// Projet scolaire · BTS SIO SISR · 2025-2026

Sport Ludique Chartres — Déploiement d'une infrastructure complète

Projet technique majeur du BTS SIO option SISR au Lycée Fulbert de Chartres : déploiement, administration et documentation d'une infrastructure réseau et système complète pour une société fictive (SportLudique SARL). L'objectif : simuler le SI d'une PME de 50 postes, avec toutes les contraintes réelles — segmentation réseau, sécurisation, annuaire, supervision, haute disponibilité et documentation.

Documentation technique complète ↗ GitHub ↗
Cadre
BTS SIO option SISR
Lycée Fulbert, Chartres
Durée
Année scolaire 2025-2026
Rôle
Administrateur d'infrastructure
Livrable
Infra fonctionnelle + documentation MkDocs publique

Contexte

SportLudique SARL est une entreprise fictive imaginée pour le projet. Le cahier des charges simule une PME qui souhaite externaliser son SI hébergé sur un serveur unique vers une infrastructure virtualisée, sécurisée, et correctement supervisée. Les contraintes posées étaient volontairement réalistes : budget contraint (pas de solution propriétaire coûteuse quand un équivalent open-source existe), exigence de continuité de service, segmentation des flux, et capacité à accueillir un site distant dans une seconde phase.

L'ensemble du travail — conception, déploiement, tests, documentation — a été réalisé en autonomie, avec restitution devant jury.

Architecture cible

L'infrastructure déployée segmente le SI en trois zones logiques isolées par pare-feu : un LAN interne (postes de travail, serveurs AD, serveurs de fichiers), une DMZ (reverse proxy, serveur mail, WordPress public), et une zone d'administration (supervision, logs centralisés). Le tout sur un hyperviseur Proxmox avec RAID matériel et snapshots planifiés.

Schéma simplifié de la topologie Sport Ludique Topologie réseau avec WAN, pare-feu Stormshield, DMZ (reverse proxy, mail, WordPress), LAN (switch core, Active Directory, fichiers, postes), zone admin (supervision PRTG, logs Graylog), hyperviseur Proxmox hébergeant l'ensemble des serveurs. WAN STORMSHIELD Pare-feu principal // DMZ Reverse Proxy Serveur Mail WordPress multisite OPNsense (secondaire) // LAN interne Switch Core (stack) Active Directory DNS / DHCP / ADCS Fichiers · GLPI Postes · Wi-Fi // ADMIN PRTG · Supervision Graylog · Logs Ansible · Scripts PROXMOX VE · Hyperviseur · RAID · Snapshots
Schéma simplifié de la topologie — tous les éléments sont virtualisés sur un socle Proxmox VE.

Stack technique détaillée

Couche réseau

  • Switch core en stack — deux commutateurs physiquement distincts mais logiquement un seul, pour la résilience. Agrégations LACP vers les serveurs critiques.
  • Segmentation par VLAN — postes de travail, serveurs, Wi-Fi invité, administration, VoIP : chacun dans sa bulle.
  • HSRP pour la redondance de la passerelle par défaut sur les VLAN critiques.
  • DHCP Snooping pour empêcher les serveurs DHCP pirates sur le LAN.
  • PAT en sortie Internet, routage statique entre les VLAN via le pare-feu.

Couche sécurité

  • Stormshield en pare-feu principal — règles explicites par flux, filtrage applicatif, inspection SSL sur les flux sortants postes.
  • OPNsense en pare-feu secondaire pour isoler la DMZ de certains services sensibles.
  • UFW sur chaque serveur Linux en défense en profondeur (ceinture + bretelles).
  • Autorité de certification interne (ADCS) pour émettre les certificats utilisés par les services internes (LDAPS, reverse proxy, RDP).
  • LDAPS obligatoire — aucune authentification en clair ne sort des contrôleurs de domaine.

