Memoire 636953482626170897

ITE FELIX HOUPHOUËT-BOIGNY
Mathématiques et Informatique
Année Académique
·o 2014 - 2015
IIEMOIRE MASTER
Présenté devant
L'ill{IVERSITE FEUX HOUPHOUËT-BOIGNY

pour obtenir le Grade de Master
ention : Informatique
pécialité: MIAGE
par
LESSIEHI Ieolet Deborah

TITRE DU MEMOIRE :
ETUDE ET IMPLEMENTATION D'UN

SYSTEME DE CONTROLE D'ACCES AU
RESEAU INFORMATIQUE:
CAS DE NSIA-BANQUE
Soutenu publiquement le 27 Mai 2015

Le jury
Présidmt Professeur MONS.A\I
i" Vincent, Maître de conférences à l'UFR MI de l'Universi~ F.H.B d'Abidjan
Membres
Docteur MAIGA Abdoulaye, Docteur à l'UFR MI de l'Université F .H.B d'Abidjan
onsieur DIARRA Mamadou, Assistant à l 'UFR MI de l'Université F .H.B d'Abidjan
E.ncadru1 pé,dagocique Monsieur BROU Patrice, Assistant à l'UFR MI de l'Université F.H.B d'Abidjan
onsieur TRAORE Moussa, Chef adjoint au service réseau NS1A-Banque

DEDICACE
« A mes parents,
LESSIEHI Jonas et LESSIEHI Mariam
A mes sœurs
Maniph, Marlène et Jasmine
A mon regretté Frère Karim »
Présenté par Mémoire de fin de cycle pour l'obtention du

(1)
LESSIEHI leolet Deborah MASTER Informatique option MIAGE
REMERCIEMENTS
La rédaction de ce mémoire et sa soutenance marquent la fin d'un long
parcours qui a été possible grâce au soutien et la présence de nombreuses
personnes que je tiens à remercier.
Je souhaite adresser mes remerciements à mon père LESSIEHI Jonas, ma

mère LESSIEHI Mariam et mes sœurs Maniph, Marlène et Jasmine. Merci!
Je tiens à exprimer ma gratitude à la Direction des Systèmes d'information

de NSIA Banque, particulièrement le service réseau, pour m'avoir accueillie et
donnée accès aux outils nécessaires pour associer la théorie apprise durant ma
formation à la pratique.
Je tiens également à exprimer mes remerciements à la Direction de l'UFR

Mathématiques et Informatique, à l'Administration des filières
professionnalisées MIAGE-GI ainsi qu'à tous les enseignants qui ont assuré ma
formation.
Je tiens à remercier M. BROU Patrice, mon encadreur pédagogique,

pour tout le temps qu'il a bien voulu me consacrer, ses
précieuses orientations et pour la qualité de son suivi durant toute la rédaction
de mon mémoire.
Finalement, grand merci à vous mes amis.
Présenté par Mémoire de fin de cyde pour l'obtention du

LESSIEHI leolet Deborah [Il]
MASTER lnfonnatique option MIAGE
AVANT-PROPOS
L'université Félix HOUPHOUET-BOIGNY, acteur primordial du
développement socio-économique et culturel de la Côte d'Ivoire, a doté certaines
de ces Unités de Formations et de Recherches (UFR) dont celle de Mathématiques
et Informatique (MI) de filières professionnalisées. Ces filières ont pour objectifs
de rendre les étudiants opérationnels sur le marché de l'emploi dès leur sortie de
l'école. Pour cela, elles allient la théorie à la pratique.
L 'UFR de Mathématiques et Informatique disposent de plusieurs filières

professionnalisées parmi lesquelles nous avons :
- la filière "Génie Informatique (GI)": qui forme des informaticiens en

mesure de concevoir et de réaliser des systèmes informatiques à la fois
matériels et logiciels;
- la filière "Méthodes Informatiques Appliquées à la Gestion des Entreprises
(MIAGE)": qui forme des informaticiens capables de concevoir et de
mettre en oeuvre des systèmes informatiques notamment dans le domaine
de la gestion, en ulisant les outils les plus adaptés au traitement automatisé
de l'information.
Les filières GI et MIAGE conduisent au Master Informatique après la

validation des différentes unités d'équivalences et la soutenance d'un mémoire.
Afin de soutenir mon mémoire de fin de cycle, j'ai effectué un stage du 19 Janvier
2015 au 18 Juillet 2015 au sein de NSIA-Banque.

LESSIEHI leolet Deborah [Ill]
MASTER Informatique option MIAGE
SOMMAIRE
DEDICACE !
REMERCIEMENTS Il
TABLE DES FIGURES VII
SIGLES ET ABBREVIATIONS VIII
INTRODUCTION 9
PARTIE 1 : GENERALITES 10
Chapitre 1 LE REFERENTIEL D'ETUDE 10
1. LA PRESENTATION DE LA STRUCTURE D'ACCUEIL 10
2. LES OBJECTIFS ET ACTIVITÉS DE NSIA BANQUE 11
2.1 Les objectifs de NSIA Banque 11
2.2 Les activités de NSIA Banque 11
3. L'ORGANISATION DE NSIA BANQUE 12
Chapitre 2 : LE CONTEXTE DE L'ETUDE 14
1. LES MOTIVATIONS 14
2. LA DEFINITION DES TERMES DE L'ETUDE 15
3. PROBLEMATIQUE 16
Chapitre 3: L'ANALYSE CONCEPTUELLE 17
1. DEFINITION 17
2. CARACTERISTIQUE DES RESEAUX LOCAUX 17
2.1 L'architecture physique 18
2.2 L'architecture logique 19
2.3 L'architecture organisationnelle 19
2.4 Les standards de transmission de données 20
3. LE MODELE OSI 20
4. LA SÉCURITÉ DES RESEAUX 21
Chapitre 4: ANALYSE DE L'EXISTANT 23
1. ETUDE DE L'EXISTANT 23
1.1 Présentation du réseau 23
1.2 Architecture organisationnelle 24
1.3 Architecture physique 26
2. ANALYSE DE L'EXISTANT 26
3. DIAGNOSTIQUE 27

[IV]
LESSIEHI leolet Deborah MASTER lnfonnatique option MIAGE
PARTIE 2: ETUDE TECI-INJQUE 28
Chapitre 5 : LES CONTROLES D'ACCES NAC 28
1. LES CONTROLES D'ACCES NAC 28
1.1 OpenNac 28
1.2 La solution NAP de Microsoft 28
1.3 La solution Cisco Identity Service Engine (ISE) 29
1.4 Tableau de synthèse 30
2. LE CHOIX DE LA SOLUTION 30
Chapitre 6 : EVALUATION DE LA SOLUTION NAC 32
1. LES FACTEURS HUMAINS ET LA DUREE DU PROJET 32
2. FACTEURS MATERIEL ET FINANCIER 33

PARTIE 3 : MISE EN ŒUVRE DE CISCO ISE 35
Chapitre 7 : FONCTIONNEMENT TECHNIQUE 35
1. ACTEURS 35
2. FONCTIONNALITES DE ISE 39
2.1 Le service d'authentification, d'autorisation et de comptabilité 40
2.2 La posture 40
2.3 Le profilage 42
2.4 Le monitoring et le reporting 45
2.5 La gestion des invités 45
Chapitre 8 : ARCHITECTURE DE DEPLOIEMENT DE ISE 46
1. Déploiement de petite taille 46
2. Déploiement de taille moyenne 47
3. Déploiement de grande taille 48
Chapitre 9: DEPLOIEMENT DE ISE 50

1. INSTALLATION DE ISE 50
1 .1 Les seveurs 50
1.2 Les switchs 52
1.3 Les terminaux SS
2. CONFIGURATION DE ISE 61
2.1 Le service de profilage 61
2.2 Le service de posture 65
2.3 Le service de protection des terminaux 67
CONCLUSION 70

bESSIEHI leolet Ceborah M MASTER Informatique option MIAGE;
BIBLIOGRAPHIE 71

[VI)
TABLE DES FIGURES
Figure 2 : Les couches du modèle OSJ 21
Figure 3: Architecture réseau NSIA-Banque 23
Figure 4: Architecture physique NSIA-Banque 26
Figure 5 : Tableau de synthèse des contrôles d'accès NAC 30
Figure 6: Tableau des effectifs et des missions de la DLP et du service réseau 32
Figure 7: Diagramme de Gantt de la durée des tâches du projet 33
Figure 8 : Evaluation du matériel 34
Figure 9: Interface d'administration 36
Figure 10: Interface du PSN 38
Figure 11 : Classification des équipements avec ISE Profiler 43
Figure 12: Utilisation du profilage pour la mise en place des règles d'autorisation 44
Figure 13 : Déploiement de petite taille 47
Figure 14 : Déploiement de taille moyenne 48
Figure 15 : Déploiement de grande taille 49
Figure 16: Ecran d'installation de CISCO ISE 51
Figure 17 : Ecran de configuration du serveur 52
Figure 18 : Ecran d'activation des fonctions AAA 53
Figure 19: Ecran d'activation de l'authentification 802.lX 53
Figure 20 : Ecran de définition du VLAN par défaut 54
Figure 21: Ecran de définition des ACL locales par défaut 54
Figure 22 : Ecran de configuration automatique de réseau câblé 55
Figure 23: Ecran d'activation de 802.lXpour les cartes réseaux Ethernet 56
Figure 24: Ecran de protection des propriétés 57
Figure 25 : Ecran des paramètres Avancés 58
Figure 26: Ecran d'installation de l'agent Cisco NAC 59
Figure 27: Ecran d'installation du certificat de l'autorité de certification 60
Figure 28: Ecran d'activation du service de profilage 62
Figure 29 : Ecran de configuration des sondes pour le profilage 63
Figure 30 : Ecran de configuration des politiques de profilage 64
Figure 31 : Ecran de configuration du ravitaillement de la machine cliente 66
Figure 32 : Ecran de configuration du profile agent 67
Figure 33: Ecran d'activation des services de protection des terminaux 69
Figure 34 : Organigramme de NSJA-Banque 75

LESSIEHI leolet Deborah [VII]
SIGLES ET ABBREVIATIONS
AAA Authentification Autorisation Accounting
ACL Access Control List
API Application Programming Interface
BIAO-CI Banque Internationale pour l'Afrique Occidentale en Côte d'Ivoire
BRVM Bourse Régionale des Valeurs Mobilières
BYOD Bring Your Own Service
Carrier Sense Multiple Access : Accès Multiple par écoute de la
CSMA porteuse)
DSI Direction des Systèmes <l'Information
EAP Extensible Authentication Protocol
Institution de Prévoyance Sociale - Caisse Nationale de Prévoyance
IPS-CNPS Sociale
ISE Identity Services Engine
LAN Local Area Network
MAC Media Access Control
NAC Network Access Control
NAP Network Access Protection
NSIA Nouvelle Société d'Assurance
OSI Open System Interconnection
PC Personnal Computer
UEMOA Union Économique et Monnétaire Ouest Africaine
VLAN Virtual Local Area Network
WIFI Wireless Fidelity

[VIII)
INTRODUCTION
Toutes les entreprises, peu importe leur taille et leurs domaines d'activités,
ont pour mission la coordination rationnelle de tous leurs moyens et outils en vue
d'atteindre les objectifs qu'elles se sont fixées. Les entreprises ont recourent à
l'informatique dont l'évolution sans cesse croissante offre de nombreuses
opportunités.
Pour tirer parti de ces innovations technologiques NSIA Banque, structure

sur laquelle portera notre étude, s'est dotée d'un réseau informatique permettant
l'échange d'informations en interne et avec l'extérieur. Cependant la sensibilité
des informations véhiculées au travers de ce réseau nécessite un contrôle de son
accès. C'est à ce titre que le thème« Etude et implémentation d'un système de
contrôle d'accès au réseau informatique: cas de NSIA Banque» a été proposé.
La solution informatique qui se dégagera de cette étude permettra d'améliorer
l'accès au réseau.
La présente étude débutera par des généralités. Il s'ensuivra une étude

conceptuelle portant sur les contrôles d'accès. Puis une étude technique sera faite
sur le contrôle d'accès au réseau informatique de NSIA-Banque. Les faiblesses
de ce contrôle d'accès seront dégagées. Notre étude se terminera sur la proposition
et la mise en œuvre d'une solution qui renforcera le contrôle d'accès au réseau de
la banque.

