redondance
d’accès » utilise deux réseaux d’opérateurs différents ce qui, en cas de panne,
diminue les risques de perte d’accès.
- Les services correspondant exactement aux besoins de Newstore :
 Le service « Monétique sur IP », collecte directement les flux monétiques
dès leur arrivée sur le réseau MPLS.
 Le service « Redondance d’accès » assure à chaque site desservi par cet
opérateur deux connexions utilisant deux réseaux physiques distincts.
 Le service « Agrégation d’accès » permet d’agréger deux liaisons afin de
doubler le débit disponible.
 Le service « VPN MPLS » permet la connexion au réseau MPLS,
indifféremment de l’opérateur.
 Le service « VOIP » collecte directement les flux VOIP à destination de
l’extérieur dès leur arrivée sur le réseau MPLS.
 Le service « QOS », permettant la priorisation de certains type de flux.
- La garantie de temps de rétablissement pour tous types de panne est de 4
heures.
1.3.1 Contrats
- Pour tous les sites :
 Magic Online VPN MPLS
- Pour les hypermarchés en France éligibles à l’ADSL :
 Deux liaisons Magic Online SDSL 5 Mb/s + Options :
 Redondance d'accès
 Agrégation de lien
- Pour les hypermarchés en France non éligibles à l’ADSL :
 WIFIMAX Ozone 10-18Mb/s
 Clé Orange Business Essentiel 4G (Les sites sont couverts par la 3G)
 Magic Online VPN MPLS + monétique sur IP
- Pour l’hypermarché hébergeant les données de PRA :
 Fibre Magic Online 1000 Mb/s
 Magic Online SDSL 5 Mb/s + Options :
 Redondance d'accès
 Agrégation de lien
- Pour les hypermarchés au Portugal :
 Fibre Claranet 10Mb/s (contrats SDSL 8mb/s non disponibles)

11 Hugo ROLAND
Renaud BEAUMELLE
 Fibre Portugal Telecom 10Mb/s (contrats SDSL 8mb/s non disponibles)
 Magic Online VPN MPLS + monétique sur IP
- Pour la centrale d’achat et la plateforme de stockage :
 Fibre Magic Online 1000 Mb/s
Les engagements des opérateurs :
- Taux de disponibilité du réseau supérieur à 99,9%
- Supervision du lien
- Statistiques de contrôle de charge du réseau
- Délai de rétablissement (GTR) inférieur à 4 heures
- Débit garanti 100% du Temps
1.3.2 Adressage IP
Nous avons choisi l’adresse de réseau privé 172.16.0.0/12.
En se basant sur une politique d’ouverture d’un hypermarché par an, le plan d’adressage
proposé ne devra pas être modifié avant 48 ans.
Le plan d’adressage IP détaillé est disponible en ANNEXE F.
1.3.3 Matériel
Le matériel réseau nécessaire à l’interconnexion des sites se compose ainsi :
Pour les hyper-marchés français (éligibles à l’ADSL) :
- 2 routeurs CISCO fournis par l’opérateur Magic Online.
Pour les hyper-marchés portugais (éligibles à l’ADSL) :
- 1 routeur CISCO fourni par l’opérateur Claranet
- 1 routeur CISCO fourni par l’opérateur Portugal Télécom
Pour les hypermarchés français (Non éligibles à l’ADSL) :
- 1 routeur Cisco 819 4G LTE M2M Gateway
- 1 Kit de connexion modem + antenne réceptrice fourni par l’opérateur Ozone.
Pour la centrale d’achat :
- 1 routeur CISCO fourni par l’opérateur Magic Online.
Pour la plateforme de stockage :
- 1 routeur CISCO fourni par l’opérateur Magic Online.
1.3.4 Qualité de service
La QOS (Quality Of Service) est directement configurée par les opérateurs suivant nos
directives. Cf. Lot sécurité.

12 Hugo ROLAND
Renaud BEAUMELLE
2 - Lot infrastructure réseau local
2 Lot infrastructure réseau local
La société Newstore a besoin de permettre à ses salariés d’échanger, de partager et
d’accéder aux informations numériques. Une grande partie de ces fonctionnalités repose sur
le réseau local (LAN). L’architecture en place a de fortes carences en termes de
performance, d’administration, de robustesse mais aussi d’évolutivité (schéma en ANNEXE
B). C’est pourquoi cette infrastructure se doit d’être entièrement remaniée afin de garantir
aux hypermarchés Newstore toute la compétitivité nécessaire au domaine de la grande
distribution.
L’infrastructure LAN est propre à chaque site et nous détaillerons ce lot en :
- Hypermarchés éligibles au SDSL.
- Hypermarchés non éligibles au SDSL.
- Site central (Centrale d’achat et plateforme de stockage).
2.2.1 Hypermarchés
L’architecture technique propre aux hypermarchés se base en partie sur l’infrastructure
réseau existante, notamment en termes de câblage puisque celui en place répond aux
besoins.
Le point le plus important pour nous a été d’apporter à Newstore une ligne de caisse
performante, robuste et évolutive. Nous avons ensuite maximisé la qualité du service rendu
aux autres utilisateurs tout en maitrisant les coûts. C’est donc dans l’optique de gommer les
points individuels de défaillance que nous avons construit la solution.
Les principales modifications de l’architecture existantes sont axées sur :
- La redondance des équipements réseaux.
- La sécurité :
 Implementation de VLAN (Virtual Local Area Network)
 Réseau dédié à l’administration
- La gestion de la QOS
- La robustesse du service rendu (matériels plus récents, alimentations sans
coupure, contrats de maintenance, et garanties constructeurs)
- La performance (capacité de commutation accrue, augmentation des débits
maximaux des points critiques)
Les avantages de cette architecture :
- Aucun point de défaillance unique.
- Une sécurité renforcée du fait des VLAN.
Les deux schémas d’infrastructure des hypermarchés éligibles et non éligibles au SDSL sont
disponibles en pages suivantes :

13 Hugo ROLAND
Renaud BEAUMELLE
Schéma architecture LAN d’un hypermarché éligible au SDSL
VLAN VOIP
VLAN
COMPTA-DIR
France TELECOM
TEL IP
PC Compta PC Direction PC Labo
1 TEL ANA
Gondoles
Imprimante
PC Caisse
TPE
PC Marchandise PC Informatique
Imprimante
PC Caisse
TPE
TEL IP TEL IP TEL IP TEL IP TEL IP
Imprimante
PC Caisse
TPE Imprimante
PC Caisse
TPE
TEL IP
VLAN VOIP
VLAN CAISSES
MPLS
Routeur FAIRouteur FAI
BDD APPLI
ALOHA RDP
RODC + DHCP + DNS + HyperV
ALOHA
IP PABX
VLAN PC
VLAN SERV
RODC + DHCP + DNS +WSUS + HyperV + Imp
VLAN ADMIN
VLAN
ADMIN
VLAN ADMIN
Imprimante
VLAN
IMPRIMANTES
Lien agrégé
CLUSTER
Stack
VLAN
RS 232
9
4
8
2
2
1
4
4
1
2
2
7
1
1
1
2
PC
Commutateur
distribution/
accès
Téléphone IP
Commutateur
cœur de réseau
WAN
Gondole
Imprimante
Tickets
TPE
Emetteur Radio
Liaison
commutée
Routeur
Serveur
Gateway SIP
IP PABX
Imprimante
Carte
d’administration
à distance
Légende Symboles
Légende
Légende liaisons
1000BaseTCat 5e
100BaseTXCat 5
10GBaseT Cat 6e
USB

14 Hugo ROLAND
Renaud BEAUMELLE
Schéma architecture LAN d’un hypermarché non éligible au SDSL
VLAN ADMIN
France TELECOM
VPN vers MPLS
TEL IP
Routeur WiMax
RODC + DHCP + DNS + WSUS + HyperV + Imp
1 TEL ANA
Gondoles
Imprimante
PC Caisse
TPE
VLAN CAISSE : 50 PC
Imprimante
PC Caisse
TPE
TEL IP TEL IP TEL IP TEL IP TEL IP
RODC + DHCP + DNS + WSUS + HyperV + Imp
Imprimante
PC Caisse
TPE Imprimante
PC Caisse
TPE
TEL IP
VLAN VOIP
BDD APPLI
ALOHA RDP
VLAN ADMIN
IPSAN1
IPSAN2
Routeur 4G
Réplication Bit à Bit
VLAN CAISSES
VLAN
COMPTA-DIR
PC Compta PC Direction PC Labo PC Marchandise PC Informatique
VLAN PC
VLAN SERV
VLAN VOIP
IP PABX
VLAN ADMIN
VLAN ADMIN
Imprimante
VLAN
IMPRIMANTES
Lien agrégé
Liaison WiMax
Liaison 4G
CLUSTER
Stack
VLAN
RS 232
9
4
6
8
2
2
1
1
1
4
4
2
1
1
PC
Commutateur
distribution/
accès
Serveur
Téléphone IP
Commutateur
cœur de réseau
WAN
Routeur FAI
Antenne
parabolique
Gondole
Imprimante
Tickets
TPE
IPSAN
Routeur
Emetteur Radio
Légende Symboles
1 Pylône radio
4
Carte
d’administration
à distance
1 IP PABX
1 Gateway SIP
1 Imprimante
Légende
Légende liasons
Interaction
USB
1000BaseTCat 5e
100BaseTXCat 5
10GBaseT Cat 6e

15 Hugo ROLAND
Renaud BEAUMELLE
2.2.2 Site Central
La centrale d’achats et la plateforme de stockage sont réunies en une seule entité logique
que nous appellerons « Site Central ».
Le choix de réunir ces deux sites a été motivé par les raisons suivantes :
- Simplicité de configuration logicielle : Une seule adresse IP à configurer sur tous
les sites.
- Redondance et robustesse transparente pour les utilisateurs.
- Point de gestion unique : Tous les flux en provenance des hypermarchés
passent par ce point unique de gestion, ce qui simplifiera le travail des
administrateurs réseaux.
- Simplicité et faible coût de raccordement : La liaison fibre existe déjà entre ces
deux bâtiments.
- Création sans investissement supplémentaire d’un PCA (Plan de Continuité
d’Activité) : En effet, l’éloignement géographique des deux bâtiments est suffisant
(500 mètres) pour qu’en cas de sinistre (type incendie) les deux sites ne soient
pas menacés.
D’un point de vue réseau, ces deux sites communiquent entre eux au niveau deux (pas de
routeur nécessaire), il s’agit donc d’un seul et même LAN (Local Area Network).
L’ajout d’équilibreurs de charge (Load-Balancers) évite la congestion du réseau sur un des
deux sites physiques de cette entité.
Le schéma de l’infrastructure du site central est disponible en page suivante :

