DTS RIT 2021 PORGO Abdoulaziz

Burkina Faso
Institut Supérieur de Génie Electrique

Ouagadougou ISGE/DTS/RIT/2021
Filière : Réseaux Informatiques et Télécommunications

Ouagadougou
RAPPORT DE STAGE DE FIN DE CYCLE

MISE EN PLACE D’UN PROTOCOLE DE
SECURITE DANS LE RESEAU LAN DE L’ONEA :
SWITCHPORT-SECURITY
 
POUR L'OBTENTION DU DIPLÔME
DE TECHNICIEN SUPERIEUR
Stage effectué à l’ONEA du 07 juillet au 07 Septembre 2021
Soutenu le 09 septembre 2021 par :
PORGO Abdoulaziz
Devant le jury composé de :
KAFANDO Bila President (MOOV AFRICA)

IDOGO Steve Websono Encadrant (ISGE-BF)
TRAORE Sy Arsène Encadrant (ONEA)
BONKOUNGOU Dramane Rapporteur (ISGE-BF)
Année Académique 2020 -2021

Mise en place d’un Protocole de sécurité dans le réseau local LAN de l’ONEA
DEDICACES
A mes très chers parents pour leurs soutiens, leurs bénédictions, ainsi que leurs précieux
conseils dans l’accompagnement de mes études. Que Dieu le tout puissant les bénissent et leur
permet de profiter du fruit de leurs efforts.
A mon frère et à mes sœurs Kassoum, Mariam, Nimatou

A mon oncle et sa femme pour leurs soutiens et encouragements.
PORGO Abdoulaziz II
Remerciements
Je remercie Dieu le tout-puissant de nous avoir donné la santé et la volonté d’entamer et de

terminer ce rapport.
Tout d’abord, ce travail n’aurait pas pu avoir le jour sans l’aide de mon maître de stage
Monsieur TRAORE A. Arsène, je le remercie pour son encadrement exceptionnel, pour sa
patience, sa rigueur et sa disponibilité durant tous les moments de ce rapport.
Je suis conscient de l’honneur que m’ont fait M. IDOGO Steve et M. NAGALO Alexis pour
leurs aides et encouragements malgré leurs emplois du temps chargés.
Mes remerciements s’adressent également à toute l’équipe du Département Système

d’Information (DSI) dirigé par M. MEDAD Benjamin pour leur générosité et leur grand
sens de délégation qui m’ont permis de beaucoup apprendre.
Je remercie particulièrement M. OUEDRAOGO Adama pour sa contribution à la réalisation
du stage.
Je remercie mes camarades de classe pour ses beaux moments passés ensemble et une pensée
particulière à la mémoire de notre camarade Adjaratou THOMBIANO qui nous a quitté au
cours de l’année.
Mes profonds remerciements s’adressent également à toutes les personnes qui m’ont aidé et
soutenue de près ou de loin.
PORGO Abdoulaziz III

SOMMAIRE
DEDICACES ............................................................................................................................ II
Remerciements .........................................................................................................................III
PREAMBULE .......................................................................................................................... V
Liste des sigles et abréviations ................................................................................................. VI
Liste des figures .................................................................................................................... VIII
Liste des tableaux .....................................................................................................................IX
Introduction Générale ................................................................................................................ 1
CHAPITRE 1 : PRESENTATION DE LA STRUCTURE D’ACCUEIL ..........................2
I. Présentation de l’Office National de l’Eau et de l’Assainissement ....................................3
II. Contexte et thème de projets ............................................................................................ 10
CHAPITRE 2 : PRESENTATION ET ANALYSE DU RESEAU LAN DE L’ONEA ...11
I. Généralité sur les systèmes de sécurité...........................................................................12
II. Présentation du réseau de l’ONEA ................................................................................19
III. Analyse de la sécurité réseau local de l’ONEA ............................................................ 20
CHAPITRE 3 : ETUDE DE LA SOLUTION SWITCHPOR-SECURITY .....................22
I. Etude du protocole switchport port-Security .................................................................... 23
II. Etude d’autres solutions existantes de sécurité................................................................. 26
CHAPITRE 4 : IMPLEMENTATION DE LA SOLUTION SWITCHPORT-
SECURITY .............................................................................................................................32
I. Mise en œuvre de la solution switchport-security ..........................................................33
II. Coȗt de la réalisation .....................................................................................................38
III. Bilan du stage ................................................................................................................38
Conclusion Générale ................................................................................................................40
Bibliographie............................................................................................................................. X
Webographie ............................................................................................................................XI
Table des matières.................................................................................................................. XII
PORGO Abdoulaziz IV
PREAMBULE
L’Institut Supérieur de Génie Électrique du Burkina Faso (ISGE-BF) est un établissement

supérieur d’enseignement technique et professionnel créé à l’initiative de la Chambre de
Commerce et d’Industrie du Burkina Faso et co-géré par 17 entreprises et institutions publiques
et privées concernées par la problématique de l’énergie électrique et de son utilisation, sous la
forme juridique d’une association à but non-lucratif et d’utilité publique : SONABEL,
ONATEL SA, SOFITEX, BRAKINA, ASI-BF, CNPB, SN CITEC, SOGETEL, SOPAM,
GRAPHI IMPRIM, PPI-BF, GPTIC, GROUPE BFM, GROUPE FADOUL, TAN ALIZ, GPI,
ESIGELEC de Rouen/France. L’ISGE-BF a ouvert ses ports depuis la rentrée scolaire
20032004. Il est agréé par l’Etat sous le N°2003/0580/MESSRS/CAB.ISGE.
L’ISGE-BF forme des Techniciens Supérieurs (bac+2), des Ingénieurs de Travaux (bac+3) et
des Ingénieurs de Conception (bac+5) dans la maîtrise de l’Electricité Industrielle et des
Énergie Renouvelables, des Réseaux Informatiques et Télécommunications et de la
Maintenance Industrielle, répondant ainsi aux besoins des entreprises opérantes sur le continent
africain en termes de ressources humaines hautement qualifiées et immédiatement
opérationnelles dans ces domaines.
La formation de techniciens supérieurs de niveau bac +2, s’adresse aux bacheliers des séries
techniques et scientifique : C, D, E, F, F2, F3. Peuvent accéder à la formation d’ingénieur de
conception, que les titulaires d’un diplôme de niveau bac+2 (BTS, DUT) minimum dans le
domaine du génie électrique. L’ISGE-BF est situé à la ZAD II sur le Boulevard Tansoba
n°2073.
Tous les diplômes sont reconnus par le CAMES. Grâce à son consortium d’entreprises
membres fondateurs et à la qualité de sa formation, l’ISGE-BF constitue un pôle d’excellence
de l’Enseignement Supérieur Technique au Burkina Faso et dans la sous-région et figure parmi
les écoles supérieures, les plus dynamiques et les plus performantes. L’ISGE-BF est classé
deuxième meilleur institut au plan national dans la catégorie des établissements de très bonne
qualité des Instituts Privés d’Enseignement Supérieur par le Ministère de l’Enseignement
Supérieur, de la Recherche Scientifique et de l’Innovation en 2019.
Dans le cadre de la validation académique du cycle de technicien supérieur, les étudiants en fin
d’année doivent effectuer un stage d’une durée de deux mois. Ce stage a pour but de permettre
à l’étudiant d’acquérir des compétences transversales demandées par le mode professionnel :
travail en groupe, autonomie, responsabilité, communication, conduite de projet et de bien
d’autres. Il permet aussi de concrétiser les enseignements théoriques reçus.
PORGO Abdoulaziz V
Liste des sigles et abréviations
AAA Authentication Authorization Accounting

AD Active Directory
AEP Approvisionnement en Eau Potable
AOF Afrique Occidentale Française
ARP Address Resolution Protocol
BAC Baccalauréat
BLR Boucle Local Radio
BPDU Bridge Protocol Data Unit
BTS Brevet de Technicien Supérieur
CT Conseille Technique
DAI Deep ARP Inspection
DDoS Distributed Denial-of-Service
DG Directeur Général
DHCP Dynamic Host Configuration Protocol
DoS Denial-of-Service
DNS Domaine Name Service
DSI Direction des systèmes Informatiques
DUT Diplôme Universitaire de Technologie
EAP Extensible Authentication Protocol
EAPoL Extensible Authentication Protocol over LAN
FSH First Hop Security
IP Internet Protocol
ISGE-BF Institut Supérieur des Génies Electrique du Burkina Faso
LAN Local Area Network
MAC Media Acces Control
MEA Ministère de l’Eau et de l’Assainissement
PORGO Abdoulaziz VI
MitM Man-in-the-Middle
NAC Network Acces Control
NTP Network Protocol Time
ONE Office National de l’Eau
ONEA Office National de l’Eau et l’Assainissement
PC Personal Computer
SAI Service Application Information
SAFELEC Société Africaine d’Eau et de l’Electricité
SIR Service Infrastructure Réseau
SG Secrétaire Général
SMS Short Message System
SNE Société Nationale des Eaux
SNMP Simple Network Management Protocol
SONABEL Societé Nationale d’Electricité du Burkina Faso
SSID Service Set Identifier
STP Spanning Tree Protocol
VLAN Virtual Local Area Network
VOLTELEC Société Voltaïque d’Eau et de l’Electricité
VM Virtual Machin
VSAT Very Small Aperture Terminal
WIFI Wireless Fidelity
WLAN Wireless Local Area Network
802.1x Contrôle d’accès réseau basé sur les ports
PORGO Abdoulaziz VI
I
Liste des figures
Figure 1.1 : L’organigramme et organisation de l’ONEA ...................................................... 5

Figure 2.1 : l’illustration des vulnérabilités et exploit ......................................................... 14
Figure 2.2 : l’illustration des Menaces sur les systèmes ...................................................... 14
Figure 2.3 : L’illustration des attaques sur les systèmes ...................................................... 15
Figure 2.4 : l’environnement LAN commuté ......................................................................... 16
Figure 2.5 : Illustration attaque ARP ..................................................................................... 17
Figure 2.6 : Présentation de l’infrastructure réseau de l’ONEA ....................................... 21
Figure 3.1 : Composants principaux d’un réseau à accès contrôlé ..................................... 29
Figure 3.2 : logigramme de connexion à un réseau à accès contrôlé 802.1X ...................... 30
Figure 4.1 : test entre un switch configuré et non configuré avec intrusion ........................ 34
Figure 4.2 : test avec des équipements configurés avec les VLAN et avec un switch non
configuré ................................................................................................................................ 35
Figure 4.3 : affichage de l’OS de du switch .......................................................................... 36
Figure 4.4 : activation de port-security ............................................................................... 37
Figure 4.5 : définition du nombre d’adresses mac autorisé ................................................ 37
Figure 4. 6 : configuration dynamique des adresses mac .................................................... 37
Figure 4.7 : configuration statique des adresses mac ......................................................... 38
Figure 4.8 : configuration du mode de violation ................................................................. 38
Figure 4.9 : vérification du statut du port security sur interface gig0/2 .............................. 38
Figure 4.10 : vérification des adresses mac du port securit ................................................. 38
PORGO Abdoulaziz VI
II
Liste des tableaux
Tableau 3.1 : Tableau de comparaison des modes de violations ........................................... 26

