# Ouvrir vers l'exterieur l'accès à Open-Prod

#### **<span lang="EN-US">1. Principe général</span>**

<span lang="EN-US">L’objectif est de permettre à des utilisateurs autorisés d’accéder à Open-Prod depuis Internet, tout en conservant le serveur de production dans le réseau interne de l’entreprise. Le client, ou son prestataire informatique, choisit l’architecture adaptée à son contexte et met en place les composants réseau et sécurité nécessaires.</span>

**<span lang="EN-US" style="color: #1f4e79;">Message clé à retenir</span>**

<p class="callout info"><span lang="EN-US"><span lang="EN-US" style="font-size: 10.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%; font-family: 'Aptos',sans-serif; mso-fareast-font-family: Aptos; mso-bidi-font-family: 'Times New Roman'; mso-bidi-theme-font: minor-bidi; mso-ansi-language: EN-US; mso-fareast-language: EN-US; mso-bidi-language: AR-SA;">Open-Prod ne doit pas nécessairement être directement exposé sur Internet. Dans la majorité des cas, l’accès passe par des équipements intermédiaires : pare-feu, NAT, reverse proxy, VPN ou service de sécurité équivalent.</span></span></p>

<p class="callout warning">**<span lang="EN-US"><span lang="EN-US" style="font-size: 10.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%; font-family: 'Aptos',sans-serif; mso-fareast-font-family: Aptos; mso-bidi-font-family: 'Times New Roman'; mso-bidi-theme-font: minor-bidi; mso-ansi-language: EN-US; mso-fareast-language: EN-US; mso-bidi-language: AR-SA;">Le client mettra en place les mécanismes nécessaires, notamment DNS, routage, pare-feu, NAT, reverse proxy, VPN ou tout dispositif équivalent, afin de permettre un accès sécurisé depuis Internet au serveur Open-Prod de production hébergé sur son réseau interne. La configuration et la sécurisation de ce chemin d’accès relèvent de la responsabilité du client ou de son prestataire informatique. L’équipe 1Life pourra intervenir pour assister à la validation applicative une fois les accès réseau opérationnels.</span></span>**</p>

####  

#### **<span lang="EN-US">2. </span><span lang="EN-US">Choisir le scénario d’accès adapté</span>**

<div align="center" id="bkmrk-sc%C3%A9nario-principe-ca"><table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; height: 455.406px; width: 96.0714%; border: medium none currentcolor;"><tbody><tr style="height: 47.9062px;"><td style="width: 24.9384%; border: 1pt solid windowtext; background: rgb(31, 78, 121); padding: 5pt; height: 47.9062px;" width="121">**<span lang="EN-US" style="font-size: 8.5pt; mso-bidi-font-size: 11.0pt; line-height: 107%; color: white;">Scénario</span>**

</td><td style="width: 18.8589%; border-width: 1pt 1pt 1pt medium; border-style: solid solid solid none; border-color: windowtext windowtext windowtext currentcolor; background: rgb(31, 78, 121); padding: 5pt; height: 47.9062px;" width="189">**<span lang="EN-US" style="font-size: 8.5pt; mso-bidi-font-size: 11.0pt; line-height: 107%; color: white;">Principe</span>**

</td><td style="width: 14.0201%; border-width: 1pt 1pt 1pt medium; border-style: solid solid solid none; border-color: windowtext windowtext windowtext currentcolor; background: rgb(31, 78, 121); padding: 5pt; height: 47.9062px;" width="197">**<span lang="EN-US" style="font-size: 8.5pt; mso-bidi-font-size: 11.0pt; line-height: 107%; color: white;">Cas d’usage typique</span>**

</td><td style="width: 42.1844%; border-width: 1pt 1pt 1pt medium; border-style: solid solid solid none; border-color: windowtext windowtext windowtext currentcolor; background: rgb(31, 78, 121); padding: 5pt; height: 47.9062px;" width="121">**<span lang="EN-US" style="font-size: 8.5pt; mso-bidi-font-size: 11.0pt; line-height: 107%; color: white;">Niveau de sécurité</span>**

</td></tr><tr style="height: 98.2969px;"><td style="width: 24.9384%; border-width: medium 1pt 1pt; border-style: none solid solid; border-color: currentcolor windowtext windowtext; padding: 5pt; height: 98.2969px;" width="121">**<span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Accès direct HTTPS</span>**