LESSIEHI leolet Deborah (9)
MASTER lnfonnatique optton MIAGE
(3 06
PARTIE 1 : GENERALITES
Chapitre 1 LE REFERENTIEL D'ETUDE
1. LA PRESENTATION DE LA STRUCTURE
D'ACCUEIL
NSIA Banque est à la fois notre structure d'accueil et notre cadre de
référence.
En 1906, est ouverte à Grand-Bassam la première agence de la BIAO-Cl.

En 1934, l'agence est transférée à Abidjan. Et par arrêté n°1648 du ministère de
l'économie, des finances et du plan, l'agence devient, le 30 décembre 1980, une
banque dénommée BIAO-CI, avec un capital détenu à 35% par l'Etat de Côte
d'Ivoire.
Le 25 janvier 2000, la BIAO-CI est privatisée. Son capital est cédé à 80%
à la BELGOLAISE, l'Etat de Côte d'Ivoire ne détenant plus que 20% de ce
capital.
Depuis septembre 2006 la BIAO-CI est devenue NSIA Banque. En effet,

les 80% d'actions détenues par la BELGOLAISE ont été reprises par un
consortium formé par la Nouvelle Société d'assurance en Côte d'Ivoire (groupe
NSIA) et l'Institution de Prévoyance sociale (IPS-CNPS).
Ainsi le groupe NSIA représenté par NSIA Participations devient actionnaire
majoritaire et l'Etat de Côte d'Ivoire conserve ses 20%. C'est donc une banque
au capital détenu entièrement par des ivoiriens.

[10]
NSIA Banque est une société anonyme au capital de 20.000.000.000 de F
CFA et à son siège social au 8-10, Avenue Joseph Anoma (rue des banques).
2. LES OBJECTIFS ET ACTIVITÉS DE NSIA

BANQUE
2.1 Les objectifs de NSIA Banque

Les objectifs de NSIA Banque sont centrés autour de quatre principaux
points que sont:
- l' exécuteion des opérations bancaires tant à l'intérieur du pays qu'à

l'extérieur pour le compte de sa clientèle;
- la collecte des ressources ;
- l'octroi des crédits sous diverses formes (prêts accordés aux agents
économiques, particuliers, entreprises etc.) ;
- la mise à disposition des clients de services de conseils et de
renseignements
2.2 Les activités de NSIA Banque

NSIA Banque est une Banque Commerciale qui intervient dans tous les
domaines d'activités (agriculture, élevage, industrie, commerce etc. en
privilégiant en particulier les secteurs productifs). Elle collecte les dépôts de sa
clientèle et les met à la disposition d'autres clients sous forme de prêts.
Indépendamment de ces deux fonctions principales, NSIA Banque offre

une gamme de services tels que :
- les transferts de fonds ;

(11]
- les opérations d'import-export;
- le financement des campagnes des produits agricoles (Café, Cacao,
Coton etc.).
Outre, l'offre personnalisée d'épargne et de gestion bancaire courante,

NSIA Banque propose à sa clientèle privée un service d'intermédiation financière
et de gestion patrimoniale. Ce service est géré par une filiale spécialisée de la
banque appelée NSIA-FINANCE & ASSOCIES. NSIA-FINANCE &
ASSOCIES exerce ses activités dans le cadre du marché financier de l 'UEMOA,
plus particulièrement à travers la Bourse Régionale des Valeurs Immobilières
(BRVM). Son métier s'articule autour de cinq (05) pôles majeurs :
- la conservation de titres ;
- la négociation en bourse ;
- la gestion de portefeuille ;
- les conseils ;
le développement progressif d'activité de conseils en ingénierie
financière.
3. L'ORGANISATION DE NSIA BANQUE

NSIA Banque a un Conseil d 'Administration et est organisée en Directions
qui sont subdivisées en Départements. Toutes les Directions de NSIA Banque sont
coiffées par une Direction Générale.
Chaque département est constitué de services parmi lesquels figurent le

service Réseau et Télécom appartenant au Département Infrastructures et
Administration des Systèmes de la Direction des Systèmes <l'Information (DSI).
Le service Réseau est le service qui nous a accueilli dans le cadre de notre
stage.

LESSIEHI leolet Deborah (12]
L'organisation (cf annexe) de NSIA-Banque est composée des entités
suivantes:
- un Conseil d' Administration (CA);

- une Direction Générale (DG);
- un Contrôle de Gestion (CG) ;
- un Département du Contrôle Permanent (DCP) ;
- une Direction de I'Audit Interne et de la Conformité (DAIC);
- une Direction des Risques et du Crédit (DRC) ;
- une Direction des Opérations (DOP);
- une Direction de la trésorerie et des Institutions financières (DTIF) ;
- une Direction de la Clientèle et des Entreprises (DCE) ;
- une Direction du réseau et des Particuliers (DRP) ;
- une Direction Financière et Comptable (DFC) ;
- une Direction de la Logistique et du Patrimoine (DLP) ;
- une Direction des Systèmes <l'Information (DSI);
- une Direction des Ressources Humaine (DRH) ;
- une Direction Juridique et du Recouvrement (DJR) ;
- une Direction de l'Organisation et des projets (DPO).

LESSIEHI leolet Deborah [13]
MASTER Intormatloue option MIAGE
- ., . •
•...
.l
"'"',Jl:
°" 'liI IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
Chapitre 2 : LE CONTEXTE DE L'ETUDE

1. LES MOTIVATIONS
Le développement rapide des technologiques informatiques rendent les
banques de plus en plus dépendantes de la fiabilité et de la disponibilité de leurs
systèmes informatiques. Cependant, la sécurité zéro des systèmes informatiques
n'existant pas, les banques sont de plus en plus confrontées à des risques
d'intrusions dans leur système informatique. Ces risques d'intrusion peuvent
entraîner:
- le non-transfert de fonds qui empêchera la banque de remplir à court terme

ses obligations vis-à-vis de ses clients ou de ses confrères ;
la perte d'informations, due à la destruction totale ou partielle de ses fichiers
stratégiques ou de sa "mémoire", ou encore la divulgation d'informations
confidentielles (fichiers clients, positions stratégiques, ... ) ;
des fraudes, conduisant à des pertes de valeurs ( coûts économiques des
détournements).
A ces coûts économiques, outre le remplacement des matériels et logiciels

perdus et les pertes financières afférentes, viennent, en général, s'ajouter des coûts
indirects ( temps "perdu" de réinstallation du système d'information et de
reconstitution des données, pertes d'exploitation ou de patrimoine, responsabilité
civile éventuelle, perte de la crédibilité ... ).
Afin de minimiser tout risque d'intrusion dans son système d'information,

il est nécessaire pour les banques de procéder à l'acquisition de système leur
permettant d' éléver leur niveau de sécurité.

[14]
1,a
UflDl
nwon,ni1't
U"'6U,TIQr.l'U.
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE AHur,ulC~ & Banque.
2. LA DEFINITION DES TERMES DE L'ETUDE

Notre étude porte sur l'implémentation d'un contrôle d'accès au réseau
informatique de NSIA Banque. Mm de mieux cerner notre thème de mémoire,
nous en définirons les mots clés.
Pimplémeutationl'! : consiste à implémenter son résultat. Implémenter est

le fait d'installer un programme particulier sur un ordinateur.
un contrôle d'accès121 : est un mécanisme de limitation de l'utilisation
d'une ressource aux seules entités autorisées.
un réseau informatlquelêl: est un ensemble d'équipements reliés entre eux
pour échanger des informations.
Des définitions des termes de notre thème d'étude, il ressort que nous nous
attèlerons d'une part à étudier la mise en oeuvre d'une solution qui autorisera ou
pas l'accès aux informations. Et d'autre part, nous procéderons à son installation
sur tout notre réseau informatique.
Plusieurs solutions de contrôle d'accès au réseau informatique ont été

développées. Nous procéderons à une analyse de quelques unes de ces
propositions de solutions.
1
1 1 Dictionnaire Le Petit Robert de la langue française, 2006
121
Sécurité des Systèmes d'information: Contrôle d'accès technique au réseau, Eli MABO, Janvier 2012
13 1 http://www.solutioninfomediacom/equipement

LESSIEHI leolet Deborah [15)
~=~.-;:•rI
1
UflOl
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
3. PROBLEMATIQUE
Le système de contrôle d'accès au réseau informatique de la banque lui
permettait de gérer l'accès à son réseau. Il n'autorisait cependant pas l'accès au
réseau aux équipements n'appartenant pas au domaine de la banque.
Tout système de contrôle d'accès présente des failles. La faille du système

de contrôle d'accès au réseau de la banque a été mise à jour en janvier 2011. En
effet, la banque a été à cette date victime d'un piratage informatique à l'intérieur
de ses locaux. Près de 500.000.000 FCFA ont été emportés lors de ce piratage
sans que le système de contrôle d'accès ne puisse fournir les données nécessaires
pour élucider cet acte.
Face à un tel constat, nous sommes amenés à nous demander comment

mieux protéger le contrôle d'accès au réseau informatique de la banque.
Notre tentative de réponse à notre problématique nous a conduit à une

étude ayant pour thème : Etude et implémentation d'un système de contrôle
d'accès au réseau informatique: cas de NSIA-Banque.

