Tout au long de notre deuxième année de BTS, nous avons mis en place un infrastructure reproduisant un système d'information typique d'entreprise.
Notre infrastructure se compose d'un switch, d'un routeur ainsi que d'un serveur sur lequel nous avons déployé un hyperviseur de type 1 : Proxmox.

Au sein de cet hyperviseur, nous avons crée des conteneurs lxc et des machines virtuelles afin de mettre en place plusieurs technologies et systèmes afin de reproduire le plus fidèlement possible le système d'information d'une entreprise.
Notre infrastructure comprend :

• 2 machines windows server 2022 dont une en mode "core" (Active Directory)
• Un serveur FTP afin de stocker les sauvegardes du switch et du routeur
• Un parefeu (PFsense)
• Une solution de ticketing (GLPI)
• Une supervision (ZABBIX)
• Un serveur de backup de toutes nos machines virtuelles et de nos conteneurs (Proxmox Backup Server)
• Un proxy (HAproxy) afin de répartir la charge entre nos 2 serveurs WEB
• Un VPN (OPENVPN)
• Un partage de fichier réseau (SMB)
• 2 serveurs web
• Une machine d'administration avec terraform, qui nous permet de gérer, configurer et déployer des conteneurs

À mon arrivée au PEM, j'ai été chargé de réaliser une cartographie détaillée du réseau Internet et Wi-Fi existant.

Pour cela, j'ai analysé les configurations des différents équipements afin de les retranscrire sur un plan, qui est régulièrement mis à jour en fonction des évolutions de l'architecture.

J'ai d'abord élaboré un plan général regroupant les bâtiments, en y indiquant les équipements essentiels ainsi que les interconnexions entre eux.

Ensuite, j'ai détaillé chaque bâtiment en précisant l'emplacement physique des équipements tels que les switchs et les bornes Wi-Fi, ainsi que des informations techniques comme les adresses IP de gestion, les configurations DHCP, VLAN, etc. Concernant les switchs, j'ai documenté la configuration de chaque interface et l'équipement qui y est connecté.

Enfin, l'ensemble des plans détaillés de chaque bâtiment a été regroupé dans un plan global.

Maginav est une application web permettant aux élèves du PEM d'explorer des bâtiments de guerre en 3D directement depuis un navigateur.

Initialement disponible sur un réseau secret, son déploiement sur les réseaux NP (non protégé) et DR (diffusion restreinte) a été envisagé. Nous avons donc étudié l'intégration du serveur à notre infrastructure, en identifiant les contraintes techniques, les modifications nécessaires et la faisabilité du projet.

Une réunion avec l'OSSI et le chef de secteur nous a ensuite permis de présenter nos analyses, nos solutions ainsi que nos recommandations.

Suite à ces échanges, le serveur a été déployé sur le réseau en accord avec la solution retenue par l'équipe, l'OSSI et le chef de secteur, dans le cadre d'une phase de test.

Dans le cadre de l'administration du réseau Wi-Fi métier, les administrateurs du PEM ne disposent actuellement d'aucun retour en cas de problème, ni de visibilité sur les différents systèmes connectés.
Ces informations sont pourtant essentielles pour garantir une meilleure réactivité, anticiper d'éventuels dysfonctionnements et améliorer le confort de travail.

Afin d'y remédier, nous avons étudié la mise en place d'un système de supervision respectant plusieurs contraintes, notamment l'utilisation de logiciels Open Source, l'exploitation des ressources matérielles existantes et l'intégration sans perturbation du réseau actuel.
La supervision devra également garantir la sécurité des échanges, être documentée pour assurer sa pérennité et inclure des procédures de sauvegarde et de restauration validées.

Le système déployé permettra d'afficher un tableau de bord synthétisant les informations essentielles et signalant les éventuels dysfonctionnements. Il devra intégrer l'ensemble des équipements réseau (switches, firewalls, bornes Wi-Fi, serveurs…) ainsi que les liens critiques afin d'assurer un suivi fiable de la bande passante et du bon fonctionnement de l'accès Internet.
Enfin, une attention particulière sera portée à la précision des relevés, afin d'éviter les faux positifs et garantir une supervision efficace.