Tableau 3.2 : Tableau comparative des solutions ................................................................. 32
Tableau 4.1 : Estimation des coûts des équipements du projet ............................................. 39
PORGO Abdoulaziz IX
Introduction Générale
L’affaire Pegasus, vient démontrer au monde entier que la sécurité informatique est d’un
enjeu crucial. Cette arme permet aux nations faibles d’être écoutées dans la prise des décisions
concernant le devenue du monde. Ce logiciel est utilisé pour espionner les personnalités des
nations les plus puissantes de ce monde, donnant une autre tournure à la sécurité informatique.
Or le système informatique est devenu l’élément central et capital du fonctionnement des
entreprises. Il sert pour tous les collaborateurs à stocker leurs informations, à échanger, à
faciliter leurs tâches quotidiennes, il héberge des données sensibles telles que des secrets
industriels, des numéros de carte de crédit ou même des données personnelles. Le système
informatique devient alors une cible de choix pour un cybercriminel. Les menaces les plus
courantes prennent en compte la compromission des équipements internes par une source
externe, cependant la connexion d’équipements externes au système d’information local est
souvent négligée pour les raisons suivantes : les utilisateurs sont considérés comme de
confiance ; des mesures techniques ou opérationnelles empêchent un visiteur de connecter son
équipement à un réseau interne. Ces hypothèses sont souvent mises en avant, mais
l’architecture physique d’un système d’information évolue dans le temps, notamment au gré
des différents déménagements. Une prise réseau précédemment affectée à un bureau peut se
retrouver dans une zone publique et exposer le système d’information de l’entité à un visiteur.
Un utilisateur légitime peut également connecter pour diverses raisons un équipement
personnel ou un équipement réseau au système d’information interne ou fournir un secret
d’authentification tel qu’un mot de passe d’accès à un réseau Wi-Fi à une personne extérieure,
exposant également le système d’information à différentes menaces.
Afin de traiter ces différents problèmes, il est possible d’appliquer le principe de défense
en profondeur et d’ériger des barrières supplémentaires sur le réseau du système d’information.
Leurs rôles seront principalement de limiter les connexions d’équipements au strict nécessaire
et de superviser les événements intervenant sur le réseau afin de détecter des comportements
suspects. Ces deux fonctions répondent à des objectifs de sécurité préventifs et réactifs afin
d’augmenter le niveau de sécurité du système d’information des entreprises.
En vue de prévenir les risques liés à l’exploitation du réseau local de l’ONEA, il nous a
été confié la tâche de travailler sur une solution de protection des accès réseau pour protéger le
réseau de l’entreprise de plusieurs menaces qui pourront dérober ses informations sensibles.
Le thème d’étude qui nous a été octroyé par l’entreprise est le suivant : « Mise en place d’un
protocole de sécurité dans le réseau LAN de l’ONEA : switchport-security ». Notre rapport est
organisé en quatre chapitres. Le premier chapitre inclut la présentation de la structure d’accueil
et du contexte de la réalisation de ce projet. Le second chapitre, comporte la présentation et
l’analyse du réseau LAN existant de l’ONEA. Le troisième chapitre est consacré à l’étude de
la solution switchport-security et d’autre solutions de sécurité. Enfin, le quatrième et le dernier
chapitre porte sur la mise en œuvre de la solution et suivie d’un bilan de stage.
PORGO Abdoulaziz 1
CHAPITRE 1 : PRESENTATION DE LA STRUCTURE D’ACCUEIL
PORGO Abdoulaziz 2
Notre stage s’est déroulé au sein du siège de l’Office National de l’Eau et de

l’Assainissement (ONEA) précisément dans le Département Système d’Information, il est situé
à Ouagadougou dans le secteur 17 Pissy Siège social 220 avenue de l’ONEA sur la nationale
N1. L’ONEA est une société créée par l’Etat Burkinabé pour l’approvisionnement en eau
potable et l’assainissement des centres urbains, semi-urbains et ruraux.
Dans ce chapitre, il s’agira pour nous dans un premier temps de présenter la structure
d’accueil, son historique, ses missions, ses objectifs et sa politique de qualité. La seconde partie
sera consacrée au contexte et au choix du thème.
I. Présentation de l’Office National de l’Eau et de l’Assainissement
1. Présentation de l’ONEA
L’Office national de l’eau et de l’assainissement (ONEA) a été créé par décret
n°85/387/CNR/PRES/EAU du 28 juillet 1985 sous la forme d’un Établissement public de l’Etat
à caractère industriel et commercial (EPIC). Il sera transformé en société d’Etat le 2 novembre
1994 (décret N°94-391/PRES/MICM/EAU). Il est placé sous la tutelle Technique du Ministère
de l’Eau et de l’Assainissement (MEA), de gestion du Ministère de l’Industrie du Commerce
et de l’Artisanat et Financière du ministère de l'Économie et des Finances. Il compte plusieurs
directions régionales et agences dans des villes.
2. Historique
L’histoire de l’Approvisionnement en eau potable (AEP) des centres urbains en Haute-Volta
puis au Burkina Faso avant l’ONEA s’est déroulée en plusieurs étapes :  avant 1960 et
jusqu’en 1977 : année de la nationalisation
La gestion des systèmes collectifs d’AEP a relevé d’entreprises privées ou à participations

privées : Energie AOF (Afrique occidentale française), Société Africaine d’Eau et d’Electricité
(SAFELEC), Société voltaïque d’eau et d’électricité (VOLTELEC) et Société nationale des
eaux (SNE).
 en 1976 : l’eau, une affaire publique
La politique de l’eau, élaborée en 1976, transfère la gestion de l’eau dans le domaine public.
En 1977, la gestion des systèmes collectifs d’AEP est nationalisée avec la création de l’Office
national de l’eau (ONE) sous la forme juridique d’un établissement public à caractère industriel
et commercial (ordonnance N°77/006/PRES du 23/02/77). Cet office reçoit le monopole de la
gestion de toute entreprise et de toutes les opérations de stockage, de traitement, d’épuration,
de transport et de distribution d’eau brute et d’eau potable.  En 1984 : L’assainissement en
plus
Le décret du 26 avril 1977 portant statut de l’ONEA indique également qu’il avait pour objet
la réalisation des programmes de traitement des eaux usées en vue de leur recyclage dans les
circuits de distribution.
PORGO Abdoulaziz 3
Le 10 octobre 1984, le ministère de l’eau est réorganisé et les activités de l’ONEA sont étendues
à l’assainissement. Cela se justifiait par les problèmes de pollution et d’assainissement liés à
l’accroissement de la consommation d’eau dans les villes et au manque d’infrastructures
adéquates.
 en 1990 : la restructuration de l’ONEA
À la fin de l’année 1990, l’ONEA connaît un déficit cumulé de 3 milliards de francs CFA d’où
des difficultés énormes. Au regard du caractère vital de la mission de l’Office, les autorités ont
décidé de restructurer l’entreprise.
Pour faire face au déficit aggravé que connaît l’ONEA et sauver l’entreprise, une action
vigoureuse et multiforme a été opérée à partir de 1990. La restructuration a porté sur un
réajustement du prix de l’eau, une compression des charges de personnel, une modernisation
des outils de gestion, une innovation en matière d’approche-clientèle, un meilleur entretien des
équipements.
Le train de vie de l’entreprise est sérieusement révisé à la baisse et les charges ainsi réduites de
29 %. Ensuite, les tarifs de vente de l’eau sont relevés de 30 %. Les services et la gestion
clientèle, désormais informatisés, sont nettement améliorés. Le contrôle de la qualité de l’eau
est assuré à partir de 1994 par un laboratoire moderne. Des laboratoires, relais et un laboratoire
mobile sont également mis en service. L’optimisation de l’exploitation des ressources
disponibles et l’augmentation de la production aboutissent à une réduction sensible des
coupures d’eau. Le cahier des charges de l’ONEA a été approuvé par décret en Conseil des
ministres du 17/09/2003.
 17/09/2003 : Adoption du cahier des charges de l’ONEA
Qu’est-ce qu’un cahier des charges ? Le cahier des charges est un document par lequel
l’administration détermine, unilatéralement, les conditions auxquelles sont subordonnées la
jouissance d’une autorisation ou l’exécution d’un contrat. C’est à travers le cahier des charges
que l’Etat confère à l’ONEA le droit d’exploitation du service d’eau et d’assainissement.
PORGO Abdoulaziz 4
3. Organigramme l’ONEA
CONSEIL
D'ADMINISTRATION
DIRECTEUR GENERAL
Sécretaire Général
Direction Systeme
d'Information
Service Service Service Service Systeme

Infrastructure Application Support d'Information
et Réseau Informatique Utilisateur Géographique
Figure 1.1 : L’organigramme et organisation simplifiés de l’ONEA
4. L’organe de direction et des unités de rattachement

Dans cette session, nous présentons quelques organes décisionnels de l’ONEA et leurs rôles au
sein de la structure. Nous mettrons aussi l’accent sur la direction qui nous à accueillit.
4.1 Le Directeur Générale (DG)

L’ONEA, comme toute autre structure ou entreprise est dirigé par une personne physique en
occurrence le directeur général qui pour la bonne marche, bénéficie à cet effet de tous les
pouvoirs pour bien accomplir ses fonctions. À l’ONEA, le directeur général est nommé par un
décret pris en conseil des ministres sur proposition du Ministère chargé de la tutelle technique.
Le directeur général détient sur la délégation du conseil d’administration, les pouvoirs les plus
étendus de gérer la société et de l’engager dans les actes de la vie civile, mais dans le strict
respect des pouvoirs établi au Conseil d’Administration et à Assemblée Générale des sociétés
d’Etat.
Les pouvoirs du directeur général se résument essentiellement à prévoir, manager, coordonner,
etc. Il est assisté à cet effet par plusieurs unités organisationnelles comme illustrées dans
l’organigramme.
PORGO Abdoulaziz 5
4.2 Le secrétaire Général (SG)

Selon l’organisation de l’ONEA, le secrétaire général est la deuxième personnalité de l’entreprise.
Il a pour missions :
 Assister le directeur général dans les actes administratifs et de management, 
Centraliser et de faire la synthèse des documents à soumettre au conseil administratif.
Il est chargé de la gestion dirigée des départements régionaux et plusieurs entités rattachées.
Le SG est aidé dans ses fonctions par plusieurs directions rattachées.
4.3 Le Conseiller Technique(CT)

En plus du DG, le SG de l’ONEA est appuyé dans ses fonctions par des conseillers techniques
qui ont pour missions essentiellement de lui :
 Fournir des avis techniques, des propositions de plans, les schémas directeurs, les projets
d’investissements et les dossiers divers ;
 Faire toutes les propositions sur l’amélioration des performances et des processus mis en
place.
4.4 L’Assistance de Direction(AD)

Si la présence d’une assistance de direction au sein d’une entreprise est souvent nécessaire
et très importante, c’est par ce qu’elle joue un rôle essentiel dans l’organisation de la société.
En effet, elle décharge le directeur général de toutes les tâches administratives et, à l’ONEA
ses missions sont :
 Organiser le travail quotidien du DG et de coordonner les activités du secrétariat de
direction.
 Suivre l’exécution stratégique confiée aux services rattachés à la direction générale ainsi
qu’aux directions centrales et régionales et lui rendre compte.
 Vérifier le dynamisme et la fluidité de la circulation de l’information du sommet vers le

bas.
4.5 Département Système d’Information (DSI)

Les systèmes et technologie de l’information représentent aujourd’hui l’une des principales
clés de succès des organisations et, l’ONEA n’a pas failli à la règle. Cette session a pour rôle
de gérer tout ce qui est infrastructure informatique, réseau et aussi la maintenance des machines
et des appareils afin de permettre à l’ONEA d’atteindre ses objectifs qui sont la satisfaction de
la clientèle. Ce département est subdivisé en plusieurs sessions à savoir :
4.5.1 Service Application Information (SAI)

Le service Application informatique est subdivisé en deux. Nous avons une partie qui s’occupe
des services applications et l’Administration des serveurs. Son rôle consiste à l’organisation de
l’active directory et l’appliquant des restrictions au sein du réseau afin de garantir un minimum
de confidentialité. Et la deuxième partie enfin est chargée de la conception et la maintenance
PORGO Abdoulaziz 6
des sites web et des applications web. Il assure la supervision des payements à travers les
moyens mobiles et bancaire.
4.5.2 Service Infrastructure Réseau (SIR)