(16]
,_:~=.:r •rI
UfltOl
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Anuranct"S g, Banqu~
Chapitre 3 : L'ANALYSE CONCEPTUELLE

1. DEFINITION
Un réseau-" permet à un ensemble d'équipements informatiques de
communiquer en utilisant des liens de transmission. Un équipement informatique
peut être un ordinateur, une imprimante, ou tout autre équipement capable
d'émettre ou de recevoir des données générées par d'autres équipements.
Les réseaux locaux[5l ( en anglais LAN : Local Area Network) sont des réseaux
de communication qui utilisent des liens de transmission haut débit pour
interconnecter des équipements informatiques sur une zone géographique limitée.
En général, ils interconnectent les équipements d'une même entreprise, d'un
même étage d'un bâtiment, ou voire simplement les équipements se trouvant dans
un bureau.
2. CARACTERISTIQUE DES RESEAUX LOCAUX

Un réseau local se caractérise par des débits de transmission élevés allant de
la dizaine de mégabits par seconde aux gigabits par seconde. L'étendue d'un
réseau local est typiquement celle d'une entreprise ou d'une institution allant de
la centaine de mètres au kilomètre.
Les réseaux locaux sont aussi caractérisés par une simplicité de mise en œuvre
et de configuration. Les équipements sont identifiés sur un réseau local par des
adresses ip qui leur sont attribuées dès la construction dudit réseau. Ces
141
Les réseaux locaux, Cédric LLORENS, Ana MINABURO, Laurent TOUT AIN, Les Selections
Techniques de L'ingénieurs, Référence 42292, 78 pages, page 12.
5
llLes réseaux locaux, Cédric LLORENS, Ana MIN AB URO, Laurent TOUT AIN, Les Selections
Techniques de L'ingénieurs, Référence 42292, 78 pages, page 12

.,_:I
~:.:=•r
Uf1 Dl
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assu,,mces lf, Banque
équipements peuvent être insérés ou retirés, ou encore être inactifs sur le réseau,
sans pour autant perturber son fonctionnement.
Les standards de transmission de données utilisés par les réseaux locaux sont
Ethernet (aussi connu sous le nom de norme IEEE 802.3) et le wifi.
Les réseaux locaux sont de plus caractérisés par leurs différentes architectures.
Nous avons les architectures physique, logique et organisationnelle.
2.1 L'architecture physique

La topologie physique d'un réseau détermine la manière dont les noeuds sont
connectés entre eux par le câble de liaison.
Nous avons les topologies physiques suivantes :
la topologie physique en bus : Un bus utilise un câble unique auquel sont

attachés tous les nœuds ( ordinateurs, serveurs, imprimantes, etc.).
la topologie physique en étoile : dans cette topologie on a un réseau de

n liaisons point à point où chaque nœud est directement connecté à un
contrôleur central qui procède à la répartition des informations.
- la topologie physique en anneau : l'anneau est constitué de

plusieurs liaisons point à point. Chaque poste est connecté au suivant
pour former une boucle fermée. L'information circule d'un nœud à un
autre dans un seul sens.
- la topologie physique en hierarchie : c'est une dérivée du réseau

en étoile. Elle consiste à relier des réseaux « étoile » entre eux par des

(18]
UflK
"·-·,Jl:11I
UTNOMTIOUU.
l IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
concentrateurs (hub) ou des commutateurs ( switchs) jusqu'à un nœud

umque.
- la topologie physique en maille : c'est une topologie dans

laquelle deux stations du réseau peuvent être mises en relation par
différents chemins. La mise en relation est effectuée par des
commutateurs.
2.2 L'architecture logique

Les réseaux locaux utilisent un support de transmission partagé auquel sont
connectés tous les équipements. Pour assurer une équité dans l'accès au support
de transmission, deux méthodes de contrôle d'accès sont utilisées :
les protocoles CSMA (Carrier Sense Multiple Access: Accès Multiple

par écoute de la porteuse) ;
l'anneau à jeton.
2.3 L'architecture organisationnelle

L'architecture organisationnelle d'un réseau indique comment est configuré
ce réseau.
Dans l'environnement client serveur, nous avons les architectures suivantes:
mainframe : avec cette architecture, tous les écrans sont connectés à la

même unité centrale ;
peer to peer : avec cette configuration, les ordinateurs connectés sont
susceptibles de jouer tour à tour les rôles de machines clientes et ceux de
serveurs;
Présenté par Mémoire de tin de cyde pour l'obtention du

(19)
7.;ir ......
IIATMHllTllllU-
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Anurances 8, Banque
- à deux niveaux : avec cette architecture, la machine cliente demande une

ressource au serveur qui la lui fournit à partir de ses propres ressources;
- à trois niveaux : cette architecture fait appel à une machine cliente, un
serveur d'application et un serveur de données.
- l'architecture à N niveaux: cette architecture correspond à l'architecture
à trois niveaux étendue sur un nombre de niveaux plus importants.
2.4 Les standards de transmission de données

Les standards de transmission de données sont les suivants :
- Ethernet'61 : qui est basé sur le principe que toutes les machines du réseau
ethernet sont connectées à une même ligne de communication constituée
de câbles cylindriques. On distingue différentes variantes de technologies
Ethernet suivant le type et le diamètre des câbles utilisés.
- le wifi'?l : est un ensemble de protocoles de communication sans fil. Il
permet de relier par ondes radio plusieurs appareils
informatiques (ordinateur, routeur, etc.) au sein d'un réseau informatique.
3. LE MODELE OSI
Les réseaux informatiques fondent leur conception sur le modèle de référence
à sept couches OSI. Dans ce modèle, chaque couche a une fonction particulière et
se base sur les services de la couche immédiatement inférieure. Les
fonctionnalités de ces différentes couches sont les suivantes :
- la couche 1 ou couche physique ;
161
http://www.commentcamarche.net/contents/1113-ethemet
171 http://fr.wikipedia.org'wiki/Wi-Fi

.,_;. .•I
..TIUl_..
"'"'
Ufl O(
.-
......._ A.uu,•ncos&B•nque
- la couche 2 ou couche liaison ;

la couche 3 ou couche réseau ;
la couche 4 ou couche transport ;
- la couche 5 ou couche;
- la couche 6 ou couche présentation ;
- la couche 7 ou couche application.
Système A Application Système B
7 Transfère un fichier Application

Ap~ication
,1
6 Trarte les différents formats Présentation
Présentation
5 Gère les sessions Session
Session
4 • S'assure que les données arrivent
Transport • Transport
3 Choi~t le mcilleur chemin Réseau
Réseau
2 }ssure la connexion de 2 nœuds adjacents. Liaison
Liaison
1 Transmet des signaux Physique
Physique
Relations Protocolaires
~
~
Figure 1 : Les couches du modèle OS!
4. LA SÉCURITÉ DES RESEAUX

L'intégrité d'un réseau peut-être affectée par des intrusions. Pour contrer ces
intrusions, des pare-feu et des contrôles d'accès réseau sont installés.

,.;"'"'-'11I
U f1 D l
••,_novu.
,,-
-...._ A><m•nœ,.,Banque
Les pare-feu sont installés à la frontière du réseau. Ils ont pour but de filtrer
tout le trafic échangé avec le réseau extérieur et de ne laisser passer que le trafic
autorisé.
Les contrôles d'accès réseau visent de manière générale à sécuriser le

périmètre intérieur de l'entreprise. Pour se faire, ils permettent aux équipements
autorisés d'accéder au réseau local. Cela, en vérifiant la conformité des
équipements et leurs adéquation à la politique de sécurité mise en place.
Le contrôle d'accès réseau occupe une place particulière dans le plan de

sécurité d'un réseau parce que, à la différence du firewall qui offre une barrière
de protection contre l'extérieur, le contrôle d'accès contrôle l'intérieur du réseau.
Par exemple, un pare-feu empêche l'intrusion au réseau via internet. Alors que
le contrôle d'accès rend impossible une intrusion de l'intérieur du réseau en
empêchant toute infiltration par un port Ethernet.
Le contrôle d'accès ne remplace cependant pas un firewall et n'empêche pas

l'évasion des données via un e-mail, une impression ou une clefUSB.
Pour contrôler l'accès au réseau, nous avons :

- le filtrage de niveau réseau ;
- les contrôles d'accès NAC.

[22]
.ij;1r
ur1ot-
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assur.tncn g. Banque
Chapitre 4: ANALYSE DE L'EXISTANT

1. ETUDE DE L'EXISTANT
1.1 Présentation du réseau
Cartographie Réseau BIAO

Au lundi 11 mai 2015
Figure 2: Architecture réseau NSIA-Banque

Légende:
: Internet
..,1: - •..
- ~.. . - : Pare-feu
---- : Fibre optique

[23)
.i:-=,Jl;
=•rI
Uflot
.l IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
: Serveur ISE
: Backbone
L'architecture réseau de la banque est décrite comme suit:
- la banque dispose de deux liens internet : Aviso et MTN ;

- un pare-feu est chargé d'assurer le trafic réseau entre le réseau interne de la
banque et ceux d 'Aviso et de MTN ;
- le pare-feu est connecté au backbone primaire (backbone 1) ;
- le backbone primaire est connecté par fibre optique (FO) aux serveurs ISE
(primaire et secondaire) et au backbone 2 (backbone secondaire)
- Le serveur ISE primaire est connecté au sous répartiteur dans lequel se
trouvent les switchs ;
Les switchs sont à leur tour connectés aux ordinateurs de la banque.
1.2 Architecture organisationnelle

NSIA-Banque dispose d'une connexion filaire et utilise la technologie Ethernet
pour la transmission de ses données. Les adresses Ip des équipements de la banque
sont fixées manuellement.
Le contrôle d'accès au réseau de la banque peut-être décrit comme suit:

[24)
~=.•1
.1 :1 •r
Uf1 Dl
tout équipement, pour se connecter au réseau devra avoir son adresse ip et

MAC autorisées;
l'équipement accède au réseau en se connectant à une prise RJ 4 5 ;
la prise RJ 45 est à son tour relié à un panneau de distribution qui est à
connecté à un switch ;
- pour chaque port du switch sont renseignées des adresses ip et MAC
autorisées à se connecter ;
sur chaque port est effectué un filtrage réseau ;
les ports du switchs sont initialement fermés. Seul l'administrateur a
l'accréditation pour les ouvrir.
Le service réseau de toute la banque ( siège et agences) est composé de quatre

(04) personnes qui se repartissent quotidiennement les tâches.

[25]
T.;1r
Unu.t~~-
1.3 Architecture physique

Le patrimoine réseau de la banque est constitué de :
EQUIPEMENTS CARACTERISTIQUES
Ordinateurs - Hp
- XP, Win 7, Win 8
- Intel core i3
Imprimantes - Hp
Câble - Coaxial double paire torsadée
- Fibre optique multimode
Conecteurs - RJ45
Switch - 24 ports
- 48 ports
- Catalyst 3560 g
- Series 2960
Téléphone lp - 7962
- 7942
Panneau de distribution - RJ45
- Fibre optique
Baie de brassage - Oracle
- Legrand
- Cisco
Serveurs - Windows
- Unix
Figure 3: Architecture physique NSIA-Banque
2. ANALYSE DE L'EXISTANT
L'architecture réseau, quoique protégeant la banque des intrusions n'offre pas :
- une traçabilité ;

(26]
.,..;1r
Uf1 Dl
u-,..,.TIQf.lu:e
le profilage et la posture des clients.
En effet, une activité peut-être effectuée sur le réseau sans qu'on ne sache
quand, par quel utilisateur et sur quel équipement elle a été effectuée.
De plus, du fait de son effectif restreint, le service réseau peut-être facilement

débordé. Entraînant ainsi un suivi peu optimale du réseau.
3. DIAGNOSTIQUE
L'architecture organisationnelle de la banque comporte un risque. En effet, son
administration peut ne pas être optimale pour cause de son effectif. De plus, elle
ne protège la banque que des intrusions. Elle ne permet cependant pas d'assurer
un contrôle sur tout le réseau. Pour lever ce risque, il s'avère nécessaire
d'augmenter l'effectif du service réseau, de migrer vers de récents systèmes
d'exploitation et de procéder à l'implémentation d'un système de contrôle d'accès
au informatique de la banque.