Afin d'améliorer la segmentation du réseau et de ne plus dépendre du LAN admin, la virtualisation des serveurs WDS, Idruide et PEM Track a été mise en place sur un ESXi.
Chaque application métier a désormais son propre VLAN dédié :

• VLAN 150 pour PEM Track, utilisé par le magasin du service et sauvegardé sur un NAS
• VLAN 97 pour Idruide-maintenance, qui permet l'enrôlement des tablettes élèves et instructeurs
• VLAN 98 pour MDT-WDS, utilisé pour le déploiement massif d'images systèmes.

Ces changements garantissent une meilleure gestion et sécurisation du réseau.

Tous les ans, Le Centre d'analyse en lutte informatique défensive (CALID) présent au sein du groupement de la cyberdéfense des armées publie une nouvelle blacklist contenant des IP, des TLD et des urls à appliquer sur notre parefeu.
Nous devons donc l'appliquer sur notre Stromshield afin de prémunir d'éventuelles menaces.
Une méthode a été mise en place afin de faciliter la mise en place de cette liste sur le Stormshield.

Au sein de notre service, nous travaillons avec d'autres cellules (CORSIC, Magasin, SSI etc).
Il a été décidé de présenter certains concepts de notre spécialité ou des applicatifs métier le vendredi après midi.
J'ai donc effectué des présentations sur divers sujets tels que les VLAN et le fonctionnement du ping

Nous supervisions et deployons des PFI (Platerformes d'Instructions) qui sont composées de plusieurs PC portables disposant de plusieurs classifications possibles : NP, DR, Secret ou TS.
Ces postes sont utilisés par des élèves et des instructeurs de divers secteurs au sein de la marine nationale.
Nous devons donc déployer les postes avec des applications métier spécifiques et appliquer certaines mesures (GPO, bloquage des ports USB, désactivation de carte réseau...) selon le niveau de classification demandé.
Ces postes doivent être redéployés à chaque changement de cours, de rentrée scolaire ou de changement d'applicatifs en fonction des besoins des instructeurs.
Nous devons assurer un suivi et tenir à jour ce parc : mettre à jour certaines applications ou dépanner des utilisateurs qui auraient bloqué leur session par exemple.

Ucopia est un portail captif servant de lieu d'entrée à notre réseau WIFI pour les élèves.
Il permet de gérer une liste d'utilisateurs et de leur appliquer des droits d'accès à des ressources sur le réseau, de filtrer certaines requêtes comme des sites non relatifs à l'instruction ainsi que de grader une tracabilité de ce que chaque utilisateur fait sur le réseau.
Nous pouvons également controler le temps d'accès et la bande passante de chaque utilisateur.

La sauvegarde de la configuration des switchs sur le NAS permet de conserver une copie sécurisée des paramètres réseau en cas de panne ou de mauvaise manipulation.
Elle consiste à exporter régulièrement la configuration des équipements vers un stockage centralisé (le NAS), accessible en interne.
Cela facilite la restauration rapide du service en cas de besoin, permet de suivre l'évolution des configurations dans le temps et assure une meilleure traçabilité des modifications.
Nous pouvons ainsi gagner du temps lors des interventions et garantir une continuité de service en toutes circonstances.

Aruba AirWave est une solution de supervision réseau permettant d'avoir une vue centralisée sur l'ensemble de notre infrastructure sans fil.
Elle sert à surveiller en temps réel l'état des bornes Wi-Fi et les utilisateurs connectés.
Elle permet aussi de gérer les configurations, détecter rapidement les anomalies, générer des alertes en cas de problème, et conserver des journaux d'activité pour assurer la traçabilité.
Grâce à AirWave, nous pouvons optimiser les performances du réseau, contrôler les accès et simplifier la maintenance des équipements.