Refonte infrastructure d'un domaine résidentiel premium

Le contexte

Un domaine résidentiel premium en région parisienne, 120 logements occupés à l’année, avec des services partagés (conciergerie, restauration, salles communes, sécurité 24/7). Le SI s’est construit en strates pendant douze ans, sans architecte global, et les départs successifs des prestataires ont laissé une infrastructure dont personne ne maîtrisait plus l’ensemble.

La direction nous a contactés après un incident qui les a réveillés : une panne réseau de 6 heures un dimanche soir, conséquence d’une mise à jour firmware automatique sur un routeur grand public, qui a coupé l’AD, la téléphonie IP, le contrôle d’accès et la VOD résidentielle simultanément.

Phase 1 : audit (3 semaines)

On a commencé par une cartographie complète. Nmap depuis le LAN, capture mDNS, audit des baux DHCP, scan vulnérabilités Nessus en mode léger, et une review systématique des règles de pare-feu existantes (137 règles dont 89 obsolètes ou redondantes).

Côté Active Directory, on a audité avec Bloodhound et PingCastle. Score PingCastle initial : 62/100, soit “high risk”. Des comptes admin oubliés depuis 2019, des GPO contradictoires, des relations de confiance non maintenues entre les deux DCs.

Le scan externe a révélé 14 ports ouverts sur l’IP publique, dont un RDP exposé sur 3389 — recette classique pour une infection ransomware.

Phase 2 : remédiation prioritaire (semaines 4 à 8)

Avant la refonte complète, on a éteint les feux les plus urgents :

• Fermeture du RDP public — accès interne uniquement via VPN
• Désactivation des comptes admin orphelins (7 comptes)
• Patch immédiat des CVE critiques sur les serveurs Windows et Linux
• Mise en place d’un coffre-fort partagé Bitwarden avec rotation des mots de passe administrateurs
• Backups d’urgence vers un NAS Synology dédié, en attendant la solution finale Veeam

À la fin de la semaine 8, le score PingCastle était passé à 78/100, et les indicateurs de monitoring étaient stabilisés.

Phase 3 : refonte (semaines 9 à 16)

La refonte LAN a été le chantier principal. Nouveau cabinet de brassage, remplacement de 4 switches grand public par des UniFi 24-port manageables, segmentation en 6 VLANs (résidents, services, IoT, voix, DMZ, management), déploiement d’une UniFi Dream Machine Pro comme gateway principale.

Le VPN inter-sites (le domaine a deux sites annexes pour le stockage et les bureaux du syndic) a été basculé de OpenVPN sur routeurs grand public vers WireGuard sur des MikroTik hAP ax3, avec configuration hub-and-spoke. Latence divisée par 4, throughput multiplié par 8.

L’Active Directory a été modernisé avec deux DCs Windows Server 2022 en réplication, GPOs nettoyées et documentées, mise en place d’un compte LAPS pour les machines locales, et 2FA sur tous les comptes admin via Duo Security.

Phase 4 : industrialisation et passage de relais

Tout l’environnement a été versionné dans un dépôt Gitea privé : configs réseau, GPOs exportées, runbooks d’opération. Ansible orchestre les mises à jour récurrentes (patch tuesday Windows, apt unattended Linux). Documentation Mermaid pour les schémas, exportable en PNG/PDF pour la DSI cliente.

L’équipe interne du domaine (un IT généraliste + un prestataire externe) a été formée sur deux jours pour reprendre l’opérationnel courant. On reste en astreinte mensuelle pour les sujets pointus, mais 90% de l’exploitation est désormais autonome.

Le bilan 6 mois après

• 0 incident de sécurité depuis la mise en service
• Uptime 99.97% mesuré sur l’ensemble des services critiques
• 3 audits annuels désormais inscrits au calendrier de la copropriété
• Budget IT stabilisé : la fin des interventions urgentes et des remplacements réactifs a divisé par 2 la facture annuelle hors amortissement matériel

Le client a apprécié la méthode : pas de prêchi-prêcha, des livrables écrits, un rétroplanning tenu, et une formation sérieuse de l’équipe en fin de mission. Pas un fournisseur captif, mais un partenaire qu’on appelle quand on en a besoin.