16 Hugo ROLAND
Renaud BEAUMELLE
Schéma architecture LAN du site central
VLAN VOIPVLAN VOIP
VLAN SERVEUR
VLAN ADMINVLAN ADMIN
France TELECOM
1 TEL ANA
France TELECOM
1 TEL ANA
VLAN
VOIP
VLAN PC
CENTRALE
VLAN LB
VLAN ROUTEUR
Routeur FAI
MPLS + WAN
Routeur FAI
FirewallFirewall
Load-Balancer Load-Balancer
IPSAN1IPSAN2
SAN Réplication
bloc à bloc
AD2
DNS
DHCP2
HyperV1 HyperV2
AD1
DNS
DHCP 1
BDD Oracle BDD Oracle
DataGuard Logic
APPLI APPLI
GOLD
SUPERVISION MASTER
RDP BACKUPSAUVEGARDE
+
Impression
PLATEFORME DE STOCKAGE CENTRALE D’ACHAT
VLAN
VOIP
VLAN PC
CENTRALE
SUPERVISION SLAVE
VLAN ADMIN
VLAN ADMIN VLAN ADMIN
VLAN ADMIN
VLAN ADMIN
Imprimante
VLAN
IMPRIMANTES
Imprimante
VLAN
IMPRIMANTES
IP PABXIP PABX
Fibre 10G
VRRP
Lien agrégé
10GBaseT Cat 6e
CLUSTER
Stack
VLAN
1000BaseTCat 6SFTP
Symboles
Légende Symboles
9 PC
4
Commutateur
distribution/accès
6 Serveur
8 Téléphone IP
2 Liaison commutée
2
Commutateur
cœur de réseau
2 Wan
2 Routeur FAI
1 Borne RFID
1 Gondole
4 Imprimante tickets
4 TPE
Légende
Légende liasons
100BaseTXCat 5

17 Hugo ROLAND
Renaud BEAUMELLE
2.3.1 Hypermarchés
Routeurs :
Les deux routeurs sont agrégés via le protocole VRRP (Virtual Router Redundancy Protocol
Deux commutateurs empilés assurent la fonction de cœur de réseau.
Cœur de réseau :
Le cœur de réseau des hypermarchés est constitué de deux commutateurs empilés.
Téléphones :
Les téléphones IP choisis disposent d’un commutateur intégré et ils supportent l’alimentation
POE (Power Over Ethernet), ce qui :
- Simplifie la gestion du câblage : Un seul câble dessert l’ensemble téléphone/PC.
- Simplifie la gestion électrique : Il suffit de faire correspondre un commutateur qui
délivre une alimentation électrique via le câble Ethernet.
Chaque caisse dispose d’un téléphone partagé avec sa caisse jumelle.
Les utilisateurs autres que ceux du secteur caisse se connectent tous sur un commutateur
qui alimente directement en électricité les téléphones IP.
Caisses :
Les postes de caisse sont desservis par trois commutateurs HP Series 2530 48G POE. Il a
été choisi de faire arriver deux câbles sur chaque emplacement de caisse, chacun reliés à
un commutateur différent. De cette manière, si un des trois commutateurs tombe en panne,
les caissières auront un simple geste à effectuer, à savoir brancher le câble de leur
téléphone sur la seconde prise réseau. Voir lot procédures.
Equilibreurs de charges :
Sur chaque hypermarché des équilibreurs de charge virtuels seront positionnés afin de
diriger correctement les flux ERP et RDP (Remote Desktop Protocol) dans le but de garantir
la disponibilité des destinataires. Ils dirigeront le trafic soit vers le serveur local concerné, soit
vers le « Site Central » si ce dernier n’est pas disponible.
Autres :
Les serveurs, la borne émettrice des étiquettes de gondoles, le nécessaire à la téléphonie
ainsi que les routeurs sont directement connectés sur le cœur de réseaux.
2.3.2 Site Central
Routeurs :
Les routeurs du fournisseur d’accès internet Magic Online sont agrégés via le protocole
VRRP (Virtual Router Redundancy Protocol). Ils sont donc considérés d’un point de vue
réseau comme une seule entité. Ils disposent chacun de deux instances de routage virtuel.
Une destinée à apparaitre sur le réseau MPLS et l’autre destinée à accéder au WAN (Wide
Area Network).

18 Hugo ROLAND
Renaud BEAUMELLE
Les routeurs fournisseurs d’accès internet sont directement connectés sur le cœur de
réseau, dans deux VLAN distincts en fonction des instances virtuelles.
Cœur de réseau :
Quatre commutateurs (deux par site physique) assurent la fonction de cœur de réseau.
Ils sont reliés via les deux liens fibre OM4 50/125 existant entre la centrale d’achat et la
plateforme de stockage.
Chaque commutateur est relié à son homologue local via la technologie VSS (Virtual
Switching System). Cela présente plusieurs avantages, notamment :
- Un point de gestion unique, les quatre commutateurs n’en forment plus que deux
d’un point de vue logique.
- Pas d’interruption de service si un équipement tombe en panne et aucune re-
convergence de protocoles (les interconnexions d’équipement se basant sur un
système de session sont toujours actives).
Ces commutateurs assurent le routage d’un VLAN à l’autre, en fonction des règles
préétablies.
Firewalls :
Les deux firewalls forment un cluster actif/actif.
Ils permettent la connexion au réseau interne depuis l’extérieur (cas des commerciaux en
déplacement) via VPN (Virtual Private Network).
Ils gèrent le trafic venant du réseau MPLS à destination du WAN, le trafic en provenance du
MPLS à destination du « Site Central » et enfin le trafic du « Site Central » à destination du
WAN.
Commutateurs d’accès utilisateurs :
Ils sont au nombre de deux par site. Ils assurent la connectivité entre le cœur de réseau et
les téléphones IP ainsi que les postes clients.
Commutateurs d’accès serveur :
Ils sont au nombre de deux par sites. Ils assurent la connexion entre les serveurs et le reste
du réseau via des liens 10G. Ils sont empilés afin d’en simplifier la gestion.
Equilibreurs de charge :
Un par site, ils sont également agrégés via le protocole VRRP. Ils permettent de rediriger le
trafic vers la destination la plus accessible afin d’éviter les effets de goulot d’étranglement.
Autres :
Le nécessaire à la téléphonie est directement connecté sur le cœur de réseaux.

19 Hugo ROLAND
Renaud BEAUMELLE
2.4 Adressage IP
Nous avons choisi d’utiliser deux solutions d’attributions différentes pour les équipements
globaux et les équipements utilisateurs :
 Les équipements utilisateurs se voient attribuer des adresses IP par les serveurs
DHCP.
 Les équipements globaux (serveurs, routeurs, commutateurs, …) ont une adresse IP
fixe.
Afin de garantir la disponibilité du service, les serveurs DHCP sont en cluster de
basculement. Les serveurs Windows 2012 permettent cette fonctionnalité en utilisant un
script Power Shell.
Afin de permettre la diffusion des paquets DHCP dans les différents VLAN, nous utilisons le
mode « DHCP relay » supporté par les commutateurs que nous avons choisis.
2.4.1 Hypermarchés
Chaque hypermarché se voit attribué un sous réseau en /23. Cela signifie que chaque
hypermarché peut contenir 510 hôtes, ce qui permettra de rajouter jusqu’à 361 éléments
connectés par site (soit une évolution de 240%).
Pour des raisons de sécurité, les réseaux des hypermarchés sont découpés en Sous-
Réseaux Virtuels (VLAN).
Les VLAN et les équipements qu’ils contiennent sont découpés ainsi :
Numéro de
VLAN
Nom de VLAN Secteur Equipements concernés
11 VOIP Tous Téléphones VOIP
12 CAISSE Secteur caisse Les PC de caisse
13 PC Marchandise, Laboratoire et
Informatique
PC utilisateurs
14 SERVEUR Tous Les serveurs et les équipements de
stockage
15 COMPTA Comptabilité et direction Les PC du service comptabilité et de la
direction
16 IMPRIMANTES Tous L’imprimante multifonction présente sur
chaque site et le serveur d’impression
2 ADMIN Administration Les cartes d’administration des serveurs et
équipements de stockage
Le VLAN numéro 2 est dédié aux actions d’administration.

20 Hugo ROLAND
Renaud BEAUMELLE
2.4.2 Site central
Le site central dispose du réseau 172.16.200.0/23.
Ce réseau est également découpé en VLAN pour des raisons de sécurité.
Les VLAN et les équipements qu’ils contiennent sont découpés ainsi :
Numéro de VLAN Nom de VLAN Secteur Equipements concernés
990 SERVEUR Tous Les serveurs et
équipements de stockage
991 VOIP Tous Les téléphones IP
992 PC Tous Les postes utilisateurs
993 RTRWAN Tous Les instances « WAN »
des routeurs
994 RTRMPLS Tous Les instances « MPLS »
des routeurs
995 LINKPROOF Tous Les équilibreurs de
charge
996 IMPRIMANTES Tous L’imprimante
multifonction présente
sur chaque site et le
serveur d’impression
2 ADMIN Administration Les cartes
d’administration tout
équipement confondu
2.5 Nommage
Une charte de nommage a été établie.
Elle est disponible en ANNEXE G mais voici un récapitulatif :
Chaque équipement est nommé selon : Type, Environnement, Spécificité, Site, Utilisation,
Critère d’unicité. L’ensemble donne un nom TESSiUxx
Equipement Type Environnement Spécificité Site Utilisation Unicité TESSiUxx
Exemples
d’éléments.
Poste,
Serveur,
…
Production,
Pré-production,
…
Constructeur,
OS,
…
CA, PF,
Numéro
de
l’hyper
Rôle :
Cœur de
réseau,
caisse, …
Numéro
assurant
l’unicité
du nom.
3eme caisse du
14
ème
hyper
P P W 14 C 03 PPW14C03
Firewall de la
centrale
F P C CA 0 01 FPCCA001
Serveur RDS de
l’hyper 12
S P W 12 R 01 SPW12R01

