Projet BrasiliaMedilab

Projet Brasilia MediLab

Conception et déploiement d’un SI laboratoire critique – réalisé en solo

Entre janvier et avril 2024, j’ai pris en charge l’intégralité de l’infrastructure informatique d’un laboratoire classé Opérateur d’Importance Vitale. L’objectif : disposer d’un système haute disponibilité, conforme NIS 2 / RGPD et prêt pour l’audit ANSSI, tout en contenant les coûts matériels à 3 000 €.

1. Architecture réseau : un plan d’adressage lisible et évolutif

• Bloc global 172.16.80.0/21 – un seul résumé routé vers le backbone du groupe, 2 048 adresses pour accompagner la croissance.
  
  

• Découpage en /24 par fonction :
  * VLAN 10 Admin (172.16.80.0) – support, GLPI, jump‑box.
  * VLAN 20 Serveurs (172.16.81.0) – AD, Zabbix, NAS, web.
  * VLAN 30 Postes (172.16.82.0) – biologistes, secrétariat.
  * VLAN 40 Instruments (172.16.83.0) 
  * VLAN 50 Invités (172.16.84.0) – Wi‑Fi visiteurs, isolé.
  * VLAN 60 Sauvegardes (172.16.85.0) – NAS
  * VLAN 70 Supervision (172.16.86.0) – traps SNMP, agents.
  
  

Le schéma IP reste humain : un octet final pour l’hôte, la passerelle virtuelle se termine toujours par .1 ; la lecture des journaux et la rédaction des ACL en sont simplifiées.

2. Couche physique & L2/L3

• Deux switches Cisco 2960‑X forment le cœur L2 ; un EtherChannel 4×1 Gb prévient la coupure d’un lien et double la bande passante.
  
  

• Deux routeurs (Cisco 2811 + secours) assurent le L3 ;
  * HSRP protège les VLAN critiques (Admin, Serveurs) : la passerelle ne disparaît jamais, les sessions LDAP/SMB survivent à la panne d’un routeur.
  * GLBP équilibre la charge ARP sur les VLAN de masse (Postes) pour éviter de saturer un unique équipement.
  
  

3. Services de base : Active Directory, DNS, DHCP et PKI

Deux VMs Windows Server 2022 hébergent le domaine AD ; elles assurent aussi :

• DNS sécurisé et DHCP en haute disponibilité 50/50, donc aucun poste ne perd son adresse si un contrôleur tombe.
  
  

• PKI tier‑0 : racine hors ligne, sous‑AC en ligne ; toutes les communications (LDAP‑S, RDP, HTTPS internes) sont chiffrées.
  
  

4. Plateforme applicative & supervision

• Cluster Rocky Linux 9 – Nginx reverse‑proxy + PHP‑FPM pour le portail résultats patients, protégés par Let’s Encrypt DNS‑01.
  
  

• HAProxy vérifie l’état des back‑ends toutes les 5 s et distribue la charge.
  
  

• Zabbix 6.4 collecte ~1 600 métriques (agents + SNMPv3) et offre un tableau de bord SLA temps réel.
  
  

• GLPI 10.0 (authentification SSO Kerberos) inventorie automatiquement 83 % du parc via FusionInventory et gère le ticketing interne.
  
  

5. Sauvegardes & PRA

• Veeam Backup & Replication Community applique la règle 3‑2‑1 : copie locale sur NAS RAID‑5, réplication chiffrée hors site et sauvegarde cloud.
  
  

• Premier test de restauration : VM critique reconstruite en 41 min (objectif ≤ 4 h).
  
  

• Bascule routeur + NAS hors‑site programmée pour la validation finale du PRA.
  
  

6. Automatisation et sécurité : IaC & durcissement

• Terraform crée les VMs ; Ansible applique les rôles CIS Level 1 pour Rocky 9 et Windows 2022.
  
  

• Pipeline GitLab CI/CD (plan → apply → tests → notification Teams) garantit la traçabilité des changements.
  
  

• MFA physique pour les comptes admin, tous les journaux consolidés sous TLS vers Graylog.
  
  

7. Résultats à ce jour

• Disponibilité mesurée : 99,95 % depuis la mise en production partielle.
  
  

8. Valeur ajoutée pour le laboratoire

• Lisibilité et évolutivité : un plan IP clair, extensible à d’autres sites.
  
  

• Résilience : passerelle virtuelle HSRP/GLBP, sauvegardes multi‑site, infrastructure virtualisée.
  
  

• Traçabilité : supervision Zabbix + inventaire GLPI donnent une vision complète, exigée par la directive NIS 2.
  
  

• Coûts maîtrisés : réemploi de matériel Cisco et usage massif de logiciels libres.
  
  

En solo, j’ai conçu, déployé et sécurisé un système d’information complet, prêt pour l’audit OIV et capable de soutenir la croissance du laboratoire sans alourdir ses charges.

Au fil du déploiement, j’ai enchaîné plusieurs revers : un premier découpage réseau trop large qui m’a forcé à recréer les VLAN /24, une boucle L2 provoquée par un EtherChannel mal configuré, des déconnexions serveurs après avoir généralisé le GLBP, des pools DHCP épuisés faute de marge, une chaîne Veeam corrompue par manque d’espace, des certificats Let’s Encrypt bloqués par le filtrage du port 80, une tempête d’alertes Zabbix pendant les sauvegardes, l’agent FusionInventory qui plantait les automates XP Embedded, un test PRA raté à cause d’une licence Veeam oubliée et, enfin, 130 heures de travail supplémentaires non prévues. Chaque incident a débouché sur une procédure de correction : découpage /21 clair, LACP actif + BPDU guard, HSRP réservé aux VLAN critiques, réserves DHCP, contrôle capacité NAS, passage au challenge DNS‑01, seuils Zabbix dépendants, inventaire manuel pour l’IoT, duplication des licences et buffer temps systématique ; autant de leçons qui ont renforcé la résilience finale du système.