</td><td style="width: 18.8589%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 98.2969px;" width="189"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Le pare-feu redirige le flux HTTPS vers le serveur ou le service exposé.</span>

</td><td style="width: 14.0201%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 98.2969px;" width="197"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Petite structure, architecture simple, faible nombre d’utilisateurs externes.</span>

</td><td style="width: 42.1844%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 98.2969px;" width="121"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Sécurité à </span><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">maîtriser, faible coût de mise en oeuvre. A utiliser obligatoirement si un service externe doit accéder de manière permanente à des ressources Open-Prod (Services de RFE, lien vers des services M365, etc.).</span>

</td></tr><tr style="height: 81.5px;"><td style="width: 24.9384%; border-width: medium 1pt 1pt; border-style: none solid solid; border-color: currentcolor windowtext windowtext; padding: 5pt; height: 81.5px;" width="121">**<span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">VPN</span>**

</td><td style="width: 18.8589%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 81.5px;" width="189"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Les utilisateurs se connectent d’abord au réseau interne via VPN.</span>

</td><td style="width: 14.0201%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 81.5px;" width="197"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Cas recommandé pour la majorité des entreprises.</span>

</td><td style="width: 42.1844%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 81.5px;" width="121"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Permet de garantir une protection importante des accès externes et une authentification forte des utilisateurs en mobilité ou en connexion de sites à sites.</span>

</td></tr><tr style="height: 81.5px;"><td style="width: 24.9384%; border-width: medium 1pt 1pt; border-style: none solid solid; border-color: currentcolor windowtext windowtext; padding: 5pt; height: 81.5px;" width="121">**<span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Reverse proxy</span>**

</td><td style="width: 18.8589%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 81.5px;" width="189"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Un serveur intermédiaire reçoit les connexions Internet et relaie vers Open-Prod.</span>

</td><td style="width: 14.0201%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 81.5px;" width="197"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Cas recommandé pour la majorité des entreprises.</span>

</td><td style="width: 42.1844%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 81.5px;" width="121"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Bon niveau de sécurité et meilleure maîtrise. Solution plus complexe à maitriser car elle repose souvent sur une couche réseau et une couche applicative sur le serveur Open-Prod.</span>

</td></tr><tr style="height: 64.7031px;"><td style="width: 24.9384%; border-width: medium 1pt 1pt; border-style: none solid solid; border-color: currentcolor windowtext windowtext; padding: 5pt; height: 64.7031px;" width="121">**<span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Reverse proxy + WAF</span>**

</td><td style="width: 18.8589%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 64.7031px;" width="189"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Ajout d’un filtrage applicatif avancé devant le service publié.</span>

</td><td style="width: 14.0201%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 64.7031px;" width="197"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Entreprise avec exigences de sécurité fortes.</span>

</td><td style="width: 42.1844%; border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: currentcolor windowtext windowtext currentcolor; padding: 5pt; height: 64.7031px;" width="121"><span lang="EN-US" style="font-size: 8.0pt; mso-bidi-font-size: 11.0pt; line-height: 107%;">Renforcé.</span>

</td></tr></tbody></table>

</div>####  

#### **<span lang="EN-US">3. Démarches à réaliser pas à pas</span>**

##### **<span lang="EN-US">Étape 1 - Identifier le serveur Open-Prod à publier</span>**

**<span lang="EN-US">Responsable principal : </span>**<span lang="EN-US">Client</span>

**<span lang="EN-US">Actions à réaliser :</span>**

- <span lang="EN-US" style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol;"><span style="mso-list: Ignore;"><span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span lang="EN-US">Identifier le nom du serveur Open-Prod de production.</span>
- <span lang="EN-US">Relever son adresse IP interne.</span>
- <span lang="EN-US">Confirmer les ports applicatifs utilisés.</span>
- <span lang="EN-US">Vérifier que l’application fonctionne depuis le réseau local.</span>

**<span lang="EN-US">Livrable attendu : </span>**<span lang="EN-US">Nom du serveur, adresse IP interne, ports utilisés.</span>

#####  

##### **<span lang="EN-US">Étape 2 - Valider le besoin d’accès externe</span>**

**<span lang="EN-US">Responsable principal : </span>**<span lang="EN-US">Client / Métier / DSI</span>

**<span lang="EN-US">Actions à réaliser :</span>**

- <span lang="EN-US">Identifier les profils ou services qui doivent accéder à Open-Prod depuis l’extérieur.</span>
- <span lang="EN-US">Déterminer si l’accès concerne des salariés, agences, fournisseurs, clients ou prestataires, des services Web externes.</span>
- <span lang="EN-US">Définir si l’accès doit être permanent, ponctuel ou limité à certaines plages horaires.</span>