21 Hugo ROLAND
Renaud BEAUMELLE
2.6 Matériel
2.6.1 Hypermarchés
Voici le matériel réseau d’un hypermarché type :
Commutateurs :
- 2 commutateurs HP Series 2920 24G pour le cœur de réseau
- 1 commutateur HP Series 2920 48G POE pour l’accès aux utilisateurs
- 3 commutateurs HP Series 2530 48G POE pour le secteur caisse
Le constructeur HP a été retenu car :
- Les prix restent abordables
- Le constructeur est fiable et reconnu dans le monde du réseau
- Le matériel est garanti à vie
- 2 ALOHA Load Balancer Virtual Appliance
2.6.2 Site Central
Le matériel réseau présent sur le « Site Central » :
Commutateurs :
- 4 CISCO 4503E constituant le cœur de réseau
- 4 CISCO 2960 TSL 24 Ports pour l’accès aux utilisateurs + VOIP
- 4 CISCO WS-C3560E-12D-E
Firewalls :
- 2 CISCO ASA 5550
- 2 F5 BIG-IP Local Traffic Manager 2200S

22 Hugo ROLAND
Renaud BEAUMELLE
3 - Lot serveurs et stockage
3 Lot serveurs et stockage
Tous les logiciels et progiciels nécessitent un système adapté à leurs besoins de
fonctionnement. Afin de répondre au mieux à ces besoins, nous avons évalué les
équipements en place (utilisation, coûts de maintenance, performance, sécurité). Nous en
avons conclu que certains équipements nécessitaient un remplacement. C’est le cas des
serveurs, qui ne répondent pas aux besoins, ne sont plus garantis, dont la maintenance est
onéreuse et qui ne sont pas redondés.
3.2.1 Serveurs hypermarchés SDSL
L’infrastructure serveur d’un hypermarché éligible au SDSL se doit de fournir les services
de :
- Contrôleur de domaine en lecture (RODC).
- Configuration automatique des paramètres IP (DHCP).
- Système de noms de domaine (DNS).
- Le service GOLD Shop.
- Le répartiteur de charge ALOHA (cf. Lot LAN).
- Un service de mises à jour des postes Windows (WSUS).
- Les machines virtuelles nécessaires aux postes légers (RDS). Cinq machines
virtuelles seront donc nécessaires (une par service).
- Un serveur d’impression
Nous sommes partis du principe qu’aucun point unique de défaillance ne devait être présent.
A priori chaque équipement doit donc être rendu robuste mais aussi être redondé en cas de
panne. La redondance et le débit de la connexion internet nous permet néanmoins de
mutualiser une partie de cette redondance dans le site central, à savoir le RDS et les accès
à l’applicatif GOLD. Le WSUS n’est quant à lui pas suffisamment critique pour nécessiter de
redondance.
Nous avons donc défini pour les hypermarchés éligibles au SDSL que les serveurs suivant
étaient nécessaires :
- Un premier serveur hébergeant :
 Un RODC, DHCP et DNS sur un HyperV
 Les machines virtuelles suivantes :
 Un serveur BDD pour Gold Shop.
 Un serveur Applicatif pour Gold Shop.
 Un serveur ALOHA.
 5 machines virtuelles pour les connexions RDS.
- Un second serveur hébergeant :
 Un RODC, DHCP, DNS et WSUS sur un HyperV.
 Une VM ALOHA (cf lot LAN).

23 Hugo ROLAND
Renaud BEAUMELLE
Voici un tableau récapitulant les besoins en termes de ressources matérielles :
BESOINS HYPER SDSL
Quantité Stockage Cœurs RAM Débit
Serveur
virtualisation
BDD 1 400 Go 4 12 Go 0 Mb/s
APPLI 1 30 Go 4 12 Go 1 000 Mb/s
ALOHA 1 10 Go 2 2 Go 1 000 Mb/s
RDP+DNS+DHCP 1 156 Go 4 8 Go 2 800 Mb/s
Serveur marchandise 1 30 Go 1 2 Go 500 Mb/s
TOTAL 1 626 Go 15 36 Go 5 300 Mb/s
RODC+DHCP+DNS+ALOHA 1 80 Go 6 8 Go 1 000 Mb/s
3.2.2 Serveurs hypermarchés non éligibles au DSL
L’infrastructure serveur d’un hypermarché non éligible au SDSL se doit de fournir les mêmes
services que celle d’un hypermarché éligible au SDSL.
Nous avons réappliqué le principe selon lequel aucun point unique de défaillance ne devait
être présent. Contrairement aux hypermarchés éligibles au SDSL, nous considérons que ces
hypermarchés se doivent d’être autonomes, le RDS doit donc être redondé en local. La
bande passante étant plus faible, nous préférons aussi éviter qu’en cas de panne du serveur
WSUS les mises à jour passent par la connexion.
Les services seront donc tous redondés dans ces hypermarchés.
Nous avons défini pour les hypermarchés non éligibles au SDSL que deux serveurs en
cluster de basculement étaient nécessaires. Ceux-ci hébergent :
- RODC, DHCP, DNS, impression et WSUS sur l’HyperV.
- Les machines virtuelles suivantes :
 Un serveur BDD pour Gold Shop
 Un serveur applicatif pour Gold Shop
 5 machines virtuelles pour les connexions RDS (une par service).
 Une machine virtuelle pour ALOHA (cf. lot LAN).
Voici un tableau récapitulant les besoins serveurs pour ces sites :
BESOINS HYPER NOSDSL
Serveur
virtualisation
x2
BDD 1 400 Go 4 12 Go 0 Mb/s
APPLI 1 30 Go 4 12 Go 1 000 Mb/s
RDP + DNS + DHCP +
RODC 1 156 Go 4 8 Go 2 800 Mb/s
ALOHA 1 10 Go 2 2 Go 1 000 Mb/s
Serveur marchandise 1 30 Go 1 2 Go 500 Mb/s
TOTAL 2 626 Go 15 36 Go 5 300 Mb/s

24 Hugo ROLAND
Renaud BEAUMELLE
3.2.3 Serveurs site central
L’infrastructure serveur du site central fournira les services suivants :
- L’ERP (base et applicatif) fournissant les services métiers aux utilisateurs et
centralisant les informations.
- L’annuaire centralisé (Active Directory).
- Le système de noms de domaine centralisé (DNS).
- La configuration automatique des paramètres IP (DHCP).
- La supervision du parc (cf. Lot sécurité).
- Le secours RDS des machines virtuelles utilisées dans les hypermarchés éligibles au
SDSL pour les postes utilisateurs.
- L’archivage et la sauvegarde des données.
- Un serveur d’impression.
L’archivage, la sauvegarde et le RDS sont les seuls services ne nécessitant pas de
redondance des équipements. L’un comme l’autre étant déjà des systèmes de secours.
Voici le récapitulatif des besoins de ressources matérielles pour les serveurs du site central :
BESOINS CENTRALE D'ACHAT & PLATEFORME
Serveur de
virtualisation
BDD 2 2 000 Go 16 64 Go 1 000 Mb/s
APPLI 2 200 Go 16 64 Go 100 Mb/s
TOTAL 2 2 200 Go 32 128 Go 1 100 Mb/s
Sauvegarde 1 83 752 Go 8 16 Go 10 000 Mb/s
RDP Backup (HyperDSL) 1 2 900 Go 8 16 Go 2 800 Mb/s
AD+DHCP+DNS 2 300 Go 4 8 Go 100 Mb/s
Monitoring 2 300 Go 8 16 Go 100 Mb/s
Afin de répondre à ces besoins nous avons évalué les offres de plusieurs constructeurs
reconnus (Dell, HP et IBM).
Après une étude des différents services, prix, performances, de la fiabilité et du support nous
avons choisi IBM pour nous fournir les serveurs (System X) et les racks.
Les équipements que nous vous proposons répondent parfaitement aux besoins de
Newstore et assurent des possibilités d’évolution sans remettre en cause l’infrastructure.

25 Hugo ROLAND
Renaud BEAUMELLE
Tous les équipements systèmes intègrent les éléments suivants :
- Alimentation redondante. En cas de défaillance d’une alimentation il n’y a pas de
coupure du service.
- Disques système en local, en raid 1. Cela permet de mirrorer toutes les données. En
cas de défaillance d’un disque, le système continue de fonctionner et le disque est
ensuite remplacé. Il n’y a pas de perte de données. Ces disques étant de faible
capacité, le coût est le plus faible des solutions de sécurité RAID.
Ces deux éléments matériels sont les plus sujets aux pannes. Cette architecture permet de
réduire les probabilités de panne très fortement.
Nous avons choisi d’utiliser des serveurs en rack. Cela nous permet d’utiliser moins de place
que des châssis standard sans pour autant en coûter le prix, nécessiter la ventilation et la
climatisation nécessaire aux serveurs lames.
Afin de protéger le matériel intégré au rack et de garantir une autonomie suffisante
permettant le démarrage des groupes électrogènes sans arrêt du service en cas de coupure
électrique, nous équiperons ces racks de dispositifs d’alimentation sans coupure.
Déploiement :
Installation et configuration via le serveur de déploiement de HRRB dans les locaux du
prestataire. Finalisation de l’installation par les équipes HRRB sur site client.
3.3.1 Equipements hypermarchés SDSL
Liste des serveurs nécessaires à un hypermarché dont le secours est mutualisé en site
central :
Usage Descriptif du serveur Quantité
HyperV (DNS
DHCP RODC),
ALOHA, BDD,
APPLI et RDP
System X3500 M4 - Rack - 2*E5-2640v2 (8C) - 40Go RAM - 2x300Go
SAS 10k rpm Raid1 - 4* 1To SAS 7200 rpm Raid 5 - 2*IBM 750W -
Broadcom 2* 10GBaseT - Windows 2012 Datacenter
1
HyperV (DNS,
RODC, DHCP,
DNS, impression et
WSUS), ALOHA
System X3250 - Rack - E3-1270v2 (4C) 3,5Ghz - 8Go RAM - 2x300Go
SAS 10k rpm Raid1 - 2x IBMM 460W redondante - Intel Dual Port
10GBase T - Windows 2012 Standard
1

