Projet Eco-Mobile – Infrastructure multi-sites

ECO-MOBIL – Infrastructure informatique sécurisée

Mise en place complète d'une infrastructure réseau multi-sites pour une entreprise de location de véhicules en expansion sur l'axe Saint-Étienne – Bourg-en-Bresse. Projet principal de l'épreuve E5 du BTS SIO SISR.

2024 – 2025 · BTS SIO SISR 2ᵉ année Binôme : Thomas & Lukas Sécurité · Réseau · Virtualisation Projet E5 – Épreuve BTS
Épreuve E5 BTS SIO

Informations du projet

Entreprise fictive

ECO-MOBIL – Location de véhicules

Période

2024 – 2025 · BTS SIO SISR 2ᵉ année

Équipe

Thomas (Infrastructure & sécurité) + Lukas (Virtualisation & supervision)

Mon rôle

Infrastructure réseau, pare-feux (pfSense/Fortinet), Active Directory, sécurité

Cadre

Épreuve E5 BTS SIO SISR – Lycée Saint Michel, Annecy

Méthodologie

Méthode Agile – Sprints de 2 semaines

Contexte & objectif

ECO-MOBIL est une entreprise de location de véhicules qui souhaite étendre son activité en France sur l'axe Saint-Étienne / Bourg-en-Bresse. Le projet prévoit l'ouverture de trois nouvelles agences (Saint-Étienne, Lyon, Bourg-en-Bresse) et le déménagement du siège dans des locaux plus grands pour accueillir les services RH, marketing, technique et administratif.

Notre mission, en tant que maîtrise d'œuvre (MOE), était de concevoir et déployer l'ensemble de l'infrastructure informatique de cette nouvelle organisation : réseau multi-sites sécurisé, serveurs virtualisés, Active Directory, outils de supervision et de gestion de parc, accès à distance, et documentation complète.

L'objectif principal était d'atteindre 95 % de disponibilité des services, zéro incident critique, et une gestion centralisée de 100 % des utilisateurs dans l'Active Directory — le tout déployé en conditions réelles sur des machines virtuelles et un équipement physique (pare-feu Fortinet).

Nous avons appliqué la méthode Agile, avec des sprints de deux semaines chacun aboutissant à un livrable fonctionnel, des revues de sprint et des rétrospectives régulières avec notre professeur.

L'infrastructure : 3 sites interconnectés

L'infrastructure couvre trois environnements distincts qui communiquent entre eux via un routage inter-sites défini sur les pare-feux.

Site physique
Site de Bron
Pare-feu physique · 4 VLAN configurés
  • Pare-feu Fortinet physique (port 8 en WAN)
  • 4 VLAN isolés : RH (10), Marketing (20), Entrepôt (30), Direction (40)
  • Serveur Windows Server 2022 avec Active Directory
  • Partages SMB sécurisés par service (droits NTFS)
  • GPO : verrouillage automatique, politique de sécurité entreprise
Site virtuel
Site de Lyon
Pare-feu virtuel · Site Lyon
  • Pare-feu pfSense en machine virtuelle
  • 1 machine cliente Windows sur le réseau LAN
  • Routes configurées vers Bron et la Ferme de serveurs
  • Route par défaut vers la passerelle commune
  • Règles DMZ : HTTP/HTTPS → serveur IIS, blocage par défaut
Ferme virtuelle
Ferme de serveurs
Pare-feu virtuel · Ferme de serveurs
  • Second pare-feu pfSense (mode bridge)
  • 4 machines virtuelles Debian 13 (1 vCPU, 2 Go RAM, 16 Go)
  • 1 serveur TrueNAS pour le stockage NAS partagé
  • Services : BDD, GLPI, Supervision, Zabbix (via Docker)
  • Accès inter-sites via routes statiques

Mes missions – Infrastructure & sécurité

Ma partie du projet portait sur tout ce qui concerne le réseau, les pare-feux et la sécurité des accès.

