Le réseau interministériel de l’État JRES 2013 11 décembre 2013
Le contexte administratif La feuille de route du projet Architecture et point d’avancement Questions/réponses
Le contexte administratif
Le contexte administratif : le « numérique » interministériel Février 2011: création de la direction interministérielle des systèmes d’information, rattachée au Secrétaire Général du Gouvernement : « DSI groupe » de l’État Elle a notamment en charge la conduite des opérations de mutualisation entre les administrations de l’État Octobre 2012: création du secrétariat général de la modernisation de l’action publique Regroupant l'ensemble des services en charge de la MAP : La direction interministérielle de la modernisation de l’État (DIMAP) La direction interministérielle des systèmes d’information et de communication (DISIC) La mission Etalab Placé sous l’autorité du Premier ministre, rattaché au secrétaire général du Gouvernement et mis à disposition de la ministre de la réforme de l’État. Décembre 2012: création du service à compétence nationale « réseau interministériel de l’État », rattaché à la DISIC, qui a pour missions : La conception et déploiement du réseau interministériel, L’exploitation et maintien en conditions opérationnelles et de sécurité (en lien avec l’ANSSI) La mise en œuvre des services communs associés au réseau, La conduite des travaux nécessaires aux évolutions du réseau et des services associés.
Le contexte administratif : organisation du SGMAP et de la DISIC
La feuille de route du projet
La décision de création du réseau interministériel de l’État (RIE) Le Conseil des ministres du 25 mai 2011 a décidé de la mise en place d’un « réseau interministériel sécurisé regroupant l’ensemble des réseaux des ministères et permettant la continuité de l’action gouvernementale en cas de dysfonctionnement grave d’Internet ». Le RIE remplacera l’ensemble des réseaux ministériels existants. La création du RIE répond à deux enjeux majeurs : Mutualiser et optimiser les systèmes d’information de l’Etat dans un contexte de réorganisation de l’administration territoriale Favoriser les échanges interministériels dans le cadre de l’ATE et dans la continuité des initiatives déjà menées en matière d’infrastructures (réseau AdER/SIGMA) et de services applicatifs (Chorus, ONP) Garantir une continuité et une qualité de service Maîtriser les coûts informatiques Sécuriser le système d’information de l’Etat Protéger le patrimoine informationnel de l’Etat Se prémunir des attaques, ciblées ou génériques Préserver la confiance dans les données et applications de l’Etat
Le point de départ : les réseaux des administrations de l’État en 2013
Le point de départ : les réseaux des administrations de l’État en 2013 17 réseaux indépendants, de tailles très inégales, avec chacun : Son marché, son calendrier, ses opérateurs Son architecture spécifique Ses fonctions de pilotage, exploitation, supervision Ses accès Internet, Partenaires, réseaux tiers Son niveau de sécurisation propre Un 18e (AdER/SIGMA) pour leur permettre de communiquer (un peu) entre eux, et avec le réseau de la Communauté Européenne (sTESTA) Des interconnexions ad hoc privatives entre certains réseaux, notamment liées aux réorganisations Environ 17 000 sites sur le territoire national (métropole, DOM et COM)
La cible : le réseau interministériel de l‘État
La cible : le réseau interministériel de l‘État Le service à compétence nationale RIE constitue l’opérateur réseau unique des ministères et leur propose des services réseau natifs. Il opère un cœur de réseau haut débit mutualisé sur une infrastructure privative. Le cœur porte toutes les interfaces externes ainsi que les échanges interministériels Le RIE raccorde l’ensemble des sites ministériels, administrations centrales et déconcentrées, en métropole et dans les DOM-COM. Les sites sont raccordés via les opérateurs nationaux, par plaques géographiques, et utilisent les services du cœur. Le RIE apporte un socle commun d’architecture, exploitation, supervision et pilotage, ainsi qu’un socle de sécurité homogène Il permettra progressivement le développement des offres de services ministérielles et interministérielles
Une quinzaine de SI ministériels transportés Chiffres clés 12 000 kms de fibre optique Cœur de réseau à 10 Gbit/s évolutif 12 points de collecte nationaux 17 000 sites en métropole et DOM-COM Une quinzaine de SI ministériels transportés
Architecture et point d’avancement
Backbone - Points de présence (PIB) hébergés en datacenters ministériels Bordeaux Marseille Rennes Toulouse Lille Lyon Nantes Strasbourg Paris
Rappel de l’infrastructure optique existante de RENATER
FON - Tracé du backbone et points de présence (PIB) PIB Lille PIB Lille NR Lille NR Compiègne PIB Rennes NR Rouen NR Caen PIB Paris 3 PIB Paris 4 NR Paris 1 NR Paris 2 PIB Rennes PIB Paris 2 NR Rennes PIB Paris 1 NR Nantes PIB Nantes PIB Lyon 2 PIB Lyon 1 NOUVEAU : NR Lyon 1 NR Lyon 2 FON supplémentaires PIB Bordeaux NR Bordeaux NR Clermont PIB Lyon 2 PIB Lyon 1 PIB NR Toulouse EXISTANT : NR Marseille 1 NR Marseille 2 FON RENATER PIB Toulouse NR Montpellier NR PIB Marseille Shelter
Partenariat avec RENATER pour les FON et le transport niveau 1 Réseau constitué par des liens RIE s’appuyant sur RENATER Réseau constitué par des liens RIE spécifiques s’appuyant sur des FON SFR Transmission FON éclairées par RENATER, lambda privative(s) Supervision du réseau fibre NOC RENATER Convention signée avec le GIP RENATER le 28 novembre 2012