26 Hugo ROLAND
Renaud BEAUMELLE
Le serveur hébergeant l’applicatif ainsi que les sessions RDS (et donc les machines
virtuelles associées) nécessite un espace de stockage conséquent (3Go). Ces disques étant
utilisés pour les données, nous avons choisis des disques SAS de 7200 rpm en raid 5. Ce
raid permet de garantir l’intégrité des données sans perdre autant de volumétrie qu’un raid 1.
Son principe de fonctionnement est le suivant :
Ces serveurs ainsi que les équipements réseaux doivent être placés dans des racks. Au total
les équipements occupent 13 U. Nous avons choisi des racks de 25U afin de permettre
l’évolution du système d’information.
La puissance ASC nécessaire minimale est de 4500 VA. Concernant l’autonomie, nous
avons procédé aux calculs nécessaires dont voici les résultats :
Site Consommation Puissance ASC
nécessaire
Autonomie sans
batterie
Autonomie avec
batteries
Hyper SDSL 2 927 W 4 435 VA 19 min 57 min
Vous trouverez l’ensemble des éléments de ces calculs en ANNEXE E.2.
Les 19 minutes d’autonomie des ASC IBM 6000 VA étant suffisantes pour démarrer le
groupe électrogène, nous avons sélectionné l’ensemble RACK et ASC suivant :
Baie d’accueil et alimentation Quantité
IBM S2 25U Static Strandard Rack Cabinet
IBM 6000VA LCD 4U Rack UPS (230V)
1
Cas particulier :
L’un des hypermarchés éligible au SDSL servira de plan de reprise d’activité en cas de
sinistre majeur sur le site central. Les détails sont décrits dans le lot sécurité (sauvegarde).
Cet hypermarché sera donc équipé en plus des équipements suivants :
Equipement Type Quantité
Baie de stockage Qnap TS-EC1679U-SAS-RP (24 slots) 1
Module d’expansion Qnap RexP-1600U-RP Expension enclosure (16 slots) 2
Module 10G Module QNAP 10GbEBaseT Dual port 3
Disques HGST 4To 7200 rpm SAS (HUS724040ALS640) 34
La baie d’accueil rack sera remplacée par la suivante :
IBM S2 25U Static Standard Rack Cabinet
IBM 6000VA UPS 3U Extended Battery Module
1

27 Hugo ROLAND
Renaud BEAUMELLE
3.3.2 Equipements hypermarchés non éligibles au DSL
Liste des serveurs nécessaires à un hypermarché dont le secours est situé sur site :
HyperV (RODC,
DHCP, DNS,
impression et
WSUS),
ALOHA, BDD
APPLI
System X3500 M4 - Rack - 2*E5-2640v2 (8C) - 40Go RAM - 2x300Go SAS
10k rpm Raid1 - 2*IBM 750W - Intel 2* 10GBaseT - Windows 2012
Datacenter
2
Ici, le serveur de secours étant en local nous avons choisi de mettre en place un espace de
stockage réseau afin de construire un cluster de machines virtuelles HyperV. La fonction
HyperV de mémoire partagée est activée sur la machine virtuelle hébergeant la base de
données de l’ERP distribué. Cela permet de réduire au minimum l’interruption de service par
une remontée quasi instantanée de la machine virtuelle sur le second nœud.
Nous avons donc choisi des équipements connectés en 10GbE et garantissant des
performances en IOPS (opérations de lecture / écriture par seconde) suffisante à l’exécution
de plusieurs machines virtuelles.
Les équipements de stockage réseau choisis sont les suivants :
Equipement Quantité
Synology RS10613XS+ 2u 2x10GbE 10xSlot HDD HotSwap 2
HDD 1To SAS 7200rpm 12
Ces serveurs ainsi que les équipements réseaux doivent être placés dans des racks. Au total
les équipements occupent 15 U. Nous avons choisi des racks de 25U afin de permettre
l’évolution du système d’information.
Afin de garantir une autonomie suffisante permettant le démarrage des groupes
électrogènes, nous avons procédé aux calculs nécessaires dont voici les résultats :
nécessaire
Autonomie sans
batterie
Autonomie avec
batteries
Hyper NoSDSL 3 391 W 5 138 VA 16 min 47 min
Les équipements les plus à même de répondre à ces besoins sont les suivants :
IBM S2 25U Static Strandard Rack Cabinet
1

28 Hugo ROLAND
Renaud BEAUMELLE
3.3.3 Equipements site central
Liste des serveurs :
ERP System X3750 M4 - 4xE5-4610v2 (8C) - 176 Go 1600Mhz RDIM - 2x300GB SAS
6Gbps 10K RPM Raid 1 - Alim redondantes 900W - 2 cartes Broadcom dual
10GbT
2
AD, DNS,
DHCP
System X3250 - Rack - E3-1270v2 (4C) 3,5Ghz - 8Go RAM - 2x300Go SAS 10k rpm
Raid1 - 2x IBMM 460W redondantes - Windows 2012 Standard
2
Monitoring System X3530 M4 - Rack - E5-2420v2 (8C) 2,2Ghz - 16Go 1600Mhz - 2x300Go
10k rpm RAID 1 + Support RHEL
2
Sauvegarde et
impression
System X3530 M4 - Rack - E5-2440v2 (8C) 1.9Ghz - 16Go 1600Mhz - 2x300Go
10k rpm RAID 1 - Broadcom Ethernet Dual Port 10G + Support RHEL
1
Secours RDP System X3630 M4 - Rack - E5-2440v2 (8C) 1,9Ghz 1600Mhz - 16 Go RAM -
2x300Go 15k rpm SAS - RAID 1 - Windows 2012 datacenter
1
Tous ces serveurs sont équipés d’alimentations redondantes afin de minimiser le risque de
panne d’équipement.
La consommation des processeurs a été prise en compte dans leur choix afin d’améliorer
l’autonomie des onduleurs, de réduire l’impact sur l’environnement, mais aussi la facture
énergétique.
Une garantie de temps de rétablissement de 4 heures est souscrite sur tous ces
équipements.
Ces serveurs sont reliés par des liens 10GBaseT à deux NAS en réplication synchrone
continue. Ces équipements de stockage réseau permettent de maitriser la volumétrie,
d’assurer l’évolutivité de l’infrastructure et d’apporter plus de souplesse concernant
l’allocation de volumétrie.
Pour rappel, le besoin est de 82 To afin de répondre à la politique de sauvegarde définie (cf.
Lot sécurité) et de 5 To pour le stockage des données de production.
Les sauvegardes seront stockées sur des disques 4To à 7200 rpm.
Les données de production seront stockées sur des disques 1,2To à 10k rpm.
Le matériel choisi est le suivant :
Equipements de stockage réseau Quantité
Qnap TS-EC1679U-SAS-RP (24 slots) 1
Qnap RexP-1600U-RP Expension enclosure (16 slots) 3
Module QNAP 10GbEBaseT Dual port 4
HGST 4To 7200 rpm SAS (HUS724040ALS640) 34
HGST 1.2To 10k rpm SAS (HUC101212CSS600) 8
Ceci nous permet de stocker 7,2 To de données effectives de production dans la baie
principale. Nous stockons jusqu’à 102 To de données effectives de sauvegarde sur les
disques placés dans les modules d’extension.
Nous assurons ainsi une évolutivité de 4 ans minimum sans ajout de disques.

29 Hugo ROLAND
Renaud BEAUMELLE
Les baies pouvant accueillir encore 28 disques, aucune prévision de changement de
matériel n’est à prévoir dans les années à venir. Il est par ailleurs possible d’ajouter des
extensions supplémentaires en cas de besoins.
L’ensemble des équipements (serveurs, commutateurs réseau, NAS, routeurs, pare-feu,…)
de chaque site physique est installé dans une armoire rack munie d’un dispositif
d’alimentation sans coupure.
Afin de garantir une autonomie suffisante permettant le démarrage des groupes
électrogènes, nous avons procédé aux calculs nécessaires dont voici les résultats :
nécessaire
Autonomie sans
batterie
Autonomie avec
batteries
Centrale 2 756 W 4 176 VA 21 min 61 min
Plateforme 2 803 W 4 247 VA 20 min 60 min
Les équipements les plus à même de répondre à ces besoins sont les suivants :
IBM 42U 1200mm Deep Static Rack
2

30 Hugo ROLAND
Renaud BEAUMELLE
4 - Lot postes clients
4 Lot postes clients
Les postes clients sont les équipements qui assurent le service final à chaque utilisateur.
Ils sont nombreux ce qui en fait un point essentiel de tout système d’information. Nous avons
donc analysé l’existant afin de définir si les équipements en place assuraient le service de
façon satisfaisante.
Il y a dans l’entreprise plusieurs types de postes que nous avons regroupés par
catégories :
- Les postes caisses utilisés par les caissiers et munis des équipements liés à cette
activité (terminaux de paiement bancaire, imprimantes, afficheurs de prix, scanners).
- Les postes utilisateurs utilisés par les secteurs de marchandise, de laboratoire, de
comptabilité et administratifs.
- Les ordinateurs portables nécessaires aux commerciaux.
Nous avons identifié les postes utilisateurs (DELL GX520) comme désuets. En effet
ceux-ci représentent des coûts de maintenance élevés, des remplacements fréquents ainsi
qu’une fiabilité et des performances décroissantes.
Les postes de caisses ainsi que les ordinateurs portables des commerciaux répondent
quant à eux parfaitement aux besoins et le coût de leur maintenance reste maitrisé.
Afin de rendre un service optimal, nous vous proposons de remplacer les postes
utilisateurs dans le but de :
- Réduire les coûts
- Rendre le service plus fiable
- Faciliter leur administration
- Sécuriser les postes et donc le système d’information

