Dossier projet - AIS
Client
Cabinet d'Ophtalmologie ORNANO BARDY
Prestataire
Groupe SMART - RECOM
Périmètre
Infrastructure IT, Réseau, Sécurité, Sauvegarde & Migration
Responsable
Hicham CHIKHI
Administrateur Systèmes & Réseaux

Hicham CHIKHI - Confidentiel - Reproduction interdite

1

1. Présentation
Présentation de l'intervenant
Depuis 3 ans en alternance chez Recom, j'ai débuté au support sédentaire dans le cadre de mon TSSR.
La diversité des outils sur lesquels j'ai été amené à intervenir m'a permis de monter rapidement en compétences et de développer une réelle polyvalence technique.
À l'entrée de mon titre AIS, mon poste a évolué d'un poste de technicien support sédentaire vers un rôle d'administrateur itinérant.
J'interviens désormais à distance ou directement sur site pour traiter les tickets nécessitant une expertise au-delà du support, tout en réalisant des visites préventives, des audits, ainsi que la configuration et le déploiement d'équipements sur des projets de tailles variées.
J'assure également le bon fonctionnement de la supervision, et la MCO des infrastructures.
Contexte projet
Lors d'un ticket d'incident au cabinet d'ophtalmologie Ornano Bardy, j'ai pris conscience de la précarité de l'installation en place.
Cet incident a entraîné l'interruption des applicatifs métiers et donc des consultations, en raison de la vétusté du serveur.
J'ai alerté le client ainsi que l'ingénieur commercial sur l'urgence d'une refonte complète de l'infrastructure, puis piloté le projet dans son intégralité.

Hicham CHIKHI - Confidentiel - Reproduction interdite

2

Présentation Groupe Smart & Recom
Le Groupe Smart
Fondé en 2013, le Groupe Smart rassemble plus de 80 collaborateurs au sein de trois filiales, Ariane Bureautique, Recom et ATRS.
Le groupe intervient dans des domaines variés tels que la bureautique, l'informatique, la téléphonie, le câblage, la vidéosurveillance, l'alarme et le contrôle d'accès.
Recom
Filiale du Groupe Smart depuis 2019, Recom est spécialisée dans l'intégration de solutions IT et télécoms depuis 2001. Elle accompagne ses clients dans l'ensemble de leurs projets, des plus courants aux plus complexes, avec une expertise couvrant l'audit, l'intégration et la maintenance de systèmes informatiques et réseaux, l'infogérance, les solutions cloud, l'hébergement de serveurs, le déploiement de réseaux et liaisons VPN, ainsi que les solutions de sauvegarde de données..
Le siège social est implanté au 111 avenue Jean Mermoz, dans le Parc Silva à Eysines, sur un site de plus de 2 200 m².

Hicham CHIKHI - Confidentiel - Reproduction interdite

3

Présentation du client
Le cabinet d'ophtalmologie Ornano Bardy propose une prise en charge complète de la santé oculaire : ophtalmologie médicale, imagerie multimodale, lasers avancés (Yag, laser vert) et chirurgie réfractive. Une équipe de trois orthoptistes assure les pré-consultations, avant intervention de l'ophtalmologiste sur l'ensemble des pathologies de l'œil : réfraction, strabisme, glaucome, rétine, paupières et troubles de la vision des couleurs.
Un arrêt de service impacte immédiatement la prise en charge des patients et la continuité des soins.

Hicham CHIKHI - Confidentiel - Reproduction interdite

4

2. Audit de l'existant et Contraintes
Le renouvellement de l'infrastructure du cabinet ORNANO BARDY s'inscrit dans une démarche de remise à niveau complète d'un système d'information vieillissant, dont les défaillances constituaient un risque opérationnel et de sécurité.
Un cabinet d'ophtalmologie traite quotidiennement des données de santé à caractère personnel, manipule des fichiers d'imagerie lourds issus d'équipements spécialisés tels que les OCT et rétinographes, et ne peut tolérer aucune interruption non planifiée de son système d'information sans conséquence sur la prise en charge des patients.
L'audit de l'existant a révélé une situation préoccupante à plusieurs niveaux.
Pas de virtualisation, le réseau fonctionnait à plat, sans aucune segmentation, ce qui signifie que les appareils médicaux, les postes de travail du secrétariat, le serveur, et la sauvegarde partageaient le même même réseau sans aucune barrière.
Dans ce type de configuration, la compromission d'un seul poste suffit à exposer l'intégralité du parc informatique, y compris les données patients et les applicatifs métiers critiques.
Cette architecture, à la limite de l'acceptable il y a dix ans, est aujourd'hui intenable face à la recrudescence des attaques par ransomware.

Hicham CHIKHI - Confidentiel - Reproduction interdite

5

Hicham CHIKHI - Confidentiel - Reproduction interdite

6

État des lieux du SI historique
Serveur hors garantie
Aucun support matériel, pièces introuvables
Sauvegardes défaillantes
Acronis instable, dernière sauvegarde inconnue
Zéro supervision
Incidents détectés uniquement après impact utilisateur
Risques critiques
Ransomware, perte irréversible, interruptions prolongées

Hicham CHIKHI - Confidentiel - Reproduction interdite

7

Architecture cible — 5 axes
Remplacement matériel
Segmentation réseau
Virtualisation
Sécurité :
Firewall / EDR
Sauvegarde automatisée

