Discussion :

[PhilAth]

Bonjour,
Je viens vers vous pour avoir une aide dans la conception du réseau que je souhaite installer pour mon association.
Je compte faire mon hébergement de site internet via un serveur local, chez nous afin de limiter les coûts d'hébergement.
Ce site sera développé en ASP avec gestion de bases de données Access.
Le réseau sera composé de 3 pc de gestion de caisse:
1 pc caisse entrée
1 pc caisse magasin
1 pc caisse mess/bar
Ces trois PC n'auront aucun accès internet ils ne seront relié que sur le serveur de bases de données pour les enregistrement de gestion des caisses, en XP PRO.
2 pc administration en Win 11 reliés à internet.
1 PC database access
1 PC serveur web
1 dernier PC relié à rien, il servira dans notre simulateur de vol et sera totalement indépendant du réseau.
Voici le schéma que j'ai pensé:

Pour information, je suis un ignare complet en conception de réseau, je travaille ici de manière à obtenir une informatisation de notre association à moindre frais, du fait que nous avons été victime d'un vol important de matériel et devons donc tout reprendre à zéro avec très peu de moyens financiers.

Merci infiniment pour votre aide.

[JML19]

Bonjour

Tu peux tout mettre en Wifi sur le Modem/Routeur ADSL.

La différence entre accès Internet ou non, ce fera par l'indication de la passerelle pour les PC qui accèdent à Internet.

Pour cela il faudra paramétrer les PC qui n'accèdent pas à internet en IP Fixe et les autres sur le DHCP du Modem/Routeur.

Mais c'est plus simple de faire un réseau client-serveur par câble.

[PhilAth]

Pour ma part, je compte faire toute la connectique en filaire.
Mes vieux PC ne possédant pas de carte Wifi.

Donc tout cela est réalisable...

[fred1599]

Hello,

Je viens vers vous pour avoir une aide dans la conception du réseau que je souhaite installer pour mon association.

Très bien, et ça n'empêche pas de faire les choses bien ! Et ce n'est pas la gratuité qui empêche cela, votre projet est tenu à l'échec si vous ne prenez pas en compte sérieusement tout ce qui va être dit un peu plus loin dans ma réponse.

L'analyse fonctionnelle de votre demande permet d'identifier quatre pôles d'activité distincts, chacun possédant des exigences de disponibilité, de confidentialité et d'intégrité spécifiques :

Le Pôle Administratif représente le cœur décisionnel. Équipé de deux postes sous Windows 11, il nécessite un accès Internet permanent pour la gestion courante, la communication et l'administration du système d'information. Ces postes sont les points d'entrée privilégiés des menaces externes et doivent être considérés comme "à risque".

Le Pôle Encaissement, composé de trois terminaux sous Windows XP (Entrée, Magasin, Bar), est soumis à une contrainte de continuité de service absolue. Bien que définis comme "hors Internet", leur nécessité de communiquer avec un serveur de base de données centralisé pour l'enregistrement des transactions crée de facto une connexion réseau qui peut être exploitée comme canal de commandement ou d'exfiltration. La persistance de Windows XP sur ces terminaux, justifiée par des contraintes budgétaires ou de compatibilité logicielle, impose la mise en place de mesures compensatoires d'isolation drastiques.

Le Pôle Serveur et Web constitue le point névralgique des données. Le choix de l'auto-hébergement d'un site en ASP Classic couplé à une base de données Microsoft Access présente des risques structurels majeurs. Access est un système de gestion de base de données (SGBD) fichier, conçu pour un usage bureautique individuel ou en très petit groupe de travail, et non pour supporter la concurrence d'accès d'un serveur web, ce qui expose l'association à des corruptions de données fréquentes. De plus, l'auto-hébergement expose directement l'adresse IP publique de l'association et nécessite une ouverture de ports vers l'intérieur du réseau, augmentant la surface d'attaque.

Enfin, le Pôle Simulation, isolé et dédié aux loisirs, semble a priori moins critique. Toutefois, son intégration physique au même réseau, même s'il est "relié à rien" logiquement pour l'instant, doit être maîtrisée pour éviter qu'il ne devienne une passerelle non surveillée en cas de connexion temporaire pour une maintenance ou une mise à jour.

Contraintes Réglementaires et Éthiques (Loi 1901 et RGPD)

En tant qu'association française gérant des données (membres, clients, transactions), vous êtes assujettis au Règlement Général sur la Protection des Données (RGPD). L'article 32 du RGPD impose de mettre en œuvre des "mesures techniques et organisationnelles appropriées" pour garantir la sécurité des données. L'utilisation consciente de systèmes d'exploitation dont les éditeurs ne garantissent plus la sécurité (Windows XP) pourrait être interprétée par la CNIL comme un défaut de précaution élémentaire en cas de fuite de données personnelles.

https://nonprofit.microsoft.com/fr-fr/getting-started

L'Obsolescence comme Vecteur de Risque Systémique

L'élément le plus critique de votre projet réside dans la cohabitation forcée entre des technologies de 2001 (Windows XP) et de 2026. L'arrêt du support de Windows XP par Microsoft, effectif depuis avril 2014, signifie que des centaines de vulnérabilités découvertes depuis n'ont jamais été corrigées sur cette plateforme.