Dans toute structure, la maintenance des équipements est une priorité pour la bonne marche de
l’entreprise. À l’ONEA, la session service Infrastructure Réseau comporte deux entités, à
savoir le service réseau qui s’occupe de l’architecture et de l’infrastructure réseau. Il est ainsi
chargé de l’orientation stratégique de réseau informatique et la structuration du réseau. Ensuite
une entité de maintenance qui a pour but de faire la maintenance des équipements. Cette
direction a pour mission :
 Ressouder les problèmes liés à la connexion
 Définir les caractéristiques des machines adaptées à acheter pour chaque département.
 Assurer la maintenance des machines côté matériel ou Hardware en anglais et assurer
l’installation des machines ainsi que les applications sans se soucier de la jonction au
domaine et des interdictions.
 Assurer la maintenance des machines régionales
 Assurer la gestion des licences des applications offices utilisées dans l’ensemble de
l’entreprise.
4.5.3 Service support utilisateur

La veille technologique est la base de toute structure en phases avec son temps qui est dominée
par le numérique. A l’ONEA, elle est gérée par le service support utilisateur. Il a pour rôle de
répondre aux préoccupations des clients à travers les sites web et application ainsi que les
appels téléphoniques. Elle met en disposition des informations à la disponibilité de la clientèle
de l’ONEA.
4.5.4 Service Système d’Informatique Géographique

Le Service Système d’Informatique Géographique est chargé d’établir la connexion et la
communication entre le siège de l’ONEA et l’ensemble des sites régionaux.
En plus des directions définies, le DG gère d’autres organisations à savoir :
 L’Inspection Générale(IG)
 Le Département de Contrôle et de Gestion(DCG)
 Le Centre des Métiers de l’Eau (CEMEAU)

 Le Département Communication(DCOM)
 Le Service Juridique et Contentieux, de la Documentation et des Archives(SJCDA)
PORGO Abdoulaziz 7
5. Mission de l’ONEA
L’état burkinabé dans son souci de mettre en place des systèmes de collecte, d’évacuation
et des traitements des eaux usées pour hygiène publique a mis en place l’ONEA, qui a pour
mission l’addition en eau potable, c’est-à-dire d’alimenter des centres semi-urbains et ruraux
en eau potable et à un très bas niveau de desserte et de service. La seconde mission est
l’assainissement, qui consiste à la collecte, l’évacuation et le traitement des eaux usées et autres
déchets solides domestiques et industriels ; drainage des eaux usées.
Sachant que rien ne s’accomplit dans une vision commune, l’ONEA s’est assigné plusieurs
valeurs aux personnels afin d’avoir une vision commune :
 Satisfaction du client
 Sens du service public
 Le protectionnisme
 L’esprit d’équipe
 La solidarité
L’ONEA en tant que structure étatique est régi comme toute autre structure avec des rapports tant
avec l’Etat burkinabé qu’avec les usagers du service public.
Les rapports entre l’Etat et l’ONEA sont régis par un contrat plan triennal et un cahier des
charges qui fixe les conditions de création, d’exploitation et de protection des infrastructures
d’eau et d’assainissement sous gestion ONEA.
Les rapports entre l’ONEA et les usagers du service public sont, quant à eux, régis par des
règlements de service eau et assainissement qui informent les usagers sur le fonctionnement
du service et qui définissent les droits et obligations de chaque partie.
6. Les projets de l’ONEA
6.1 Les projets en Eaux

Projet Eau et croissance économique durable au Sahel, Burkina Faso (ECED-Sahel)
Projet de Renforcement d’AEP dans quatre localités du Burkina Faso (Tenkodogo,

Garango, Bittou et Bagré)
Projet d’Alimentation en eau potable de la ville de Ouagadougou à partir du barrage de
Ziga phase II (Projet Ziga II)
Projet « Plan d’Action Prioritaire Eau Potable » de la ville de Bobo-Dioulasso
(PAPEP)
Programme d’Approvisionnement en Eau et Assainissement (PAEA/PforR) -Volet Eau
Potable Urbain
6.2 Les projets en assainissements

Projet d’Assainissement Autonome en Milieu Urbain (PAAMU)
PORGO Abdoulaziz 8
Programme Approvisionnement en Eau et Assainissement au Burkina Faso (PEA-GIZ)

Projet de Développement Durable de la ville de Ouagadougou (PDDO)-Volet
Assainissement collectif
Programme d’Approvisionnement en Eau et Assainissement (PAEA)-BANQUE
MONDIALE
Projet d’Appui à l’Assainissement de Base dans dix villes moyennes du Burkina Faso
(AAB)
7. Politique qualité de l’ONEA

Pour l’ONEA, « Être en 2021 une entreprise performante, innovante et toujours à l’écoute du
client » Ces axes visent à répondre prioritairement tout en respectant les exigences légales et
réglementaires, aux attentes du Client c’est-à-dire bénéficier d’une proximité et d’une
régularité dans l’accès à l’eau potable ainsi que d’un assainissement adéquat.
Augmenter les ventes, développer les infrastructures et améliorer la continuité du service
Augmenter la performance des activités
Renforcer l'organisation, l'engagement et la satisfaction du personnel Notre
engagement vise ainsi à garantir, pour l'ensemble de nos activités
Maîtrise d’ouvrage, contrôle et fourniture d’eau potable, gestion clientèle, prestation en
assainissement, y compris les processus de management et supports associés sur l’ensemble
des Centres, Agences et Stations :
 La satisfaction des exigences applicables
 La gestion efficace de tous nos processus
 L’amélioration continue de notre Système de Management de la Qualité (SMQ).
8. L’orientation stratégique
Le Programme National d’Approvisionnement en Eau Potable (PN-AEP 2016-2030)
ambitionne à l’horizon 2030 de faire évoluer le taux d’accès de 65% en 2015 à 100% en 2030.
Pour atteindre sa vision à l’Horizon 2030, l’ONEA doit atteindre les objectifs majeurs
structurants suivants en matière d’AEP à l’horizon 2030 :
 Un taux d’accès à l’eau potable : égale à 100%, avec continuité et qualité 24 h/24
 Des performances opérationnelles : Et une meilleure qualité de service aux clients ;
 Un prix de l’eau abordable pour tous
 Une société qui reste saine économiquement et financièrement.
9. Les enjeux recouverts

Les chiffres ci-après permettent de situer les enjeux que recouvrent ces objectifs
 Une population desservie en eau croissant de 3,5 millions en 2015 à plus de 8 millions
d’habitants en 2030 ;
PORGO Abdoulaziz 9
 Construction de près de 10 000 km de réseau d’eau, 70 000 m³ de réservoirs et 250 000

m³/jour de capacité de production.
10. Notre fil conducteur

La recherche de l’équité et l’engagement du Burkina à aller à l’accès universel à l’eau potable,
conduiront l’ONEA :
 à étendre ses réseaux dans les villages qui sont rattachés aux communes où il intervient,
dans la limite d’un rayon d’environ 5 km et des villages de plus de 2 000 habitants. 
à étendre ses réseaux dans les zones non loties des centres urbains.
 à desservir les villages traversés par les conduites de refoulement. L’ONEA agira en
tant que maître d’ouvrage délégué pour le compte de la commune. Une délégation pour
l’exploitation des installations qui prendra la forme la plus appropriée pour la commune
pourra être faite à l’ONEA ou à un opérateur privé.
À l’horizon 2030, le périmètre de l’ONEA passera à 77 centres avec un taux de desserte de
80% pour les Branchements Privés et 20% pour les Bornes Fontaines
II. Contexte et thème de projets

Le réseau de la société ONEA comme dans toute structure est confronté à des difficultés, les
difficultés sont une partie intégrante de notre existence et sans elles rien ne vaudra la peine
d’être vécue. Le réseau de l’ONEA permet de relier chaque ordinateur entre eux via des
équipements de commutation ou switch en anglais. Ensuite ces switchs sont connectés entre
eux et aussi à des serveurs et pare-feu qui gèrent l’accès à l’internet. Le réseau est subdivisé
par niveau et chaque niveau possède un local technique qui gère la connexion.
Au sein de l’ONEA, les salles sont équipées de prise murale qui sert à connecter les ordinateurs
au réseau local et avec l'extérieur. Ces prises initialement conçues par un certain notre
d’ordinateurs sont souvent débordé par l’arrivée de nouveau personnel en vue d’optimiser
l’occupation de l’espace de travail. Cette situation entrain l’ajout des commutateurs dans les
locaux afin de permettre à tout le personnel, une connexion avec le réseau de l’entreprise et à
l’internet. Les communicateurs supplémentaires installés, tous les ports ne sont pas utilisés ce
qui entraine une vulnérabilité au sein du réseau local. Ces ports non utilisés peuvent être
exploités par un intrus ou par un personnel afin de mener une attaque interne. Car selon une
étude d'IBM Security en 2015, 60% des attaques informatiques sont menées par les initiés
quelqu’un de confiance de l’entreprise et 81% des infractions liées au piratage informatique
proviennent de l’intérieur. Cette étude met en évidence le problème des menaces à l’interne des
entreprises. En guide d’une meilleure gestion de l’entreprise, notre thème se portera sur les
solutions pour renforcer la sécurité au sein du réseau local de l’ONEA.
PORGO Abdoulaziz 10
Au terme de ce premier chapitre, nous avons présenté l’Office National de l’eau et de

l’assainissement ainsi que son historique et que le but par lequel elle a été créée. Nous avons
ensuite présenté les différentes entités directionnelles, ses projets et sa stratégie politique de
qualité afin de satisfaire la mission qui lui est assignée en passant par les enjeux et le fil
conducteur. À la fin, nous avons énuméré les difficultés techniques qui nous ont amené à choisir
le thème de notre étude.
PORGO Abdoulaziz 11
CHAPITRE 2 : PRESENTATION ET ANALYSE DU RESEAU LAN DE

L’ONEA
PORGO Abdoulaziz 12
Pour la sécurité des infrastructures réseau qui est la base de toute communication au
sein de l’entreprise et à l’extérieur, implique la mise en place des stratégies afin de protéger le
réseau et de s’assure de la disponibilité de la connexion. Chaque entreprise ou organisation
adopte des stratégies de sorte à permettre une meilleure conservation des informations et
s’assuré que ces derniers sont entre les mains des personnes qui ont les droits d’en disposer.
Au cours de notre travail dans ce chapitre, nous referons une généralité sur les systèmes de
sécurité afin de comprendre le concept de la sécurité et ensuite, nous présenterons et
analyserons l’infrastructure du réseau informatique de l’ONEA.
I. Généralité sur les systèmes de sécurité

