📞

PR2 - INFRA

The Telephone Girls

Architecture Réseau · 3 Sites · 100 Utilisateurs · Activité critique

Limoges - 50 users - Siège Brive - 25 users Toulouse - 25 users

Sommaire

01

Contexte & Besoins

Entreprise, sites, utilisateurs

02

Architecture HA

Réseau, RDS, Téléphonie

03

IAM & Sécurité

Keycloak, AD, Netbird

04

ITAM & Monitoring

Observium, Uptime Kuma, Risques

05

ITSM

osTicket, SLA, base de connaissances

06

Coûts & PCA/PRA

Budget, SLA, pertes, backup

01 -- Contexte

The Telephone Girls

Activité

Secrétariat & prise de rendez-vous externalisés. Les agents travaillent en session RDP et utilisent un téléphone IP connecté à l'IPBX 3CX.

RDP obligatoire VoIP critique Nomadisme

Répartition

Limoges (Siège)50
Brive25
Toulouse25

⚠️ Contrainte : Chaque utilisateur = 1 PC fixe/portable (600€) + 1 téléphone IP (100€). 1 seule session RDP par user. Les portables sont pour l'usage nomade hors site.

02 - Architecture

Vue Globale Inter-Sites

BRIVE

2× pfSense (CARP)

Switch managé L2

25 postes + téléphones IP

10.19.0.0/24

LIMOGES (HQ)

2× pfSense (CARP)

3× Windows Server (AD/RDS/SQL)

4× Linux (Docker stack)

50 postes + téléphones IP

10.87.0.0/24

TOULOUSE

2× pfSense (CARP)

Switch managé L2

25 postes + téléphones IP

10.31.0.0/24

Interconnexion : Netbird (WireGuard Mesh VPN) Chiffré P2P Zero-Trust
Schéma réseau inter-sites

Connexion Inter-Sites

Pourquoi Netbird ?

✅ Netbird

  • • Mesh WireGuard P2P
  • • Open-source & self-hosted
  • • SSO via Keycloak (OIDC)
  • • Zero-config pour les peers
  • • ACL centralisées
  • → Gratuit, performant

❌ IPsec Site-to-Site

  • • Configuration complexe
  • • Pas de mesh natif
  • • Pas de SSO intégré
  • • Tunnel statique point-à-point
  • • Nomades = VPN client en plus
  • → Lourd à maintenir

❌ Tailscale / ZeroTier

  • • SaaS = données externalisées
  • • Coût par utilisateur
  • • Pas de self-hosting complet
  • • Dépendance fournisseur
  • • Moins de contrôle ACL
  • → Payant, moins souverain

Justification : Netbird unifie VPN site-to-site + accès nomade dans une seule solution. Les PC portables se connectent au mesh depuis n'importe où, sans VPN client séparé.

Netbird Networks Netbird Brive Network

Haute Disponibilité

Ferme RDS - Windows Server

Connection Broker

2× serveurs en HA

Répartit les sessions

Base SQL partagée

RD Web Access

Portail web HTTPS

LB (Load Balancer)

Accès nomades

RD Gateway

Tunnel HTTPS

Accès extérieur sécurisé

Certificat SSL

Session Hosts

3× serveurs (1/site)

100 sessions max

Apps métier installées

SQL Server

Base partagée pour le Broker HA. Stocke l'état des sessions et permet le failover transparent entre les 2 brokers.

Pourquoi pas Citrix/VMware ?

Coût de licence prohibitif pour 100 users. RDS natif Windows = inclus dans la licence Server. Citrix = +15 000€/an minimum.