31 Hugo ROLAND
Renaud BEAUMELLE
Voici un tableau récapitulatif des différences entre un client léger et un client lourd :
Client Léger Poste Lourd
Coût
Prix à l’achat ~300€ De 500€ à 1000€
Matériel
Composant Un seul ensemble
Pas de pièces mécaniques
Différents composants avec autant de
problème que de composants
Taille Boitier Tour
Nuisance Sonore Aucune Bruit de disque dur et ventilateur
Administration
Support technique Support technique beaucoup
moins sollicité car 90% des taches
d’administration sont centralisés
Support technique très sollicité car il doit se
déplacer sur le poste de l’utilisateur et doit
diagnostiquer la panne peut provenir d’un
des nombreux composant du PC ou d’un
logiciel
Installation des
postes
Branchement du client léger et
l’utilisateur a directement accès
aux applications des serveurs
grâce à son identifiant
Temps de réalisation : 5min
Installation et configuration du système
d’exploitation et des logiciels
Temps de réalisation : 1h
Mise à jour Mise à jour des applications
uniquement depuis le serveur
Mise à jour sur chaque poste
Déploiement Ajout de l’utilisateur dans le
groupe correspondant pour accès
immédiat au logiciel
Passage sur le poste de l’utilisateur pour
installation et configuration
Sécurité
Sauvegarde de
données
Données stockées en totalité sur le
serveur donc sauvegardées
quotidiennement
Majoritairement en local donc en cas de
crash du disque dur, il y a une perte totale
des données
Protection
antivirale
Protection du serveur uniquement Logiciel antivirus sur chaque poste donc
ralentissement du poste pendant le scan et
les mises à jour
Impact des
utilisateurs
Pas de modifications possibles des
logiciels, ni d’installation de
logiciel non supporté par le service
informatique
Les utilisateurs peuvent faire des
modifications sur le système d’exploitation
et sur les logiciels ce qui entraine un
problème de stabilité et de sécurité
Consommation
Consommation
d’énergie sur une
journée
Source : Fraunhofer
5 Watts 35 Watts
Pour répondre au mieux à nos objectifs, la technologie des clients légers s’avère donc la
plus adaptée. En effet de par leur architecture ils sont beaucoup moins sujets aux pannes,
sont plus faciles à administrer et hautement évolutifs (l’administration et les évolutions se
font sur un serveur plutôt que sur chaque poste).

32 Hugo ROLAND
Renaud BEAUMELLE
Les dix ordinateurs portables des commerciaux qui sont conservés sont des DELL
Latitude D520, 1 go de mémoire, DD 80 Go.
Les caisses, elles aussi conservées sont des Epson MR800 (écran non tactile 12.1
pouces). Les imprimantes de tickets et chèques (Epson TM-H6000III), les afficheurs (Epson
DMD210) et les scanners (Metrologic Horizon MS7620) sont eux aussi conservés.
Les Terminaux de paiement électroniques existants (INGENICO - ICT220-2LS-EM) sont
connectés aux caisses sur un port RS232. Ils sont aux normes à minima jusqu’en 2017
(Homologués PCI PED 2.0 et embarquant Bulletin13) et sont donc conservés.
Chacun des postes clients (hors ordinateurs portables et caisses) est donc remplacé par
un client léger.
Il existe des solutions diverses pour virtualiser les environnements clients que l’on peut
regrouper en :
- Infrastructure de bureau virtuel (VDI) : Chaque utilisateur dispose d’une machine
virtuelle distincte sur le serveur.
 Avantages :
 Sécurisation de l’environnement
 Allocations et priorisation des ressources spécifiques à l’utilisateur.
 Inconvénients :
 Forte utilisation du stockage lors de multiples démarrages/arrêts.
 Administration faite par poste (ou via des technologies très
coûteuses).
 Besoin en ressource plus important
- Service de bureau distant (RDS) : Les machines virtuelles du serveur sont
partagées par plusieurs utilisateurs, ceux-ci travaillant sur des sessions distinctes.
 Avantages :
 Plus adapté à des groupes d’utilisateurs effectuant les mêmes
taches.
 Moins de charge sur le système de stockage.
 Administration mutualisée.
 Moins de ressources nécessaires.
 Moins coûteux.
 Inconvénients :
 Tous les utilisateurs d’une même machine virtuelle (et donc d’un
même service) partagent les mêmes ressources. Il ne peut y avoir
de priorité.
Nous avons donc choisi d’implémenter la solution la plus adaptée à la problématique : Les
sessions RDS.

33 Hugo ROLAND
Renaud BEAUMELLE
Voici un schéma du fonctionnement :
VM
Informatique
VM direction
VM
Laboratoires
VM
marchandise
VM Compta
Comptabilité
Marchandise
Labo
Direction
Info
Chaque service se connectera à une machine virtuelle différente (ce qui permet une
sécurité accrue) et chaque utilisateur aura une session distincte. Cela permet de mutualiser
les souches des machines virtuelles (par exemple, une mise à jour du module de
comptabilité se fera en une fois et n’impactera que le service de comptabilité).
Concernant les postes en eux-mêmes nous avons choisi des clients légers de la marque HP
(Smart Zero Client T410) qui répondent amplement aux besoins actuels.
Eléments de spécification du client choisi :
- 1 GB de RAM DDR3
- 2 GB de mémoire interne
- Solutions supportées : Citrix, RDS, VMware View
- Moniteurs : 2.
- Clavier et souris inclus
Ces clients permettront donc l’évolutivité vers d’autres solutions ou d’autres changements
comme l’ajout d’un second écran par exemple.
Déploiement :
Configuration manuelle des clients, sur site.

34 Hugo ROLAND
Renaud BEAUMELLE
5 - Lot téléphonie
5 Lot téléphonie
La communication au sein d’une l’entreprise ne peut se faire uniquement de manière
asynchrone. Il est parfois nécessaire d’avoir un échange en temps réel.
Le besoin d’une nouvelle solution de téléphonie pour Newstore nous a semblé évident au vu
de l’ampleur de la refonte informatique engagée.
Les évolutions récentes de la téléphonie sur IP nous permettent de proposer une solution
simple, fiable et peu coûteuse.
Le fournisseur d’accès internet Magic Online propose dans son catalogue un service de
VOIP (IP Centrex) relativement onéreux (15€ HT/par utilisateur et par mois).
Après négociation, cet opérateur nous a proposé, dans le cadre de son service MPLS, une
redirection peu coûteuse des flux VOIP : tous les flux tagués VOIP à destination de leur
Datacenter seront directement redirigés vers leurs opérateurs partenaires (SFR, FREE,
LEVEL3, TATA COMMUNICATION, NUMERICABLE, BOUYGUES TELECOM, etc…).
Nous avons donc choisi d’implémenter un IP PABX sur chaque site, afin de rediriger
directement les flux VOIP vers leur destination :
- les appels à destination de l’extérieur seront envoyés vers le Datacenter de
l’opérateur.
- Les flux internes seront directement redirigés vers l’IP PABX du site cible.
Nous avons donc choisi d’implémenter un IP PABX sur chaque site, afin de rediriger
directement les flux VOIP vers leur destination. Ainsi, les appels à destination de l’extérieur
seront envoyés vers le Datacenter de l’opérateur. Les flux internes seront directement
redirigé vers l’IP PABX du site cible.

35 Hugo ROLAND
Renaud BEAUMELLE
Le protocole de communication retenu est SIP pour les raison suivantes :
- C’est un protocole standardisé par l’IETF donc le plus compatible, ce qui laisse la
porte ouverte en termes d’évolution.
- Les communications, une fois établies, ne passent par aucun équipement
intermédiaire.
- La solution proposée par l’opérateur est compatible SIP.
Le codec audio utilisé sera G.729. C’est le codec audio le plus adapté à la VOIP en raison
de sa nature économe en bande passante. Il offre une qualité audio très satisfaisante (3,9/5
au test subjectif Mean Opinion Score) et opère à un débit de 8 kbits/s.
Chaque site disposera donc d’un autocommutateur privé (IP PABX ou IP Private Automatic
Branch eXchange). Ceux-ci seront connectés sur le cœur de réseau dans le VLAN VOIP.
Voici le schéma du fonctionnement de la solution :
Schéma du fonctionnement VoIP
Téléphones IP
Hyper 1 Hyper 2
Téléphones IP
MPLS
WAN
ROUTEUR
IP PABX IP PABX
ROUTEUR
MPLS
Sortant
Flux VOIP
Inter-Site
Interne

36 Hugo ROLAND
Renaud BEAUMELLE
5.3.1 Hypermarchés
Chaque hypermarché se verra donc intégrer un IP PABX supportant 150 utilisateurs et 45
communications simultanés.
IP PABX : Switchvox AA310 Appliance 150 utilisateurs / 45 communications simultanées.
TELEPHONES : Digium ex.D40 (50 téléphones par hypermarché)
5.3.2 Site central
Les besoins en communication au niveau du site central étant moindres, le modèle d’IP
PABX sera de capacité inférieure :
IP PABX : Switchvox AA80 Appliance 30 utilisateurs / 12 communications simultanées
TELEPHONES : Digium ex.D40 (2 téléphones pour chacun des deux sites constituant le site
central)
Déploiement:
Les configurations seront déployées directement sur le PABX via des fichiers CSV du type
suivant:
ext,fname,lname,email,password,phone_password,mac_address
100,Joe,Smith,jsmith@home.com,100,s3CurEp@S$,0019159C0646
101,Jane,Doe,jdoe@home.com,101,c@nT6ueSS,0013174C5532
102,Dan,Jackson,djackson@home.com,102,g0ODP@$$,

37 Hugo ROLAND
Renaud BEAUMELLE
6 - Lot messagerie
6 Lot messagerie
La communication par email tient une place importante des échanges quotidiens entre les
collaborateurs de Newstore.
Il est donc nécessaire de proposer une messagerie :
- Simple d’utilisation.
- A transmission rapide.
- Accessible depuis l’interne ou l’externe.
- Sécurisée.
- Disponible à tout moment.
La messagerie est une technologie singulière, qui nécessite une expertise particulière pour
être gérée efficacement, ainsi qu’une architecture matérielle différente des autres services.
Pour ces raisons, nous avons choisi de l’externaliser. Plusieurs sociétés proposent ce
service, géré par un département complet dédié.
Les avantages sont nombreux :
- Maitrise des coûts grâce à un contrat clair avec le prestataire
- Limiter les coûts de maintenance par un allègement du haut de bilan (les coûts
de personnel deviennent des coûts de prestation de service).
- Souplesse dans les changements.
- Evolutivité.
- Responsabilité déportée.
Au prix d’un inconvénient :
- Dépendance vis-à-vis du prestataire.