1. Introduction à un système de sécurité
1.1 L’Objectif d’un système de sécurité

La sécurité des systèmes d’information vise les objectifs suivants :
• La confidentialité : seules les personnes autorisées ont accès aux informations qui leur
sont destinées. Tout accès indésirable doit être empêché.
• L’intégrité : les données doivent être celles que l’on attend, et ne doivent pas être
altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés
doivent être exacts et complets.
• La disponibilité : le système doit fonctionner sans faille durant les plages d’utilisation
prévues et garantir l’accès aux services et ressources installées avec le temps de réponse
attendu.
D’autres aspects de “preuve” peuvent aussi être considérés comme des objectifs de la sécurité des
systèmes d’information, tels que :
• L’authentification : L’identification des utilisateurs est fondamentale pour gérer les

accès aux espaces de travail pertinents et maintenir la confiance dans les relations
d’échange.
• La non-répudiation et l’imputation : Aucun utilisateur ne doit pouvoir contester les

opérations qu’il a réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit
pouvoir s’attribuer les actions d’un autre utilisateur.
• La traçabilité (ou « Preuve ») : garantie que les accès et tentatives d’accès aux
éléments considérés sont tracés et que ces traces sont conservées et exploitables.
1.2 Vulnérabilité
Tous les actifs d’un système d’information peuvent faire l’objet de vulnérabilités, soit d’une
faiblesse qui pourrait compromettre un critère de sécurité défini comme l’accès non autorisé à
des données confidentielles ou la modification d’un système. Un exploit est une charge
informatique ou un outil qui permet d’“exploiter” une faiblesse ciblée, soit une vulnérabilité.
PORGO Abdoulaziz 13
Figure 2.1 : l’illustration des vulnérabilités et exploit
1.3 Menaces
Une menace est l’action qu’une personne malveillante puisse mener en vue d’atteindre à sa sécurité.
Une menace est une cause potentielle d’incident, qui peut résulter en un dommage au système ou à
l’organisation. Quelques exemples de menaces courantes : Code malveillant
 Personnes extérieures malveillantes
• Perte de service
• Stagiaire malintentionné
Figure 2.2 : l’illustration des Menaces sur les systèmes
1.4 Attaques
Une attaque est toute action mener dans le but de mettre hors service, de nuire, d’usurpée des
données d‘un système d’informatique.
PORGO Abdoulaziz 14
Figure 2.3 : L’illustration des attaques sur les systèmes
1.5 Risque
Une fois les objectifs de sécurisation déterminés, les risques d’attaque pesant sur chacun de ces
éléments peuvent être estimés en fonction de menaces et de vulnérabilités.
Le niveau global de sécurité des systèmes d’information est défini par le niveau de sécurité du
maillon le plus faible. Les précautions et contre-mesures doivent être envisagées en fonction
des vulnérabilités propres au contexte auquel le système d’information est censé apporter
service et appui.
Il faudrait pour cela estimer :
• La gravité des impacts au cas où les risques se réaliseraient,
• La vraisemblance des risques (ou leur potentialité, ou encore leur probabilité
d’occurrence).
2. Typologie des attaques

Il existe plusieurs types d’attaque, nous énumérons quelque uns :
2.1 Usurpation d’adresses ou Spoofing

L'usurpation d'adresse IP en anglais : IP spoofing ou IP address spoofing, est une technique de
piratage informatique utilisée en informatique qui consiste à envoyer des paquets IP en utilisant
une adresse IP source qui n'a pas été attribuée à l'ordinateur qui les émet. Le but peut être de
masquer sa propre identité lors d'une attaque d'un serveur, ou d'usurper en quelque sorte
l'identité d'un autre équipement du réseau pour bénéficier des services auxquels il a accès.
2.2 Attaque Denial-of-Service (DoS)/(DDoS)

Le déni de service est une attaque qui est généralement accompli en inondant la machine ou la
ressource ciblée de demandes superflues dans le but de surcharger les systèmes et d'empêcher
l'exécution de certaines ou de toutes les demandes légitimes.
2.3 Malwares
Un logiciel malveillant ou malwares en anglais est un programme ou un fichier nuisible à un
utilisateur d'ordinateur. Les types de logiciels malveillants peuvent inclure des virus
informatiques, des vers, des chevaux de Troie et des logiciels espions. Ces programmes
malveillants peuvent exécuter diverses fonctions telles que le vol, le cryptage ou la suppression
PORGO Abdoulaziz 15
de données sensibles, la modification ou le détournement de fonctions informatiques de base

et la surveillance de l'activité informatique des utilisateurs.
2.4 Vulnérabilités humaines

Voici un jargon d’ingénierie sociale :
• Social engineering : Exploite la crédulité et la confiance humaine ainsi que les

comportements sociaux.
• Phishing : Déguise une invitation malveillante en quelque chose de légitime.

• Spear phishing : Cible un groupe d’utilisateurs semblables.
• Whaling : Cible des profils individuels de haut-niveau.
• Vishing : Utilise des messages vocaux.
• Smishing : Utilise des messages texte SMS.
• Pharming : Utilise des services légitimes pour envoyer des utilisateurs vers un site
compromis.
• Watering hole : Cible des victimes spécifiques vers un site compromis.
2.5 Attaque APR

APR pour “ARP Poison Routing” est une attaque de reniflage (sniffing) qui se déroule en deux
moments : empoisonnement de la table ARP qui livre les paquets et routage des paquets vers
la bonne destination.
Dans un environnement LAN commuté, le commutateur transfère directement le trafic en
fonction de l’adresse MAC de destination encodée dans les trames Ethernet. Ce sont les hôtes
d’origine et de destination qui encodent ces adresses sur base d’un processus ARP.
Figure 2.4 : l’environnement LAN commuté
PORGO Abdoulaziz 16
Une attaque APR ou ARP Poison Routing, est une attaque d’interception (MiTM) du trafic
qui consiste pour le pirate à empoisonner le cache ARP des victimes avec sa propre adresse
MAC comme adresse physique de livraison pour les adresses IP attaquées. On peut aussi
classer l’attaque dans la catégorie des attaques par usurpation (spoofing). A condition que le
pirate prenne en charge le routage des trames entre les destinations légitimes, la
communication ne sera pas interrompue. Le pirate pourra alors observer le trafic entre les
victimes de manière transparente, car elles lui livreront les paquets. Il est évident que le pirate
peut devenir un goulot d’étranglement en fonction du nombre de victimes qu’il usurpe.
Figure 2.5 : Illustration attaque ARP
3. Sécurité dans le LAN
3.1 Introduction
On trouvera énormément de vulnérabilités intrinsèques dans le réseau LAN pour une raison
simple : les administrateurs partent du principe de confiance. Tout accès au LAN est cédé aux
utilisateurs par un contrat de confiance dont la limite est l’abus de la crédulité des solutions
mises en place dans l’infrastructure.
On en pensera ce que l’on voudra. Toutefois, cela ne nous empêche certainement pas de nous
poser quelques questions sur le sujet. Quelle sont ces vulnérabilités que l’on peut rencontrer
dans un LAN ? Quels sont les cibles et les attaques potentielles ? Et, enfin, quelles est
l’importance de sécuriser le réseau informatique.
3.2 Attaque dans le réseau LAN

On trouvera quasiment toute la terminologie des attaques dans le domaine de la sécurité des
infrastructures de réseaux locaux qui rompent les principes fondamentaux de confidentialité,
d’intégrité et d’authentification : écoute, usurpation, déni de service (DoS), homme du milieu,
Man-in-the Middle (MitM)
Les vecteurs d’attaques sont des humains qui ont des accès autorisés ou non au réseau, mais aussi
des logiciels malveillants pilotés automatiquement ou à distance. Dès qu’un accès au réseau local
PORGO Abdoulaziz 17
est compromis, la plupart du temps, la porte est ouverte sur les services du système d’information
de l’organisation.
Si les attaques de déni de service (DoS) sont parmi les plus crapuleuses et les moins
intéressantes, elles seraient néanmoins les plus visibles et les plus faciles à mettre en œuvre
avec peu de moyens de réaction du côté des défenseurs. Ces dernières sont donc aussi des
menaces sur le LAN à prendre en compte.
3.3 Cible
Toute technologie d’accès comme Ethernet ou Wi-Fi sur le LAN (ou le “WLAN”, mais aussi
les réseaux mobiles) sont touchés par cette problématique. Au nombre des cibles, on peut citer
particulièrement les commutateurs et les routeurs, ainsi que tout élément d’infrastructure, mais
aussi principalement les utilisateurs et leurs services sur le réseau.
Les menaces sur le LAN se résume : cibles
Technologies LAN : filaire et non-filaire

Matérielles cibles :
Commutateurs
Points d’accès et contrôleurs
Toute interface dans le LAN : routeurs et périphériques terminaux

Protocoles cibles au sein du LAN :
Exploitation du Broadcast et du Multicast
ARP,
DHCP,
802.1 (CDP, STP, DTP, VLAN, …)
NTP, SNMP, DNS, …
Topologie et matériel
 Station Kali Linux (VM ou Native)
 Un commutateur Cisco
 Connexion filaire au commutateur
 Connexion console au commutateur
PORGO Abdoulaziz 18
3.4 Importance de sécuriser le réseau informatique
Sécuriser le réseau informatique permet :
• aux utilisateurs de partager des données et des fichiers, mais également de synchroniser
des imprimantes et applications en réseau local, de communiquer, de se connecter sur
internet, permet le travail collaboratif plus simple et efficace.
• à l’entreprise de protéger les données stoker dans son système.

• d’identifier et d’éliminer les vulnérabilités ;
• de se protéger contre les intrus ;
• d’empêcher que les informations sensibles et privilégiées et des données personnelles ne

tombent entre les mains de personnes extérieures.
PORGO Abdoulaziz 19
II. Présentation du réseau de l’ONEA
Le réseau informatique de l’ONEA est constitué de serveurs, des commutateurs, des imprimantes, des point d’accès sans fil et de routeur et de
pare-feu. Il est relié avec les différentes agences dans la ville de Ouagadougou et avec les directions dans chaque ville
.
Figure 2.6 : Présentation de l’infrastructure réseau de l’ONEA

Le réseau informatique de l’ONEA est composé de plusieurs liaisons. Il dispose une liaison
satellitaire par VSAT avec les directions dans chaque ville et une liaison par la Boucle Locale
Radio(BLR) avec ses agences dans la ville de Ouagadougou. Il est également lié avec
l’extérieur par deux fournisseurs d’accès à internet.
Le réseau LAN est composé de plusieurs équipements, il est relié à la salle serveur par la fibre
optique. Et le réseau est subdivisé par niveau. Chaque niveau dispose un local technique qui
permet l’interconnexion du niveau avec tout le reste de l’entreprise. Pour plus de précaution,
nous ne détaillerons pas toute l’infrastructure du réseau local de l’ONEA, car cela pourrait être
exploité à des fins criminelles et aussi cela enfreint au politique de sécurité définie au sein.
III. Analyse de la sécurité réseau local de l’ONEA

L’Analyse qui sera menée à ce niveau suivra deux principaux axes : l’analyse de la sécurité
physique et l’analyse de la sécurité logique.
1. L’analyse de la sécurité physique du réseau

L’analyse de la sécurité consiste à décrire les moyens physiques qui ont été déployés au sein de
l’ONEA pour assurer la sécurité du parc informatique. Ce sont :
1.1 Système de contrôle d’accès personnel

L’ONEA dispose d’un système de contrôle d’accès à travers des badges sans contact. Le
système dispose deux types d’accès, à savoir les agents de l’ONEA et les visiteurs. Les agents
de l’ONEA disposent d’une carte sans contact personnalisé et cette carte permet à l’accès à
tous les services au sein de l’entreprise. Pour les visiteurs, les cartes ont un accès limité elles
ne fonctionnent qu’au niveau des portes de la direction demandée à l’accueil. Cette technologie
mise en place par l’ONEA permet d’éviter toute instruction des personnes malveillantes dans
leurs locaux.
1.2 Accès sécurisés aux matériels

L’ONEA est équipé d’un système à double authentification pour la salle serveur, le système
par badge pour filtrer les personnes entrant et une seconde par code pour s’assurer d’une grande
sécurité des équipements. Elle dispose d’un système de vidéo surveillance qui permet une
surveillance en continu aux locaux de stock, des salles serveurs et plusieurs sites sensibles.
1.3 Utilisation du matériel dédié

L’utilisation d’un matériel informatique n’appartenant pas à l’ONEA est strictement interdit
pour le personnel. L’ONEA a doté à ses informaticiens en plus de l’ordinateur de bureau des
ordinateurs portable. Un bâtiment dédier à l’informatique afin d’apporter plus de protection des
données ainsi que du matériel informatique.
1.4 Des locaux techniques à chaque niveau

Des locaux techniques à chaque niveau pour optimiser la réparation des pannes techniques des
travailleurs. Ils permettent aussi une meilleure organisation de réseau et une réduction d’impact
en cas d’attaque criminelle.
PORGO Abdoulaziz 21
2. L’analyse de la sécurité logique du réseau