[27]
.~=.•;:' •r1
.1
"""
PARTIE 2 : ETUDE TECHNIQUE

Chapitre 5 : LES CONTROLES D'ACCES
NAC
1. LES CONTROLES D'ACCES NAC

L'on compte d'une part, parmi les solutions de contrôle d'accès au réseau des
solutions propriétaires qui ont la particularité d'avoir leur code source
inaccessible et protégé. Nous avons d'autre part les solutions open source qui ont
leur code source accessible à tous.
1.1 OpenNac
OpenNac est une solution open source de contrôle d'accès pour les réseaux
locaux d'entreprise.
Elle permet l 'authentifiacation, l'autorisation et l'audit du réseau en se basant

sur des politiques de sécurité. Elle a été developpée avec des composants open
source par des developeurs autonomnes.
La solution OpenNac est architecturée en plugins donc facilite l'incorporation

de nouvelles fonctionnlités.
1.2 La solution NAP de Microsoft

La protection d'accès réseau NAP de Microsoft est une solution propriétaire.
Elle est une plateforme permettant de s'assurer que les ordinateurs d'un réseau
local répondent aux exigences définies par l'administrateur en matière d'intégrité
système. La solution Microsoft NAC offre les fonctions suivantes :

(28)
1,a
UflOl
ClWOAU~;'(
MlnlfMT'IOUU.
l'autorisation, l'authentification et l'administration grâce à son serveur

NPS qui est l'implémentation Windows du serveur et du proxy RADIUS;
- l'intégrité des ordinateurs se connectant au réseau;
la gestion des invités en déterminant l'intégrité et en limitant l'accès des
invités au réseau ;
- L'audit du réseau grâce au service de monitoring et de reporting.
1.3 La solution Cisco ldentity Service Engine (ISE)

Cisco ISE 1.2.1.198 (dans la suite de notre étude ISE 1.2.1.198 sera appelée
solution ISE) est une solution propriétaire basée sur l'identité, elle collecte des
informations en temps réel à partir du réseau, des utilisateurs et des appareils
connectés. Elle utilise ensuite ces informations pour prendre des décisions de
gestion en appliquant une stratégie à l'ensemble de l'infrastructure réseau,
améliorant ainsi la sécurité du réseau.
Cisco Identity Services Engine offre les avantages suivants :
- la sécurité : elle améliore la visibilité et le contrôle de l'activité et des

appareils de tous les utilisateurs du réseau physique et des infrastructures
virtuelles grâce à ses services de profilage, de gestion des invité et de AAA
la conformité : elle crée une stratégie cohérente dans l'ensemble de

l'infrastructure pour la gestion de l'entreprise grâce à son service de posture;
- l'efficacité : elle augmente la productivité du personnel du servie réseau en
automatisant les tâches et en simplifiant la fourniture de service grâce à son
service de monitoring et de reporting ;
- la gestion des invités grâce au BYOD (Bring Your Own Service).

..."""'::.I
.... ---
.l -1
.,_TIOU(
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE ,....._ Amu•nm&B;,nque
1.4 Tableau de synthèse

Toutes les solutions étudiées offrent les fonctions d'authentification,
d'autorisation, d'administration, de monitoring et de reporting.
Contrairement aux solution NAP de Microsoft et ISE de Cisco, la solution

OpenNac ne permet pas la gestion des invités et est une solution libre c'est-à-dire
qu'elle à son code source disponible.
Cependant, seule la solution ISE de Cisco répond aux contraintes de posture

et de profilage.
Type de AAA Monitoring Gestion des Profilage Posture

solution et reporting invités
OpenNac Libre ,/ ,/ X X X
NAP propriétaire ,/ ,/ ,/ X X
ISE propriétaire ,/ ,/ ,/ ,/ ,/
Figure 4: Tableau de synthèse des contrôles d'accès NAC
2. LE CHOIX DE LA SOLUTION
Le contrôle d'accès NAC à implémenter devra assurer les fonctions de:
- AAA (Authentification Autorisation Accounting);
- profilage qui assurera la visibilité et la traçabilité des terminaux ;
- posture pour assurer la conformité des hôtes sur tout le réseau ;
- le monitoring et le reporting afin de surveiller le réseau et d'établir les
Journaux;

[30)
,_;I
~=-:11
:.."•
. IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
SIA
A,;$urancrs & Banque
la gestion des invités pour offrir un accès réseau aux personnes externes à
la structure.
La solution ISE remplie toutes les fonctionnalités attendues pour la sécurité de

la banque. Pour ces raisons, le choix de NSIA-Banque s'est porté sur la solution
ISE de Cisco.

[31)
LESSIEHI leolet Deborah MASTER lnfoonatique option MIAGE
••,_nouu.
U fU l
,,...
"'"-"'
., ,
i.l'( IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE ....._ A"'"•ncos&B•""""
Chapitre 6 : EVALUATION DE LA
SOLUTION NAC
L'évaluation du projet de la banque porte sur les facteurs humains, matériels

et le temps mis pour la réalisation du projet.
1. LES FACTEURS HUMAINS ET LA DUREE DU

PROJET
L'implémentation du contrôle d'accès NAC necessite la collaboration de la
Direction de la Logistique et du Patrimoine (DLP) et du service réseau. L'effectif
et les missions assignés aux différentes entités intervenant dans la réalisation du
projet sont consignés dans le tableau ci-dessous.
Direction Effectif Tâches

DLP 03 - Mettre à la disposition des services réseaux
et supports tout le matériel nécessaire à
l'installation de la solution Cisco ISE
Service réseau 04 - Procéder à l'installation de ISE et à la

configuration de tous les équipements
réseaux.
- Suivi de formation
Total 07
Figure 5: Tableau des effectifs et des missions de la DLP et du service réseau
L'installation de ISE se fera sur 46 jours repartis dans le graphe de Gantt

ci-dessous.

[32]
11
.1m1
U fl D (
Un&IIATliNU.
tl ••••.•
V,
,._
::;
~ 08/04/2015 • Série
"'
V,
• Série2
.,,
VI
v
~ V,
.g ~ 02/04/2015
È Rf
,._
0
'-
0 5 0 5 20 25 30 35 0 45 50
Figure 6 : Diagramme de Gantt de la durée des tâches du projet
• Sé r.e 1 : la durée des tâches achevées
série 2 : la durée des tâches à effectuer
2. FACTEURS MATERIEL ET FINANCIER

Pour fonctionner, ISE utilise le matériel suivant :
des switchs d'accès Cisco Catalyst 2960S 24PS-L;
des serveurs Cisco Secure Network serveur 3415 (small);
des ordinateurs Windows XP SP3 Pro (OS), Windows 7, Windows 8;

(33)
UflOl
••,_TlO<IU.
""'-"'il'(
.,,. IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
1
Matériel Caractéristiques
Switch - Version du système d'exploitation (OS): 15.0(2)SE7
Serveur - Processeur: lx Intel Xenon Quad-core 2.4 GHz ES-

2009
- Memory : 16Gb
- Disque dur : 1 x 600Gb SAS 1 OK RPM
- Système d'exploitation du serveur : Windows
Ordinateur - (OS): Windows XP, 7, 8

- Processeur : Intel core i3
- Ram: 4G
Figu,re 7 : Evaluation du matériel

Le coût de ISE est évalué à 95.000.000 FCFA incluant les coûts
d'acquisition et de déploiement estimés respectivement à 85.000.000 FCFA et
10.000.000 FCFA.

(34]
t~::r=-1r
1•; IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Aourc1nces & Banque
PARTIE 3: MISE EN ŒUVRE DE

CISCO ISE
Chapitre 7 : FONCTIONNEMENT
TECHNIQUE
!.ACTEURS
ISE est typiquement un déploiement distribué de noeuds. Les trois acteurs
indispensables à son fonctionnement sont :
- Policy Administration Node (PAN) ;

- Policy Services Node (PSN) ;
- Monitoring and Troubleshooting Node;
1.1 Policy Administration Node (PAN)

Le PAN est l'interface administrateur. Il permet d'effectuer toutes les
opérations administratives sur ISE. En effet, il permet d'apporter des
modifications à l'ensemble de la topologie ISE. Ces modifications sont effectués
à partir du serveur d'administration vers les serveurs de politique de services.
Dans un environnement distribué, le PAN peut-être exécuté sur plusieurs

serveurs qui peuvent être autonomes, primaires ou secondaires. De sorte à ce
qu'en cas de panne du serveur principal, le serveur secondaire puisse être pris
manuellement.

[35]
·--·1
,.:
n-1
••••
iW;,îf, IL!P:::..._ -,
,,.., Home ~lilllOns 1" Polcy 1 " Ad1Ti1lstratbn 1 "
----- -----= ~.,,.... =__,~--
etrts
••••••
1,449 ~OÀ~
11111111111111111111111 2•
--0
24h
969 290/o
0aolliln:a
System Summary Alarms Auth~ntx:aticm;

Utllzlltlor and L1tencv N1me O:cunwn~•• L•• o,curred
CPU f,ltmo,y Auttllftlielti01 LlllftCV 0 Mlaonilgu...d Nol"°'k 0e-lce 0.toctod ffl 11,,_ 29mln, oço
Passe:l 994 1111• •• 11 .1 •. ,11.ilul, 1,l11i11H,H111111111
1 srv-ci-ise--01
•• SUR)llcont ,to,:ped resoondlng 2!01 tlma 4'6mi"9 9'0 Faied 7 ,1
a srv-cl-lsa-02
11111111111111111111111 • AAO 1US R.oquM Oropped 4967 tlrna 48mint 9'0
Lat:4 Hours Last 60 M1nutH
0 U..W-:" NAD &126 ~,.,.. 1 1v 49 ,,,.,. ago

OistribuUot1 l't l
BI ld•ntlty Stor•
0 Bad<up Folled 14'tlrna 21 ton '6 mna age,
2
0 Mlaonllgu,od Sopplco'II Oetect.d 5

' 77 tlrnes 8 daya aga EB td•ntlty Group
•
0 l'rofll• SW,1P ~eQld flih.re 24tlrrw 3 d1y1 age Ill Natoorlc OIIYI ...
• eo,f1gvotlon ~ 23tl,,... 15 days ego
,_
Pro'ler ActMty EB hilure Renon
Posture complance 8
3
Total 2 Tctal O
LHt:04Hous lnr24 Mour!i la;t b) M nuus
01,trtbutlon Bv, Ol1trtb.Jttc:n &,,1
EB Endpo nt Pro .•• 1B Po1b.1r• St1tu1
EB ldentJty Grou~ B3 Op•ratlng Sy •.• f\o Ott• ~v1 Ieb ••
Figure 8: Interface d'administration

.':':~:
.:=•rI
1/flK
.l IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
1.2 Policy Services Node (PSN)

Le PSN fournit un accès réseau. Il est le moteur d'exécution
d'authentification, d'autorisation et de comptabilité (AAA), de la posture, de
l'accès invité et des services de profilage.
Le PSN régule le trafic sur le réseau. En effet, il évalue les politiques et

prend toutes les décisions. Cette régulation est faite en fonction des politiques
de sécurité définies dans le PAN.
Le PSN, dans une configuration distribuée peut être installée sur au moins
un serveur.