**<span lang="EN-US">Livrable attendu : </span>**<span lang="EN-US">Liste des utilisateurs ou populations ou services web concernées et règles d’accès attendues.</span>

#####  

##### **<span lang="EN-US">Étape 3 - Choisir l’architecture d’exposition</span>**

**<span lang="EN-US">Responsable principal : </span>**<span lang="EN-US">Client / Prestataire informatique</span>

**<span lang="EN-US">Actions à réaliser :</span>**

- <span lang="EN-US">Choisir entre accès direct HTTPS, reverse proxy, VPN, WAF ou hébergement externe.</span>
- <span lang="EN-US">Prendre en compte les contraintes de sécurité internes.</span>
- <span lang="EN-US">Valider l’architecture avec le responsable informatique ou le prestataire réseau.</span>

**<span lang="EN-US">Livrable attendu : </span>**<span lang="EN-US">Schéma cible ou description de l’architecture retenue.</span>

#####  

##### **<span lang="EN-US">Étape 4 - Vérifier la connectivité Internet entrante</span>**

**<span lang="EN-US">Responsable principal : </span>**<span lang="EN-US">Client / Opérateur télécom</span>

**<span lang="EN-US">Actions à réaliser :</span>**

- <span lang="EN-US">Vérifier la disponibilité d’une adresse IP publique fixe ou d’un mécanisme équivalent.</span>
- <span lang="EN-US">S’assurer que l’opérateur autorise les connexions entrantes nécessaires.</span>
- <span lang="EN-US">Vérifier que l’équipement réseau frontal est administrable.</span>

**<span lang="EN-US">Livrable attendu : </span>**<span lang="EN-US">Adresse IP publique ou information de publication équivalente.</span>

##### **<span lang="EN-US">Étape 5 - Créer le nom DNS d’accès</span>**

**<span lang="EN-US">Responsable principal : </span>**<span lang="EN-US">Client / Gestionnaire DNS</span>

**<span lang="EN-US">Actions à réaliser :</span>**

- <span lang="EN-US">Créer un nom DNS dédié, par exemple openprod.masociete.fr.</span>
- <span lang="EN-US">Faire pointer ce nom vers l’adresse publique ou le point d’entrée retenu.</span>
- <span lang="EN-US">Vérifier la résolution DNS depuis Internet.</span>

**<span lang="EN-US">Livrable attendu : </span>**<span lang="EN-US">Nom DNS définitif communiqué aux utilisateurs.</span>

#####  

##### **<span lang="EN-US">Étape 6 - Configurer le routage, le NAT et le pare-feu</span>**

**<span lang="EN-US">Responsable principal : </span>**<span lang="EN-US">Client / Prestataire réseau</span>

**<span lang="EN-US">Actions à réaliser :</span>**

- <span lang="EN-US">Créer les règles de pare-feu nécessaires.</span>
- <span lang="EN-US">Mettre en place le NAT ou la redirection vers le reverse proxy ou le serveur cible.</span>
- <span lang="EN-US">Limiter l’exposition aux seuls ports nécessaires.</span>
- <span lang="EN-US">Activer ou conserver la journalisation des accès.</span>

**<span lang="EN-US">Livrable attendu : </span>**<span lang="EN-US">Flux réseau opérationnels et filtrés.</span>

##### **<span lang="EN-US">Étape 7 - Mettre en place HTTPS et le certificat</span>**

**<span lang="EN-US">Responsable principal : </span>**<span lang="EN-US">Client / Prestataire informatique</span>

**<span lang="EN-US">Actions à réaliser :</span>**

- <span lang="EN-US">Obtenir ou générer un certificat SSL/TLS valide.</span>
- <span lang="EN-US">Installer le certificat sur kle serveur Open-Prod.</span>
- <span lang="EN-US">Vérifier que l’accès se fait en HTTPS sans alerte navigateur.</span>

**<span lang="EN-US">Livrable attendu : </span>**<span lang="EN-US">URL HTTPS valide, par exemple https://openprod.masociete.fr.</span>