L’analyse de la sécurité logique consiste à décrire tous les moyens logiques qui ont été déployés
au sein de l’ONEA pour assurer la sécurité du parc informatique. Ils sont représentés cidessous
:
• Un parc feu permet de filtrer les types de communication qui transitent entre le
réseau local et les communications externes.
• Un antivirus d’entreprise Kaspersky opérant en mode client-serveur qui est l’un

des plus efficaces du moment.
• Un contrôleur de domaine Active Directory (AD) qui permet de structurer les

ressources, les utilisateurs et les services en stockant dans sa base de données les
renseignant relatifs aux ressources réseau d’un domaine. Active directory a pour
objectif premier de centraliser l’identification et l’authentification d’un réseau
de postes Windows. Ses fonctions additionnelles permettent aux administrateurs
de gérer efficacement une stratégie de groupe, ainsi que l’installation des
logiciels et des mises à jour sur la station du réseau.
• L’Accès aux différentes machines y compris les serveurs se fait à l’aide

d’identifiants qui appartiennent à l’AD
• Le SSID de tous les point d’accès est masquée et il faut le connaitre pour avoir
accès aux services sans fils.
• L’Accès à certains sites malveillants est bloquée pour préserver l’intégrité du

réseau.
• Toutes les machines et serveurs de l’entreprise utilisent des licences authentiques

délibérées par Microsoft.
La sécurité informatique, et celle du réseau en particulier, ne doit pas être prise à la légère.
Ce chapitre nous a permis de comprendre l’objectif d’un système de sécurité, les vulnérabilités,
les menaces et les types d’attaque dans un système de sécurité. Ensuite nous avons étudié la
sécurité dans un réseau LAN. Ce chapitre, nous avons mené une analyse de la sécurité du parc
informatique afin de pouvoir déceler les failles et de proposé quelques solutions pour élever le
niveau de sécurité. Dans le chapitre suivant, nous étudierons notre solution et nous ferons une
étude comparative de la solution.
PORGO Abdoulaziz 22
CHAPITRE 3 : ETUDE DE LA SOLUTION SWITCHPOR-SECURITY
PORGO Abdoulaziz 23
La sécurité des communications est à tout moment une préoccupation importante des
utilisateurs du service informatique. Les menaces internes sont beaucoup négligées dans les
politiques de sécurité des entreprises or, elles représentent 60% des attaques informatiques des
entreprises selon une étude d’IBM Security en 2015. Ce chapitre traitera de l’étude de la
solution switchport-Security par la suite, une étude des autres solutions de sécurité existantes
ce qui permettra de se faire une idée sur l'ensemble des solutions et des particularités que
chaque solution offre.
I. Etude du protocole switchport port-Security

1. Qu’est-ce que le switchport-Security
La fonction de sécurité du port permet de restreindre l'entrée à une interface en limitant et en
identifiant les adresses MAC des ordinateurs et serveurs autorisés à accéder au port. Lorsque
les adresses MAC sécurisées sont attribuées à un port sécurisé, le port ne transfère pas les
paquets avec des adresses source en dehors du groupe d'adresses définies. Le port-Security
obéit à plusieurs conditions :
• Si on limite le nombre d'adresses MAC sécurisées à une et attribuez une seule adresse
MAC sécurisée, le poste de travail connecté à ce port est assuré de la bande passante
complète du port.
• Si un port est configuré comme port sécurisé et que le nombre maximum d'adresses
MAC sécurisées est atteint, lorsque l'adresse MAC d'une station tentant d'accéder au
port est différente de l'une des adresses MAC sécurisées identifiées, une violation de
sécurité se produit.
• Si une station avec une adresse MAC sécurisée configurée ou apprise sur un port
sécurisé tente d'accéder à un autre port sécurisé, une violation est signalée.
2. Avantages
Le switchport-Security permet :
 de contrôler l’accès au réseau au niveau le plus bas c’est-à-dire la couche 2
 une bonne gestion du parc informatique
 une sécurité évolutive avec sa compatibilité avec d’autre protocole de sécurité tel que
VLAN
3. Inconvénients
Les inconvénients du switchport-security sont :
 possibilité de Contournement de l’adresse MAC via des logicielle tel que Smac
 ne peut pas permettre d’authentifier les réseaux sans fil wifi

 nécessite une intervention en cas de violation du mode shutdown
PORGO Abdoulaziz 24
4. Sécurisation par adresses MAC
4.1 Les types d’adresses Mac sécurisées

Le commutateur prend en charge ces types d'adresses MAC sécurisées :
• Adresses MAC sécurisées statiques : Les adresses MAC sécurisées statiques sont
configurées de manière statique sur chaque port de commutation et stockées dans la
table d'adresses. La configuration d'une adresse MAC sécurisée statique est stockée
dans la configuration en cours par défaut et peut être rendue permanente en les
enregistrant dans la configuration de démarrage.
• Adresses MAC sécurisées dynamiques : Les adresses MAC sécurisées dynamiques
sont apprises à partir du ou des appareils connectés au port de commutation. Ces
adresses sont stockées uniquement dans la table d'adresses et seront perdues lorsque
l'état du port de commutation tombe en panne ou lorsque le commutateur redémarre.
• Adresses MAC sécurisées persistantes : elles peuvent être apprises dynamiquement
ou configurées manuellement, stockées dans la table d'adresses et ajoutées à la
configuration en cours. Si ces adresses sont enregistrées dans le fichier de configuration,
au redémarrage du commutateur, l'interface n'a pas besoin de les reconfigurer
dynamiquement.
4.2 Les adresses mac sécurisées collantes

Les adresses MAC sécurisées persistantes ne font pas automatiquement partie du fichier de
configuration, qui est la configuration de démarrage utilisée à chaque redémarrage du
commutateur. Si vous enregistrez les adresses MAC sécurisées rémanentes dans le fichier de
configuration, lorsque le commutateur redémarre, l'interface n'a pas besoin de réapprendre ces
adresses. Si vous n'enregistrez pas les adresses sécurisées persistantes, elles sont perdues.
Si l'apprentissage persistant est désactivé, les adresses MAC sécurisées persistantes sont
converties en adresses sécurisées dynamiques et sont supprimées de la configuration en cours.
5. Les causes de violation de sécurité

Il s'agit d'une violation de sécurité lorsque l'une de ces situations se produit :
• Le nombre maximum d'adresses MAC sécurisées a été ajouté à la table d'adresses et une
station dont l'adresse MAC n'est pas dans la table d'adresses tente d'accéder à l'interface.
• Une adresse apprise ou configurée sur une interface sécurisée est visible sur une autre
interface sécurisée dans le même VLAN.
• Exécution de tests de diagnostic avec la sécurité des ports activés.
Par défaut, chaque port de commutation sécurisé est configuré avec un maximum d'une adresse
MAC. Cela signifie que si plus d'une adresse MAC est détectée sur un port donné, une violation
se produira. Par défaut, les entrées MAC dynamiques dans la table d'adresses n'expirent jamais
tant que l'état du port de commutation reste actif.
PORGO Abdoulaziz 25
6. Les modes de violation de sécurité

Il existe trois modes de violation, en fonction de l'action à entreprendre en cas de violation :
6.1 Mode Protect

Lorsqu'une violation se produit dans ce mode, le port de commutation permettra au trafic
provenant d'adresses MAC connues de continuer à envoyer du trafic tout en abandonnant le
trafic provenant d'adresses MAC inconnues. Lors de l'utilisation de ce mode, aucun message
de notification n'est envoyé lorsque cette violation se produit.
6.2 Mode Restrict

Lorsqu'une violation se produit dans ce mode, le port de commutation permet au trafic
provenant d'adresses MAC connues de continuer à envoyer du trafic tout en abandonnant le
trafic provenant d'adresses MAC inconnues. Cependant, contrairement au type de violation de
protection, un message SNMP est également envoyé indiquant qu'une violation s'est produite
et le compteur de violations s'incrémente.
6.3 Mode shutdown

Lorsqu'une violation se produit dans ce mode, le port de commutation sera mis hors service et
placé dans l'état err-disabled. Le port de commutation restera dans cet état jusqu'à ce qu'il soit
supprimé manuellement ; il s'agit du mode de violation de sécurité par défaut du port de
commutation.
6.4 Shutdown vlan

Shutdown vlan permet de définir le mode de violation de sécurité par VLAN. Dans ce mode, le
VLAN est désactivé par erreur au lieu du port entier lorsqu'une violation se produit
Tableau 3.1 : Tableau de comparaison des modes de violations

Mode de Le trafic est Envoie une Envoie un Affiche un Incréments Ferme le
violation transféré interruption message message du compteur port
SNMP Syslog d’erreur de violations
Protect Non Non Non Non Non Non
Restrict Non Oui Oui Non Oui Non
Shutdown Non Oui Oui Non Oui Oui
7. Vieillissement de la sécurité portuaire

Le vieillissement de la sécurité des ports définit le délai de vieillissement de toutes les adresses
sécurisées sur un port. Deux types de vieillissement sont pris en charge par port :
• Absolu : les adresses sécurisées sur le port sont supprimées après le délai d'expiration
spécifié.
• Inactivité : les adresses sécurisées sur le port sont supprimées uniquement si les
adresses sécurisées sont inactives pendant la durée de validité spécifiée.
PORGO Abdoulaziz 26
8. Recovery
Vous pouvez spécifier une durée pendant laquelle le port va subir les actions provoquées par
une violation. Après ce délai, le port va remonter automatiquement.
II. Etude d’autres solutions existantes de sécurité

Il existe plusieurs solutions de sécurité existantes pour sécuriser un réseau local. Ici nous
étudierons deux types de solutions :
1. Contre-mesures face aux attaques sur le réseau local

Switchport-Port Security permet donc de contrôler au plus bas niveau les accès au réseau.
Elle fait partie de l’arsenal disponible pour contrer des attaques de bas niveau sur les
infrastructures commutées. Parmi d’autres : BPDU Guard
La fonction BPDU Guard empêche le port de recevoir des BPDU STP, mais le port peut
transmettre des BPDU STP. Lorsqu'une BPDU STP est reçue sur un port activé par BPDU
Guard, le port est arrêté et l'état du port passe à l'état ErrDis (Error-Disable). Le port reste dans
l’état ErrDis jusqu'à ce que l'état du port soit modifié manuellement à l'aide de la commande
de configuration close suivie d'un no-shut appliqué sur l'interface. Dans la plupart des
déploiements, la fonctionnalité BPDU Guard est configurée sur les ports STP activés par
PortFast, mais dans cette implémentation, la fonctionnalité BPDU Guard peut être activée sur
n'importe lequel des ports STP, avec ou sans la fonctionnalité PortFast activée sur ces ports.
Deep ARP Inspection
L'inspection dynamique ARP (DAI) est une fonction de sécurité qui valide les paquets ARP
(Address Resolution Protocol) dans un réseau. DAI permet à un administrateur réseau
d'intercepter, d'enregistrer et de supprimer les paquets ARP avec des liaisons adresse MAC à
adresse IP non valides. Cette capacité protège le réseau de certaines attaques de type "man-
inthe-middle". DAI s'assure que seules les requêtes ARP valides et les réponses sont relayées.
Le commutateur effectue ces activités :
• Intercepte toutes les demandes et réponses ARP sur les ports non approuvés
• Vérifie que chacun de ces paquets interceptés à une liaison d'adresse IP-MAC valide
avant de mettre à jour le cache ARP local ou avant de transmettre le paquet à la
destination appropriée
• Jette les paquets ARP invalides.
DAI détermine la validité d'un paquet ARP basé sur des liaisons d'adresse IP-MAC valides
stockées dans une base de données approuvée, la base de données de liaison de surveillance
DHCP. Cette base de données est créée par le snooping DHCP si la surveillance DHCP est
activée sur les VLAN et sur le commutateur. Si le paquet ARP est reçu sur une interface de
confiance, le commutateur transmet le paquet sans aucune vérification. Sur les interfaces non
approuvées, le commutateur transfère le paquet uniquement s'il est valide.
IPv6 First Hop Security
La solution Cisco IPv6 First Hop Security (FHS) protège les réseaux en atténuant ces types
d'attaques et les erreurs de configuration. Il résout les vulnérabilités des opérations de liaison
PORGO Abdoulaziz 27
IPv6, ainsi que les problèmes d'évolutivité dans les grands domaines de la couche 2. Elle permet
de bénéficier d'une défense solide contre les vecteurs d'attaque et les outils largement
disponibles qui exploitent les vulnérabilités.
DHCP Snooping et IP Source Guard
Le protocole DHCP permet d’attribuer et de configurer dynamiquement les adresses IP et