Annuaire et services Windows

  • Active Directory — forêt mono-domaine, deux contrôleurs pour la redondance, GPO de durcissement (mots de passe, verrouillage d'écran, restrictions USB).
  • DNS intégré à AD, zones de recherche directes et inversées.
  • DHCP centralisé avec réservations pour les équipements réseau.
  • Serveur de fichiers avec partages structurés par service, permissions NTFS granulaires, redirection de dossiers.
  • GLPI pour l'inventaire du parc et la gestion des tickets.

Virtualisation

  • Proxmox VE — l'intégralité des serveurs tourne en VM ou en conteneur LXC sur un socle Proxmox.
  • RAID matériel sur les disques physiques pour la tolérance de panne.
  • Docker pour certains services applicatifs (environnements de test, outils internes).
  • Snapshots réguliers avant chaque modification critique — retour arrière en quelques minutes.

Supervision et centralisation des logs

  • PRTG — supervision de disponibilité (ping, SNMP), alerting email sur seuils.
  • Graylog avec Datanode — centralisation des logs système et applicatifs de toute l'infrastructure.
  • Rsyslog sur les Linux et NXlog sur les Windows pour faire remonter les événements.
  • Dashboards de vision globale et alertes sur patterns critiques (échecs d'authentification répétés, saturation disque, etc.).

Services applicatifs

  • Reverse Proxy en DMZ pour exposer proprement les services web internes (HTTPS, terminaison SSL, filtrage par IP source).
  • Serveur mail avec gestion des domaines, comptes utilisateurs, anti-spam.
  • WordPress multisite pour héberger plusieurs sites de l'entreprise sur une seule instance.
  • Base de données MySQL / MariaDB pour WordPress et GLPI.
  • NTP interne pour synchroniser toute l'infra sur une source de temps unique.
  • Wi-Fi avec segmentation invités / corporate et authentification par certificat en entreprise.

Automatisation

  • PowerShell — scripts de création massive d'utilisateurs AD, audit des comptes inactifs, génération de rapports GPO.
  • Ansible — déploiement reproductible de configurations sur les serveurs Linux.

Défis rencontrés

Quelques points qui ont demandé du travail de recherche au-delà du programme scolaire :

  • Articulation Stormshield / OPNsense — deux pare-feux avec des logiques de règles différentes, il a fallu clarifier le périmètre de chacun pour éviter les redondances et les trous de sécurité.
  • LDAPS de bout en bout — générer la chaîne de certificats depuis l'ADCS, la distribuer proprement aux clients, dépanner les erreurs de chaîne de confiance. Formateur.
  • Graylog à l'échelle — l'ingestion de logs grossit vite, le sizing du Datanode (Elasticsearch/OpenSearch sous-jacent) doit être anticipé.
  • Documentation continue — écrire la doc MkDocs au fur et à mesure plutôt qu'à la fin a été le choix le plus payant du projet. Tout mettre au propre en une fois aurait été impossible.

Livrables

  • Infrastructure fonctionnelle intégralement déployée sur banc de test Proxmox.
  • Documentation technique publique sur GitHub Pages (MkDocs Material) — plus de 40 sections couvrant chaque service.
  • Scripts d'automatisation PowerShell et playbooks Ansible versionnés sur GitHub.
  • Schémas de topologie, matrice de flux, plan d'adressage.

Ce que j'en ai retiré

Ce projet a été un passage à l'échelle. Avant, j'avais des compétences isolées — configurer un switch, installer un AD, écrire un script. Là, il a fallu tenir tout en même temps, en cohérence : le choix d'adressage impacte les règles de pare-feu, qui impactent la supervision, qui doit être documentée. C'est cette vision d'ensemble que la Licence ASRC et l'alternance vont me permettre d'approfondir sur du vrai SI d'entreprise.

Ce profil vous intéresse pour une alternance ?

Je recherche un contrat d'alternance dès septembre 2026 dans un rayon de 50 km autour de Chartres.

Voir ma page alternance → Me contacter
← Retour aux projets