#####  

##### **<span lang="EN-US">Étape 8 - Renforcer la sécurité</span>**

**<span lang="EN-US">Responsable principal : </span>**<span lang="EN-US">Client / DSI</span>

**<span lang="EN-US">Actions à réaliser :</span>**

- <span lang="EN-US">Restreindre les accès lorsque cela est possible par adresse IP, VPN, MFA ou règles spécifiques.</span>
- <span lang="EN-US">Maintenir les composants exposés à jour.</span>
- <span lang="EN-US">Surveiller les journaux d’accès.</span>
- <span lang="EN-US">Prévoir une procédure de coupure rapide en cas d’incident.</span>

**<span lang="EN-US">Livrable attendu : </span>**<span lang="EN-US">Mesures de durcissement validées.</span>

#####  

##### **<span lang="EN-US">Étape 9 - Réaliser les tests de validation</span>**

**<span lang="EN-US">Responsable principal : </span>**<span lang="EN-US">Client + équipe Open-Prod</span>

**<span lang="EN-US">Actions à réaliser :</span>**

- <span lang="EN-US">Tester l’accès depuis un réseau externe.</span>
- <span lang="EN-US">Contrôler le certificat HTTPS.</span>
- <span lang="EN-US">Vérifier la connexion à Open-Prod et les principales fonctions métier.</span>
- <span lang="EN-US">Contrôler les performances et les journaux côté infrastructure.</span>

**<span lang="EN-US">Livrable attendu : </span>**<span lang="EN-US">Validation technique et fonctionnelle de l’accès externe.</span>

#### **<span lang="EN-US">5. Check-list client avant sollicitation des équipes 1life</span>**

**<span lang="EN-US">☐ </span>**<span lang="EN-US">Le serveur Open-Prod de production est identifié.</span>

**<span lang="EN-US">☐ </span>**<span lang="EN-US">L’adresse IP interne et les ports applicatifs sont connus.</span>

**<span lang="EN-US">☐ </span>**<span lang="EN-US">L’accès Open-Prod fonctionne sur le réseau local.</span>

**<span lang="EN-US">☐ </span>**<span lang="EN-US">Le scénario d’accès externe est choisi : reverse proxy, VPN, WAF, NAT direct ou hébergement externe.</span>

**<span lang="EN-US">☐ </span>**<span lang="EN-US">Le nom DNS public est défini ou en cours de création.</span>

**<span lang="EN-US">☐ </span>**<span lang="EN-US">L’adresse IP publique ou le point d’entrée Internet est connu.</span>

**<span lang="EN-US">☐ </span>**<span lang="EN-US">Les règles de pare-feu et de NAT sont préparées ou planifiées.</span>

**<span lang="EN-US">☐ </span>**<span lang="EN-US">Le certificat SSL/TLS est prévu ou déjà disponible.</span>

**<span lang="EN-US">☐ </span>**<span lang="EN-US">Les exigences de sécurité internes sont validées par la DSI ou le prestataire informatique.</span>

#### **<span lang="EN-US">7. Points de vigilance</span>**

<span lang="EN-US">Ne pas exposer inutilement plusieurs ports : limiter l’accès au strict nécessaire. </span><span lang="EN-US">Pour les écahnges depuis l'exterieur du réseau privilégier HTTPS avec certificat valide afin d’éviter les alertes navigateur et de chiffrer les échanges. </span><span lang="EN-US">Éviter, lorsque cela est possible, l’exposition directe du serveur applicatif : préférer un reverse proxy, un VPN ou un dispositif contrôlé. </span><span lang="EN-US">Prévoir une journalisation exploitable en cas d’incident ou d’audit. </span><span lang="EN-US">Documenter précisément l’architecture retenue pour faciliter le support et les évolutions futures.</span>

#### **<span lang="EN-US">8. Schéma de principe simplifié</span>**

<span lang="EN-US">Internet  
<span style="mso-spacerun: yes;"> </span>|  
<span style="mso-spacerun: yes;"> </span>v  
Nom DNS public : openprod.monsociete.fr  
<span style="mso-spacerun: yes;"> </span>|  
<span style="mso-spacerun: yes;"> </span>v  
Adresse IP publique / point d’entrée client  
<span style="mso-spacerun: yes;"> </span>|  
<span style="mso-spacerun: yes;"> </span>v  
Pare-feu / NAT / Reverse proxy / VPN / WAF  
<span style="mso-spacerun: yes;"> </span>|  
<span style="mso-spacerun: yes;"> </span>v  
Serveur Open-Prod de production sur le réseau interne</span>

<div align="center" id="bkmrk-"></div>