d’autres informations comme la passerelle par défaut, le serveur DNS, etc. des terminaux se
connectant au réseau. Le DHCP snooping et l’IP Source Guard sont des fonctionnalités qui
protègent le commutateur contre diverses attaques portant sur ce protocole. En effet, le
protocole présente, de par sa conception, des faiblesses utilisables par des attaquants pour
perturber le trafic réseau ou usurper des adresses IP. La machine d’un attaquant se faisant passer
pour un serveur DHCP ou encore générant du trafic en se faisant passer pour un autre terminal
IP spoofing sont les deux méthodes d’attaque les plus courantes. Parmi les contre-mesures
existantes, les plus éprouvées sont :
Le DHCP snooping, consistant à :
• déclarer des ports de confiance identifiés comme les seuls par lesquels peuvent provenir
des baux DHCP,
• maintenir une table d’association DHCP au sein du commutateur (appelée table DHCP
snooping) afin qu’il conserve en temps-réel l’état du bail DHCP de tous les terminaux
qui lui sont connectés,
• limiter le nombre de requêtes DHCP par seconde sur une interface,
L’IP Source Guard, consistant à vérifier la cohérence entre les adresses IP utilisées par les
terminaux connectés au commutateur et les données contenues dans la table DHCP snooping,
afin d’empêcher l’IP spoofing.
VLAN
La technologie de réseaux locaux virtuels ou VLAN est définie dans le standard IEEE 802.1Q.
Initialement créée pour limiter le trafic de broadcast au sein d’un réseau local, elle permet de
créer différents réseaux locaux sur des mêmes liens physiques. Chaque VLAN est identifié par
un numéro unique au niveau de la trame Ethernet et les ports des commutateurs sont associés
à un ou plusieurs VLAN. Un équipement connecté à un port peut ainsi communiquer
uniquement avec les équipements connectés au(x) même(s) VLAN. La connexion à un
équipement situé dans un autre VLAN nécessite alors du routage.
PORGO Abdoulaziz 28
2. Les solutions d’accès contrôlé réseau (NAC)

Un réseau local à accès contrôlé requiert l’utilisation d’une infrastructure 802.1X, De façon
synthétique, une telle infrastructure est construite autour de plusieurs clients à savoir : des
commutateurs, des points d’accès sans fil, qui offrent des ports de connexion à des supplicants.
L’état de ces ports est contrôlé par un serveur au moyen des protocoles authentifications. Le
serveur communique avec les clients au travers d’un réseau de confiance et il autorise ou refuse
l’ouverture d’un port à un supplicant après authentification de ce dernier. Le serveur dispose
aussi d’un service de journalisation qui enregistre les évènements liés aux accès réseaux
(tentatives de connexion, déconnexions. . .). Il fournit également les clés cryptographiques
nécessaires à la sécurisation des échanges sans fil entre supplicants et bornes d’accès.
Figure 3.1 : Composants principaux d’un réseau à accès contrôlé

Lors de la phase d’authentification et pour communiquer avec le client et le serveur
d’authentification, La connexion à un réseau à accès contrôlé s’effectue en quatre étapes.
Supplicant : logiciel sur l’équipement d’extrémité cherchant à se connecter à un réseau à accès
contrôlé, afin de fournir une connectivité Ethernet à l’équipement d’extrémité.
Initialisation : le client détecte la tentative de connexion du supplicant à un port dont l’accès
est contrôlé, il active le port en mode non autorisé.
Identification : le client transmet au supplicant une demande d’identification (trame

EAPRequest/Identity) ; le supplicant retourne au client son identité (trame EAP-
Response/Identity) ; le client transmet l’identité du supplicant au serveur (paquet Access-
Request).
Négociation EAP : le serveur envoie au client un paquet contenant la méthode
d’authentification demandée au supplicant (paquet Access-Challenge) ; le client transmet la
demande du serveur au supplicant au travers d’une trame EAP-Request ; si le supplicant
PORGO Abdoulaziz 29
accepte cette méthode, il procède à l’étape d’authentification au moyen de celle-ci, sinon il

renvoie au client les méthodes qu’il supporte et l’étape de négociation recommence.
Authentification : le serveur et le supplicant échangent des messages EAP-Request et EAP-
Response par l’intermédiaire du client suivant la méthode d’authentification choisie, le serveur
fournit une réponse Access-Accept ou Access-Reject suivant le résultat de l’authentification et
de l’autorisation du supplicant :
 si la réponse est Access-Accept, le client bascule le port de connexion dans l’état

autorisé, le supplicant dispose ainsi d’une connectivité Ethernet au réseau à accès
contrôlé,
 si la réponse est Access-Reject, le port reste dans l’état non autorisé et le supplicant ne
dispose d’aucun accès réseau hormis au travers du protocole EAP.
À la fin de la connexion (déconnexion logicielle entrainant un message EAP dédié ou
changement).
1
Figure 3.2 : logigramme de connexion à un réseau à accès contrôlé 802.1X Il
existe deux types de solution : les solutions commerciales et les solutions libres.
Solutions commerciales
Il existe de nombreuses solutions d’accès réseau se sont : Juniper, Enterasys, Extrême

control, Auconet BICS, CounterACT, Pulse Policy, ClearPass, Network sentry, Identity
Services Engine …
Les leaders du marché sont principalement CISCO ISE et ForeScout ConterACT
Les solutions libres
PORGO Abdoulaziz 30
Comme logicielles libre nous avons : PacketFence, Microsoft NAP, Cisco NAC, HP,
Aruba,
…
3. Contrôle d’accès par port 802.1X avec authentification par RADIUS
Dans une entreprise, les commutateurs de desserte sont la principale porte d’entrée du réseau
informatique depuis l’intérieur. Les prises réseau disséminées dans les locaux sont en effet
directement connectées à ces commutateurs et le personnel, voire les visiteurs, y ont
physiquement accès. Leur sécurisation joue donc un rôle essentiel dans le contrôle d’accès dans
le système d’information de l’entreprise. Les ports qui ne sont pas désactivés doivent être
protégés contre la connexion de matériel illégitime, car à ce stade, rien n’empêche une personne
malintentionnée de remplacer une machine légitime par un équipement illégitime ou de
brancher un autre commutateur afin de partager la connexion entre plusieurs machines. Le
mécanismes 802.1X avec authentification par RADIUS avec certificat. Permet de rendre ces
attaques moins évidentes. Cette solution permet non seulement de limiter le nombre de
machines connectées à une même interface d’accès, et en plus apporte en plus un mécanisme
de contrôle d’accès
Dans cette solution, la sécurité va reposer sur la présence d’un serveur RADIUS qui va jouer
le rôle de contrôleur d’accès lors de chaque connexion d’un équipement à l’un des ports du
commutateur. Le mode de fonctionnement est le suivant : tous les ports sont activés par défaut
mais dans un état bloqué. Lorsqu’un terminal se branche, un processus d’authentification
démarre. Si l’authentification réussit, le port est débloqué et la machine cliente accède au
VLAN auquel le port a été rattaché. Dans le cas contraire, le port reste bloqué.
4. Les limites du réseau 802.1X

La mise en place d’un réseau 802.1X apporte plusieurs fonctions de sécurité, dont une
traçabilité précise des accès réseau effectués. Les messages de journalisation permettent par
exemple d’identifier précisément les modifications de branchements d’équipements et les
violations de politiques de sécurité. Cependant, elle ne permet pas de protéger le système
d’information contre toutes les menaces envisageables. Branchement de concentrateurs
En premier lieu, il est possible de connecter un concentrateur réseau entre le port contrôlé et le
supplicant pour connecter des équipements supplémentaires. L’ouverture du port est assurée
par le supplicant, permettant ainsi aux équipements connectés au concentrateur d’accéder au
réseau. Pour pallier ce problème, il est nécessaire d’intervenir dès le niveau 2 de la couche OSI
et de limiter le nombre d’adresses MAC pouvant communiquer sur un port. Utilisation d'un
matériel spécifique
Il est également possible d’utiliser un équipement spécifique à faible coût pour contourner les
mécanismes de sécurité apportés par le protocole 802.1X sur un réseau filaire. De façon
schématique, cet équipement est installé entre le port de connexion du client et le supplicant et
il redirige le trafic EAPoL vers le poste légitime et le reste du trafic vers le poste illégitime
pour lui fournir un accès au réseau.
PORGO Abdoulaziz 31
Tableau 3.2 : Tableau comparative des solutions

Solutions Avantages Limites Compatibilité au
réseau sans fil wifi
Accès au réseau Possibilité de
Switchport Security limité à un certain contourner l’adresses
nombre MAC via des logiciel Non
tel que Smac
Empêche les Disponible que sur les
Deep ARP attaques par équipements Cisco Non
inspection usurpation d’adresse
IP ou MAC
La surveillance Inonde le trafic entre
DHCP agit comme le commutateur et le
DHCP Snooping un pare-feu. Permet serveur DHCP Oui
de pallier les
faiblesses du
Protocol DHCP
Protège les réseaux Réservé uniquement
en atténuant ces pour le IPv6
IPv6 First Hop types d'attaques et
Security les erreurs de Non
configuration de
IPv6
Une segmentation Fastidieux pour
du réseau, une les grands
Vlan augmentation de réseaux Non
sécurité.
Permet une Nécessite un compte
Contrôle d’accès par authentification de pour tous les Oui
port 802.1X tous les utilisateurs utilisateurs.
l’authentification par du réseau LAN
RADUIS
Ce chapitre, nous a permis de savoir les avantages et les limites de notre solution
switchport-Security, elle a aussi permis de mettre en évidence d’autre solution existante qui
peuvent être utilisé pour sécuriser un parc informatique. Notre solution retenue qui est le
switchport-Security sera implémenté dans le chapitre suivant, elle n’est pas forcément la
meilleure solution, mais au sein de notre structure vue l’existent est les failles existantes. Elle
demeure ici une solution efficace pour sécuriser le parc informatique de l’ONEA.
PORGO Abdoulaziz 32
CHAPITRE 4 : IMPLEMENTATION DE LA SOLUTION

SWITCHPORT-SECURITY
PORGO Abdoulaziz 33
Ce chapitre s’appuie sur le chapitre précèdent et sera consacré dans un premier temps à la
mise en œuvre de la solution port-Security puis dans un second temps, il sera question du bilan
de notre stage de deux mois au sein de l’ONEA.
I. Mise en œuvre de la solution switchport-security