[37]
~=a1=,
1
•••••
. . .
p
- ~'~ ";,:..~.,
,. Naft 0lllrlllDnlll• 1 Polcyl• ,..
!_ Adl_
U-llitl
~ allai
---"il,_
• - _ .
-~
. .,: ,:~·
Metrcs
System Summary
f•••
1,449 397
--- ~ Proflno
~ Posl:\lre
,!1
l 111111111111111 I I !i3' Client Provts1on1no

[Sl
Autnentlcatkm
AutnDl'lzatlon
Security Group
Egress Polocy
Aa:ess
- 24h
- 969
24h ..,
29%
24h
- Network Oew:e Authonrat10n Authentlcatbns El

Utlliutlon and Latu1cy 2.A IJ Policy Elements Occurrel"K•• LHt 0ccu"'9d
CPU Dlctionanes '" u,,,. Dmrw agio
Passed 992 ......... .1 •. il,.!, ~l .• 1,,.1,~.IJu 11ul 111,
a .1, •• ,,., •••••••.•••• ,,. Conditions
2'01tt~ 51 mlrw ago Failed 7 11
a srv·d·IH·02
lillllllllilllllllllllll ReS<Jlts
4967 th,., 53 ,n,. age,
Lut 24 Hoo1rs
• ......_•••0 D1tb1Cutlon lv1

'12'tll"MI l ••. S3 ,,..,.. ego
&I ldentlty 5tof'tl
• 1 •• 14,p,.1oc1 14, u,.,. 21 tn 50 mlns age,
• •• •••••• _ ....,.,_ 0••••••
0 =·-
a.•-
1 da,y1 a,go
..
Pra/il• SNMP- ••• ,.,. ' •.• • ago
• Carll ••••••••• °'""""" 2J ·-

i:,day, ago
m Location
Proller ActMty 1B ,., ure lll H .IOn
Posture Complance
Total 2 Total o
Lut2 •• Ho11"S LH t60 M,ra,tH L..ut~-4~ours
01.-trlbutlon av, 01mtbut:lol"I Bv1

1B Er\dpolnt Pro ••• EB Po,ti,,,.. Statu,
_______N_
, O,uaAv•ii•h;.;'•;_ _
Help
Notflations (0)
Figure 9: Interface du PSN

.,.':"=.;=·rI
Ufl Dl
1.3 Monitoring and Troubleshooting Node (MTN)

Il fonctionne comme un collecteur de journaux où sont consignés les
messages du PAN et du PSN.
Aussi appelé serveur de surveillance, M1N est utilisé pour générer les
rapports établis à partir des messages du PAN et du PSN.
Le M1N peut être installé sur un maximum de serveur qui peuvent jouer
les rôles de serveur secondaires ou de serveur primaires. Si le serveur primaire
tombe en panne, le serveur secondaire assume automatiquement le rôle de
serveur primaire. Il est recommandé que le M1N soit sur un serveur dédié pour
de meilleures performances en termes de collecte de données et de lancement de
rapport.
2. FONCTIONNALITES DE ISE
Pour assurer le contrôle d'accès au réseau, ISE possède les fonctionnalités
suivantes:
- Authentification, Autorisation, Accounting (AAA);

la posture;
le profilage ;
le monitoring et le reporting ;
la gestion des invités.

[39]
Ufl D(
•mcuu.novu. ,,-
"*'-'"ïJ'
., , .
( IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE "--- Amu,nc•••••••,., •••
2.1 Le service d'authentification, d'autorisation et de

comptabilité
Pour l'authentification, l'autorisation et la comptabilité, ISE est couplé à

Microsoft Active Directory. Il y récupère les informations d'authentification et
d'autorisation. Lorsqu'un utilisateur veut se connecter au réseau, ISE compare le
login et le mot de passe saisi avec ceux récupérés dans Active Directory. Lorsqu'il
y'a correspondance entre les logins et les mots de passe, l'accès au réseau est
accordé à l'utilisateur en fonction de ses accréditations.
Un rapport "d'authentification accordée" est alors généré. Sinon un rapport

"d'échec d'authentification" est généré . Le rapport d'échec d'authentification
fournit la raison de l'échec.
Un périphérique réseau qui n'est pas défini dans Cisco ISE ne peut pas recevoir
les services AAA de Cisco ISE.
2.2 La posture
La posture assure la visibilité et la traçabilité des terminaux.
Le processus de service de posture est composé de trois actions que sont :
- le ravitaillement du client ;
- la stratégie de posture ;
- la stratégie d'autorisation.
2.2.1 Ravitaillement du client

Afin d'exécuter l'estimation de posture d'un terminal, il est nécessaire de le
ravitailler avec un agent. Les agents sont des applications qui résident sur les
machines clientes se connectant au réseau Cisco ISE.

[40]
UflOl
unau.-no111se
Aj;1r IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
Les agents peuvent être persistants ou temporels. Les agents persistants sont
installés sur l'équipement et se chargent chaque fois qu'un nouvel utilisateur se
connecte. Les agents temporels (web agent) quant à eux, sont basés sur le Web et
sont dynamiquements téléchargés sur le client pour chaque nouvelle session.
L'agent web (temporel) est retiré du client après l'ouverture de la session.
2.2.2 Stratégie de posture

La stratégie de posture définit l'ensemble des conditions requises pour qu'un
point final soit en conformité avec les politiques de sécurité. La stratégie de
posture est appliquée aux points finaux basés sur un ensemble de conditions
définies tel que le type d'identité de l'utilisateur et du système d'exploitation du
client. Le statut de conformité (posture) d'un point final peut être :
• mconnu : aucune donnée n'a été collectée afm de déterminer l'état de

posture;
• non conforme : une estimation de posture a été exécutée, et un ou plusieurs
conditions requises ont manqué ;
• conforme : Le point fmal est conforme avec toutes les conditions
obligatoires.
Des conditions requises de posture sont basées sur un ensemble configurable
d'une ou plusieurs conditions. Les conditions simples incluent un contrôle simple
d'estimation. Les conditions composées sont un groupe logique d'un ou plusieurs
conditions simples. Chaque condition requise est associée avec une action de
correction qui aide des points finaux à répondre à l'exigence.

[41]
..•.,
.,.~=._=·r;I IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
--
2.2.3 Stratégie d'autorisation

La stratégie d'autorisation définit les niveaux d'accès au réseau et les services
à livrer à un terminal basé sur l'état de posture. Les terminaux considérés non
conformes avec la stratégie de posture peuvent être mis en quarantaine jusqu'à ce
qu'ils deviennent conformes. Par exemple, une stratégie typique d'autorisation
peut limiter l'accès au réseau d'un utilisateur pour correction seulement. Si la
correction par l'agent ou l'utilisateur final est réussie, alors la stratégie
d'autorisation peut accorder l'accès au réseau privilégié à l'utilisateur. La stratégie
est imposée avec l'affectation dynamique VLAN.
2.3 Le profilage
Le profilage permet d'aasurer la conformité des équipements. Il se fait en trois
phases que sont les phases d'analyse du trafic, de classification des
équipements et l'utilisation du profilage dans la mise en place des règle
d'autorisation.
2.3.1 L'analyse du trafic

ISE utilise des sondes spécifiques pour analyser le trafic généré par les
équipements, les éléments collectés sont les suivants :
• les 6 premiers digits de l'adresse MAC qui permettent

l'identification du constructeur de l'équipement;
• les informations sur le port de conexion de l'équipement;
• les adresses MAC et Ip
• les informations d'authentification.

LESSIEHI leolet Deborah [42)
,_;I
:::::.::.
., •
U•••
IMPLEMENTATION O'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
2.3.2 La classification des éléments

C'est lors de cette phase que le moteur d'analyse d 'ISE entre en action, ISE
corrèle l'ensemble des éléments collectés lors de la première phase et utilise sa
librairie interne pour identifier l'équipement.
L'exemple ci-dessous montre par exemple la démarche d'analyse pour un

Ipad, on commence par regarder l'adresse MAC, ensuite les champs et le « User
Agent » et en fonction du résultat on positionne ce nouvel équipement dans le
groupe IP AD.
La librairie existante d'ISE dispose de politiques d'identifications pour plus de

100 devices, il est également possible de créer ses propres politiques et donc
d'identifier n'importe quel type d'équipements connectés au réseau.
Pour cela ISE dispose d'une librairie complète qui permet d'utiliser l'ensemble
des attributs des protocoles de profilage.
Apple-Device
~ Apple-MacBoo
~ Apple-iPad
Ceci est un adresse
~ Apple-iPhone
MAC d'Apple
- •":, Apple-iPod
IP:User-Agent
CONTAINS IPad
Je suis
certain ceci
est un lpad
Figure 10 _. Classification des équipements avec ISE Profiler

Légende:

(43]
., . _•;
.,i1(
UfllD(
UTitDMTIOVU •
.1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
:PSN
2.3.3 L'utilisation du profilage pour la mise en place des règles

d'autorisation
Chaque règle d'accès dans ISE se compose de conditions et d'un résultat.
L'accès à internet peut-être par exemple limité pour les Smartphone et tablettes.
La règle fonctionne de la manière suivante, si l'équipement est profilé comme

faisant partie des catégories IOS, Android ou Blackberry, ISE active une ACL
particulière ou positionne l'équipement dans un vlan à partir duquel seul internet
est accessible.
r î r~
Status Ruet~ e CCTd'o œnbt '1;:.(()S ni otœ cadtais) Pel
1 Pro!Ëd Gsco 1P Ph:ries Cisco-lP-Phone (ISCO _IP _Ph:r,es
1 Pro!Ëd ~ Apple-iPad Apple-iPhone An<ioid BlackBerry
real_camera
SI Androld, iPhone,
iPad ou BlackBerry
Authoriser un accès
Internet uniquement
Figure 11 : Utilisation du profilage pour la mise en place des règles

d'autorisation

MASTER lntormatlque option MIAGE
1m1•r
UflOl
.~=..="
2.4 Le monitoring et le reporting

Le monitoring consiste à surveiller les activités du réseau. ISE exerce la
surveillance continue et en temps réel des terminaux. Fournissant ainsi un
reporting en temps réel et qui est l'historique d'informations suivant les critères
d'évaluation de l'environnement.
L'historique fournit une liste de vue récapitulative sur les équipements, leurs
adresses, leur utilisation et leur emplacement sur le réseau.
2.5 La gestion des invités

ISE permet la gestion des invités grâce à son concept BYOD (Bring Y our Own
Devi ce). Qui offre un accès plus sécurisé aux équipements ne faisant pas partie
du patrimoine de la banque.

