Skip to main content

Ouvrir vers l'exterieur l'accès à Open-Prod

1. Principe général

L’objectif est de permettre à des utilisateurs autorisés d’accéder à Open-Prod depuis Internet, tout en conservant le serveur de production dans le réseau interne de l’entreprise. Le client, ou son prestataire informatique, choisit l’architecture adaptée à son contexte et met en place les composants réseau et sécurité nécessaires.

Message clé à retenir

Open-Prod ne doit pas nécessairement être directement exposé sur Internet. Dans la majorité des cas, l’accès passe par des équipements intermédiaires : pare-feu, NAT, reverse proxy, VPN ou service de sécurité équivalent.

2. Choisir le scénario d’accès adapté

Scénario

Principe

Cas d’usage typique

Niveau de sécurité

Accès direct HTTPS

Le pare-feu redirige le flux HTTPS vers le serveur ou le service exposé.

Petite structure, architecture simple, faible nombre d’utilisateurs externes.

Sécurité à maîtriser, faible coût de mise en oeuvre.  A utiliser obligatoirement si un service externe doit accéder de manière permanente à des ressources Open-Prod (Services de RFE, lien vers des services M365, etc.).

VPN

Les utilisateurs se connectent d’abord au réseau interne via VPN.

Cas recommandé pour la majorité des entreprises.

Permet de garantir une protection importante des accès externes et une authentification forte des utilisateurs en mobilité ou en connexion de sites à sites.

Reverse proxy

Un serveur intermédiaire reçoit les connexions Internet et relaie vers Open-Prod.

Cas recommandé pour la majorité des entreprises.

Bon niveau de sécurité et meilleure maîtrise. Solution plus complexe à maitriser car elle repose souvent sur une couche réseau et une couche applicative sur le serveur Open-Prod.

Reverse proxy + WAF

Ajout d’un filtrage applicatif avancé devant le service publié.

Entreprise avec exigences de sécurité fortes.

Renforcé.

3. Démarches à réaliser pas à pas

Étape 1 - Identifier le serveur Open-Prod à publier

Responsable principal : Client

Actions à réaliser :

·         Identifier le nom du serveur Open-Prod de production.

·         Relever son adresse IP interne.

·         Confirmer les ports applicatifs utilisés.

·         Vérifier que l’application fonctionne depuis le réseau local.

Livrable attendu : Nom du serveur, adresse IP interne, ports utilisés.

Étape 2 - Valider le besoin d’accès externe

Responsable principal : Client / Métier / DSI

Actions à réaliser :

·         Identifier les profils qui doivent accéder à Open-Prod depuis l’extérieur.

·         Déterminer si l’accès concerne des salariés, agences, fournisseurs, clients ou prestataires, des services Web externes.

·         Définir si l’accès doit être permanent, ponctuel ou limité à certaines plages horaires.

Livrable attendu : Liste des utilisateurs ou populations concernées et règles d’accès attendues.

Étape 3 - Choisir l’architecture d’exposition

Responsable principal : Client / Prestataire informatique

Actions à réaliser :

·         Choisir entre accès direct HTTPS, reverse proxy, VPN, WAF ou hébergement externe.

·         Prendre en compte les contraintes de sécurité internes.

·         Valider l’architecture avec le responsable informatique ou le prestataire réseau.

Livrable attendu : Schéma cible ou description de l’architecture retenue.

Étape 4 - Vérifier la connectivité Internet entrante

Responsable principal : Client / Opérateur télécom

Actions à réaliser :

·         Vérifier la disponibilité d’une adresse IP publique fixe ou d’un mécanisme équivalent.

·         S’assurer que l’opérateur autorise les connexions entrantes nécessaires.

·         Vérifier que l’équipement réseau frontal est administrable.

Livrable attendu : Adresse IP publique ou information de publication équivalente.

Étape 5 - Créer le nom DNS d’accès

Responsable principal : Client / Gestionnaire DNS

Actions à réaliser :

·         Créer un nom DNS dédié, par exemple openprod.monsociete.fr.

·         Faire pointer ce nom vers l’adresse publique ou le point d’entrée retenu.

·         Vérifier la résolution DNS depuis Internet.

Livrable attendu : Nom DNS définitif communiqué aux utilisateurs.

Étape 6 - Configurer le routage, le NAT et le pare-feu

Responsable principal : Client / Prestataire réseau

Actions à réaliser :

·         Créer les règles de pare-feu nécessaires.

·         Mettre en place le NAT ou la redirection vers le reverse proxy ou le serveur cible.

·         Limiter l’exposition aux seuls ports nécessaires.

·         Activer ou conserver la journalisation des accès.

Livrable attendu : Flux réseau opérationnels et filtrés.

Étape 7 - Mettre en place HTTPS et le certificat

Responsable principal : Client / Prestataire informatique

Actions à réaliser :

·         Obtenir ou générer un certificat SSL/TLS valide.

·         Installer le certificat sur le reverse proxy, le pare-feu applicatif ou le serveur exposé.

·         Vérifier que l’accès se fait en HTTPS sans alerte navigateur.

Livrable attendu : URL HTTPS valide, par exemple https://openprod.monsociete.fr.

Étape 8 - Renforcer la sécurité

Responsable principal : Client / DSI

Actions à réaliser :

·         Restreindre les accès lorsque cela est possible par adresse IP, VPN, MFA ou règles spécifiques.

·         Maintenir les composants exposés à jour.

·         Surveiller les journaux d’accès.

·         Prévoir une procédure de coupure rapide en cas d’incident.

Livrable attendu : Mesures de durcissement validées.

Étape 9 - Réaliser les tests de validation

Responsable principal : Client + équipe Open-Prod

Actions à réaliser :

·         Tester l’accès depuis un réseau externe.

·         Contrôler le certificat HTTPS.

·         Vérifier la connexion à Open-Prod et les principales fonctions métier.

·         Contrôler les performances et les journaux côté infrastructure.

Livrable attendu : Validation technique et fonctionnelle de l’accès externe.