Architecture RDS Haute Disponibilité

Haute Disponibilité

pfSense CARP + 3CX Téléphonie

pfSense - 2× par site (CARP)

  • CARP : IP virtuelle partagée, failover < 2s
  • XMLRPC : Synchro auto des règles/config
  • Multi-WAN : 2 FAI par site (failover ISP)
  • • Firewall + NAT + VPN + DHCP Relay

vs OPNsense : communauté + large, maturité CARP éprouvée

vs Fortinet : open-source, 0€ licence, pas de vendor lock-in

3CX Enterprise - IPBX

  • Failover natif (édition Enterprise)
  • • Softphone / WebRTC dans la session RDS
  • • Intégration SIP Trunk (OVH/Keyyo)
  • • 100 utilisateurs, ~16 appels simultanés

vs Asterisk : interface web, plus simple à administrer

vs Teams Phone : coût récurrent bien moindre, self-hosted

Licence ENT 16SC : ~950€/an

03 - IAM

Keycloak + Active Directory

Utilisateur

Keycloak SSO

OIDC / SAML 2.0

Active Directory

LDAP

Accès apps

Architecture

AD = source de vérité des comptes. Keycloak synchronise via LDAP (read-only). GPO, DNS, DHCP restent sur l'AD.

SSO Centralisé

1 login → accès RDS, 3CX, osTicket, Observium, Netbird. Keycloak fournit OIDC pour toutes les apps web.

Pourquoi pas ADFS ?

ADFS = Windows only, limité SAML. Keycloak = open-source, OIDC + SAML, multi-plateforme, MFA natif, self-hosted.

04 - ITAM & Monitoring

Supervision & Surveillance

Observium - Réseau

  • • Monitoring SNMP : switchs, pfSense, serveurs
  • • Graphes bande passante, CPU, RAM, disques
  • • Auto-discovery des équipements
  • • Alertes seuils dépassés

vs Zabbix : interface plus claire, SNMP natif, setup rapide

Uptime Kuma - Services

  • • Monitoring HTTP(s), TCP, Ping, DNS
  • • Status pages publiques/internes
  • • 78+ intégrations alertes (Slack, mail…)
  • • Historique uptime & response time

vs UptimeRobot : self-hosted, gratuit, contrôle total

Splunk + Elasticsearch

SIEM : centralisation des logs (syslog), détection anomalies, tableaux de bord sécurité. ES indexe, Splunk analyse et alerte.

Stack complète Dockerisée

Observium, Uptime Kuma, Splunk, ES, Keycloak, osTicket, HAProxy : tout sur Docker (4 serveurs Linux) pour faciliter le déploiement et les mises à jour.

ITAM - Gestion des risques

Matrice de Risques

Risque Impact Probabilité Criticité Mitigation
Panne serveur RDS Critique Moyen Élevée Broker HA + 3 Session Hosts
Panne firewall Critique Faible Moyenne pfSense CARP (failover < 2s)
Panne IPBX 3CX Critique Moyen Élevée 3CX Enterprise failover + SIP trunk dual
Coupure lien internet Majeur Moyen Moyenne Multi-WAN pfSense (2 FAI/site)
Ransomware / Cyberattaque Critique Moyen Élevée Splunk SIEM + Backups 3-2-1 + MFA

05 - ITSM

osTicket - Help Desk

Fonctionnalités

  • • Création tickets : email, portail web, téléphone
  • • Assignation par départements et agents
  • • SLA intégrés avec escalade automatique
  • • Base de connaissances (FAQ) intégrée
  • • Dashboard temps réel, métriques

vs GLPI : plus léger, UI moderne, axé ticketing pur

vs ServiceNow : open-source, 0€, self-hosted

SLA Définis

P1 - CritiqueGTI: 15min · GTR: 1h
P2 - MajeurGTI: 30min · GTR: 4h
P3 - MineurGTI: 2h · GTR: 8h
P4 - InfoGTI: 4h · GTR: 24h

06 - Budget

Coûts d'Acquisition

Poste Qté P.U. (€) Total (€)
PC fixes/portables (utilisateurs)10060060 000
Téléphones IP (Yealink T33G)10010010 000
Serveurs Windows (Dell R360)33 50010 500
Serveurs Linux (Dell R360)42 50010 000
Appliances pfSense (Netgate 2100)65003 000
Switchs managés (HP 1920S)63502 100
Onduleurs (APC 1500VA) par site37002 100
NAS Synology (backup local/site)38002 400
TOTAL MATÉRIEL 100 100 €

