1 le réseau interministériel de l’État jres 2013 11 décembre 2013
TRANSCRIPT
1
Le réseau interministériel de l’ÉtatJRES 201311 décembre 2013
2
Le contexte administratif
La feuille de route du projet
Architecture et point d’avancement
Questions/réponses
3
Le contexte administratif
4
Le contexte administratif : le « numérique » interministériel
Février 2011: création de la direction interministérielle des systèmes d’information, rattachée au Secrétaire Général du Gouvernement :
− « DSI groupe » de l’État
− Elle a notamment en charge la conduite des opérations de mutualisation entre les administrations de l’État
Octobre 2012: création du secrétariat général de la modernisation de l’action publique− Regroupant l'ensemble des services en charge de la MAP :
− La direction interministérielle de la modernisation de l’État (DIMAP)
− La direction interministérielle des systèmes d’information et de communication (DISIC)
− La mission Etalab
− Placé sous l’autorité du Premier ministre, rattaché au secrétaire général du Gouvernement et mis à disposition de la ministre de la réforme de l’État.
Décembre 2012: création du service à compétence nationale « réseau interministériel de l’État », rattaché à la DISIC, qui a pour missions :
− La conception et déploiement du réseau interministériel,
− L’exploitation et maintien en conditions opérationnelles et de sécurité (en lien avec l’ANSSI)
− La mise en œuvre des services communs associés au réseau,
− La conduite des travaux nécessaires aux évolutions du réseau et des services associés.
5
Le contexte administratif : organisation du SGMAP et de la DISIC
6
La feuille de route du projet
7
La décision de création du réseau interministériel de l’État (RIE)
Le Conseil des ministres du 25 mai 2011 a décidé de la mise en place d’un « réseau interministériel sécurisé regroupant l’ensemble des réseaux des ministères et permettant la continuité de l’action gouvernementale en cas de dysfonctionnement grave d’Internet ». Le RIE remplacera l’ensemble des réseaux ministériels existants.
La création du RIE répond à deux enjeux majeurs :
Mutualiser et optimiser les systèmes d’information de l’Etat dans un contexte de réorganisation de l’administration territoriale
− Favoriser les échanges interministériels dans le cadre de l’ATE et dans la continuité des initiatives déjà menées en matière d’infrastructures (réseau AdER/SIGMA) et de services applicatifs (Chorus, ONP)
− Garantir une continuité et une qualité de service
− Maîtriser les coûts informatiques
Sécuriser le système d’information de l’Etat
− Protéger le patrimoine informationnel de l’Etat
− Se prémunir des attaques, ciblées ou génériques
− Préserver la confiance dans les données et applications de l’Etat
8
Le point de départ : les réseaux des administrations de l’État en 2013
9
Le point de départ : les réseaux des administrations de l’État en 2013
17 réseaux indépendants, de tailles très inégales, avec chacun :− Son marché, son calendrier, ses opérateurs− Son architecture spécifique− Ses fonctions de pilotage, exploitation, supervision− Ses accès Internet, Partenaires, réseaux tiers− Son niveau de sécurisation propre
Un 18e (AdER/SIGMA) pour leur permettre de communiquer (un peu) entre eux, et avec le réseau de la Communauté Européenne (sTESTA)
Des interconnexions ad hoc privatives entre certains réseaux, notamment liées aux réorganisations
Environ 17 000 sites sur le territoire national (métropole, DOM et COM)
10
La cible : le réseau interministériel de l‘État
11
La cible : le réseau interministériel de l‘État
Le service à compétence nationale RIE constitue l’opérateur réseau unique des ministères et leur propose des services réseau natifs.
Il opère un cœur de réseau haut débit mutualisé sur une infrastructure privative. Le cœur porte toutes les interfaces externes ainsi que les échanges interministériels
Le RIE raccorde l’ensemble des sites ministériels, administrations centrales et déconcentrées, en métropole et dans les DOM-COM.
Les sites sont raccordés via les opérateurs nationaux, par plaques géographiques, et utilisent les services du cœur.