Hicham CHIKHI - Confidentiel - Reproduction interdite

8

Audit de l'existant et Contraintes - État des lieux du SI historique
Le serveur en place était hors garantie constructeur, ce qui implique l'absence de support matériel en cas de défaillance et l'impossibilité d'obtenir des pièces de remplacement dans des délais compatibles avec la continuité d'activité.
Les sauvegardes reposaient sur une ancienne version d'Acronis qui nécessitait des relances manuelles quasi systématiques suite à des plantages récurrents.
Cette situation est particulièrement grave car elle crée une illusion de protection : le cabinet pensait disposer de sauvegardes récentes alors qu'en réalité, la dernière sauvegarde valide pouvait remonter à une période indéterminée.
En cas d'incident de perte de données, qu'il s'agisse d'une défaillance matérielle, d'un ransomware ou d'une suppression accidentelle, les conséquences auraient pu être irréversibles.
Enfin, l'absence totale de supervision signifiait que les incidents n'étaient détectés qu'après impact visible sur les utilisateurs, c'est-à-dire trop tard.
Une dégradation progressive d'un disque RAID, une saturation de l'espace disque ou une défaillance silencieuse d'un service réseau passait inaperçue jusqu'au moment où elle provoquait une interruption franche et souvent prolongée de l'activité.

Hicham CHIKHI - Confidentiel - Reproduction interdite

9

Audit de l'existant et Contraintes - État des lieux du SI historique
Imagerie lourde
Fichiers d'imagerie lourds (OCT, rétinographes)
Données sensibles
Bases de données patients sensibles
Cybermenaces
Exposition aux cybermenaces (ransomwares)
Continuité impérative
Continuité de service impérative (pas d'interruption des consultations tolérée)
Applicatifs métiers critiques
EyeSuite - Haag-Streit Diagnostics
Il permet de contrôler tous les appareils Haag-Streit via une seule plateforme.
  • Champ visuel
  • OCT
  • Rétinographe
  • Microscope
  • Tensiomètre
  • Biomètre
StudioVision — RealVision
Gestion d'images médicales et de dossiers patients, il permet de :
  • Centraliser et organiser les images médicales (OCT, rétinographies, champs visuels, etc.) dans un seul système.
  • Gérer les dossiers patients avec un accès rapide aux antécédents et examens.
  • Améliorer la collaboration entre ophtalmologistes, orthoptistes.

Hicham CHIKHI - Confidentiel - Reproduction interdite

10

3. Cadrage et Gestion de Projet
Analyse des besoins — Réunion de lancement
Dès l'attribution du projet, j'ai organisé une réunion de lancement réunissant l'ensemble des parties prenantes afin de cadrer les besoins, aligner les attentes et définir les priorités d'intervention.
Cette étape était nécessaire pour garantir une bonne compréhension des contraintes métiers et assurer la continuité des soins tout au long du déploiement.

Hicham CHIKHI - Confidentiel - Reproduction interdite

11

Devis validé en amont du projet
Le devis de renouvellement de l'infrastructure comprend un FortiGate 40F, un serveur Dell T160, deux NAS Synology DS224+, ainsi que les prestations de configurations et de déploiement que j'ai assurées, entre autres.
Note : Mon entreprise peut me vendre en tant que Technicien / Administrateur en fonction du devis, de la marge et du client.

Hicham CHIKHI - Confidentiel - Reproduction interdite

12

Compte rendu de réunion – Réunion de lancement
Durant la réunion, j'ai pu confirmer les prérequis techniques auprès des éditeurs de progiciels et communiquer des dates prévisionnelles afin d'initier la planification du déploiement.
La contrainte principale était de trouver une fenêtre de disponibilité commune à toutes les parties prenantes, tout en s'assurant que la nouvelle infrastructure soit prête avant cette échéance.
La réunion a permis de mettre en lumière deux points délicats pour le client.
Point 1 – Politique de sécurité (FortiGate)
Le Docteur s'est montré réticent à l'idée de règles de pare-feu strictes.
Je l'ai rassuré en lui présentant la méthode envisagée : mise en place de règles ajustées selon les préconisations des éditeurs de logiciels métiers et affinées via TCPDUMP, complétées par des règles permissives en doublon, désactivées par défaut et activables à tout moment en cas de blocage en production.
Cette approche permettait de basculer immédiatement sur une règle sans filtrage le temps d'identifier et d'ajuster le flux concerné.
Point 2 – Déploiement Active Directory
Lorsque j'ai abordé le déploiement d'Active Directory, le Docteur s'y est fermement opposé, justifiant sa position par de mauvaises expériences passées avec son ancien prestataire.
Face à ce refus catégorique, j'ai préféré ne pas insister, estimant plus judicieux de gagner préalablement la confiance du Docteur avant de reproposer ce déploiement ultérieurement.
Conclusion
Hormis ces deux points, l'ensemble des sujets évoqués n'a pas présenté de points bloquants.
Toutes les parties sont tombées d'accord, ce qui a permis de cadrer le projet et de poser les dates prévisionnelles de déploiement.

Hicham CHIKHI - Confidentiel - Reproduction interdite

14

Gestion de projet
WBS - Work breakdown structure
Pour organiser mes notes et piloter mes projets, j'utilise Notion, une solution intégrant :
Gestion des tâches sous forme de listes, Kanban, Diagrammes de Gantt.
J'utilise le langage Mermaid, qui s'intègre dans Notion, afin de rédiger les WBS.
Le WBS me permet de rédiger le Kanban et le diagramme de Gantt. Durant la phase d'études, j'y intègre les différentes étapes du projet.
Il m'est également possible d'y ajouter des imprévus ou des éléments omis lors de cette phase, puis d'ajuster en conséquence le Kanban et le Gantt.
Pour les besoins de ce document, j’ai révisé le WBS afin qu’il tienne en vue portrait.