Pare-feux pfSense & Fortinet

J'ai configuré les deux pare-feux pfSense (Lyon et Ferme de serveurs) et le Fortinet physique de Bron. Chaque site dispose de ses propres règles de flux, avec une politique de blocage par défaut et des autorisations explicites uniquement pour ce qui est nécessaire.

  • Configuration des interfaces WAN/LAN sur chaque pfSense
  • Mise en place des tables de routage inter-sites (Bron ↔ Lyon ↔ Ferme)
  • Règles DMZ sur pfSense Lyon : autorisation HTTP/HTTPS vers IIS, tout le reste bloqué
  • Configuration Fortinet Bron : isolation stricte entre VLAN, routage interne
  • Route par défaut commune identique pour tous les sites

VLAN & segmentation réseau

Sur le site de Bron, j'ai mis en place une segmentation réseau par service via des VLAN configurés sur le switch. Chaque département est isolé dans son propre sous-réseau, ce qui limite la propagation d'incidents (malware, intrusion) entre services.

  • VLAN 10 – RH | VLAN 20 – Marketing | VLAN 30 – Entrepôt | VLAN 40 – Direction
  • Isolation stricte entre VLAN (pas de communication directe entre services)
  • Routage inter-VLAN contrôlé par le Fortinet
  • Principe du moindre privilège réseau : chaque VLAN n'accède qu'à ce dont il a besoin

Active Directory & GPO

J'ai déployé et configuré le serveur Active Directory sur Windows Server 2022 hébergé à Bron. Il centralise l'authentification de tous les utilisateurs de l'entreprise et applique des politiques de sécurité uniformes via les GPO.

  • Création des utilisateurs par service : RH (Sylvie), Marketing (Mark), Entrepôt (Henry), Direction (Directeur), Technicien (Tech)
  • Organisation en groupes et unités organisationnelles (OU) par service
  • GPO "Sécurité entreprise" : verrouillage automatique de session
  • Partages SMB sécurisés : chaque service accède uniquement à son dossier (droits NTFS)
  • Compte technicien avec droits élargis pour les interventions de support

Configuration des VMs Debian & services

La ferme de serveurs repose sur 4 machines virtuelles Debian 13 configurées de façon identique pour garantir la cohérence et la sécurité. Chaque VM héberge un rôle précis dans l'infrastructure.

  • Configuration commune : mise à jour système, utilisateur administrateur "tek" avec sudo, shell Fish, IP statique, snapshot avant toute installation
  • Serveur BDD : Apache2, MariaDB sécurisé, phpMyAdmin
  • Serveur GLPI : déployé via Docker pour la gestion de parc
  • Serveur Zabbix : déployé via Docker pour la supervision avancée
  • TrueNAS : stockage NAS centralisé pour les sauvegardes

Services déployés

L'infrastructure finale met à disposition de l'entreprise 6 services accessibles depuis le réseau interne.

GLPI – Gestion de parc & ticketing

Déployé sur Docker. Permet de déclarer un incident, suivre les tickets et vérifier le matériel enregistré par utilisateur. Accessible depuis le réseau interne.

Zabbix – Supervision avancée

Tableau de bord de surveillance des serveurs et équipements déployé via Docker. Permet de visualiser l'état en temps réel et de recevoir des alertes. Accessible depuis le réseau interne.

Wazuh – Supervision sécurité (SIEM)

Outil de détection d'incidents de sécurité, centralisation des alertes et investigation. Permet d'anticiper les compromissions et de corréler les événements suspects.

MariaDB + phpMyAdmin – Base de données

Serveur de base de données sécurisé avec durcissement MySQL et interface d'administration phpMyAdmin.

TrueNAS – Stockage NAS centralisé

Espace de stockage partagé accessible depuis tous les sites via un partage SMB. Authentification via les identifiants Active Directory.

Nextcloud – Cloud collaboratif

Espace de travail en ligne accessible via les identifiants Windows Active Directory. Permet le partage de fichiers et la collaboration entre les trois sites.

Déroulement du projet – Méthode Agile

Le projet a été découpé en 5 sprints de deux semaines, chacun aboutissant à un livrable fonctionnel validé.