(45]
.,.r:-=._=·r:I
llf1Dl
Chapitre 8 : ARCHITECTURE DE
DEPLOIEMENT DE ISE
Le nombre de terminaux du réseau détermine l'architecture de Cisco ISE à
déployer. Nous avons les architectures suivantes :
- un déploiement de petite taille ;

- un déploiement de taille moyenne ;
- un déploiement de grande taille.
1. Déploiement de petite taille

Le déploiement de petite taille de Cisco CISE est mis en place dans un
réseau de petite taille ayant au plus deux mille (2000) terminaux. Ce
déploiement met en jeu deux serveurs sur lesquels sont installés les différents
acteurs de ISE. Ces serveurs servent respectivement de serveur primaires et de
serveur secondaires.
Le serveur primaire fourni toutes les configurations et les politiques de

sécurité nécessaires au fonctionnement du réseau. Le serveur secondaire quant à
lui, sauvegarde toutes les données du serveur primaire et joue le rôle du serveur
primaire quand ce dernier est défaillant.
Le déploiement de petite taille a été effectué au sein de la banque.

[46)
,.;
,'f==•rI
urtll
r
ISE-1 ., ISE-2
1 1
1 1
1
1
1 '
Primary 1
1
..•,._._
1
econdary
.~
Admin Admin
1 '
J_'
1
econdary 1
Primary
---+ 1
onitorin l
1
Monitoring
1
'
j
j
1
1 '1
Active PSNl ------•'
1
"*=-
1
Active PSN2
.....,__."_ .. . ._. ...,:_•'
1
1
1
1 ,1 1
1 '
·------------------
Figure 12 : Déploiement de petite taille
Légende:
: Acteur ISE
2. Déploiement de taille moyenne

L'élargissement du réseau est pris en compte par l'ajout de nouveaux
serveurs. Aboutissant ainsi à un déploiement de taille moyenne pouvant supporter
jusqu'à dix mille (10.000) terminaux.
Tout comme dans le déploiement de petite taille, sont dédiés au PAN et au

M1N deux serveurs jouant les rôles respectifs de serveur primaire et de serveur
secondaire.
Au maximun, cinq (05) autres serveurs peuvent-être dédiés à la gestion des

politiques de service. Ces cinq (05) autres serveurs permettent de gérer les
fonctions d'authentification, d'autorisation et de comptabilité.

[47]
7,1;1r
ur1:ot-
,.. - --- - ---· --- . - -- .. - --- ---- ---- - -- .. , ,.-- - .• ----------------------------,

' ' '
ISE Node 1 ''
'1 Policy : ISE Node 2
•
i 1
Admin Monitoring l Admin Monitoring :

1
1
1
__
1
1 '
1
,''1
'
'. .. , ., t --······ . ·t
1
. '·······1··········--·---1-·······!
Primary Secondary Secondary Primary
Figure 13 : Déploiement de taille moyenne

Légende:
3. Déploiement de grande taille

Un déploiement de grande taille peut prendre en compte au maximum cent
mille (100.000) terminaux.
Deux serveurs sont exclusivement dédiés à la fonction d'administration et

deux autres à celle de surveillance.
Cette séparation des serveurs d'administration et de surveillance permet

d'avoir un maximum de quarante serveurs de politiques de services.

(48] MASTER Informatique option MIAGE
LESSIEHI leolet Deborah
r-------------~-- r----------------,1 ~-------·-------~ r--~---~----··---, f
ISE Node 1 ISE Node 2 : ISE Node 3 , ISE Node 4 :

1 1
Ad min ·;Monitoring: Admin l ;Monitoring l 1

'
f 1
1
f
f
Policy Service
Figure 14 : Déploiement de grande taille

Légende:

[49]
.=m1
.1 =1
Dl · IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
Chapitre 9 : DEPLOIEMENT DE ISE

ISE est installé sur les serveurs, les switchs et les terminaux qui au sein de
NSIA-Banque sont représentés par les ordinateurs.
Les services de profilage, de posture, AAA, de monitoring et reporting ont

été déployés.
NSIA-Banque a procédé à un déploiement de petite taille.
1. INSTALLATION DE ISE
1.1 Les seveurs

L'installation de ISE sur les serveurs se fait en suivant les étapes suivantes :
la connexion au serveur ;
l'insertion du DVD d'installation;
la configuration du serveur.

[50]
.,.i:-=_;=•rI
UflOl
Figure 15 : Ecran d'installation de CISCO ISE

[51]
.':":m1
1 .:.:' ·r
Uf 1 D l
ise-se=ve--~
E::1ce= IP add=essfl: lJ.:.1.1
:ï2.:
E:1::e= defaulc D~·TS dcmaL. .i s cc . ccrr,
.1s:1.. 2:i:i. :.s
2
~-dd/Edi c anc t ne r nerr.e ae z ve r ? Y/ )1 : :1
: clcc~.ciscc.ccm
.f..dd/Edic a:-ic:::-ie= )T-:P dcmai:1? Y/~: n
'l:"...,-·.. ,.1°- 55:1?.
J,.. •• c.~ •• . . Y/ -
E:1ce= s~scem cirre zcne

Enz e r us e z nerr.e f e.drru n l : e dm..L.
En::e= pass~c=d aaai::1:
-:.:le oa-:.e:,;a:; ...

Pi:1gi:1g -::le
De :1cc t:.se 'C::=1-C' f=cm ::::.is pcin:: c::1 ...
--i=cual rr.ecru.ne de t e c t ed , cc:1fig1.:-::-i:1q -,_1; .~:,.;a=e t cc Ls ..•
J:..,:pplia:-ice is cc:1figu:::-ed
I:1s::alli::1g applicacic:1s ...
~nscalli:1g ISE ...
~pplicacic:1 bundle (ise) i:-is::alled s-..:ccessfull··
Figure 16 : Ecran de configuration du serveur
1.2 Les switchs

ISE est installé sur les switchs de manière suivante :
activation des fonctions AAA ;

activation de l'authentification 802.IX sur les ports du Switch;
définition du VLAN par défaut ;
définition des ACLs locales par défaut ;

[52)
.1. .-:
_., .i
.1
UflDl
UfNflliUIOVU.
.-,
......_ Aum•nce;& •••,qu•
aaa new-model
! Creates an 802.lX port-based authentication method list
aaa authentication dotlx default group radius
! Required for VLAN/ACL assignment
aaa authorization network default group radius
! Authentication & authorization for webauth transactions
aaa authorization auth-proxy default group radius
! Enables accounting for 802.lX and MAB authentications
aaa accounting dotlx default start-stop group radius
aaa session-id common
aaa accounting update periodic 5

! Update AAA accounting information periodically every 5 minutes
aaa accounting system default start-stop group radius
aaa server radius dynamic-author <cr>

client 10.0.56.17 server-key cisco
! Enables ISE to actas a AAA server when interacting with the client at IP address
Figure 17 : Ecran d'activation des fonctions AAA
Enables 802.lX authentication on the interface

dotlx pae authenticator
Figure 18 : Ecran d'activation de l'authentification 802. JX

[53]
,_;I
m•-•n1
llr1Dl
••,_ TIGIIU.
_,,..
....._ Assmanm &Banque
vlan <VLA number>

name ACCESS
vlan < VLA number>

name VOICE
interface < VLA numbe r»

description ACCESS
ip address 10.1.2.3 255.255.255.0
Figure 19 : Ecran de définition du VLAN par défaut
1p aeeess-list extended ACL-ALLOW

permit ip any any
!
ip aeeess-list extended ACL-DEFAULT
remark DHCP
permit udp any eq bootpe any eq bootps
remark ONS
permit udp any any eq demain
remark Ping
permit 1emp any any
remark Ping
permit 1emp any any
remark PXE / TFTP
permit udp any any eq tftp
remark Allow HTTP/S to ISE and WebAuth portal
permit tep any host <Cisco_ISE_IP_address> eq www
permit tep any host «c i sco ISE IP edâr e s s» eq 443
Figure 20: Ecran de définition des ACL locales par défaut

[54]
LESSIEHI leolet Deborah MASTER lntormatique option MIAGE
~==·1
.1•1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
1.3 Les terminaux

Les terminaux pris en compte par Cisco ISE au sein de NSIA-Banque sont les
ordinateurs.
En vue de les voir participer à la procédure globale d'authentification, les

actions suivantes sont effectuées:
activation du service « Configuration automatique de réseau Câblé » sur

tous les ordinateurs pour la prise en charge du 802. lX;
activation de 802.lX pour les cartes réseaux Ethernet;
installation automatique de l'agent CISCO NAC pour la posture.
1.3.1 Activation du service « Configuration automatique de réseau

Câblé»
L'activation du service « Configuration automatique de réseau câblé » se
fait dans le gestionnaire des services de Windows et est mis à automatique.
•~t
11\..,11. VI
Figure 21: Ecran de configuration automatique de réseau câblé

[55]
.~=fJl:=·r1
llf1Dl
l IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
1.3.2 Activation de 802.JX pour les cartes réseaux Ethernet

Pour l'activation de 802.IX pour les cartes réseaux Ethernet:
Se rendre dans les paramètres de la carte réseau ;

Puis dans les «Propriétés de connexion au réseau local» ;
allez dans l'onglet «Authentification » et cocher les options suivantes :
• Activer l'authentification IEEE 802.IX;
• Mémoriser mes informations d'identification pour cette connexion à
chaque fois que je suis connecté ;
• Revenir à un accès réseau non autorisé.
,.. Propriétés de Connexion au réseau local
Gestion de réseau I Authentification
Sélectionnez cette option pour fournir un accès réseau authentifié à

cette carte Ethernet
~ Activer l'authentification IEEE 802.1X
Choisissez une méthode d"authentification réseau:
1 Microsoft: PEAP (Protected EAP) ..•. , 1 Paramètres 11
0 Mémoriser mes informations d'identification pour cette

connexion à chaque fois que je suis connecté
0 Revenir à un accès réseau non autorisé
Paramètres supplémentaires ...
l OK !I Annuler
Figu,re 22: Ecran d'activation de 802.JXpour les cartes réseaux Ethernet

[56]
•••••
.':'=,l:
l =•rI IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
Dans l'onglet « Paramètre », renseigner les champs suivants :

cocher la partie « Connexion à ses serveurs » et renseigner les noms des
serveurs ISE séparer par un point-virgule ;
cocher ensuite l'autorité de certification racine de confiance ;
faire OK.
Propriétés EAP protégées
x,on :
J valider 1 rt,f,~t d
J conne)()on à ces serveurs
Autontés de cert1f1cation racine de ccrmemce
Groupe NSIA Enterpnse r,.,1ach1n

GTE CyberTrust Globôl Roo
Il 1
l'ut1ll~teur d'autoriser de nouveaux

,f,clttlon approuv
,on
on 2) ._ 1 ! Configurer ...
J Activer la reconnexion rapide
Appliquer la protection d'accès réseau
Oéconnect. si le serveur ne présente pas TLV de liaison de ch1"r.
Activer la protection d
la conf1dentlalrté
OK Annule,· ]
Figure 23 : Ecran de protection des propriétés