Le RIE apporte un socle commun d’architecture, exploitation, supervision et pilotage, ainsi qu’un socle de sécurité homogène
Il permettra progressivement le développement des offres de services ministérielles et interministérielles
12
Chiffres clés
12 000 kms de fibre optique
Cœur de réseau à 10 Gbit/s évolutif
12 points de collecte nationaux
17 000 sites en métropole et DOM-COM
Une quinzaine de SI ministériels transportés
13
Architecture et point d’avancement
14
Backbone - Points de présence (PIB) hébergés en datacenters ministériels
Bordeaux
Marseille
Rennes
Toulouse
Lille
Lyon
Nantes
Strasbourg
Paris
15
Rappel de l’infrastructure optique existante de RENATER
16
FON - Tracé du backbone et points de présence (PIB)
PIB Bordeaux
PIB Marseille
PIB Toulouse
PIB Lyon 1
PIB Nantes
PIB Rennes
PIB Paris 1
PIB Paris 2
PIB Paris 3PIB Paris 4
PIB Lyon 2
NR Toulouse
NR Bordeaux
NR Nantes
NR Rennes
NR Lyon 1 NR Lyon 2
NR Lille
NR Caen
NR Rouen
NR Clermont
PIB Lille
PIB Rennes
PIB Lyon 1
PIB Lyon 2
NR Paris 1NR Paris 2
NR Montpellier
FON supplémentaires
NR Marseille 1 NR Marseille 2
PIB Lille
FON RENATER
NRShelter
PIB
EXISTANT :
NOUVEAU :
NR Compiègne
17
Partenariat avec RENATER pour les FON et le transport niveau 1
FON
Transmission
Supervision du réseau fibre
− Réseau constitué par des liens RIE s’appuyant sur RENATER
− Réseau constitué par des liens RIE spécifiques s’appuyant sur des FON SFR
− FON éclairées par RENATER, lambda privative(s)
− NOC RENATER
Convention signée avec le GIP RENATER le 28 novembre 2012
18
Principe de raccordement d’un PIB à l’infrastructure optique RENATER
Principe valable pour tous les sites, sauf : Les 4 PIB de Paris, reliés à 2 NR Renater Les 2 PIB de Lyon, reliés à 2 NR Renater et aussi reliés entre eux, Marseille, relié à 2 NR Renater
vers PIB amont
NR
PIB
Shelter
vers PIB aval
FON RENATER existante
FON NR-PIB sur marché DISIC
FON PIB-shelter du marché RENATER
Local de régénération du signal optique (opérateur)
Lambda(s) RENATER
Lambda(s) RIE
19
Architecture RIE – FON + Lambdas
20
Architecture L2/L3 du backbone
21
Services L2/L3 du RIE
Haute disponibilité et transparence aux cas de simple défaillance
Réseau sécurisé
Convergence rapide (<50ms)
Support IPv4/IPv6 Unicast/Multicast
Approche Multi-Services :
− Mise en œuvre de services d’interconnexion de niveau 3 cloisonnés de bout en bout de type MPLS L3VPN
− Mise en œuvre de service d’interconnexion niveau 2 P2P de type VPWS (point à point)
− Mise en œuvre de service d’interconnexion niveau 2 MP2MP de type VPLS (multipoint/multipoint)
Support et mise en œuvre d’un service d’extranet inter-VPN filtré via des plates-formes de service
Gestion de la Qualité de Service hiérarchique (QoS)
Standardisation : évolutivité, complexité et facilité d’exploitation
Accès Internet
22
Raccordement des réseaux de collecte
En métropole, chaque communauté fait l’objet d’un marché subséquent de l’accord-cadre « collecte » qui référence les deux opérateurs nationaux
Chaque communauté raccorde ses sites au cœur de réseau (PIB) via l’opérateur de collecte retenu, par plaques géographiques (régions ou inter-régions)
La connexion physique d’un réseau de collecte opérateur aux PIB est réalisée lorsque cet opérateur est choisi pour la première fois dans le cadre d’un marché subséquent
Si l’interconnexion physique entre le réseau de collecte et le PIB existe déjà, seul un lien logique entre ce réseau de collecte et le PIB est créé
Deux types de raccordement possibles :
− Raccordement L3 VPN
− Raccordement L2 VPN
Les collectes spécifiques (DOM, COM et niveau 2 en Ile de France) font l’objet de marchés à bons de commande séparés, communs à l’ensemble des communautés
23
Répartition des plaques de collecte sur les PIB
N° Régions
1Ile de France
(petite couronne + Paris)
2Alsace
LorraineChampagne-Ardenne
3Nord-pas-de calais
Picardie
4Haute-NormandieBasse-Normandie
Centre
5Bretagne
Pays de la Loire
6AquitaineLimousin
Poitou-Charentes
7Midi-Pyrénées
Languedoc-Roussillon
8Provence-Alpes-Côte d'Azur
Corse
9 Rhône-Alpes
10BourgogneAuvergne
Franche-Comté
11 Ile de France (Grande couronne)
24
Collecte et QoS hiérarchique
Mise en œuvre d’un mécanisme de shaping et de classes de service pour une entité logique − Une bande passante fixe est réservée pour chaque ministère et à l’intérieur de cette bande passante, des
classes de services sont mises en œuvre.