S1
Sprint 1 – Analyse & mise en place de l'environnement

Rédaction du cahier des charges, validation des objectifs SMART, création du dépôt partagé sur Nextcloud, mise en place de GLPI pour le suivi, et création du réseau virtuel de base. Jalon J1 : cahier des charges validé.

S2
Sprint 2 – Active Directory & utilisateurs

Déploiement de Windows Server 2022, configuration de l'Active Directory, création de tous les utilisateurs par service, mise en place des GPO et des partages SMB sécurisés. Jalon J2 : schéma logique/physique validé.

S3
Sprint 3 – Pare-feux, VLAN & VPN

Configuration des pfSense (Lyon et Ferme), du Fortinet de Bron, mise en place des VLAN sur le switch, routage inter-sites, règles DMZ et politique de sécurité réseau. Jalon J3 : serveurs configurés.

S4
Sprint 4 – Supervision, Zabbix & tests de sécurité

Déploiement de Zabbix et Wazuh, configuration des agents de supervision, tests de connectivité inter-sites (ping, routes), tests de charge et vérifications des règles de pare-feu. Jalon J4 : tests de sécurité validés.

S5
Sprint 5 – Documentation & présentation finale

Rédaction de la documentation technique complète et de la documentation utilisateur, revue finale avec le professeur, ajustements, puis soutenance orale devant tous les acteurs. Jalon J5 : rapport final + soutenance.

Livrables rendus

Trois documents produits à l'issue du projet, en plus de l'infrastructure fonctionnelle.

Document de gestion de projet

Cahier des charges, objectifs SMART, WBS, jalons, plan Agile, gestion des risques et bilan final. Rédigé à deux avec Lukas.

Documentation technique

Adressage IP complet, configuration de chaque équipement (pfSense, Fortinet, VMs), comptes techniques, schéma réseau, tables de routage, procédures de déploiement.

Documentation utilisateur

Guide d'accès simplifié aux services (GLPI, Zabbix, TrueNAS, Nextcloud), bonnes pratiques de sécurité, procédure d'ouverture de ticket, accès à distance.

Schéma logique de l'infrastructure

Vue d'ensemble des trois sites interconnectés et des services déployés.

Schéma logique infrastructure ECO-MOBIL
Site de Bron (physique)

Protégé par un pare-feu Fortinet physique. Le réseau LAN est segmenté en 4 VLAN (RH, Marketing, Entrepôt, Direction). Le serveur Active Directory Windows est hébergé ici.

Site de Lyon (virtuel)

Site virtuel sécurisé par un pfSense. Contient une machine cliente Windows sur le réseau LAN. Les règles DMZ autorisent uniquement HTTP/HTTPS entrant vers le serveur IIS.

Ferme de serveurs (virtuelle)

Deuxième pfSense en mode bridge. Héberge 4 VMs Debian (GLPI, MariaDB, Zabbix, TrueNAS) accessibles depuis tous les sites via le routage inter-sites.

Mes missions – Infrastructure & sécurité

Ma partie du projet portait sur tout ce qui concerne le réseau, les pare-feux et la sécurité des accès.

Pare-feux pfSense & Fortinet

J'ai configuré les deux pare-feux pfSense (Lyon et Ferme de serveurs) et le Fortinet physique de Bron. Chaque site dispose de ses propres règles de flux, avec une politique de blocage par défaut et des autorisations explicites uniquement pour ce qui est nécessaire.

  • Configuration des interfaces WAN/LAN sur chaque pfSense
  • Mise en place des tables de routage inter-sites (Bron ↔ Lyon ↔ Ferme)
  • Règles DMZ sur pfSense Lyon : autorisation HTTP/HTTPS vers IIS, tout le reste bloqué
  • Configuration Fortinet Bron : isolation stricte entre VLAN, routage interne
  • Route par défaut commune identique pour tous les sites

VLAN & segmentation réseau

Sur le site de Bron, j'ai mis en place une segmentation réseau par service via des VLAN configurés sur le switch. Chaque département est isolé dans son propre sous-réseau, ce qui limite la propagation d'incidents (malware, intrusion) entre services.