1. Simulation avec Packet tracer
Dans le chapitre 3, nous avons expliqué les différents modes de violation dans son
comportement standard c’est-à-dire, le comportement entre deux commutateurs configurés.
Mais dans la pratique, il existe des contraintes à savoir un commutateur non configuré peut être
connecter à un commutateur configuré pour avoir plus de ports de connexions et aussi un
commutateur peut-être déjà configuré avec des vlan. Ici nous simulerons le comportement de
ces cas avec Cisco Packet Tracer.
1.1 Test 1 : test entre un switch configuré et non configurer avec intrusion
Situation : sur le port gig0/2, on configure le switchport-security en indiquant les trois adresses
Mac des ordinateurs internes. Ensuite, nous limiterons les adresses autorisées à trois (03) avec
un PC intrus (top test) et nous verrons comment le LAN se comptera avec les trois modes de
violations.
Figure 4.1 : test entre un switch configuré et non configurer avec intrusion
Mode shutdown : désactive le port Gig0/2 en cas violation. Les PC INTERNES peuvent de
communiquer entre eux et avec le PC intrus top test, mais pas avec les Laptop2 et Laptop3. En
cas de maintenance, dès qu’un port est désactivé, on sait en avance le problème sauf en cas de
manque d’alimentation.
Mode protect : en cas de violation, ce mode ne désactive pas le port, mais interdire la
connexion du top test aux PC INTERNES et aussi au Laptop. La connexion des PC INTERNES
entre eux et les Laptops. Ce mode n’incrément pas le compteur de violation. Donc on n’arrive
pas à déterminer le nombre d’essais d’instructions sur un port donné.
Mode restrict : Arrêt du trafic en cas de violation et autorise la connexion uniquement les
adresses mac autorisées, c’est-à-dire les PC INTERNE entre eux et avec les Laptop2 et
PORGO Abdoulaziz 34
Laptop3. La connexion du PC intrus top test est bloquée avec les PC INTERNE et Laptop2 et
Laptop3. Le compteur de violation s’incrément en cas de violation sur un port donné. Ce mode
peut alerter sur les problèmes non-grave et bloque le Trafic, il rend le dépannage compliqué vue
qu’on a une multitude d’hypothèses possibles.
Pour les adresses mac dynamiques, le port gig0/2 prendra en compte l’adresse du switch non
configuré dans sa table d’adresse mac. C’est-à-dire pour autoriser la connexion des trois PC
INTERNES, nous devons tenir compte de l’adresse du switch non configuré ce qui reviens à
fixer le nombre maximal d’adresse autorisé 4. Par contre pour la configuration statique, il s’agit
de définir les adresses mac autorisé et définir le nombre.
1.2 Test 2 : test avec des équipements configurés avec les VLAN et avec un
switch non configuré
Situation : sur les deux switchs, nous configurons les VLAN 10 et 20. Avec les ports
fastEthenet 0/1 à 0/10 pour le vlan 10 représenté en rose et les ports fastEthenet 0/10 à 24 pour
le vlan 20 représenté en gris. Le port gig0/2 est dans le vlan 10. Nous activions le
switchportsecurity pour voir le comportement des ports et ensuite nous faisions une connexion
entre les switchs 2 configurés et le switch 3 non configurées mais connectés au port gig0/2 qui
fait partir du vlan 10.
Figure 4.2 : test avec des équipements configurés avec les VLANs et avec un switch non
configuré
Ici nous avons examiné les différents modes de violation mais le comportement reste le
comportement standard c’est-à-dire en cas de violation, le mode shutdown désactive le port
voir le Fa0/2, le mode protect et restrict bloque le trafic des adresses mac non autorisés et laisse
passer le trafic des adresses mac autorisés.
PORGO Abdoulaziz 35
Concernant le switch 3 non configuré, le fonctionnent est identique au cas 2 mais ici en cas
d’une configuration d’adresse mac dynamique, l’adresse mac du switchs 3 est prise en compte
dans la table de routage du switch 2. C’est-à-dire si nous voulons autoriser les trois 03
ordinateurs du vlan 10 connectés au switch 3, nous devons fixer le nombre d’adresse mac au
niveau du port gig0/2 au plus quatre 4. Mais dans le cas d’une configuration statique, l’adresse
du switchs 3 n’est pas nécessaire, il apparait comme un switch transparent.
1.3 Conclusion des tests

Au cours de ses tests, nous avons appris que la solution switchport-security s’adapte à toutes
les architectures du réseau et qu’elle est élastique c’est-à-dire peut communiquée avec des
équipements non configurés. Après ses tests nous pouvons mettre en place notre solution tout
en sachant le comportement en avance.
2. Matériels utilisés
Les configurations se sont effectuées sur les équipements de propriété Cisco à savoir switch
29600,
Figure 4.1 : affichage de l’OS de du switch
3. Configuration du switch cas pratique

Avant la configuration, nous avons effectués toutes les adresses mac des ordinateurs portables
de l’entreprise. Ensuite, nous avons procédé à la configuration de la façon suivante :
Configuration des adresses mac
Nous fixions de façon statique les adresses mac des ordinateurs portables et celui des
administrateurs sur les communicateurs de l’entreprise afin de permettre à ses derniers
PORGO Abdoulaziz 36
d’effectuer des travaux de maintenances sur des postes qui tomberont en pannes. Ensuite la
configuration des adresses mac des ordinateurs bureautiques sera fixée de façon
dynamique(sticks), il fera suite à une sensibilisation afin de s’assurer que les premiers
ordinateurs qui se connecterons seront tous issus de l’entreprise. Choix du mode de
violation
Pour le choix, nous avons opter pour le mode shutdown. Ce mode parce qu’il nous facilitera
non seulement la maintenance c’est-à-dire en cas de désactivation d’un port, nous savons
directement avec un pourcentage élevé que c’est dû à une tentative de connexion d’une machine
non autorisé. Ensuite, ce mode nous permet de savoir la partie du réseau informatique qui est
le plus exposé aux attaquex. Ce qui nous permettra de définir des stratégies de sécurité plus
sophistiqué pour certains emplacements pour renforcer le niveau de sécurité de l’entreprise.
Choix du vieillissement des ports
S’agissant du vieillissement des ports, pour éviter des configurations ennuyeuses, nous avons
opté pour le mode Absolu. C’est l’option par défaut.
Le nombre d’adresse maximal

Le nombre est fixé en fonction du nombre des machines qui se trouvent dans chaque bureau en
tenant compte des ordinateurs portables.
3.1 Activation de port-security

La fonction s’active en encodant une première fois la commande switchport port-security en
configuration d’interface.
Figure 4.2 : activation de port-security
3.2 Définition des adresses MAC autorisées

On peut fixer le nombre d’adresses MAC autorisées, ici par exemple 10 :
Figure 4.3 : définition du nombre d’adresses mac autorisées

la configuration des adresses MAC dynamiquement avec le mot clé “sticky“ :
Figure 4.4 : configuration dynamique des adresses mac Les

adresses MAC fixées :
PORGO Abdoulaziz 37
Figure 4.5 : configuration statique des adresses mac
3.3 Mode de “violation”

Une “Violation” est une action prise en cas de non-respect d’une règle port-security.
Figure 4.6 : configuration du mode de violation

Pour finir, nous devons enregistrer les configurations dans la mémoire non volatile du
commutateur avec la commande #copy runing-config
3.4 Diagnostic port-security

Vérification du statut du port-Security sur une interface avec la commande #show port-security
Figure 4.7 : vérification du statut du port security sur interface gig0/2 #show
port-security address
Figure 4.8 : vérification des adresses mac du port security
PORGO Abdoulaziz 38
Cette commande permet de supprimer la configuration du port

#clear port-security {all | configured | dynamic | sticky}
II. Coȗt de la réalisation

Pour la réalisation de ce projet, le principal matériel est le commutateurs Cisco Catalyst 2960.
Ces commutateurs seront utilisés comme des commutateurs d’accès.
Tableau 4.1 : Estimation des couts des équipements du projet
Equipements Nombres Prix unitaire FCFA Total en FCFA
Switch Cisco Catalyst 2960 24 21 590 000 CFA 12 390 000 CFA
ports
Main d’Œuvre … 900 000 CFA 900 000 CFA
TOTAL 13 290 000 CFA
L’ONEA dispose déjà de ses équipements, donc le travail est principalement basé sur les
équipements existant de l’entreprise. Ce qui signifie que l’ONEA n’est pas obligé d’acquérir
des nouveaux équipements. Le travail effectué et qui devra être rémunérer sera celui du
spécialiste.
III. Bilan du stage

1. Travail effectué
Tout au long de notre stage à l’ONEA, nous étions chargés d’assister les informaticiens
principalement côté réseau informatique. Dans ce service, nous étions chargés d’appuyer le
personnel de l’ONEA siège avec ceux des Agences de la ville de Ouagadougou lorsqu’il
rencontre des difficultés à se connecter à l’internet. Les principales pannes que nous avons
rencontrées sont :
• les problèmes de connexion sont liés au désactivation d’un port du au bourrage des
machines ;
• les problèmes de connexion dû au manque de l’alimentation ; cela se produit en cas de
manque d’électricité du à la SONABEL. Il suffit de mettre le secteur sur le courant
ondulé ;
• la mise en réseau des imprimantes ;
• les difficultés de certaines machines à se connecter à l’internet dû à un problème de
DHCP ;
• les pannes matériels (écran, unité centrale …)
PORGO Abdoulaziz 39
2. Acquis
Les acquis de ce stage sont en réalité une immersion dans le milieu professionnel et d’un grand
avantage pour nous en tant qu’un étudiant de deuxième année. Nous pouvons citer :
• l’esprit et le travail en équipe ;

• la mise en réseaux des équipements ;
• la consolidation des connaissances apprises en classe ; le dépannage des
commutateurs.
• le stockage
3. Difficultés rencontrées
Nous nous adaptons aux circonstances, ce qui fait que nous n’avons pas rencontrés de difficulté
majeure. Même si elles étaient mineures il y en a une qui particulièrement nous a été très
instructive ; il est arrivé pendant des dépannages, d’être à court de solutions. Mais c’est pendant
ces moments que l’on apprend plus.
Ce chapitre nous a permis de comprendre le fonctionnement de la solution switchport

Security avec des équipements non configurés, et suivie de la configuration dans l’entreprise.
Il a aussi permis de faire un bilan des difficultés, des acquis et du travail effectué au cours de
notre stage. Ce pendant pour les raisons de sécurité, nous avons utilisé certains capturés de la
configuration d’un logiciel de simulation Packet Tracer pour la rédaction de ce chapitre.
PORGO Abdoulaziz 40
Conclusion Générale
Dans le cadre de la réalisation de ce projet au sein de l’Office Nationale de l’Eau et de
l’Assainissement, et partant d’un souci de sécurité et d’un besoin de protection des ressources
critiques et vitales d’une manière permanente, nous avons travaillé sur la mise en place d’un
protocole de sécurité : switchport-security. La solution est encore plus nécessaire quand on sait
que l’ONEA accepte les moyens de payement mobile pour la règlementation des factures. La
solution adoptée, lors de la réalisation du Project, s’appuie sur des propriétés Cisco. Une fois
déployée, elle permet de réagir et d’empêcher des instructions et des tentatives de connexion
au réseau aux machines inconnues dans le LAN de l’ONEA.
Le domaine informatique évolue de plus en plus chaque jour, La sécurité informatique
des entreprises doit s’adapter à cette évolution. Elle doit être dynamique et remise en question
de manière permanente afin de suivre l'évolution des systèmes, de l'environnement et des
risques. Elle doit prendre en contre les menaces externes même afin de garantir un grand niveau
de sécurité plus optimale.
PORGO Abdoulaziz 41
SQGSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSHHHHHHHHHHHHHHHHHH
H
Bibliographie
[1] SOMA Milan Ismaail Ilias, Rapport académique DIT 2017-2018, Etude et optimisation
du système d’interconnexion des réseaux informatiques des principales agences de
l’ONEA dans la ville de Ouagadougou.
[2] Jérémie THIOMBIANO, ISGE-BF, cous de 2éme année 2021, Administration réseau et
système.
[3] Recommandations de déploiement du protocole 802.1x pour le contrôle d'accès à des
réseaux locaux, ANSSI, ANSSI-PA-043 07/08/2018
[4] Recommandations relatives à l'administration sécurisée des systèmes d'information,
ANSSI, ANSSI-PA-022 11/05/2021 : www.ssi.gouv.fr.
[5] Configuring Port Security

http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html
[6] OUEDRAOGO Issouf Alan Wisdom, Rapport académique DTS 2019-2020, Securisation
du reseau informatique de la MEBF(configuration VLAN, Switchport-security, SSO).
PORGO Abdoulaziz X
H
Webographie
[7] Site officiel de l’Office national de l’Eau et l’Assainissement consulté en ligne le 29 juin
2021 à 21h11 sur le site officielle : https://oneabf.com/
[8] Introduction dans la sécurité dans le LAN consulté le 14/07/2021 à 10h40 sur le site :
https://cisco.goffinet.org/ccna/securite-lan/introduction-securite-dans-le-lan/
[9] https://www.cisco.com/c/fr_ca/support/docs/switches/catalyst-3750-
seriesswitches/72846-layer2-secftrs-catl3fixed.html consulté 25/07/2021
[10] https://tutodidacte.com/Cisco-Port-security/ consulté 03/08/2021
[11] https://www.pluralsight.com/blog/it-ops/switchport-security-configuration consulté
21/08/2021
[12] https://study-ccna.com/port-security/ consulté 21/08/2021
[13] https://ccna-200-301.online/implement-port-security/ consulté 15/08/2021
PORGO Abdoulaziz XI
H
Table des matières