Permet, sur une même interface physique, d’offrir des services différenciés pour chacun des VPN des ministères en appliquant une politique de QoS par ministère
PORTE DE COLLECTE PIB
INTERFACE 1GE
VLAN 1000VPN de collecte ministère X
Engagement de service opérateur : 200Mb/sshaping 200Mb/s
VLAN 2000VPN de collecte ministère Y
Engagement de service opérateur : 300Mb/sshaping 300Mb/s
RTVIDEO
D1D2D3
Default
RTVIDEO
D1D2D3
Default
Avec H-QOS
PORTE DE COLLECTE PIB
INTERFACE 1 GE
(possibilité de shaping global)
RT
VIDEO
D1
D2
D3
Default
VPN YVPN X
VPN YVPN X
VPN YVPN X
VPN YVPN X
VPN YVPN X
VPN YVPN X
Sans H-QOS
25
AdER sur le RIE : le backbone vecteur des flux inter-communautés
Tous les échanges entre communautés ministérielles s’effectuent au niveau du cœur de réseau selon deux mécanismes principaux :
– un mécanisme de filtrage mis en œuvre par défaut pour les échanges intercommunautaires, utilisant des plateformes de filtrage et d’analyse de flux (avec NAT source).
– un mécanisme de routage pour les échanges ne nécessitant pas de filtrage, ou pour les flux ne pouvant être supportés par les plateformes de service (téléphonie ou visioconférence).
Des sondes de sécurité, fournies et exploitées par l’ANSSI, seront positionnées dans le cœur de réseau pour détecter les propagations d’attaques ou de malwares en analysant :
– Les flux intercommunautaires au niveau des plateformes de services– Les flux échangés avec Internet au niveau des plateformes d’accès à Internet
26
Offre en partenariat avec l’UGAP pour les « partenaires » publics
Bénéficiaires : les services publics hors périmètre des marchés RIE (établissements publics sous tutelle, autorités indépendantes, collectivités territoriales…) ayant à communiquer de façon privative et maîtrisée avec les services de l’État utilisateurs du RIE
Via l’accord-cadre WAN de l’UGAP (printemps 2014)
Par inclusion d’unités d’œuvre dédiées au raccordement d’un site ou WAN « partenaire » au cœur de réseau RIE
Exigences similaires à celles portant sur la collecte RIE : gamme de raccordements, engagements de service, supervision RIE, livraison des flux dans des VPN dédiés sur des PIB…
Les flux partenaires sont traités en cœur de réseau (routage, NAT, inspection…) commetoute autre interface externe du RIE
27
Bilan des travaux 2013
Le déploiement du cœur de réseau s’est achevé à l’été :− Cœur haut débit construit sur l’infrastructure de RENATER− 12 centres informatiques ministériels hébergent les principaux points de
raccordement au cœur de réseau
Les premiers sites ministériels sont déployés pour validation technique d’ici fin 2013 :− deux départements pilotes : Pyrénées Atlantiques et Somme− trois régions pilotes : Champagne Ardennes, Auvergne et Haute Normandie
Le déploiement cible est engagé par périmètres ministériels :− Lancement du déploiement du premier périmètre en septembre 2013
− Environ 5000 sites relevant de 7 ministères− Cadence de déploiement cible à partir de mars 2014 (jusqu’à 150
sites/semaine)− Appel d’offres en cours pour le second périmètre
− Environ 3300 sites, lancement début 2014
28
MERCI de votre attention
Questions/réponses ?