  • VLAN 10 – RH | VLAN 20 – Marketing | VLAN 30 – Entrepôt | VLAN 40 – Direction
  • Isolation stricte entre VLAN (pas de communication directe entre services)
  • Routage inter-VLAN contrôlé par le Fortinet
  • Principe du moindre privilège réseau : chaque VLAN n'accède qu'à ce dont il a besoin

Active Directory & GPO

J'ai déployé et configuré le serveur Active Directory sur Windows Server 2022 hébergé à Bron. Il centralise l'authentification de tous les utilisateurs de l'entreprise et applique des politiques de sécurité uniformes via les GPO.

  • Création des utilisateurs par service : RH (Sylvie), Marketing (Mark), Entrepôt (Henry), Direction (Directeur), Technicien (Tech)
  • Organisation en groupes et unités organisationnelles (OU) par service
  • GPO "Sécurité entreprise" : verrouillage automatique de session
  • Partages SMB sécurisés : chaque service accède uniquement à son dossier (droits NTFS)
  • Compte technicien avec droits élargis pour les interventions de support

Configuration des VMs Debian & services

La ferme de serveurs repose sur 4 machines virtuelles Debian 13 configurées de façon identique pour garantir la cohérence et la sécurité. Chaque VM héberge un rôle précis dans l'infrastructure.

  • Configuration commune : mise à jour système, utilisateur administrateur "tek" avec sudo, shell Fish, IP statique, snapshot avant toute installation
  • Serveur BDD : Apache2, MariaDB sécurisé, phpMyAdmin
  • Serveur GLPI : déployé via Docker pour la gestion de parc
  • Serveur Zabbix : déployé via Docker pour la supervision avancée
  • TrueNAS : stockage NAS centralisé pour les sauvegardes

Services déployés

L'infrastructure finale met à disposition de l'entreprise 6 services accessibles depuis le réseau interne.

GLPI – Gestion de parc & ticketing

Déployé sur Docker. Permet de déclarer un incident, suivre les tickets et vérifier le matériel enregistré par utilisateur. Accessible depuis le réseau interne.

Zabbix – Supervision avancée

Tableau de bord de surveillance des serveurs et équipements déployé via Docker. Permet de visualiser l'état en temps réel et de recevoir des alertes. Accessible depuis le réseau interne.

Wazuh – Supervision sécurité (SIEM)

Outil de détection d'incidents de sécurité, centralisation des alertes et investigation. Permet d'anticiper les compromissions et de corréler les événements suspects.

MariaDB + phpMyAdmin – Base de données

Serveur de base de données sécurisé avec durcissement MySQL et interface d'administration phpMyAdmin.

TrueNAS – Stockage NAS centralisé

Espace de stockage partagé accessible depuis tous les sites via un partage SMB. Authentification via les identifiants Active Directory.

Nextcloud – Cloud collaboratif

Espace de travail en ligne accessible via les identifiants Windows Active Directory. Permet le partage de fichiers et la collaboration entre les trois sites.

Déroulement du projet – Méthode Agile

Le projet a été découpé en 5 sprints de deux semaines, chacun aboutissant à un livrable fonctionnel validé.

S1
Sprint 1 – Analyse & mise en place de l'environnement

Rédaction du cahier des charges, validation des objectifs SMART, création du dépôt partagé sur Nextcloud, mise en place de GLPI pour le suivi, et création du réseau virtuel de base. Jalon J1 : cahier des charges validé.

S2
Sprint 2 – Active Directory & utilisateurs

Déploiement de Windows Server 2022, configuration de l'Active Directory, création de tous les utilisateurs par service, mise en place des GPO et des partages SMB sécurisés. Jalon J2 : schéma logique/physique validé.

S3
Sprint 3 – Pare-feux, VLAN & VPN

Configuration des pfSense (Lyon et Ferme), du Fortinet de Bron, mise en place des VLAN sur le switch, routage inter-sites, règles DMZ et politique de sécurité réseau. Jalon J3 : serveurs configurés.