Principe de raccordement d’un PIB à l’infrastructure optique RENATER
Architecture RIE – FON + Lambdas
Architecture L2/L3 du backbone
Services L2/L3 du RIE Haute disponibilité et transparence aux cas de simple défaillance Réseau sécurisé Convergence rapide (<50ms) Support IPv4/IPv6 Unicast/Multicast Approche Multi-Services : Mise en œuvre de services d’interconnexion de niveau 3 cloisonnés de bout en bout de type MPLS L3VPN Mise en œuvre de service d’interconnexion niveau 2 P2P de type VPWS (point à point) Mise en œuvre de service d’interconnexion niveau 2 MP2MP de type VPLS (multipoint/multipoint) Support et mise en œuvre d’un service d’extranet inter-VPN filtré via des plates-formes de service Gestion de la Qualité de Service hiérarchique (QoS) Standardisation : évolutivité, complexité et facilité d’exploitation Accès Internet
Raccordement des réseaux de collecte En métropole, chaque communauté fait l’objet d’un marché subséquent de l’accord-cadre « collecte » qui référence les deux opérateurs nationaux Chaque communauté raccorde ses sites au cœur de réseau (PIB) via l’opérateur de collecte retenu, par plaques géographiques (régions ou inter-régions) La connexion physique d’un réseau de collecte opérateur aux PIB est réalisée lorsque cet opérateur est choisi pour la première fois dans le cadre d’un marché subséquent Si l’interconnexion physique entre le réseau de collecte et le PIB existe déjà, seul un lien logique entre ce réseau de collecte et le PIB est créé Deux types de raccordement possibles : Raccordement L3 VPN Raccordement L2 VPN Les collectes spécifiques (DOM, COM et niveau 2 en Ile de France) font l’objet de marchés à bons de commande séparés, communs à l’ensemble des communautés
Répartition des plaques de collecte sur les PIB Régions 1 Ile de France (petite couronne + Paris) 2 Alsace Lorraine Champagne-Ardenne 3 Nord-pas-de calais Picardie 4 Haute-Normandie Basse-Normandie Centre 5 Bretagne Pays de la Loire 6 Aquitaine Limousin Poitou-Charentes 7 Midi-Pyrénées Languedoc-Roussillon 8 Provence-Alpes-Côte d'Azur Corse 9 Rhône-Alpes 10 Bourgogne Auvergne Franche-Comté 11 Ile de France (Grande couronne)
Collecte et QoS hiérarchique Mise en œuvre d’un mécanisme de shaping et de classes de service pour une entité logique Une bande passante fixe est réservée pour chaque ministère et à l’intérieur de cette bande passante, des classes de services sont mises en œuvre. Permet, sur une même interface physique, d’offrir des services différenciés pour chacun des VPN des ministères en appliquant une politique de QoS par ministère PORTE DE COLLECTE PIB INTERFACE 1 GE (possibilité de shaping global) RT VIDEO D 1 2 3 Default VPN Y VPN X Sans H-QOS PORTE DE COLLECTE PIB INTERFACE 1 GE VLAN 1000 VPN de collecte ministère X Engagement de service opérateur : 200 Mb / s shaping /s 2000 VPN de collecte ministère Y 300 RT VIDEO D 2 3 Default Avec H-QOS
AdER sur le RIE : le backbone vecteur des flux inter-communautés Tous les échanges entre communautés ministérielles s’effectuent au niveau du cœur de réseau selon deux mécanismes principaux : un mécanisme de filtrage mis en œuvre par défaut pour les échanges intercommunautaires, utilisant des plateformes de filtrage et d’analyse de flux (avec NAT source). un mécanisme de routage pour les échanges ne nécessitant pas de filtrage, ou pour les flux ne pouvant être supportés par les plateformes de service (téléphonie ou visioconférence). Des sondes de sécurité, fournies et exploitées par l’ANSSI, seront positionnées dans le cœur de réseau pour détecter les propagations d’attaques ou de malwares en analysant : Les flux intercommunautaires au niveau des plateformes de services Les flux échangés avec Internet au niveau des plateformes d’accès à Internet
Offre en partenariat avec l’UGAP pour les « partenaires » publics Bénéficiaires : les services publics hors périmètre des marchés RIE (établissements publics sous tutelle, autorités indépendantes, collectivités territoriales…) ayant à communiquer de façon privative et maîtrisée avec les services de l’État utilisateurs du RIE Via l’accord-cadre WAN de l’UGAP (printemps 2014) Par inclusion d’unités d’œuvre dédiées au raccordement d’un site ou WAN « partenaire » au cœur de réseau RIE Exigences similaires à celles portant sur la collecte RIE : gamme de raccordements, engagements de service, supervision RIE, livraison des flux dans des VPN dédiés sur des PIB… Les flux partenaires sont traités en cœur de réseau (routage, NAT, inspection…) comme toute autre interface externe du RIE
Bilan des travaux 2013 Le déploiement du cœur de réseau s’est achevé à l’été : Cœur haut débit construit sur l’infrastructure de RENATER 12 centres informatiques ministériels hébergent les principaux points de raccordement au cœur de réseau Les premiers sites ministériels sont déployés pour validation technique d’ici fin 2013 : deux départements pilotes : Pyrénées Atlantiques et Somme trois régions pilotes : Champagne Ardennes, Auvergne et Haute Normandie Le déploiement cible est engagé par périmètres ministériels : Lancement du déploiement du premier périmètre en septembre 2013 Environ 5000 sites relevant de 7 ministères Cadence de déploiement cible à partir de mars 2014 (jusqu’à 150 sites/semaine) Appel d’offres en cours pour le second périmètre Environ 3300 sites, lancement début 2014
MERCI de votre attention Questions/réponses ?