Hicham CHIKHI - Confidentiel - Reproduction interdite

15

KABAN
Dans le cadre de ce projet réalisé en autonomie, le tableau Kanban ne joue pas un rôle d’attribution des tâches, mais sert plutôt de liste de tâches me permettant de suivre et visualiser l’avancement du travail.

Hicham CHIKHI - Confidentiel - Reproduction interdite

18

Diagramme de Gantt
Le diagramme de Gantt me permet de formaliser sur un planning les dates prévisionnelles établies lors de la réunion de lancement.
Je traite ces dates comme des objectifs fermes, pouvant être repoussés uniquement en cas de force majeure.
Je m'efforce néanmoins d'assurer ma part du travail dans les délais impartis, afin que le déploiement puisse se dérouler de manière fluide pour l'ensemble des parties prenantes.
Néanmoins, la convergence des disponibilités des deux éditeurs, de l'accord du médecin pour suspendre l'activité et de ma propre disponibilité m'a offert une fenêtre confortable pour finaliser la configuration en pré-déploiement.

Hicham CHIKHI - Confidentiel - Reproduction interdite

19

Matrice Probabilité / Impact
Absence d'Active Directory (décision client)
Impacts techniques de l'architecture Workgroup :

Hicham CHIKHI - Confidentiel - Reproduction interdite

21

5. Architecture matérielle et dimensionnement
RIELLO IDG
Un onduleur protège le serveur, switch de distribution et le NAS (un seul onduleur retenue par le médecin, bien que nous ayons préconisé une couverture plus large).
Le placard de baie étant trop exigu et la pièce inadaptée à une baie plus grande, le serveur a été installé, après concertation avec le médecin, près d'un équipement ophtalmologique dans son bureau.

Hicham CHIKHI - Confidentiel - Reproduction interdite

22

Serveur hôte — Dell PowerEdge T160
Le serveur Dell PowerEdge T160 au format Tower a été retenu après analyse du contexte d’implantation. En l’absence de salle serveur dédiée, ce format a été privilégié pour son faible niveau sonore et son intégration discrète, compatibles avec un environnement médical.

Hicham CHIKHI - Confidentiel - Reproduction interdite

23

Fortigate 40F avec FortiRack

Hicham CHIKHI - Confidentiel - Reproduction interdite

24

Switch HPE 1920S
Ce switch était déjà en production.
Dans le cadre du cloisonnement des réseaux, je l’ai reconfiguré sur site pour l’aligner sur mon schéma d’infrastructure cible.
Pendant la préparation des autres équipements en atelier, j’ai utilisé un autre switch.

Hicham CHIKHI - Confidentiel - Reproduction interdite

25

Switch ARUBA 1830 - JL811A

Hicham CHIKHI - Confidentiel - Reproduction interdite

26

NAS Synology DS224+ (X2)

Hicham CHIKHI - Confidentiel - Reproduction interdite

27

6. Serveur physique - Virtualisation et OS
Le dilemme Hyper-V GUI vs. Server Core
Windows App Capability permet d'accéder localement à une suite d'outils graphiques depuis un serveur en mode Server Core (sans interface graphique complète), facilitant ainsi la gestion des machines virtuelles et des configurations système.
Add-WindowsCapability -Online -Name ServerCore.AppCompatibility
AppCompatibility donne accès aux outils suivant en GUI depuis un SRV-CORE

Hicham CHIKHI - Confidentiel - Reproduction interdite

28

Choix de l'environnement Hyper-V : Desktop Experience vs Server Core
L'optimisation technique pure doit être mise en balance avec les capacités opérationnelles réelles des équipes en place.
Privilégier une solution performante sur le papier mais inadaptée au terrain aurait fragilisé la MCO du système.
Le mode SRV-CORE présente des avantages indéniables : surface d'attaque réduite par l'absence de navigateur et de nombreux composants graphiques, empreinte mémoire allégée et fréquence de redémarrages pour mises à jour moindre.
Ces bénéfices sont réels et auraient été pertinents dans un contexte où les équipes d'administration maîtrisent PowerShell et Windows Admin Center.
Dans ce projet, les équipes N1/N2 responsables de la maintenance corrective opèrent avec des interfaces graphiques familières et n'ont pas la maîtrise de l'administration en ligne de commande.
Imposer Server Core aurait créé un risque : en cas d'incident critique nécessitant une intervention urgente en dehors de mes heures de présence, les équipes support n'auraient pas été en capacité d'intervenir efficacement.

Hicham CHIKHI - Confidentiel - Reproduction interdite

29

Configuration du stockage en RAID-5 sur contrôleur matériel PERC H755
j'ai opté pour le RAID-5 car il offre simultanément la tolérance à la perte d'un disque et une capacité utile significative.
  • Tolérance : Survie à la perte d'un disque (sur 3)
  • Capacité utile : 2/3 de la capacité brute (~3,5 To sur ~5,4 To)
Le RAID-1 aurait fourni la même tolérance de panne mais au prix de 50 % de la capacité brute, soit seulement 1,8 To utiles, insuffisant pour héberger l'OS hôte, les disques virtuels des VMs et les données applicatives.
Le RAID-0 aurait maximisé la capacité mais sans aucune tolérance de panne, ce qui est inacceptable pour un serveur de production hébergeant des données médicales.
Le PERC H755 dispose de son propre processeur de calcul et de sa mémoire cache avec protection par batterie, ce qui lui permet de gérer les opérations RAID de manière totalement transparente pour le CPU principal du serveur.
Dans un contexte de virtualisation où plusieurs machines virtuelles accèdent simultanément au stockage, ce déchargement est obligatoire pour maintenir des latences acceptables.