S4
Sprint 4 – Supervision, Zabbix & tests de sécurité

Déploiement de Zabbix et Wazuh, configuration des agents de supervision, tests de connectivité inter-sites (ping, routes), tests de charge et vérifications des règles de pare-feu. Jalon J4 : tests de sécurité validés.

S5
Sprint 5 – Documentation & présentation finale

Rédaction de la documentation technique complète et de la documentation utilisateur, revue finale avec le professeur, ajustements, puis soutenance orale devant tous les acteurs. Jalon J5 : rapport final + soutenance.

Livrables rendus

Trois documents produits à l'issue du projet, en plus de l'infrastructure fonctionnelle.

Document de gestion de projet

Cahier des charges, objectifs SMART, WBS, jalons, plan Agile, gestion des risques et bilan final. Rédigé à deux avec Lukas.

Documentation technique

Adressage IP complet, configuration de chaque équipement (pfSense, Fortinet, VMs), comptes techniques, schéma réseau, tables de routage, procédures de déploiement.

Documentation utilisateur

Guide d'accès simplifié aux services (GLPI, Zabbix, TrueNAS, Nextcloud), bonnes pratiques de sécurité, procédure d'ouverture de ticket, accès à distance.

Schéma logique de l'infrastructure

Vue d'ensemble des trois sites interconnectés et des services déployés.

Internet / WAN Site de Bron (physique) Pare-feu Fortinet Politique deny by default Switch — 4 VLAN RH · Marketing · Entrepôt · Direction Active Directory Utilisateurs · GPO · SMB Postes utilisateurs Wazuh agent · BitLocker Wazuh SIEM Supervision sécurité Site de Lyon (virtuel) Pare-feu pfSense Routes + DMZ Machine cliente Lyon Ferme de serveurs (virtuelle) Pare-feu pfSense Routes inter-sites GLPI — Gestion de parc MariaDB + phpMyAdmin Zabbix — Supervision TrueNAS — Stockage NAS Nextcloud — Cloud collab. Légende Site physique Site virtuel Ferme de serveurs Lien inter-sites WAN Service (Docker / VM) Pare-feu actif Supervision sécurité

Compétences BTS SIO mobilisées

Ce projet est le plus complet du BTS et couvre l'ensemble du référentiel SISR.

C1

Gérer le patrimoine informatique – Déploiement et inventaire de l'infrastructure complète via GLPI, gestion des équipements, documentation de tous les composants réseau et serveurs.

C2

Répondre aux incidents – Mise en place de GLPI pour le ticketing, supervision via Zabbix et Wazuh pour détecter et traiter les incidents avant qu'ils impactent les services.

C3

Développer la présence en ligne – Déploiement de Nextcloud pour la collaboration et la présence numérique de l'entreprise.

C4

Travailler en mode projet – Application de la méthode Agile sur 5 sprints, gestion documentaire sur Nextcloud, jalons validés et soutenance finale devant les acteurs.

C5

Mettre à disposition un service informatique – Déploiement de 6 services fonctionnels (GLPI, Zabbix, Wazuh, MariaDB, TrueNAS, Nextcloud) accessibles sur le réseau interne.

C6

Développement professionnel – Découverte de technologies avancées en conditions réelles (Docker, pfSense, Fortinet, Wazuh), gestion de projet en binôme, présentation orale.

Ce que j'ai appris

  • Concevoir une infrastructure réseau multi-sites de A à Z
  • Configurer des pare-feux pfSense et Fortinet en conditions réelles
  • Mettre en place une segmentation VLAN et un routage inter-sites
  • Déployer et administrer un Active Directory complet (OU, GPO, SMB)
  • Utiliser Docker pour déployer des services (GLPI, Zabbix) proprement
  • Produire une documentation technique et utilisateur professionnelle
  • Travailler en mode projet Agile sur plusieurs semaines en binôme
  • Présenter et défendre un projet technique à l'oral devant un jury
Retour aux projets Voir mes compétences Voir mes stages