Enfin dans la partie « Paramètres supplémentaire », renseigner les options
suivantes:

(57]
.~=•:=•r1
.1
U f1 D l
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Auur.iinch & B.anque
spécifier le mode d'authentification : Authentification de l'utilisateur ou

de l'ordinateur ;
activer l'authentification unique pour ce réseau : cocher immédiatement
après l'ouverture de session de l'utilisateur ;
mettre le délai maximal (seconde) à: 10;
autoriser l'affichage de boîtes de dialogue supplémentaires pendant
l'authentification unique.
Paramètres avancés
Paramètres 802. lX
[{] Spécifier le mode d'authentification
1 Authentification de l'ublisateur •J Enregistrer ident. l

L-.J Supprimer les informations didentification pour tous les
utilisateurs
~ Activer l'authentification unique pour ce réseau
Immédiatement avant l'ouverture de session de

l'utilisateur
~' Immédiatement après l'ouverb.Jre de session de

l'utilisateur
Délai maximal {secondes): 10

[{] Autoriser l'affichage de boîtes de dialogue supplémentaires
pendant l'authentification unique
C] Ce réseau utilise des réseaux locaux virb.Jels distincts pour
l'authentification de l'ordinateur et de l'utilisateur
! OK J I Annuler
Figure 24: Ecran des paramètres Avancés

[58]
.,"·-11
_;I
UflK
•••••••••••
1
Auu,itncH & Banque
1.3.3 Installation de l'agent CISCO NAC pour la posture

L'installation de l'agent persistant Cisco NAC permet le ravitaillement de la
machine cliente et se fait comme suit :
Wek:ome to the InstallShield Wazard for C"asco

NACAgent
The Insta0Shield(R) VI/izard wiH allow you to modify, repair, or

remove Cisco NAC Agent . To continue, dick Next.
< Back Next > Cancel J

Figure 25: Ecran d'installation de l'agent Cisco NAC
1.1.1 Importation du certificat de l'autorité de certification

Le certificat de l'autorité de certification est utilisé pour la génération du
certificat des serveurs ISE. Son installation se fait comme suit :

[59)
·=•:=•r1
UflK
---
1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
Certificat
Général Détails Chemin d'accès de certification
Informations sur le certificat
Ce certificat est conçu pour les rôles suivants:

• Toutes les stratégies d'émissions
• Toutes les stratégies d'application
Délivré à: Groupe NSIA Corporate Root CA
Délivré par Groupe NSIA Corporate Root CA
Valide du 04/07/2011 au 04/07/2051
[ Installer un certificat... J Dédaration de l'émetteur
OK
Figure 26: Ecran d'installation du certificat de l'autorité de certification

[60]
.~=-•;:1 •r1
1
U rt Dl
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assurilnce._ & Banque
2. CONFIGURATION DE ISE
Le bon fonctionnement de ISE implique la configuration de ses services de
posture, de profilage et des services de protection des terminaux.
2.1 Le service de profilage

L'installation du service de ISE Profiler se fait en trois étapes :
- activation du service de profilage sur un noeud ;

- configuration des sondes ;
- configuration des politiques de profilage ;
2.1.1 Activation du service de profilage sur un nœud

L'activation du service de profilage sur un noeud se fait dans le menu
déploiement. Le chemin d'accès à ce menu est le suivant Administration >
System > Deployment. Dans le menu de déploiement du noeud, renseignez le
"Hostname", le "FQDN", l'adresse Ip et le le noeud à activer. Puis activer
l'administration et le monitoring du noeud.

(61)
.,.;I
~==1
Dl· IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
,.
....._ A.,,.,.,,c.,.&&;,nque
Licen:1.1ng Cert,ficates Loggong Ope,atoon;; Admon kces.s Sett,ngs
Deploymem p1o, r>efi Neues ust > Edi ~

Edit Node
• , • Deployment
Hostname µse-163-203
FOON J)Se-163-203
IP Addres.s 10.77.122.203
Node Type ldenlily SeMc.es Engine (ISE)
Persooas
Administratoon Role PRIMARY
0Monl1oring Rolei · '· IM,\R'. L~! ()her Monolonng Node
0 Policy Service
Enable Sesson Services
lnclude Node in Node Oroup
Enable Profihng
Service
Figure 27: Ecran d'activation du service de profilage
2.1.2 Configuration des sondes

Une sonde est une méthode permettant de recueillir les caractéristiques
( adresse Mac) d'un équipement connecté sur le réseau. ISE donne de choisir entre
neuf (09) différentes sondes que sont NetFlow, DHCP, DHCPSP AN, HTTP,
RADIUS, Network Mapper, DNS, SNMPQUERY et SNMPTRAP.

[62]
~=.•;:r •r1
.1
UfU l
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE A.SSUfiH'IC~S & Banque
La configuration des sondes se fait dans le menu Profiling Configuration

dont le chemin d'accès est Administration >System> Edit Node > Profiling
Configuration.
·~1,';~~· lden!lty Services Eng,ne

AH.,... -· Pofie\l'•
.': Sy-:.laM
OeplOyMOI\I
0
[., • NETFLOW
DescrlD:.On 'IETFlO'IJ
7 • OHCP
7 • OHCPSPAN
-1
J
:artaœ
Oescrtjltzon
IG.Jlatll:Elf>l!'rft!l:O
.··fTTP ====i-1
-' • o.a.nu1q
Figure 28 : Ecran de configuration des sondes pour le profilage
2.1.3 Configuration des politiques de profilage

De nouvelles politiques peuvent-être ajoutées à celles existantes.
La page de configuration des politiques de service contient les options

suivantes:
activation des politiques : permet d'associer une politique de profilage

existant à un équipement ;

[63]
.,. ,_•1
1 .,.i
UflO(
"'°""'TlOUU •
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assur.inc~s & Bal'K'jue
facteur de certitude : est ajouté pour toutes les politiques classées valides
pendant leur évaluation avec la classification des équipements ;
exceptions : permettent d'associer une exception à une politique.
L'exception est déclenchée quand une politique correspond à un
équipement et qu'au moins une règle d'exception correspond.
Création d'un groupe d'identité : permet de créer un nouveau groupe
d'identité.
La configuration des politiques de services est accessible en suivant le
chemin suivant Policy > Profiling > Profiling Policies.
,111,1!1,
CISCO Jdentity Services Engine
• '-v Prtfitt Polit,

Profihng
fJ) Profiler Poficy
'1~ 1 Aooe-Oevi:e i Desoçtoo I ""'..,,. ·-

P*y Eœ&d 0 .
'MmunCertariyFact01 !~10-----~I (VaiJRaV,e 1 to6553S)
, <vceixm Actoo I ra{ ·I
'Ne\wCl'kSc~(r.MAP)Actoo j POE • I
ûe.te Moccoog Idertiy G,~
' l.lse~Mchy
I
'Paert P*y t~f '!
I
If Ccnim Select_,I. J!Jbie ; Then ! Certarty Fact01 Iroeases • Il O 1
Figure 29 : Ecran de configuration des politiques de profilage

(64)
Uf1 Dl
tt~_,'"il'(
MTM0Mnocrt5. ,-
.,.,. IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE -... ,.,.,.,.• .,,,.,,. •.,0qu•
2.2 Le service de posture

Le service de profilage de Cisco ISE permet de vérifier l'état des terminaux et
en fonction des résultats obtenus permet de prendre des mesures de connectivités
appropriées.
L'installation du service de profilage de Cisco ISE peut-être décrite en deux

phases:
- configuration du service de ravitaillement de la machine cliente ;

- configuration du profile agent.
2.2.1 Configuration du service de ravitaillement de la machine

cliente
Cisco ISE peut-être configuré pour faire la mise à jour automatique des
ressources indispensables au service de ravitaillement de la machine cliente. Les
réglages pour se faire sont disponibles dans le menu Administration > System >
Settings >Client> Provisioning.
Le service de ravitaillement des machines clientes est activé par défaut.
La fonctionnalité de mise à jour est désactivée par défaut pour refléter les
recommandations de Cisco concernant les mises à jour automatiques. En effet,
Cisco recommande de télécharger manuellement les mises à jour chaque fois
que possible plutôt que d'opter pour les téléchargements automatiques.

[65]
.,...
1,a
IIAMIMTIOVU.
tT<W--~I'(
1
i1l1i1h,
CISCO ·'· :-::·;
'.:.···· :--- ··· -. .. -:-
A ~me Monitir , Poii&y , 111!1•• 1l.!.!'
l'll'
,• - r11''
--
C-:pl:-ym~nt
Ui119s
-:- Clifnt Prc,vi:i)ning ' f1ie111 Pr ovisionim
• Erobl"' Pn~Ô)nirrl En..1bl: "
U~<l'.itt Ftê<J URL: 1 httpJfwwtil.perligo corn!positroru1se/prO'lisioning-updat1
·:· ~.~;uritr Gr: up A,;,;f'·'-

·:· $y~t:m Tinr.
Figure 30 : Ecran de configu.ration du ravitaillement de la machine cliente
2.2.2 Configuration du profile agent

Les agents Cisco ISE sont utilisés pour contrôler la connexion sur les
terminaux. Ils améliorent la réutilisabilté et la modularité des politiques de
service de Cisco.
En fonction des systèmes d'exploitation, différents agents sont utilisés. La

configuration des agents s'effectuent dans le menu Administration > System >
Settings > Posture > General Setting.

(66]
.,._;I
.,. ,_,.,l,_....i
&lnEAITIOVU .
.,,,
--.... MS<u•nces& ••nqu•
Edit l 9? Add .., 1 ~i Duplicate

-
D Namr Agent resources trom Cisco site
Agent resources from local disk
D 1 1\
ISE Posture Agent Profile
D Mac 1 rv
Native Supplicant Profile
D - - .., - - - C
D WebAgent 4.9.0.20
Figure 31 : Ecran de configuration du profile agent
2.3 Le service de protection des terminaux

Les services de protection des terminaux sont des services qui fonctionnent
sur le nœud d'administration de Cisco ISE pour étendre le contrôle et la
surveillance des terminaux. La possibilité d'utiliser les services de protection des
terminaux pour contrôler et changer la politique d'autorisation d'un terminal sans
pour autant modifier toutes les politiques d'autorisation du système est admise.
Les services de protection des terminaux permettent de gérer les terminaux

en suivant trois actions :
la quarantaine : permet grâce aux différentes politiques d'empêcher

l'accès au réseau à un terminal ou de limiter cet accès à ce terminal. La
mise en quarantaine déplace un terminal de son VLAN initial vers un
VLAN de mise en quarantaine. Le flux de quarantaine est le suivant :
• un terminal se connecte au réseau ;

(67]
~==·r
1
•••••
•1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
• le nœud d'administration définit une interface de quarantaine

pour le nœud de surveillance ;
• le nœud de politique de service applique un changement
d'autorisation ;
• le changement d'autorisation déconnecte le terminal ;
• le terminal se reconnecte et se ré-authentifie ;
• le terminal est mis en quarantaine pendant sa vérification ;
• lorsque le terminal vérifie toutes les politiques de sécurité, il
a plein accès au réseau;
l'unquarantine : annule l'état de quarantaine et donne plein accès au
réseau au terminal ;
shutdown: désactive un port du réseau.
Les services de protection sont désactivés par défaut. Leur activation se fait
dans le menuAdminisration >System> Settings > Endpoint Protection Service.