Hicham CHIKHI - Confidentiel - Reproduction interdite

30

IDRAC : Integrated Dell Remote Access Controler
L'ensemble de la configuration initiale du serveur a été réalisée via l'interface iDRAC9 Enterprise, cet outil de gestion intégré aux serveurs Dell facilite grandement la MCO a distance.
Disposant de sa propre carte réseau et de sa propre adresse IP, il reste accessible via interface WEB même lorsque le serveur est éteint.
Il permet d'intervenir sur le matériel indépendamment de tout système d'exploitation, que ce soit pour configurer le RAID, mettre à jour le firmware, accéder à une console virtuelle ou redémarrer le serveur à distance.

Hicham CHIKHI - Confidentiel - Reproduction interdite

31

Déploiement Windows server 2025
Le déploiement de Windows Server 2025 via le Dell Lifecycle Controller plutôt que par une installation standard répond à une problématique concrète.
Une installation Windows générique depuis un support ISO ne contient pas les pilotes spécifiques au contrôleur RAID PERC, aux cartes réseau intégrées, ou aux composants de supervision matérielle Dell. Sans injection de ces pilotes, certains composants peuvent ne pas être reconnus, fonctionner de manière dégradée ou nécessiter une phase laborieuse de recherche et d'installation manuelle post déploiement.
Le Lifecycle Controller, accessible via la console virtuelle iDRAC lors de la phase POST, orchestre cette injection automatiquement et garantit un environnement stable dès la fin de l'installation de l'OS.

Hicham CHIKHI - Confidentiel - Reproduction interdite

32

7. Architecture réseau et cloisonnement (VLANs)
La segmentation par VLANs isole les actifs critiques et réduit les risques de compromission par mouvement latéral.
VLAN Production
  • Postes de travail
  • VM applicative
  • Appareils médicaux
VLAN Administration
  • Management réseau & hyperviseur
  • Console Veeam & dépôt de sauvegarde
  • Accès uniquement via VPN IPsec (FortiClient)

Un attaquant sur le VLAN Production ne peut pas atteindre le FortiGate, les switch ou le NAS Synology, isolés sur le VLAN Admin.

Hicham CHIKHI - Confidentiel - Reproduction interdite

33

Périmètre du VLAN PROD

Hicham CHIKHI - Confidentiel - Reproduction interdite

34

Accès et gestion

Hicham CHIKHI - Confidentiel - Reproduction interdite

35

Matrice flux inter VLAN

Hicham CHIKHI - Confidentiel - Reproduction interdite

36

Matrice de flux VLAN ADMIN → WAN

Hicham CHIKHI - Confidentiel - Reproduction interdite

37

Matrice de flux VLAN PROD → WAN
Ajustement des règles par TCPUMP CLI
Utilisation des commandes de diagnostic FortiGate lors de la phase de déploiement et post déploiement pour valider l'exactitude des politiques et débugger les flux bloqués.
Exemple
diagnose sniffer packet any "host 82.xxx.144.xxx and port 500" 4 0 l

Hicham CHIKHI - Confidentiel - Reproduction interdite

38

8. Sécurité réseau et accès distants
Fortigate 40F - Unified Threat Management
Le FortiGate 40F avec bundle UTM sur cinq ans a été retenu comme
pare-feu pour sa capacité à couvrir l'ensemble des fonctions de sécurité périmétrique dans un équipement unique et dimensionné pour la taille du site.
Le bundle UTM inclut le renouvellement des signatures IPS, du filtrage applicatif, de l'antivirus périmétrique et du filtrage web.
La totalité des fonctionnalités UTM est utilisée, avec des exceptions ajustées notamment sur le webfiltering après déploiement.
Le trafic chiffré est inspecté grâce à la fonctionnalité DPI.
"SSL-DEEP-INSPECTION"

Hicham CHIKHI - Confidentiel - Reproduction interdite

39

8. Sécurité réseau et accès distants
Fortigate 40F - Unified Threat Management
Le FortiGate 40F avec bundle UTM sur cinq ans a été retenu comme
pare-feu pour sa capacité à couvrir l'ensemble des fonctions de sécurité périmétrique dans un équipement unique et dimensionné pour la taille du site.
Le bundle UTM inclut le renouvellement des signatures IPS, du filtrage applicatif, de l'antivirus périmétrique et du filtrage web.
La totalité des fonctionnalités UTM est utilisée, avec des exceptions ajustées notamment sur le webfiltering après déploiement.
Le trafic chiffré est inspecté grâce à la fonctionnalité DPI.
"SSL-DEEP-INSPECTION"

Hicham CHIKHI - Confidentiel - Reproduction interdite

40

Fortigate UTM : Deep packet inspection
Les flux entrants représentés sur le schéma ci‑dessous correspondent aux réponses aux requêtes émises depuis le LAN vers Internet, autorisées conformément au principe de filtrage stateful du pare‑feu.
Tout autre flux entrant depuis le WAN, ne correspondant pas à une communication préalablement sollicitée, est bloqué par la règle native « DENY ALL » appliquée en entrée sur le pare‑feu.