38 Hugo ROLAND
Renaud BEAUMELLE
6 - Lot messagerie
Au vue de ces éléments et des besoins définis, nous avons choisi le prestataire Magic
Online et son offre Exchange Basic parmi les offres concurrentes étudiées :
Messagerie Annuel HT
OVH OVH Privé (50Go, FR, Exchange, 99,99%) 190 104 €
OVH Public (50Go, FR, Exchange, 99,99%), SSL Privé, Paramétrable 189 504 €
GMAIL GMAIL Standard (30Go, ?, Gmain+Drive, 99,9%) 192 000 €
GMAIL Standard +Vault(30Go, ?, Gmain+Drive, 99,9%), Archivage
données critiques, recherche grande echelle
460 800 €
MICROSOFT MICROSOFT Plan 1 (50Go, ?, Exchange, ?) 190 080 €
MICROSOFT Plan 2 (50Go, ?, Exchange, ?), Archivage permanent et
illimité, messagerie vocale hébergée, Archivage données critiques
374 400 €
ONLINE ONLINE Exchange Basic (10Go, FR, Exchange, 99,9%) No Docs, No
Mobiles
63 360 €
ONLINE Messagerie Pro (2Go, FR, Zimbra, ?), Docs, Synchro mobiles,
Messagerie instantannée
115 200 €
ONLINE Exchange Standard (25Go, FR, Exchange, ?), Docs, Synchro
mobiles
224 640 €
Voici les caractéristiques de l’offre :
- Engagement de service : GTR 4h 24/7, Assistance technique entreprise,
Supervision pro active
- Espace de stockage : 10 Go.
- Sécurité : Disponibilité 99.9%, Anti-virus et anti-spam, Stockage haute
disponibilité, accessibilité depuis n’importe où (Webmail ou Outlook).
- Outils collaboratifs : Rendez-vous, annuaire partagé, réunions, tâches, agenda,
…
- Synchronisation mobile : Pour les nomades (commerciaux) : Support IPhone,
Windows Mobile et Android.
- Prix : 1,1€ HT / mois / compte

39 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
7 Lot sécurité
Ce lot détaille la proposition de réponse à l’impératif de sécurité exprimé au travers de
l’analyse fonctionnelle précédemment réalisée.
Voici comment la solution répond aux piliers fondamentaux de la sécurité informatique :
Intégrité : Les données doivent être celles attendues, et ne doivent pas être altérées
de façon fortuite ou volontaire.
- Solution de contrôle d’intégrité des systèmes d’exploitation (antivirus).
- Une Solution de sauvegarde
Confidentialité : Seules les personnes autorisées ont accès aux informations qui leur
sont destinées. Tout accès indésirable doit être empêché.
- Le cloisonnement virtuel et physique des réseaux (VLAN et Pare-Feu)
- Le contrôle d’accès aux équipements du SI
- Politique de gestion des données
Disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation
prévues, garantir l'accès aux services et ressources installées avec le temps de réponse
attendu.
- La priorisation des flux critiques (QOS)
- Une solution de sauvegarde
- Un Plan de Continuité d’Activité (Autonomie électrique, redondance d’équipements)
- Une solution de supervision
Non-répudiation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a
réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer
les actions d'un autre utilisateur.
- Collecte et analyse journalière des journaux d’évènements.
- Système de serveur mandataire
Authentification : L'identification des utilisateurs est fondamentale pour gérer les
accès aux espaces de travail pertinents et maintenir la confiance dans les relations
d'échange.
- Système de clés partagées pour la communication inter-équipements.
- Contrôle des accès aux informations numériques de Newstore (Annuaire LDAP)
Les différents moyens mis en œuvre afin de garantir la sécurité du SI constituent le PSSI
(Plan de Sécurité du Système Informatique).

40 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
La sécurité informatique, afin d’être correctement appliquée de bout en bout doit être
correctement intégrée par tous les collaborateurs de Newstore.
C’est pourquoi nous recommandons de faire signer à tous collaborateur un exemplaire de la
charte informatique proposée en ANNEXE H. Toute modification de cette charte informatique
doit faire l’objet d’une nouvelle version à signer par les collaborateurs.
De plus, nous proposons de planifier des sessions régulières de sensibilisation à la sécurité
informatique du personnel de Newstore. La première de ces sessions sera inclue à la
formation des utilisateurs au nouveau système (cf. ANNEXE I).
7.3.1 Antivirus
La solution antivirus retenue est la « complete security suite » de l’éditeur Sophos.
Ce choix a été motivé par les raisons suivantes :
- Le coût
- Le fait que cette suite logicielle a été notée supérieure (Magic Quadrant du groupe
Gartner) à celles des autres éditeurs de solutions antivirales notamment sur les
points suivants :
o Les options de déploiement
o Les fonctionnalités
o L’efficacité
o La performance
o La facilité d’utilisation
o La protection des données
o Le support technique

41 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
Source : Gartner (janvier 2014)
Les principaux avantages de la solution « complete security suite » de Sophos sont les
suivants :
- L’interface de management est, par conception, très simple d’utilisation, ce qui
diminuera le besoin en formation des administrateurs de Newstore. Elle fourni un
management centralisé des protections terminales, ce qui diminuera la charge de
travail des administrateurs au quotidien.
- Cette suite fourni aussi une solution de monitoring des vulnérabilités afin d’aider à
réduire la surface d’attaque des équipements.
- La partie « vShield » de la solution permet la sécurisation sans agents des machines
virtuelles, ce qui réduit la consommation des ressources des systèmes de
virtualisation.
- Le filtrage d’url des protections terminales bloque les sites malveillants connus et
complète avantageusement la solution de proxy internet.
- La protection des données a vu son champ d’application agrandi grâce aux nouvelles
fonctionnalités de chiffrement des lecteurs amovibles, ce qui permettra de protéger
correctement l’ensemble des données de l’entreprise.
Cette suite sera administrée depuis un serveur du « Site Central » et déployée par ce biais
sur éléments suivants :
- Les postes utilisateurs finaux, incluant les postes de caisse.
- Les serveurs, incluant les serveurs de virtualisation ainsi que les serveurs hébergeant
l’ERP Gold.
Les mises à jour des protections terminales se dérouleront la nuit, après la sauvegarde, afin
de ne pas saturer le réseau pendant le temps de travail.

42 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
7.3.2 Cloisonnement virtuel et physique des réseaux
Le cloisonnement du réseau de Newstore se fera par l’implémentation de VLAN (détaillés
dans le lot infrastructure réseau LAN) ainsi que par la mise en place de pare-feu.
Les pare-feu, de modèle CISCO ASA 5550, seront positionnés uniquement sur le « Site
Central », celui-ci étant le point de sortie du réseau Newstore vers l’extérieur. Il sera disposé
un pare-feu par site physique composant le « Site Central » et ceux-ci assureront un service
de haute disponibilité en mode « Actif/Actif ». Ils ne représenteront ainsi qu’un seul point de
gestion.
Il n’est pas nécessaire de disposer d’un système de pare-feu sur chaque site, l’opérateur
assurant déjà cette fonctionnalité lors du passage des flux via le réseau MPLS.
Les options choisies :
Bundle « Any Connect 10User » : Permettra l’accès au réseau Newstore depuis l’extérieur
pour les 10 commerciaux par une connexion VPN via l’agent CISCO ANY CONNECT.
Bundle "Cisco Proxy" : permettra quant à lui de contrôler très simplement l’accès aux
ressources internet extérieures.
Le modèle de pare-feu CISCO ASA 5550 retenu bénéficie des fonctionnalités suivantes :
- La capacité de commutation est de 1,2 Gb inspecté par seconde
- Jusqu’à 650000 sessions concurrentes
- Capacité de 33000 connexions par seconde
- 5000 connexions VPN CISCO ANY CONNECT simultanées.
- Supporte 400 VLAN
7.3.3 Contrôle d’accès aux équipements du SI
Le cloisonnement physique du réseau a pour but d’empêcher toute interaction physique
indésirable sur les éléments du SI.
La sécurité étant actuellement géré par un service dédié dans Newstore, voici les
recommandations que nous lui adressons :
Actuellement, l’accès aux salles informatiques est restreint par l’utilisation de portes à
serrure trois points. Nous recommandons la conservation de ce système.
En complément, sur chaque site, l’accès aux salles informatiques sera contrôlé par les
équipes de sécurité locales. Celles-ci auront pour mission de contrôler la validité des accès
des individus tentant d’accéder aux salles informatiques et seront détenteurs des moyens
d’accès (clefs).
Les administrateurs réseau de Newstore auront la responsabilité de définir les listes
d’autorisation d’accès, les maintenir à jour et les communiquer aux équipes locales de
sécurité.

43 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
Enfin, nous rappelons au service dédié à la sécurité de Newstore qu’il lui revient d’assurer le
respect de la réglementation relative à la sécurité physique des personnes et des bâtiments
dans les salles informatique.
7.3.4 Solution de sauvegarde
La perte ou la modification des données sur un poste client ou sur un serveur pouvant avoir
des conséquences désastreuses pour l’entreprise, il est capital de se munir d’un système de
sauvegarde permettant la rétention de données.
Pour ce faire, nous sauvegarderons les éléments suivants :
- En site central :
 Les deux serveurs d’Active Directory (ainsi que DNS et DHCP) centraux.
 Le serveur de secours RDS (regroupant tous les profils et documents des
utilisateurs du SI (hors caisses).
 Les deux serveurs de supervision.
 Les deux serveurs applicatifs GOLD.
- Dans les hypermarchés :
 Les serveurs HyperV et les machines virtuelles hébergées (disques et
configurations).
Nous avons choisi le logiciel de sauvegarde Tivoli Storage Manager de IBM pour les
raisons suivantes :
- En tant qu’acteur majeur du marché, IBM TSM offre des possibilités complètes de
sauvegarde et de restauration (de la machine isolée au Cloud en passant par les plus
grands réseaux d’entreprise).
- TSM permet des sauvegardes incrémentielles largement éprouvées ainsi qu’une
gestion très complète basée sur des politiques de sauvegarde et de rétention.
- L’évolutivité, la robustesse du code ainsi que l’excellente qualité du support.
- La santé financière du fournisseur. Le logiciel de sauvegarde est celui qui sera
capable de restaurer les données. Il est impensable de ne plus avoir de support sur
ce produit.
- Le prix. En effet, pour notre architecture, TSM s’avère parmi les moins onéreux.
- Enfin et surtout, TSM supporte la déduplication des données à la source,
permettant de réduire la bande passante et l’espace de stockage nécessaire à la
sauvegarde.