Les recherches indiquent que Windows XP est particulièrement vulnérable aux attaques ciblant le protocole SMBv1 (Server Message Block), utilisé pour le partage de fichiers et d'imprimantes. Ce protocole, activé par défaut sur XP, a été le vecteur de propagation de rançongiciels dévastateurs comme WannaCry. Dans votre architecture actuelle, si un PC Administration sous Windows 11 (qui peut encore parler SMBv1 si activé par erreur ou nécessité) est infecté, le ver informatique pourrait scanner le réseau local, identifier les ports 445 ouverts sur les machines XP et les infecter instantanément sans aucune action humaine.

https://www.cve.org/CVERecord/Search...ery=windows+xp
https://www.sophos.com/en-us/researc...end-of-support

De plus, la pile TCP/IP de Windows XP contient des vulnérabilités permettant des dénis de service ou de l'exécution de code à distance via des paquets mal formés. Isoler ces machines d'Internet ne suffit pas si elles partagent le même segment Ethernet (le même switch non manageable) que des machines connectées. La "barrière" n'est alors qu'une configuration IP facile à contourner pour un attaquant ayant pris le contrôle d'une machine voisine (technique du ARP Spoofing ou de l'écoute passive).

Les Limitations Techniques de l'Auto-hébergement ASP/Access

Votre volonté d'auto-héberger le site web pour "limiter les coûts" repose sur une analyse économique qui mérite d'être contestée.

L'architecture ASP (Active Server Pages) Classic, obsolète depuis l'avènement de.NET, repose sur le moteur de script IIS (Internet Information Services) dans des versions anciennes. La sécurité des scripts ASP dépend entièrement de la qualité du code écrit : la validation des entrées utilisateur est souvent manuelle et fastidieuse, rendant ces sites très vulnérables aux injections SQL. Une injection SQL sur une base Access est souvent plus dévastatrice que sur un serveur SQL classique car elle peut permettre, via des fonctions systèmes mal sécurisées, de lire ou d'écrire des fichiers sur le disque dur du serveur hôte.

Par ailleurs, le moteur de base de données Access (Jet Database Engine) n'est pas un serveur : c'est un moteur de fichier. Lorsqu'un site web écrit dans une base Access, il ouvre le fichier .mdb, crée un fichier de verrouillage .ldb, effectue l'écriture, puis referme le fichier. Si deux utilisateurs (ou deux processus du serveur web) tentent d'écrire simultanément, ou si une coupure réseau survient pendant l'écriture, le fichier .ldb peut rester bloqué ou le fichier .mdb peut être irrémédiablement corrompu, entraînant la perte totale des données de l'association. Cette limitation technique rend Access totalement inadapté à un usage web multi-utilisateurs, même pour une petite association.

https://www.theknowledgeacademy.com/...e-limitations/
https://www.reddit.com/r/Database/co..._to_access_an/

La connectivité matérielle

Le schéma fourni montre un "Switch/Wi-Fi" central. Dans le marché grand public ou "Prosumer" (TP-Link, Netgear, Ubiquiti), la distinction entre un simple commutateur, un routeur et un point d'accès Wi-Fi est cruciale. Si cet équipement central est une simple Box FAI (type Livebox, Freebox) ou un switch non manageable, il est impossible de créer des segments étanches.

Les Box FAI françaises, bien que performantes pour un usage domestique, offrent des fonctionnalités de routage interne très limitées. Elles ne permettent généralement pas de définir des VLANs (Réseaux Locaux Virtuels) sur le réseau local (LAN), ni de créer des règles de pare-feu granulaires entre différents ports Ethernet. Utiliser une telle box comme cœur de réseau reviendrait à placer toutes vos machines dans le même "bocal", où une infection se propage librement. L'absence de segmentation est le "manque" principal de votre schéma actuel.

https://community.ui.com/questions/C...a0b8ae1?page=0
https://assistance.free.fr/articles/747

Le Coût Caché de l'Auto-hébergement en France

L'idée reçue selon laquelle l'auto-hébergement est gratuit est fausse, particulièrement dans le contexte énergétique français de 2026. Un serveur, même modeste (ancien PC recyclé), qui tourne 24h/24 et 7j/7, représente une charge financière constante.