Hicham CHIKHI - Confidentiel - Reproduction interdite

41

SD-WAN et redondance de lien
SD-WAN, est dotée d’un mécanisme de basculement automatique sur un second lien en cas de défaillance de la fibre principale.
Le cabinet ne dispose pas encore de liaison 4G, malgré mes recommandations formulées après le déploiement.
Cette évolution reste toutefois inscrite parmi les améliorations proposées lors des visites préventives biannuelles.
Les sorties vers le WAN ont déjà été configurées au sein d’une zone SD-WAN prête à accueillir un second lien.
J’intègre systématiquement la zone SD-WAN DATA dès la configuration initiale du pare-feu, même lorsqu’un seul lien Internet est présent.
En effet, ajouter cette zone après coup impliquerait une refonte structurelle de la configuration (suppression des références à l’interface WAN dans les Firewall Policies et les routes statiques, VPN), ce qui représente une opération lourde.
Le cabinet dispose actuellement d’un accès FTTH et d’un seul SIRET, l’empêchant d’obtenir une seconde fibre de même nature.
Les offres FTTE disponibles dépassant le budget alloué, la solution 4G reste la plus pertinente et sera mise en œuvre dès obtention de l’accord du médecin.
Des tests de couverture ont d’ores et déjà été réalisés via Cartoradio pour en confirmer la faisabilité.

Hicham CHIKHI - Confidentiel - Reproduction interdite

42

SD-WAN et redondance de lien
Le réseau opérateur le plus adapté est celui de SFR, pour sa couverture du cabinet.
Je préconise toutefois de souscrire via un agrégateur/opérateur comme UNYC-ADISTA
UNYC-ADISTA intègre et revend des solutions multi-fournisseurs pour proposer des architectures réseau hybrides et résilientes, adaptées aux PME et TPE
Configuration de la zone DATA SD-WAN

Hicham CHIKHI - Confidentiel - Reproduction interdite

43

Accès Distants (FortiGate 40F)
IPsec Remote access

Évolution majeure FortiOS 7.6 : Dépréciation/suppression du SSL VPN suite à des failles de sécurité critiques.
Accès VPN par protocole IPsec uniquement.
Configuration VPN IPsec déployée :

Hicham CHIKHI - Confidentiel - Reproduction interdite

44

Interface Loopback et Filtrage Restrictif
La restriction d'accès à l'interface d'administration du FortiGate via une interface Loopback filtrée sur l'adresse IP publique fixe de mon l'entreprise est une mesure de durcissement simple mais extrêmement efficace.
Elle rend l'interface d'administration du pare-feu invisible et inaccessible depuis l'ensemble d'Internet à l'exception d'une seule source autorisée, éliminant de facto les risques d'attaque par force brute, de tentatives d'exploitation de vulnérabilités zero-day sur l'interface HTTPS et d'accès non autorisés par des tiers.
Mise en œuvre via interface Loopback + VIP + FW Policy sur le FortiGate.

Hicham CHIKHI - Confidentiel - Reproduction interdite

45

Schéma post-déploiement

Afin que le schéma reste lisible dans ce format de document, je l'ai découpé en deux parties.

Hicham CHIKHI - Confidentiel - Reproduction interdite

46

Schéma configuration des switch

Hicham CHIKHI - Confidentiel - Reproduction interdite

47

9. Stratégie de sauvegarde, PCA & PRA
PCA — Plan de Continuité d'Activité
Le PCA se distingue du PRA : là où le PRA vise à restaurer après sinistre, le PCA vise à maintenir l'activité sans interruption. Dans la configuration actuelle, la continuité repose sur plusieurs couches complémentaires :
  • Redondance RAID-5 sur contrôleur matériel PERC H755 — tolérance à la perte d'un disque sans interruption de service
  • FortiGate 40F UTM — filtrage périmétrique, IPS,DPI, antivirus réseau et blocage des flux malveillants en temps réel, réduisant la probabilité d'incident avant qu'il n'affecte l'activité
  • EDR Malwarebytes — déployé sur l'ensemble des postes de travail et serveurs, il détecte et bloque les menaces au niveau endpoint avant toute propagation latérale sur le réseau
  • Supervision proactive Coservit ServiceNAV — détection des dégradations (disque RAID, saturation, service arrêté) avant qu'elles ne provoquent une panne franche, permettant une intervention préventive

Hicham CHIKHI - Confidentiel - Reproduction interdite

48

PRA — Plan de Reprise d'Activité
Sauvegarde locale — Veeam Backup & Replication
Les sauvegardes automatiques des machines virtuelles sont assurées par Veeam Backup & Replication, installé sur le serveur hôte SRV-BARDY-HPV.
Avec une politique de rétention de 14 jours via sauvegarde incrémentale.
Les sauvegardes sont stockées sur le NAS Synology DS224+ on-site
(VLAN Administration : 192.168.100.5)
  • La supervision des jobs de sauvegarde est assurée par Coservit ServiceNAV via WinRM'S
    (WINRM en HTTPS).
  • Tests de restauration bi-annuels pour valider l'intégrité des sauvegardes
Sauvegarde hors-site — Réplication NAS vers second site
Le NAS on-site réplique automatiquement ses données vers un second NAS Synology DS224+ déporté (cabinet secondaire du Dr Bardy) via Hyper Backup, assurant une copie hors-site quotidienne.
La fonctionnalité Snapshot Replication est activée sur le NAS distant.
Les snapshots sont en lecture seule et immuables : un ransomware ayant chiffré les partages réseau ne peut pas atteindre les snapshots, contrairement aux sauvegardes traditionnelles accessibles via SMB.
Veeam Backup & Replication permet, en cas de sinistre majeur (panne serveur, corruption système, ransomware), de restaurer une machine virtuelle complète ou d'effectuer une restauration granulaire à partir d'un point de restauration défini.

La copie hors site des sauvegardes sur le NAS du second cabinet assure la pérennité des données, y compris en cas de sinistre majeur (incendie, inondation, vol) ou d’attaque par ransomware impactant les sauvegardes locales du site principal.f
Tous les équipements sont remplaçables par du matériel de prêt (contrat de maintenance), le temps d'activer la garantie, l'assurance ou de réaliser un devis de remplacement.