44 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
Source : http://www.gartner.com/technology/reprints.do?id=1-1FYXRLK&ct=130611&st=sg
La sauvegarde de toutes les données est donc assurée par le logiciel IBM Tivoli Storage
Manager qui est installé en tant que serveur sur le serveur de sauvegarde et en agent sur
tous les autres serveurs. Les clients légers et les caisses (n’hébergeant aucune donnée) ne
nécessitant pas de sauvegarde nous n’avons pas de besoin en sauvegarde de postes.
La politique de rétention choisie est différente en fonction des équipements (par exemple,
pour les serveurs redondés, nous ne conservons pas autant de sauvegardes du second
nœud).
Le cas particulier des données comptables est géré par une rétention particulière : la
rétention annuelle de 10 ans.
Toutes les données seront sauvegardées sur les NAS du site central et ceux-ci ont été
dimensionnés en fonction (cf. Lot serveurs et stockage). Une sauvegarde externalisée est
mise en place dans un hypermarché éligible à la fibre optique. Cet hypermarché est équipé
d’une connexion fibre optique 1000 Mb/s ainsi que d’un NAS dimensionné pour.

45 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
Voici la politique définie sous forme de tableau :
Site Serveur Sauvegarde Volumétrie
Rétention
quoti
Rétention
hebdo
Rétention
mensuelle
Rétention
annuelle
Besoin en
stockage
dédupliqué
Site
Central
Supervision
1
OS+conf 10 Go 2 5 Go
DATA 10 Go 8 4 6 27 Go
Supervision
2
OS+conf 10 Go 2 5 Go
DATA 8 4 0 Go
RDS
Backup
OS 20 Go 2 10 Go
DATA 2 900 Go 32 4 6 9 570 Go
AD1
OS 20 Go 2 10 Go
DATA 50 Go 8 4 6 135 Go
AD2
OS 20 Go 2 10 Go
DATA 8 4 0 Go
HyperV1
OS 60 Go 2 30 Go
DATA 2 200 Go 32 4 6 7 260 Go
HyperV2
OS 60 Go 2 30 Go
DATA 8 4 0 Go
Données
comptables
20 Go 10 200 Go
Hyper
noDSL
HyperV1
OS 200 Go 2 200 Go
DATA 426 Go 8 4 6 2 300 Go
HyperV2
OS 200 Go 2 200 Go
DATA 0 Go
Hyper
SDSL
HyperV1
OS 200 Go 2 5 000 Go
DATA 426 Go 8 4 6 57 510 Go
HyperV2
OS 50 Go 2 1 250 Go
DATA 0 Go
TOTAL 83 752 Go
Le logiciel de sauvegarde choisi (TSM) intègre les fonctions de déduplication des données à
la source ce qui nous permet de réduire d’environ 85% le besoin en volumétrie selon les
études réalisées. Le dimensionnement choisi est basé sur une réduction de 75% de la
volumétrie.
Les NAS centrale d’achat, plateforme de stockage et hypermarché « PRA » seront donc
équipés pour héberger les 82 To de volumétrie nécessaire (cf. Lot serveurs et stockage).

46 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
7.3.5 Politique de gestion des données
La politique de gestion des données a pour but d’éliminer les risques légaux et économiques
relatifs à la circulation des données de l’entreprise.
Elle sera formalisée dans le PSSI final.
Celle-ci aborde les points suivants :
- La gestion de la fin de vie des éléments contenant des données (notamment les
disques durs) afin d’assurer une confidentialité des données de bout en bout.
- Les moyens de respecter les obligations légales (déclaration des données utilisateurs
ou clients collectées à la CNIL) afin de respecter la législation en vigueur.
- La gestion de la fin de vie de tout équipement soumis aux normes :
o DEEE (Déchets d'équipements électriques et électroniques)
o Convention de Bâle
o Convention de Stockholm
o Directive RoHS (Restriction of Hazardous Substances)
7.3.6 Priorisation des flux et équilibrage de charge
Les techniques de priorisation de flux sont aussi connues sous le nom de QoS (Quality of
Service).
Elles permettent de prioriser un type de flux par rapport aux autres afin d’assurer une qualité
de service. Un flux VOIP, par exemple, a besoin d’avoir une priorité suffisamment élevée
pour permettre une conversation sans saccades.
La QOS sera assurée à trois niveaux :
- En interne dans chaque hypermarché :
 Lors de l’arrivée des flux sur le cœur de réseau.
- Sur tous les sites lors de la sortie des flux vers le réseau MPLS, à deux endroits :
 Sur les routeurs fournis par les fournisseurs d’accès internet.
 Dans le Datacenter de l’opérateur
- En interne au niveau du « Site Central » :
 Par les commutateurs d’accès serveur
 Lors de l’arrivée des flux sur le cœur de réseau.
D’un point de vue technique, le mécanisme de QoS interne sera de type Layer 4
prioritization (Priorisation couche 4 - basée sur les numéros de ports). Celle-ci est la plus
souple et personnalisable.
Le tableau ci-dessous décrit les priorités de chaque type de flux :
Flux Criticité Ordre de priorité
VOIP Le plus critique 1
ERP et monétique Critique 2
SAUVEGARDE Critique 3
RDP Critique 4
MAIL Moins critique 5
INTERNET Le moins critique 6

47 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
L’équilibrage de charge permet d’assurer un service de haute disponibilité, tolérant à la
défaillance d’un élément.
La solution d’équilibrage de charge servira à assurer un service de haute disponibilité pour
les besoin d’interconnexion de l’ERP et ceux des clients légers.
Les équilibreurs de charge seront présents sur tous les sites.
Au niveau des hypermarchés éligibles à l’ADSL seront présents des instances virtuelles
d’équilibreurs de charge (Load-Balancers). La solution d’équilibrage de charge retenu est
ALOHA Load Balancer Virtual Appliance de l’éditeur HAPROXY Technologies.
Sur le « Site Central », les équilibreurs de charge seront quant à eux des boitiers physiques
BIG-IP Local Traffic Manager 2200S de l’éditeur F5.
Voici le principe de fonctionnement des équilibreurs de charge :
- Sur les hypermarchés éligibles à l’ADSL, les équilibreurs de charge déterminent
si les serveurs locaux hébergeant l’ERP et le RDS sont disponibles :
 S’ils sont disponibles, le flux est redirigé en local
 S’ils ne sont pas disponibles, le flux est redirigé vers le « Site Central »
- Sur les hypermarchés non éligibles à l’ADSL, les équilibreurs de charge
déterminent lequel des deux serveurs locaux hébergeant l’ERP est disponible et
redirigent le flux en fonction.
- Sur le « Site Central », les équilibreurs de charge déterminent sur quel site
physique le trafic doit être redirigé en fonction de la charge globale et de la
disponibilité des équipements.
Le schéma présent sur la page suivante explicite le fonctionnement décrit ci-dessus.

48 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
Schémas de fonctionnement des équilibreurs de charge
Clients légers
Hypermarché SDSL Site Central
MPLS
ROUTEUR
Load
Balancers
ROUTEUR
MPLS
Serveur GOLD 1 non
accessible
Flux
Serveur GOLD
1 accessible
Caisses
Serveur GOLD
Serveur RDP Serveur GOLD 1 Serveur GOLD 2
Hypermarché sans SDSL
Load
Balancers
Caisse Serveur GOLD 1
Serveur GOLD 2Caisse
Accès applicatif
Serveur RDP Backup
Load
Balancers
Serveur RDP local
non accessible
Flux
Serveur local
accessible
Accès serveurs
Serveur GOLD 1
non accessible
Flux
Serveur GOLD
1 accessible
Serveur RDP hyper
non accessible
Serveur GOLD local
non accessible

49 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
7.3.7 PCA/PRA
Le PCA (Plan de Continuité d’Activité) permet de pallier à une défaillance majeure du SI.
Le PRA (Plan de Reprise d’Activité) permet la reconstruction de l’infrastructure informatique
de l’entreprise et la remise en route des applications supportant son activité.
La différence entre ces deux plans tiens au fait que le PCA est censé assurer la continuité de
l’activité sans interruption, au contraire du PRA.
Le PCA proposé est simplement l’élimination de tous les points de défaillance unique.
Ainsi la solution proposée est particulièrement tolérante à la défaillance d’un ou plusieurs
éléments du S.I.
Résumé des éléments redondés (détail dans les lots concernés) :
Site concerné Elément Redondé Emplacement de
l’élément redondé
Lot(s) concerné(s)
Tous Commutateurs Sur place LAN
Hypermarchés Fonctions système
RODC, DHCP et DNS
Sur place Système
« Site central » Serveurs Sur l’homologue
constituant le
« Site central »
Système
« Site central » Sauvegardes Un hypermarché
« PRA »
Sécurité – Solution de
sauvegarde
Hypermarché
éligible au SDSL
Applicatif (GOLD et base
de données)
« Site central » Système
Hypermarché non
éligible au SDSL
Applicatif (GOLD et base
de données)
Sur site Système
Hypermarché
éligible au SDSL
Serveur de bureau à
distance
« Site central » Système
Hypermarché non
éligible au SDSL
Serveur de bureau à
distance
Sur site Système
Tous Accès WAN (Routeurs et
liens)
Sur site WAN
« Site central » Liens de niveau 2 vers
l’homologue (Fibre OM4
50/125)
Sur site LAN
Le routage des flux applicatifs et de bureau à distance est assuré par les équilibreurs de
charge afin d’assurer une continuité de service.
L’implémentation d’onduleurs permet de s’affranchir des pannes électriques pour les
éléments système et réseau.
Le PRA proposé est l’externalisation de la sauvegarde des données de l’entreprise effectuée
sur le « Site central » vers un hypermarché distant.