DEDICACES ............................................................................................................................ II
Remerciements ........................................................................................................................ III
PREAMBULE .......................................................................................................................... V
Liste des sigles et abréviations ................................................................................................ VI
Liste des figures .................................................................................................................... VIII
Liste des tableaux .................................................................................................................... IX
Introduction Générale ................................................................................................................ 1
CHAPITRE 1 : PRESENTATION DE LA STRUCTURE D’ACCUEIL .......................... 2
I. Présentation de l’Office National de l’Eau et de l’Assainissement....................................... 3
1. Présentation de l’ONEA ....................................................................................................... 3
2. Historique ............................................................................................................................. 3
3. Organigramme l’ONEA........................................................................................................ 5
4. L’organe de direction et des unités de rattachement ............................................................ 5
4.1 Le Directeur Générale (DG) ................................................................................................ 5
4.2 Le secrétaire Général (SG) ................................................................................................. 6
4.3 Le Conseiller Technique(CT) ............................................................................................. 6
4.4 L’Assistance de Direction(AD) .......................................................................................... 6
4.5 Département Système d’Information (DSI)........................................................................ 6
4.5.1 Service Application Information (SAI) ........................................................................... 6
4.5.2 Service Infrastructure Réseau (SIR) ................................................................................ 7
4.5.3 Service support utilisateur ............................................................................................... 7
4.5.4 Service Système d’Informatique Géographique .............................................................. 7
5. Mission de l’ONEA .............................................................................................................. 8
6. Les projets de l’ONEA ......................................................................................................... 8
6.1 Les projets en Eaux .............................................................................................................. 8
6.2 Les projets en assainissements............................................................................................ 8
7. Politique qualité de l’ONEA ................................................................................................. 9
8. L’orientation stratégique ....................................................................................................... 9
9. Les enjeux recouverts ........................................................................................................... 9
10. Notre fil conducteur .......................................................................................................... 10
II. Contexte et thème de projets ............................................................................................... 10
CHAPITRE 2 : PRESENTATION ET ANALYSE DU RESEAU LAN DE L’ONEA ... 12
I. Généralité sur les systèmes de sécurité ............................................................................... 13
PORGO Abdoulaziz XII

H
1. Introduction à un système de sécurité ................................................................................. 13

1.1 L’Objectif d’un système de sécurité ................................................................................. 13
1.2 Vulnérabilité ...................................................................................................................... 13
1.3 Menaces ............................................................................................................................. 14
1.4 Attaques ............................................................................................................................. 14
1.5 Risque ............................................................................................................................... 15
2. Typologie des attaques ....................................................................................................... 15
2.1 Usurpation d’adresses ou Spoofing ................................................................................... 15
2.2 Attaque Denial-of-Service (DoS)/(DDoS) ........................................................................ 15
2.3 Malwares............................................................................................................................ 15
2.4 Vulnérabilités humaines ................................................................................................... 16
2.5 Attaque APR ..................................................................................................................... 16
3. Sécurité dans le LAN .......................................................................................................... 17
3.1 Introduction........................................................................................................................ 17
3.2 Attaque dans le réseau LAN .............................................................................................. 17
3.3 Cible................................................................................................................................... 18
3.4 Importance de sécuriser le réseau informatique ................................................................ 19
II. Présentation du réseau de l’ONEA ..................................................................................... 20
III. Analyse de la sécurité réseau local de l’ONEA ................................................................. 21
1. L’analyse de la sécurité physique du réseau ....................................................................... 21
1.1 Système de contrôle d’accès personnel ............................................................................. 21
1.2 Accès sécurisés aux matériels ............................................................................................ 21
1.3 Utilisation du matériel dédié.............................................................................................. 21
1.4 Des locaux techniques à chaque niveau............................................................................. 21
2. L’analyse de la sécurité logique du réseau ......................................................................... 22
CHAPITRE 3 : ETUDE DE LA SOLUTION SWITCHPOR-SECURITY ..................... 23
I. Etude du protocole switchport port-Security....................................................................... 24
1. Qu’est-ce que le switchport-Security.................................................................................. 24
2. Avantages ........................................................................................................................... 24
3. Inconvénients ...................................................................................................................... 24
4. Sécurisation par adresses MAC .......................................................................................... 25
4.1 Les types d’adresses Mac sécurisées ................................................................................. 25
4.2 Les adresses mac sécurisées collantes ............................................................................... 25
5. Les causes de violation de sécurité ..................................................................................... 25
PORGO Abdoulaziz XIII

H
6. Les modes de violation de sécurité ..................................................................................... 26

6.1 Mode Protect ...................................................................................................................... 26
6.2 Mode Restrict..................................................................................................................... 26
6.3 Mode shutdown ................................................................................................................. 26
6.4 Shutdown vlan ................................................................................................................... 26
7. Vieillissement de la sécurité portuaire ................................................................................ 26
8. Recovery ............................................................................................................................. 27
II. Etude d’autres solutions existantes de sécurité ................................................................... 27
1. Contre-mesures face aux attaques sur le réseau local ......................................................... 27
2. Les solutions d’accès contrôlé réseau (NAC) ..................................................................... 29
3. Contrôle d’accès par port 802.1X avec authentification par RADIUS .............................. 31
4. Les limites du réseau 802.1X.............................................................................................. 31
CHAPITRE 4 : IMPLEMENTATION DE LA SOLUTION SWITCHPORT-
SECURITY ............................................................................................................................ 33
I. Mise en œuvre de la solution switchport-security ............................................................... 34
1. Simulation avec Packet tracer ............................................................................................. 34
1.1 Test 1 : test entre un switch configuré et non configurer avec intrusion ........................... 34
1.2 Test 2 : test avec des équipements configurés avec les VLAN et avec un switch non
configuré .................................................................................................................................. 35
1.3 Conclusion des tests........................................................................................................... 36
2. Matériels utilisés ................................................................................................................. 36
3. Configuration du switch cas pratique ................................................................................. 36
3.1 Activation de port-security ................................................................................................ 37
3.2 Définition des adresses MAC autorisées ........................................................................... 37
3.3 Mode de “violation” .......................................................................................................... 38
3.4 Diagnostic port-security .................................................................................................... 38
II. Coȗt de la réalisation........................................................................................................... 39
III. Bilan du stage ................................................................................................................... 39
1. Travail effectué ................................................................................................................... 39
2. Acquis ................................................................................................................................. 40
3. Difficultés rencontrées ........................................................................................................ 40
Conclusion Générale ................................................................................................................ 41
PORGO Abdoulaziz XIV

H
Bibliographie............................................................................................................................. X
Webographie ............................................................................................................................ XI
Table des matières.................................................................................................................. XII
XI
PORGO Abdoulaziz X
V

DTS RIT 2021 PORGO Abdoulaziz

Transféré par

Droits d'auteur :

Formats disponibles

DTS RIT 2021 PORGO Abdoulaziz

Transféré par

Informations du document

Description originale:

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

DTS RIT 2021 PORGO Abdoulaziz

Transféré par

Droits d'auteur :

Formats disponibles

Burkina Faso

Institut Supérieur de Génie Electrique

Filière : Réseaux Informatiques et Télécommunications

RAPPORT DE STAGE DE FIN DE CYCLE

Stage effectué à l’ONEA du 07 juillet au 07 Septembre 2021

Soutenu le 09 septembre 2021 par :

KAFANDO Bila President (MOOV AFRICA)

Année Académique 2020 -2021

A mon frère et à mes sœurs Kassoum, Mariam, Nimatou

Je remercie Dieu le tout-puissant de nous avoir donné la santé et la volonté d’entamer et de

Mes remerciements s’adressent également à toute l’équipe du Département Système

PORGO Abdoulaziz III

L’Institut Supérieur de Génie Électrique du Burkina Faso (ISGE-BF) est un établissement

Liste des sigles et abréviations

AAA Authentication Authorization Accounting

802.1x Contrôle d’accès réseau basé sur les ports

Liste des figures

Figure 1.1 : L’organigramme et organisation de l’ONEA ...................................................... 5

Liste des tableaux

Tableau 3.1 : Tableau de comparaison des modes de violations ........................................... 26

CHAPITRE 1 : PRESENTATION DE LA STRUCTURE D’ACCUEIL

Notre stage s’est déroulé au sein du siège de l’Office National de l’Eau et de

I. Présentation de l’Office National de l’Eau et de l’Assainissement

La gestion des systèmes collectifs d’AEP a relevé d’entreprises privées ou à participations

 en 1976 : l’eau, une affaire publique

 en 1990 : la restructuration de l’ONEA

 17/09/2003 : Adoption du cahier des charges de l’ONEA

Service Service Service Service Systeme

Figure 1.1 : L’organigramme et organisation simplifiés de l’ONEA

4. L’organe de direction et des unités de rattachement

4.1 Le Directeur Générale (DG)

4.2 Le secrétaire Général (SG)

4.3 Le Conseiller Technique(CT)

4.4 L’Assistance de Direction(AD)

 Vérifier le dynamisme et la fluidité de la circulation de l’information du sommet vers le

4.5 Département Système d’Information (DSI)

4.5.1 Service Application Information (SAI)

4.5.2 Service Infrastructure Réseau (SIR)

4.5.3 Service support utilisateur

4.5.4 Service Système d’Informatique Géographique

En plus des directions définies, le DG gère d’autres organisations à savoir :

 Le Centre des Métiers de l’Eau (CEMEAU)

6. Les projets de l’ONEA

6.1 Les projets en Eaux

Projet de Renforcement d’AEP dans quatre localités du Burkina Faso (Tenkodogo,

6.2 Les projets en assainissements

Programme Approvisionnement en Eau et Assainissement au Burkina Faso (PEA-GIZ)

7. Politique qualité de l’ONEA

9. Les enjeux recouverts

 Construction de près de 10 000 km de réseau d’eau, 70 000 m³ de réservoirs et 250 000

10. Notre fil conducteur

II. Contexte et thème de projets

Au terme de ce premier chapitre, nous avons présenté l’Office National de l’eau et de

CHAPITRE 2 : PRESENTATION ET ANALYSE DU RESEAU LAN DE

I. Généralité sur les systèmes de sécurité

1.1 L’Objectif d’un système de sécurité

• L’authentification : L’identification des utilisateurs est fondamentale pour gérer les

• La non-répudiation et l’imputation : Aucun utilisateur ne doit pouvoir contester les