(68)
·--·
.,. . ._;...i. I
•••••
IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE .,,,,.......
./
A"ur•nces&8"nque
,1h,1l1t
CISCO Identity Services Engine
À Home Operations , Policy , Aomiriistration ,
•.~: System · 0 ldentit,' Management Network Resources tl. Ouest Management
Deployment Licensing Certificates Logging Maintenance Admin Access · Settings
Settings Endpoint Protection Service ;

i= CieriProvisionilg
2 Erq:>OQ Pr~ecoon SeNte
:= FIPS Mode Service StatusU Disablect,
Monitoring a Encli:d
_ Posture ro~
::: Profirg Save Reset
Prolocols
.G. Proxy
;= Sectriy GrOl.4) Access
!= SMTP Server
s SystemTme
Figure 32: Ecran d'activation des services de protection des terminaux

(69]
.f==·r
UflOC:
.l -1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE Assou1oce-s & Banque
CONCLUSION
Les établissements financiers sont sans cessent victime de piratage
informatique. NSIA Banque, en Janvier 2011 en a fait les frais. En effet, un
piratage informatique'ê! de son réseau a permis le détournement de près de
500.000.000 FCFA via les cartes prépayées Rubis.
Ce piratage a révélé les failles de sécurité de la banque et ce qu'elles

peuvent entraîner. Afin de se protéger de tout piratage, NSIA Banque procède au
renforcement de sa sécurité réseau. Elle décide pour cela d'implémenter un
système de contrôle d'accès à son réseau informatique.
Il existe plusieurs systèmes de contrôle d'accès au réseau. Le choix de

NSIA Banque s'est cependant porté sur la solution ISE de Cisco pour les
différents avantages qu'elles offrent en plus de ceux des autres systèmes.
Pour renforcer sa sécurité, la banque n'a pour le moment déployé que les
services ISE qui couvrent ses besoins de sécurité. Elle procèdera plus tard au
déploiement des autres fonctionnalités de la solution ISE.
La connexion filaire utilisée par NSIA-Banque engendre des frais

d'installation et d'entretien et ne facilite pas la mobilité du personnel. Ce qui
réduit l'efficacité de la banque. Pour y remédier, la banque ne devrait-elle pas
migrer vers la connexion wifi ?
[BJ http://news.abidjan.net/h/388959.html

[70]
.~~,t
.,,
. . IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
BIBLIOGRAPHIE
OUVRAGES
1. Cédric LLORENS, Ana MINABURO, Laurent TOUTAIN, Les réseaux

locaux, Les Sélections Techniques de L'ingénieurs.
2. Cédric LLORENS, Ana MINABURO, Laurent TOUT AIN, Administration

de réseaux, applications et mises en œuvre, Les Sélections Techniques de
L'ingénieurs.
3. Le Petit Robert de la langue française, 2006.
4. Eli MABO, Sécurité des Systèmes d'information: Contrôle d'accès

technique au réseau, Janvier 2012.
5. Philipe ATELIN, Réseaux Informatiques Notions fondamentales, 3ième

édition, ENI Edition.

[71)
,."'"'-_'"°i"' ;I
U rt D l
UTMUU.TIDVU.
WEB (Consulté du 26 Janvier 2015 au 11 Mai 2015)
http://www.commentcamarche.net/contents/1276-802-lx-eap
https://technet.microsoft.com/fr-fr/library/cc753550(v=ws.10).aspx
http://www.cisco.com/web/FR/products/security/cisco_ise.html
https://technet.microsoft.com/fr-fr/library/cc753550(v=ws.10).aspx
http://www. cisco .corn/c/en/us/products/collateral/security/identity-services-

engine/data_sheet_c78-656174 .html
http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsec
ur_c/scfrad.html#wp 1000902
http://www.cisco.com/web/FR/documents/pdfs/newsletter/ciscomag/2010/05/cis
comag_33 _trustsec.pdf
http://www.cisco.com/c/en/us/td/docs/security/ise/1-
2/user_guide/ise_user_guide/ise_client_prov .html#pgfld-13 8153 5
http://www.cisco.com/web/FR/solutions/CiscoMag/2012/articles_04/ciscomag_
2012_04.pdf
http://www.cisco.com/web/FR/documents/pdfs/datasheet/vpn_security/Cisco_N
AC _Presentation_synoptique. pdf
http://www.cisco.com/c/en/us/products/collateral/security/nac-
profiler/product_data_sheet0900aecd806b7 d4e.html
http://www.solutioninfomedia.com/equipement
http://news.abidjan.net/h/3 88959 .html
http://www.cisco.com/c/en/us/products/collateral/security/nac-guest-
server/product_data_sheet0900aecd806e98c9 .html

(72]
~==1
.l-11(· IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE : CAS DE NSIA BANQUE
http://images.msgapp.com/Extranet/95720/pdfs/Cisco_ISE_at_a_glance_pdf.pdf
http://www.cisco.com/c/en/us/td/docs/security/ise/1-
2/installation_guide/ise_ig/ise_deploy .html
http://www.cisco.com/cisco/web/support/CA/fr/111/1119/1119198_116143-
config-cise-posture-OO.html

[73]
~==,. •
1•:1 IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
GLOSSAIRE
Authentification . L'authentification est un processus permettant

de vérifier qu'une personne est bien celle
qu'elle prétend être.
Autorisation · L'autorisation est un processus qui permet à
une personne d'aller là où elle veut aller, ou
d'obtenir les informations qu'elle désire.
Déploiement : Une distribution déployée consiste à repartir
distribué une installation sur plusieurs serveurs.
Exception : est un type d'erreur qui est déclenché par le système

pour un type d'erreur bien précis.
Monitoring Le monitoring est le fait de surveiller le

réseau.
Nœud Un nœud est un équipement informatique
connecté au réseau.
Posture Le processus de posture permet de vérifier
l'état d'un terminal et de prendre les mesures
de connectivités appropriées.
Profilage Le profilage permet d'avoir en temps réel un
inventaire de l'activité de tous les
équipements connecté au réseau.
Reporting Le reporting est la journalisation des activités
du réseau.
Terminal Le terminal désigne un ordinateur connecté au
réseau.

[74]
.1·=,a
=itt IMPLEMENTATION D'UN SYSTEME DE CONTROLE D'ACCES AU RESEAU INFORMATIQUE: CAS DE NSIA BANQUE
-- N
ANNEXE
DG
DRC DPO
Figure 33 : Organigramme de NSIA-Banque

(75]

Memoire 636953482626170897

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Memoire 636953482626170897

Încărcat de

Drepturi de autor:

Formate disponibile

ITE FELIX HOUPHOUËT-BOIGNY

L'ill{IVERSITE FEUX HOUPHOUËT-BOIGNY

LESSIEHI Ieolet Deborah

ETUDE ET IMPLEMENTATION D'UN

Soutenu publiquement le 27 Mai 2015

Docteur MAIGA Abdoulaye, Docteur à l'UFR MI de l'Université F .H.B d'Abidjan

onsieur DIARRA Mamadou, Assistant à l 'UFR MI de l'Université F .H.B d'Abidjan

onsieur TRAORE Moussa, Chef adjoint au service réseau NS1A-Banque

LESSIEHI Jonas et LESSIEHI Mariam

Maniph, Marlène et Jasmine

A mon regretté Frère Karim »

Présenté par Mémoire de fin de cycle pour l'obtention du

Je souhaite adresser mes remerciements à mon père LESSIEHI Jonas, ma

Je tiens à exprimer ma gratitude à la Direction des Systèmes d'information

Je tiens également à exprimer mes remerciements à la Direction de l'UFR

Je tiens à remercier M. BROU Patrice, mon encadreur pédagogique,

Finalement, grand merci à vous mes amis.

Présenté par Mémoire de fin de cyde pour l'obtention du

L 'UFR de Mathématiques et Informatique disposent de plusieurs filières

- la filière "Génie Informatique (GI)": qui forme des informaticiens en

Les filières GI et MIAGE conduisent au Master Informatique après la

Présenté par Mémoire de fin de cycle pour l'obtention du

SIGLES ET ABBREVIATIONS VIII

Présenté par Mémoire de fin de cyde pour l'obtention du

1. LES FACTEURS HUMAINS ET LA DUREE DU PROJET 32

2. FACTEURS MATERIEL ET FINANCIER 33

Chapitre 9: DEPLOIEMENT DE ISE 50

Présenté par Mémoire de fin de cyde pour l'obtention du

Présenté par Mémoire de fin de cycle pour l'obtention du

Présenté par Mémoire de fin de cyde pour l'obtention du

Présenté par Mémoire de fin de cycle pour l'obtention du

Pour tirer parti de ces innovations technologiques NSIA Banque, structure

La présente étude débutera par des généralités. Il s'ensuivra une étude

Présenté par Mémoire de fin de cyde pour l'obtention du

En 1906, est ouverte à Grand-Bassam la première agence de la BIAO-Cl.

Depuis septembre 2006 la BIAO-CI est devenue NSIA Banque. En effet,

Présenté par Mémoire de fin de cyde pour l'obtention du

2. LES OBJECTIFS ET ACTIVITÉS DE NSIA

2.1 Les objectifs de NSIA Banque

- l' exécuteion des opérations bancaires tant à l'intérieur du pays qu'à

2.2 Les activités de NSIA Banque

Indépendamment de ces deux fonctions principales, NSIA Banque offre

- les transferts de fonds ;

Présenté par Mémoire de fin de cyde pour l'obtention du

Outre, l'offre personnalisée d'épargne et de gestion bancaire courante,

3. L'ORGANISATION DE NSIA BANQUE

Chaque département est constitué de services parmi lesquels figurent le

Présenté par Mémoire de fin de cyde pour l'obtention du

- un Conseil d' Administration (CA);

Présenté par Mémoire de fin de cyde pour l'obtention du

Chapitre 2 : LE CONTEXTE DE L'ETUDE

- le non-transfert de fonds qui empêchera la banque de remplir à court terme

A ces coûts économiques, outre le remplacement des matériels et logiciels

Afin de minimiser tout risque d'intrusion dans son système d'information,

Présenté par Mémoire de fin de cycle pour l'obtention du

2. LA DEFINITION DES TERMES DE L'ETUDE

Pimplémeutationl'! : consiste à implémenter son résultat. Implémenter est

Plusieurs solutions de contrôle d'accès au réseau informatique ont été

Présenté par Mémoire de fin de cycle pour l'obtention du

Tout système de contrôle d'accès présente des failles. La faille du système

Face à un tel constat, nous sommes amenés à nous demander comment

Notre tentative de réponse à notre problématique nous a conduit à une

Présenté par Mémoire de fin de cycle pour l'obtention du