50 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
7.3.8 Solution de supervision
Une solution de supervision permet de détecter les incidents informatiques de manière
proactive dans l’idéal avant les utilisateurs. Les incidents sont donc directement identifiés et
traités avant qu’ils ne deviennent critiques.
La solution de supervision retenue est le logiciel open source Shinken.
Shinken est une réécriture en langage Python du cœur du logiciel open source de
supervision le plus connu : Nagios.
Shinken, de par son découpage en modules, offre une grande flexibilité et permet ainsi la
supervision d’un nombre quasi infini d’éléments en monopolisant trois fois moins de
ressource que son ancêtre Nagios.
Cette solution de supervision est orientée « business impact », c’est-à-dire qu’elle permet de
superviser directement la disponibilité des services métiers critiques pour l’entreprise par
l’intermédiaire de règles simples.
Exemple avec l’ERP : Le service ERP dépend de plusieurs services redondés. L’ERP sera
donc toujours accessible pour les utilisateurs, en mode dégradé, si un élément de chaque
service tombe ne panne.
De plus, cette solution de supervision intègre par défaut des fonctionnalités de métrologie,
ce qui permettra à terme d’améliorer la gestion de la capacité.
La solution de supervision sera assurée par 2 serveurs de supervision en cluster de
basculement sur le « site central » assurant une haute disponibilité de la solution (1 par site
physique).
Lorsqu’une alerte est détectée, les administrateurs recevront automatiquement une
notification via le média de leurs choix (mail, sms, appel téléphonique).

51 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
Une formation sur ces outils à destination des administrateurs réseaux de Newstore est
prévue et est planifiée dans le planning global de formation disponible en ANNEXE I.
7.3.9 Journaux d’évènements
Newstore à une obligation légale de conservation des journaux d’évènements des
équipements qui composent son S.I.
En effet, pour être en conformité avec le PCI DSS (Payment Card Industry Data Security
Standard, en français le « standard de sécurité des données pour l’industrie des cartes de
paiement »), toutes les actions doivent être consignées.
Nous proposons la centralisation des journaux d’événements sur les serveurs de supervision
Shinken qui collecterons les logs via le logiciel gratuit (et Open-Source) php-syslog-ng.
Ce logiciel permettra de stocker les journaux d’évènements dans une base de données
relationnelle et de les consulter de manière simple et intuitive.
Les éléments qui remonteront leurs journaux d’évènements sont les suivants :
- Les serveurs
 Unix par l’intermédiaire du logiciel gratuit syslogd
 Windows par l’intermédiaire du logiciel gratuit EL2SL (Event Log to
SysLog)
- Les routeurs, commutateurs et pare-feu, en leurs spécifiant simplement le
serveur de collecte.
- Les baies de stockage, en leurs spécifiant simplement le serveur de collecte.
En plus de la collecte, sera également mise en place une surveillance active des journaux
d’évènement de chaque équipement grâce à la solution de supervision Shinken.
7.3.10 Serveur mandataire
Il est indispensable d’intégrer un système de serveur mandataire filtrant et enregistrant pour
plusieurs raisons :
- Protéger le S.I. de Newstore d’éventuelles ressources externes malveillantes
- Limiter l’utilisation non professionnelle des éléments du S.I.
- Se mettre en conformité avec la loi : la loi pour la confiance dans l'économie
numérique impose de permettre à la justice de lier une action sur internet à une
personne.
Nous proposons l’implémentation de la fonction « Web Proxy » (serveur mandataire) sur les
pare-feu CISCO ASA 5550.
Cette solution a été retenue car :
- Elle ne nécessite pas l’acquisition de ressource matérielle supplémentaire
- Son coût est négligeable

52 Hugo ROLAND
Renaud BEAUMELLE
7 - Lot sécurité
- L’interface de gestion est simple et intuitive
Les enregistrements seront envoyés en temps réel aux serveurs centralisant les journaux
d’évènement.
7.3.11 Sécurisation des communications inter-équipement
Il est indispensable de sécuriser les communications inter-équipement afin de se prémunir
des attaques de type « man in the middle » (L’attaquant écoute de manière passive les
échanges entre équipements, en se faisant passer pour une passerelle par exemple.
Attaque très courante.).
Le protocole IPSec (Internet Protocol Security) sera mis en place afin de limiter la surface
d’attaque du S.I. de Newstore.
Tous les serveurs utiliseront le protocole « IP Sec » (Internet Protocol Security) pour
communiquer entre eux. Cela assurera non seulement l’authentification mais également
l’intégrité ainsi que la confidentialité des échanges.
7.3.12 Annuaire LDAP
L’authentification des utilisateurs sera basée sur l’utilisation d’un annuaire LDAP.
LDAP (Lightweight Directory Access Protocol) est un protocole qui permet l’interrogation et la
modification des services d’annuaire.
Un annuaire LDAP respecte généralement le modèle X.500 édicté par l'UIT-T (Union
internationale des télécommunications) : c'est une structure arborescente dont chacun des
nœuds est constitué d'attributs associés à leurs valeurs.
L’implémentation de LDAP choisie est la technologie Active Directory de Microsoft.
L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et
d'authentification d’utilisateurs, de serveurs ou encore de services.
Active Directory permet également l'attribution et l'application de stratégies, la distribution de
logiciels, et l'installation de mises à jour critiques par les administrateurs. Active Directory
répertorie les éléments d'un réseau administré tels que les comptes des utilisateurs, les
serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur
peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent
contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de
partitionnement et de sécurisation des accès aux ressources répertoriées.
Il est de la responsabilité des administrateurs du S.I. de Newstore de maintenir à jours
l’annuaire Active Directory (création, modification, suppression d’utilisateurs, de ressources,
etc.).

53 Hugo ROLAND
Renaud BEAUMELLE
8 - Lot procédures
8 Lot procédures
Afin de définir l’utilisation du système d’information, des processus doivent être établis. Ces
processus sont définis par des procédures et une suite d’actions nécessaires au rendu d’un
service donné. Ils seront fournis dans leur globalité à la livraison du projet.
La liste (non exhaustive) des processus qu’HRRB s’engage à vous fournir afin de garantir la
qualité des services est la suivante :
- Procédures techniques de rétablissement (une procédure par cas de sinistres
majeurs : perte de la centrale d’achat, perte de la plateforme de stockage, perte
des deux sites).
- Procédure de bascule réseau d’une caisse (cas d’un switch défaillant), détaillée
ci-dessous en exemple.
Voici en qualité d’exemple le logigramme d’une procédure. L’ensemble des procédures
nécessaires à l’exploitation du SI seront rédigées et livrées avec la solution.
Voici en exemple la procédure à suivre par un hypermarché dans le cas d’une indisponibilité
d’une (ou plusieurs) caisse(s) :
- Déclencheur : indisponibilité d’un service de caisse.
- Intervenant : caissière.
- Processus :
Hypermarché
Service
informatique
CaissièreCaissecentrale
Assistance
technique
Indisponibilité d’un
service de caisse
Branchement du
câbleréseau sur la
prise de secours
(jaune)
Attente 30 secondes
Test de
rétablissement
Servicerétabli? Oui
Non
Contrôle du
fonctionnement des
autres caisses en
service
Les autres
caisses sont elles
impactées?
Non
Oui
Création d’un
incident
Fin
Procédurede
changement de
caisse
Résolution de
l’incident
Ouverture incident Fin

54 Hugo ROLAND
Renaud BEAUMELLE
9 - Lot déploiement
9 Lot déploiement
La société Newstore a émis plusieurs contraintes quant à l’installation de la solution,
notamment :
- L’intégration des informations numérique antérieures
- Le respect des normes, règles et préconisations suivantes :
 Norme ISO 27001
 Référentiel ITIL
 Loi pour la confiance en l’économie numérique
- Ne pas porter atteinte au bon fonctionnement de l’entreprise
Nous avons pris en compte les exigences de Newstore, la réglementation ainsi que les
impératifs techniques propres à la solution proposée afin d’établir un modèle de déploiement
respectant toutes les contraintes identifiées.
Le plan de déploiement a été produit via MS Project. Une visualisation est fournie en
ANNEXE I.
Nous avons choisi de planifier un déploiement en 7 étapes.
Pour chaque étape, certaines des opérations sont effectuées dans les locaux de HRRB
(procédures, pré-configuration, tests de matériel, …).
Chaque étape de réalisation prévoit une procédure de retour arrière. Il est donc possible de
revenir à l’infrastructure initiale.
Chacune des étapes de déploiement (1 à 4) suit le même processus global de mise en
œuvre :
• Déploiement du site central
Initialisation
• Déploiement d'un hypermarché pilote
• Optimisation des procédures suivant les retoursPilote
• Déploiement de 7 hypermarchés en parallèle.
• Industrialisation des procédures en fonction des retoursIndustrialisation
• Déploiement des 44 hypermarchés restants, 11 par lots
Déploiement
• Mesure des indicateurs
• Bilan fonctionnelRecette
• Ajustements éventuels
• Vérification du service régulierAjustements
• Démantèlement de l'ancien système.
• Tests de non régressionDémantèlement
• Après un mois d'exploitation, nouvelle mesure des
indicateurs et recueil des avis utilisateursPIR

55 Hugo ROLAND
Renaud BEAUMELLE
9 - Lot déploiement
Les étapes 5 à 7 suivent leur processus propre.
La recette, ou test d’acceptation, sert à s’assurer formellement que la solution mise en place
répond aux spécifications contractuelles.
La recette de la solution se compose de deux types de recettes :
- La recette fonctionnelle (validation des fonctionnalités exprimées dans le cahier des
charges fonctionnelle), qui est du ressort de la MOA. Cette étape sera réalisée par
Newstore.
- La recette technique (contrôle des caractéristiques techniques de la solution mise en
place), qui est du ressort de la MOE. Cette étape sera donc réalisée par HRRB.
La recette technique sera donc le processus de contrôle de la solution, par rapport aux
spécifications techniques prévues.
Une recette technique sera réalisée à chaque étape. Elle permettra de valider le passage à
l’étape suivante, en accord avec la MOA.
Les ajustements sont les modifications mineures qu’il sera éventuellement nécessaire
d’effectuer après la recette. La solution sera ensuite validée par la VSR.
Le démantèlement est le retrait des équipements de l’ancien SI non utilisés. Il sera effectué
par HRRB dans le respect de la directive D3E. Les supports de données seront détruits
conformément à la politique de gestion des données.
Le PIR
PIR signifie Post Implementation Review (Audit post implémentation), il se déroule quelques
semaines ou mois après le déploiement (6 semaines à 6 mois généralement).

RARE 07 - PFR - BEAUMELLE_ROLAND

RARE 07 - PFR - BEAUMELLE_ROLAND

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à RARE 07 - PFR - BEAUMELLE_ROLAND

Similaire à RARE 07 - PFR - BEAUMELLE_ROLAND (20)

RARE 07 - PFR - BEAUMELLE_ROLAND