Hicham CHIKHI - Confidentiel - Reproduction interdite

49

10. Supervision Coservit ServiceNAV
Éléments supervisés :
  • État des serveurs (Hyper-V hôte + VMs)
  • JOB VEEAM
  • État des disques RAID (alertes dégradation PERC H755)
  • Disponibilité des services applicatifs (EyeSuite, StudioVision)
  • Équipements réseau (FortiGate, switch HPE)
  • NAS Synology (espace disque, état des volumes)

Hicham CHIKHI - Confidentiel - Reproduction interdite

50

Configuration de WINRMS pour la supervision des JOB VEEAM

Cette fonctionnalité étant relativement complexe à mettre en œuvre, j’ai rédigé une documentation détaillée lors de sa première mise en place afin d’en faire bénéficier mes collègues. En voici un extrait.
  • Exécuter dans PowerShell
New-SelfSignedCertificate -DnsName <your_server_dns_name_or_whatever_you_like> -CertStoreLocation Cert:\LocalMachine\My
  • Exemple :
New-SelfSignedCertificate -DnsName SRV-BARDY-HPV -CertStoreLocation Cert:\LocalMachine\My
  • Récupérer le “Thumbprint”
  • Editer la commande avec la valeur "Thumbprint" obtenue a l'étape précédente

winrm create winrm/config/Listener?Address=*+Transport=HTTPS '@{Hostname="SRV-BARDY-HPV"; CertificateThumbprint="EDIT AVEC VOTRE THUMBPRINT"}'

Hicham CHIKHI - Confidentiel - Reproduction interdite

51

Récupérez le certificat créé → il est valable un an cela vous permet de facilement l’identifier
  • Clique droit > Exporter
  • Choisissez "Ne pas exporter la clé privée"
  • Dans le format d’exportation, sélectionnez X.509 encodé Base-64 (.CER).
  • Une fois le fichier exporté :
  • Changer l’extension du fichier en .txt
Après modification, vérifiez que le contenu du fichier est correct (c’est-à-dire encodé en Base64, avec les balises -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----).

Hicham CHIKHI - Confidentiel - Reproduction interdite

52

ssh HC@IP.DE.LA.SNB -p 222

nano <YOUR_CERTIFICATE.crt>

Hicham CHIKHI - Confidentiel - Reproduction interdite

53

Copier coller le contenu du certificat du serveur Windows dans l’editeur de texte de la SNB
pour sauvegarder
  • CTRL + X
  • y
  • Entrer
sudo cp <YOUR_CERTIFICATE.crt> /usr/local/share/ca-certificates/<YOUR_CERTIFICATE.crt>
Exemple :
sudo cp SRV-BARDY-HPV.crt /usr/local/share/ca-certificates/SRV-BARDY-HPV.crt
Mettez à jour le magasin de certificats, en exécutant la commande ci-dessous.
sudo update-ca-certificates
Test du bon fonctionnement de WinRMS depuis la Box : Depuis la Box de supervision exécutez la commande ci-dessous.

Hicham CHIKHI - Confidentiel - Reproduction interdite

54

Remplacez les valeurs en jaune par les valeurs de votre environnement.
/usr/local/nagios/libexec/winrm_command.py -H '<ipAddress>' -l '<dnsName_or_workGroup>\<login>' -x '<password>' -c '<command_to_test>' -t 'cleanPS' -a 'ntlm' --ssl 2>&1
Veillez a supprimer l’historique de votre terminal qui contient vos credentials si vous effectuer un test de connexion via la commande ci-dessus !!
pour ce faire executer :
history -c
  • Depuis SERVICENAV : Ajouter au serveur qui heberge VEEAM le modèle “SERVEUR VEEAM” Exploitation technique > Configurer > Modèles > SERVEUR VEEAM
  • Editer la sonde VEEAM qui viens d’apparaitre après l’ajout du modèle

Hicham CHIKHI - Confidentiel - Reproduction interdite

55

  • Editer la sonde veeam qui viens d’apparaitre après l’ajout du modèle

Hicham CHIKHI - Confidentiel - Reproduction interdite

56

11. Mises en avant d'autres projets
Groupe Estela - Peugeot Mimizan
Remplacement du serveur et du pare-feu DELL T440 → T360 · FortiGate 30E → 40F
Contexte et périmètre
Ce projet marquait un tournant dans mes responsabilités.
Jusqu’alors orientées vers le traitement de demandes et la maintenance à distance, mes missions s’élargissaient à la conduite de projets d’infrastructure, avec une dimension d’itinérance et de chefferie de projet naissante.
Contexte et encadrement
Sur ce dossier, je n’ai pas été autonome en gestion de projet : j’ai été sous la tutelle du directeur technique, qui m’imposait des points réguliers pour mettre à jour mon planning.
J’ai également été épaulé par notre coordinatrice technique, ce projet étant mon premier déploiement de serveur et renouvellement d’infrastructure.
J’ai tout de même eu une certaine liberté dans les choix techniques, que je vais tenter d’illustrer. Cependant, l’aspect technique sera davantage mis en avant, car la dimension de chefferie de projet était beaucoup moins développée que sur mon projet suivant (cabinet Bardy).
Rôle et responsabilités
J’ai été en charge de tout l’aspect technique, ainsi que de la communication avec le client et le prestataire Groupe Lacour.
Enjeux du projet
L’enjeu était de remplacer du matériel vieillissant, notamment un Fortigate 30E (EOL) sans licence active, ainsi qu’un serveur Dell T440 montrant des signes de faiblesse et hors garantie. Notre ingénieur commercial a formulé des préconisations de remplacement, qui ont été validées par le client.

