Guides des Infrastructures

Principes

• Modularité, séparation des responsabilités
• Sécurité par défaut (Zero Trust, moindre privilège)
• Résilience (N+1, anti‑SPOF, multi‑AZ)
• Observabilité by design (logs/metrics/traces)

Patrons d’archi

• 3‑tiers (Edge/Compute/Data)
• Hub‑and‑Spoke réseau
• Data Lakehouse (ingest/bronze‑silver‑gold)

Objectifs SLA

Durcissement

• Mises à jour automatiques + redémarrage planifié
• SSH clé + MFA, désactiver root/password
• Auditd/SELinux/AppArmor, Windows Defender/ATP

Gestion config

• Ansible/DSC pour états idempotents
• Images dorées (Packer), immutabilité
• Inventaire & CMDB (labels/tags)

Fichiers & identités

• AD/LDAP, RBAC par groupes
• Chiffrement au repos (LUKS/BitLocker)
• Rotation des secrets (Vault/KMS)

Segmentation

• VLAN par domaine de confiance
• Micro‑segmentation (NSG/SG/K8s NetworkPolicy)
• WAF/IDS/IPS en edge

Accès

• VPN IKEv2/WireGuard, ZTNA
• SSO/OIDC, MFA obligatoire
• Bastion & journalisation complète

Protection

• DoS/DDoS protection, rate‑limiting
• DNSSEC, SPF/DKIM/DMARC
• Backups hors ligne (3‑2‑1)

Plateformes

• VMware/Proxmox/KVM pour VM
• Docker/Containerd, Kubernetes
• Registry privé & scans d’images

Disponibilité

• Clusters HA, anti‑affinité (spread)
• Snapshots/replicas, live‑migration
• Auto‑scaling & PodDisruptionBudget

Sécurité

• Runtime policies (seccomp, AppArmor)
• Secrets chiffrés (Vault/KMS)
• SBOM & politique de provenance

Types & perfs

• RAID 1/5/6/10 selon besoin
• NAS vs SAN vs objet
• QoS IOPS/latence & tiersing

Backups & DR

• 3‑2‑1 (dont 1 off‑site/offline immuable)
• Rétention GFS (daily/weekly/monthly)
• Tests réguliers de restauration

RPO/RTO exemples

Collecte

• Agents unifiés (OpenTelemetry)
• Logs structurés & corrélés
• Rétention/archivage maîtrisés

Alertes

• Seuils + SLO‑based alerts
• Runbooks & on‑call rotations
• Post‑mortems (blameless)

Dashboards

• Golden signals (latence, trafic, erreurs, saturation)
• KPIs métiers & techniques
• Cartes de service (topologie)

Provisioning

• Terraform + modules versionnés
• Patterns de réutilisation (composables)
• Environnements (dev/stage/prod) isolés

Configuration

• Ansible/DSC — idempotence
• GitOps (PRs, review, CI/CD)
• Secrets via Vault/KMS & SOPS

Qualité

• Tests (terratest, molecule)
• Linting & policy‑as‑code (OPA)
• Drift detection & remediation

Modèles

• Lift‑and‑shift vs refactor
• Multi‑AZ, multi‑région, edge
• Coûts : FinOps (budgets/alertes)

Connectivité

• VPN/Direct Connect/ExpressRoute
• DNS privé/partagé
• Hybrid identity (AD/Azure AD)

Sécurité

• IAM granulaire (RBAC/ABAC)
• Chiffrement KMS, rotation clés
• Security Center/Defender & posture

Normes

• ISO 27001/27002, CIS Benchmarks
• RGPD (minimisation, DPA, registre)
• Traçabilité & conservation

Gestion risques

• Cartographie actifs/menaces
• Plan de traitement & PCA/PRA
• Tests d’intrusion réguliers

Catalogue de services

• SLA/SLO documentés
• Runbooks & playbooks
• Process d’escalade

Checklists

• Durcissement Linux & Windows
• Ouverture en prod (go‑live)
• DR test — scénario de panne

Téléchargements : hardening.pdf · go-live.pdf

Modèles IaC

• Terraform VPC/VNet + Subnets
• Ansible base OS (users, ssh, logs)
• Pipeline CI/CD (YAML)

Exemples : terraform-vpc.zip · ansible-base.zip

Politiques & docs

• Politique sauvegardes
• Politique mots de passe
• Modèle Runbook/PRA

Docs : backup.docx · runbook.docx