Selon les données tarifaires de l'électricité en France (Tarif Bleu EDF ou équivalent marché), le prix du kWh avoisine les 0,22 € à 0,25 € TTC pour les particuliers et petites structures. Prenons l'hypothèse d'un PC serveur "récupéré" (type tour moyenne avec processeur de 5-6 ans) :

https://en.selectra.info/energy-fran...ricity/tariffs

• Consommation moyenne (CPU au repos + disques + alimentation) : environ 100 Watts.
• Consommation annuelle : 0,1 kW x 24 h x 365 jours = 876 kWh.
• Coût annuel en électricité : 876 x 0,23 € = 201,48 €.

À cela s'ajoute l'usure du matériel (disques durs qui tournent en permanence) et le besoin éventuel de refroidissement en été.En comparaison, un hébergement web mutualisé supportant Windows et ASP (bien que rare) ou une instance VPS (Serveur Privé Virtuel) d'entrée de gamme coûte entre 4 € et 10 € par mois, soit 48 € à 120 € par an. L'hébergement professionnel est donc économiquement plus rationnel : il est moins cher que l'électricité seule de votre serveur, et il inclut la maintenance matérielle, la redondance électrique, la climatisation et une adresse IP fixe.

Opportunités pour les Associations (Microsoft for Nonprofits)

Un "manque" important dans votre analyse initiale est la non-prise en compte des programmes de solidarité numérique. Microsoft propose un programme mondial pour les organisations à but non lucratif (éligibilité aux associations Loi 1901 en France).

Ce programme offre :

• Microsoft 365 Business Premium : Gratuit pour les 10 premiers utilisateurs. Cela inclut les licences Windows 10/11 Pro (permettant de légaliser et sécuriser vos PC Admin), la suite Office, et surtout des outils de sécurité avancés (Microsoft Defender for Business, Intune).
• Crédits Azure : Une allocation annuelle de 2 000 $ (USD) de crédits Azure. Cette somme est largement suffisante pour héberger une petite machine virtuelle (VM) Windows ou Linux dans le cloud pour votre site web et votre base de données, rendant l'auto-hébergement totalement obsolète et économiquement perdant.

et j'en passe... il y a encore beaucoup à dire ! Votre premier travail serait de moderniser vos postes de travail... avec du linux à la place de vos Windows XP.

[PhilAth]

Merci fred1599, que d'informations, pas très encourageant pour mon projet, mais clairement expliqué.
Maintenant, la législation est-elle identique qu'en France? C'est une autre question que je dois approfondir.

Je vais revoir tout cela plus murement, quitte à séparer ma partie administrative et encaissement, placer tout ce qui est encaissement en interne, sans aucune connectivité à internet, et ne garder que la partie administration en connexion internet.

Pour ce qui serait de l'hébergement, je vais réfléchir et voir avec le conseil d'administration en fonction des coûts. Il faut reconnaitre que nous n'avons que peu de rentrées financières, (1000 € par an) et donc difficile de voir à payer des sommes importantes par an pour la gestion.
On est saigné et nous y allons parfois de notre poche personnelle, telle est la joie de fonctionnement des petites association à buts non lucratifs à caractère culturel en Belgique.

Merci en tout cas pour les informations.

[fred1599]

Tout ce que je vous propose est gratuit ou moins cher, le seul investissement que je vois est le routeur + switch

La Box FAI ne suffit pas. Il faut un routeur capable de gérer le taggage VLAN (802.1Q) et le pare-feu inter-VLAN.
Le Switch doit impérativement être "Manageable" (administrable) pour comprendre les VLANs.

[Christophe]

Il faut un routeur capable de gérer le taggage VLAN

Le prob va être le manque de compétence interne.

Avec un budget de 1000 € de fonctionnement par an, avoir une contrainte de continuité de service est de la science fiction.

Si j'ai bien compris la base "encaissement " est sur Access et en réseau avec plusieurs postes. Tu pourrais envisager de faire fonctionner ces machines sur un réseau autonome, non connecté aux autres postes, ni à Internet. Resterai à sauvegarder la base sur un support externe. Ceci évitera le cout des équipements et le manque de compétences internes pour les configurer correctement.

Pour le site, sous réserve que ce soit un site vitrine, voir de la gestion d'adhérent, tu pourrais utiliser WordPress sur un hébergement mutualisé, ça coute environ 40 euros par ans , voire moins : juste l’hébergement, tu devras créer le site.

Comme le dit Fred, l'obsolescence est un vecteur de risque. Mais si les machines "encaissement" ne sont raccordées strictement qu'entre elles, le risque est limité. Reste celui de la vétusté du matériel (notamment machines XP). Autre point : la dette technique, quand tu devras changer les postes, tu devras mettre une version plus récente d'Access, pouvant poser problème avec une ancienne base (reprise à faire).

[fred1599]

Le prob va être le manque de compétence interne.