Hicham CHIKHI - Confidentiel - Reproduction interdite

57

SI avant renouvellement
Serveur
  • Hyperviseur Hyper-V - WS2016
  • VM Active Directory avec rôle DHCP - WS2016
  • VM RDS (5 CAL utilisateurs) couplée à un serveur de fichiers - WS2016
  • Logiciel métier ALPHA 2A (éditeur LACOUR)

Hicham CHIKHI - Confidentiel - Reproduction interdite

58

Arbitrage — migration du serveur RDS
Deux options ont été étudiées :
Option 1 — Migrer la VM en l'état avec mise à niveau vers Windows Server 2022. Avantage : plus rapide. Inconvénient : dette technique conservée.
Option 2 (retenue) — Créer une nouvelle VM sous Windows Server 2022 et y migrer l'applicatif ALPHA 2A proprement, via une prestation dédiée LACOUR. Plus propre, mais nécessite un devis de LACOUR validé par le client.
  1. Prise de contact avec LACOUR : exposition du contexte et demande de chiffrage pour la migration d'ALPHA 2A
  1. Transmission du devis au client pour validation
Décision client : Option 2 validée.
Le logiciel métier : ALPHA 2A (Groupe Lacour)
ALPHA 2A est un DMS (Dealer Management System) édité par le Groupe Lacour, spécialiste des solutions digitales pour l'après-vente automobile. Il s'agit d'un logiciel métier certifié NF Logiciel, officiellement préconisé par Peugeot et le GAAP (Groupement des Agents Automobiles Peugeot), ce qui en fait un outil incontournable dans l'environnement d'un concessionnaire du réseau Stellantis.
Il centralise l'ensemble des flux opérationnels de la structure : ordres de réparation, commandes de pièces, facturation, et assure des connexions directes avec les systèmes du constructeur (flux Stellantis, SIV, base VIN).
De par sa nature : logiciel métier certifié, interfacé avec les systèmes constructeurs et soumis à une gestion de licence propre à l'éditeur, sa migration vers un nouvel environnement serveur ne peut pas être réalisée de manière autonome. Elle requiert obligatoirement l'intervention technique de Lacour.
C'est pourquoi, dès la phase d'audit, j'ai identifié cette contrainte et pris l'initiative de contacter le Groupe Lacour afin d'obtenir un chiffrage pour la migration de l'application.
Une fois le devis reçu, je l'ai transmis au client avec mes recommandations, ce qui a permis de débloquer la décision et de planifier l'intervention en amont, évitant ainsi tout retard en cours de projet.

Hicham CHIKHI - Confidentiel - Reproduction interdite

59

Phase 2 — Préparation du nouveau serveur DELL T360
Configuration matérielle
Le contrôleur BOSS (Boot Optimized Storage Solution) optimise la réactivité d'Hyper-V via un boot NVMe.
Le PERC assure la redondance du stockage des machines virtuelles sur disques SAS.
Les deux pools sont indépendants.

Hicham CHIKHI - Confidentiel - Reproduction interdite

60

Séquence d'installation
  1. Accès au Lifecycle Controller — mise à jour du firmware avant toute installation
  1. Installation de Windows Server 2022 via LC + clé USB (RUFUS) sur le pool BOSS RAID 1
  1. Création du teaming réseau SET via PowerShell (LBFO étant déprécié) :
New-VMSwitch -Name "vSwitchLAN" -NetAdapterName "Carte 1","Carte 2" -EnableEmbeddedTeaming $true -AllowManagementOS $true
  1. Création de la partition D: sur le pool RAID 5 — dédiée aux machines virtuelles
  1. Ajout du rôle Hyper-V via le Gestionnaire de serveur
  1. Application des mises à jour Microsoft
Phase 3 — Déploiement des machines virtuelles
Le déploiement des VMs suit un ordre strict pour éviter les dépendances bloquantes :
AD en premier (les autres services en dépendent), fichiers ensuite (indépendant), RDS en dernier (synchronisation avec LACOUR requise). Des snapshots sont pris avant chaque opération sensible.
Le client est passé en contrat de maintenance.
J’ai donc déployé et configurer la supervision via Coservit Service NAV, en parallèle du renouvellement de l’infrastructure.
VM 1 — Active Directory + DHCP
Ajout du nouveau contrôleur de domaine
Ajouter le nouveau DC à la forêt existante, puis configurer les DNS comme suit :
  • Ancien serveur : DNS primaire = IP du nouveau DC · DNS secondaire = 127.0.0.1
  • Nouveau serveur : DNS primaire = IP de l'ancien DC · DNS secondaire = 127.0.0.1

Hicham CHIKHI - Confidentiel - Reproduction interdite

61

Transfert des rôles FSMO via ntdsutil.exe
ntdsutil
  → role
    → connections
      → connect to server <nom_nouveau_dc>
      → q
    → transfer RID master
    → transfer schema master
    → transfer infrastructure master
    → transfer domain naming master
    → transfer pdc
Vérification du transfert :
NETDOM QUERY /Domain:<nom_domaine> FSMO
Validation DNS :
Depuis le nouveau DC, exécuter nslookup pour vérifier que l'adresse retournée correspond bien au nouveau serveur.
Rétrogradation de l'ancien DC :
Depuis l'ancien DC, ouvrir le Gestionnaire de serveur et retirer les rôles Active Directory et DNS. En cas de problème de résolution résiduelle, ajuster la configuration de zone DNS depuis le nouveau DC.
Ajustement DHCP :
Configurer le serveur DHCP pour distribuer l'IP du nouveau DC comme DNS principal.