06 - Budget

Licences & MCO Annuel

Licences logicielles (one-shot + annuelles)

Windows Server 2025 Std (×3)3 528 €
RDS CAL (100 users)4 000 €
Windows Server CAL (100 users)3 800 €
SQL Server ExpressGratuit
3CX Enterprise 16SC (/an)950 €/an
pfSense Plus (×6 appliances)Inclus
Keycloak, Docker, HAProxy…Open-source
TOTAL LICENCES~12 278 €

MCO Annuel (Maintien en Conditions Opérationnelles)

Renouvellement 3CX Ent.950 €
Liens internet (2 FAI × 3 sites)7 200 €
SIP Trunks (OVH/Keyyo)2 400 €
Maintenance matérielle (garantie)3 000 €
Backup cloud (Wasabi/Backblaze)1 200 €
Admin sys/réseau (0.5 ETP estimé)20 000 €
TOTAL MCO / AN~34 750 €

Coût total Année 1 : ~100 100€ (matériel) + ~12 278€ (licences) + ~15 000€ (déploiement/intégration) + ~34 750€ (MCO) = ~162 128 €

SLA & Indisponibilité

Calcul des Pertes

99,9%

SLA RDS

≈ 8h45 indispo/an

99,95%

SLA Téléphonie

≈ 4h23 indispo/an

99,9%

SLA Réseau

≈ 8h45 indispo/an

Estimation des pertes par heure d'indisponibilité

Hypothèse : CA annuel ≈ 2M€ → CA horaire ≈ 960€/h (2080h ouvrées)

• Perte CA/heure : ~960€

• Perte productivité : 100 × 15€/h = ~1 500€/h

• Coûts récupération : ~500€/h

Coût total indisponibilité ≈ 2 960€/h

Panne RDS 4h = 11 840€

Panne téléphonie 2h = 5 920€

→ Justifie l'investissement HA de ~162K€

Continuité & Reprise

PCA / PRA & Backups

PCA - Plan de Continuité

  • pfSense CARP : failover firewall < 2 secondes
  • RDS Broker HA : 2 brokers + SQL, basculement auto
  • 3CX Failover : serveur secondaire prend le relais
  • Multi-WAN : 2 FAI par site, failover ISP
  • HAProxy : load-balancing apps web (osTicket, Keycloak)

RPO cible : 15 min · RTO cible : 30 min

PRA - Plan de Reprise

  • Règle 3-2-1 : 3 copies, 2 médias, 1 hors-site
  • Backup local : NAS Synology/site (snapshots quotidiens)
  • Backup cloud : Wasabi S3 (chiffré, hors-site)
  • AD : Backup état système + réplication multi-DC
  • Docker : Volumes sauvegardés + docker-compose versionné

RPO max (sinistre) : 24h · RTO max : 4h

Documentation : Procédures PCA/PRA documentées dans la base de connaissances osTicket. Tests de restauration semestriels planifiés. Chaque serveur a une fiche ITAM avec GTR et contacts fournisseur.

Synthèse

Zéro SPOF - Chaque brique redondée

Composant Technologie Redondance Failover
FirewallpfSense2× par site (CARP)< 2s
Connexion InternetMulti-WAN2 FAI par siteAuto
VPN Inter-sitesNetbirdMesh P2P WireGuardAuto
RDS BrokerWindows HA2× Broker + SQLAuto
Session HostsRDS Farm3× serveurs (1/site)Répartition
IPBX3CX EnterpriseFailover natifAuto
Apps WebHAProxyLoad-balancer frontHealth check
IAM / SSOKeycloakCluster DockerAuto
👨‍💻

Merci !

Avez-vous des questions ?

162K€

Budget Année 1

100%

Open-source (hors MS)

0 SPOF

Tout est redondé

Spoiler: Y a toujours 1 SPOF

1 / 17