Hicham CHIKHI - Confidentiel - Reproduction interdite

62

VM 2 — Serveur de fichiers
Migration rapide via FASTCOPY.exe (basé sur ROBOCOPY) :
  1. Mapper le nouveau serveur en lecteur réseau depuis l'ancien
  1. Lancer FASTCOPY avec l'option ACL activée — les droits d'accès sont ainsi conservés à l'identique
  1. Vérifier l'intégrité des données et des permissions après copie
VM 3 — Serveur RDS (étape la plus critique)
La migration devait être planifiée en heures ouvrées.
L’intervention de LACOUR pour l’applicatif métier était obligatoire et ne pouvait se faire en dehors des heures de bureau. Les services ont été suspendus pendant la durée de la migration, ce qui avait été anticipé avec le client.
  1. Ajouter le rôle Services Bureau à Distance — choisir "Installation des bureaux à distance", opter pour un déploiement standard, et ajouter le serveur hôte dans les pools lors de la configuration.
  1. Configurer le serveur de licences CAL — désigner le serveur comme serveur de licences depuis le Gestionnaire de serveur. Une fois le rôle "Gestionnaire de licences" installé, ouvrir le Gestionnaire de licences des Services Bureau à Distance (menu Démarrer) pour ajouter les 5 CAL utilisateurs.
  1. Migrer les VHDX — déplacer le dossier contenant les fichiers VHDX de l'ancien serveur vers le nouveau (partition D:). Copier le chemin d'accès pour usage ultérieur.
  1. Créer les collections de sessions — depuis le Gestionnaire de serveur, aller dans Services Bureau à Distance → Vue d'ensemble → Déploiement de bureaux basés sur une session → Créer des collections de sessions.
  1. Configurer le groupe d'utilisateurs — dans la section "Groupe d'utilisateurs", supprimer "Utilisateurs du domaine" et ajouter le groupe RDS dédié.
  1. Configurer les disques de profil utilisateur — coller le chemin d'accès du dossier VHDX migré dans la section "Disques de profil utilisateur".
  1. Synchroniser avec LACOUR pour la migration de l'applicatif ALPHA 2A et valider fonctionnement avec le client.

Hicham CHIKHI - Confidentiel - Reproduction interdite

63

Phase 4 — Migration FortiGate 30E → 40F
La migration du FortiGate a été scindée en deux interventions distinctes : un remplacement sous contrainte de production (sans marge de manœuvre), puis un renforcement sécurité planifié lors d'une visite préventive ultérieure, permettant d'intervenir sans pression opérationnelle et d'aller plus loin sur la segmentation.
Phase 4a — Remplacement à l'identique
  1. Audit complet de la configuration existante : sous-réseaux, passerelles, VLANs, identifiants PPPoE, failover, SLA, QoS
  1. Relevé des tunnels IPsec vers les autres sites : IP publiques, sous-réseaux distants, paramètres IKE / PSK / DH / AES / SHA
  1. Reproduction à l'identique de la configuration sur le FortiGate 40F
  1. Enregistrement de la licence, réglage du fuseau horaire, application des étapes préliminaires de mise en service (Configuration SD-WAN, désactivation SIP-ALG pour la VOIP 3CX etc..)

Hicham CHIKHI - Confidentiel - Reproduction interdite

64

Phase 4b — Cloisonnement réseau avancé (visite préventive)
Le firewall et le switch ont été reconfigurés pour segmenter le réseau en trois zones distinctes :
VLAN ADMIN — LAN dédié à l'administration, isolé du reste du réseau : FortiGate · Switch · NAS · Veeam · VM de supervision · Hyper-V
VLAN PROD — Sous-réseau existant conservé pour éviter tout impact en production : Active Directory · RDS
Mesures de sécurité appliquées :
  • Tous les équipements d'administration regroupés sur un LAN ADMIN isolé
  • Flux inter VLAN configurés de manière sécurisée en prenant avatange du principe stateful
  • Interface loopback créée : accès à l'interface d'administration du firewall et réponses ICMP restreints à la seule IP publique de l'entreprise, référencée via FQDN
  • 2FA activée sur le compte administrateur VPN
  • Migration de la sonde SNB Coservit sur le LAN-ADMIN et reconfiguration des sondes

Hicham CHIKHI - Confidentiel - Reproduction interdite

65

Hôtel de Seze (Bordeaux)
  • Audit complet de l’infrastructure réseau suite à l’acquisition du client.
  • Refonte quasi complète du réseau avec remplacement du pare‑feu Sophos par un FortiGate.
  • Assistance SFR pour le déploiement de la VoIP, avec création sur le pare‑feu d’un réseau dédié au T0 AUTOCOM SFR.
  • Mise en place d’un WiFi invité avec portail captif conforme au RGPD (solution Cloud‑Spot), placé en WAN du VLAN clients sur les bornes UniFi. cloudspot
  • Déploiement d’un VLAN spécifique pour les Smart TV, incluant la reconfiguration de certains ports de switch et la création d’un SSID « TV » uniquement sur la borne d'un chambres non câblée, borne identifiées via WiFiMan et les tables ARP des commutateurs.

Hicham CHIKHI - Confidentiel - Reproduction interdite

66

École Artside (Bordeaux)
  • Réseau initial plat, segmenté : VLANs vidéosurveillance/​alarmes, VLAN VoIP, VLAN personnel, VLAN élèves.
  • Web filtering pour le blocage des tentatives d’accès à des sites non appropriés.
  • DPI (Deep Packet Inspection) et déploiement du CA FortiGate via le RMM Datto.

Hicham CHIKHI - Confidentiel - Reproduction interdite

67