Je recommande de pivoter vers une solution de Gestion d'Association en Ligne (SaaS).

L'outil recommandé : Paheko (ex-Garradin) c'est un logiciel libre, français, conçu spécifiquement pour les associations Loi 1901. Il est gratuit (ou sur don).

https://paheko.cloud/

L'impact sur le matériel : Cela permettrait d'utiliser n'importe quel terminal (même des tablettes ou PC sous Linux) sans avoir à maintenir un réseau complexe, tout en ayant des sauvegardes automatiques dans le cloud. Ça résout le problème de l'obsolescence XP et de la compétence réseau d'un seul coup.

Vous n'avez plus besoin de VLANs complexes. Une simple Box Internet suffit. La sécurité est gérée par le logiciel en ligne (HTTPS).

[Christophe]

oui bonne idée si le soft convient.
Il est testable gratuitement en ligne ou installable sur un poste

[PhilAth]

Merci à tous pour vos conseils.

Je possède déjà 4 tours PC, trois en XP pro et une en Windows 7.

La tour en Windows 7 servira pour le simulateur de vol de notre association, il est totalement détaché du réseau et ne sera pas connecté à d'autres PC.

Pour les trois autres, en XP, je m'en servirait en réseau interne, sans aucune connexion à Internet afin d'y installer mes logiciel de caisse personnalisé par secteur.
Le tout sera donc en réseau fermé, et comme j'ai déjà développé mon système de caisse en ASP3.0, je ferai tourner cela en interne.

Pour le site web, je vais regarder que faire, je souhaiterai l'avoir avec une boutique en ligne afin d'essayer de vendre nos "goodies" tant en magasin que sur le net.
Mon souci est que j'ai arrêté ma profession en tant que programmeur alors que le .net n'était pas encore sorti, et je n'ai toujours travaillé qu'en ASP3.0, donc pas de connaissance du .net ni du PHP.

Je vais encore plancher sur la situation tout en tenant compte de vos remarques et conseils.

Merci

[Christophe]

Donc tu étaits programmeur.

Tu ne devrais pas avoir de difficulté avec WordPress, c'est fait pour être utilisé par des non informaticiens.
Pour la boutique en ligne, tu peux y ajouter le plugin woocommerce qui fait référence.
Tu as aussi prestashop de très connu.

[PhilAth]

Donc tu étaits programmeur.

Tu ne devrais pas avoir de difficulté avec WordPress, c'est fait pour être utilisé par des non informaticiens.
Pour la boutique en ligne, tu peux y ajouter le plugin woocommerce qui fait référence.
Tu as aussi prestashop de très connu.

Effectivement j'ai développé des boutiques en lignes en ASP3.0, pour pas mal de commerce, vente de tabac à chiquer (...) site de hypermarché très connu dans le nord de la France, fabricants de drapeaux, fabricant de véranda et chalets, et aussi des jeux en lignes avec gestion de bases en ASP 3.0 sur moteur Flash. Et plein d'autres.
J'ai fais quelques articles en son temps sur le site ASP-PHP.net qui n'existe plus...
Wordpress ne devrait pas être un problème, je travaille toujours avec Dreamweaver. Donc ce doit être la même chose...

[fred1599]

Pour les trois autres, en XP, je m'en servirait en réseau interne

la pile TCP/IP de Windows XP contient des vulnérabilités permettant des dénis de service ou de l'exécution de code à distance via des paquets mal formés. Isoler ces machines d'Internet ne suffit pas si elles partagent le même segment Ethernet (le même switch non manageable) que des machines connectées. La "barrière" n'est alors qu'une configuration IP facile à contourner pour un attaquant ayant pris le contrôle d'une machine voisine (technique du ARP Spoofing ou de l'écoute passive).

Conserver XP en production est une responsabilité lourde. Si le matériel le permet (processeur x86 standard), le remplacement de l'OS est la meilleure option.

[Christophe]

Je suis d'accord avec Fred. C'est mitigeable si les machines ne sont physiquement connectés qu'entre elles donc sur un réseau physiquement à part (donc pas sur la box). Mais voir mes remarques sur la dette technique et la problématique lors de remplacement des postes.

Il faut à terme sortir ces machines du parc.

[PhilAth]

Bonsoir et merci à tous,

Je possède déjà les 3 PC de caisse en XP et le PC simulator en Win7.
Ce sont des PC que je ne dois pas, dans un premier temps, acheter, donc autant les utiliser en attendant d'avoir les finances suffisantes pour les changer plus tard.

Je ferai tourner ces PC en interne avec aucune liaison avec la partie connectée à internet, ce qui les mets donc hors risque de quoique ce soit.

Je pratiquerais comme ceci:

Les 3 caisses reliées au serveur de base de données interne, non relié au reste du réseau, XP et serveur en Win 11 + le PC administration de caisse en Win 11
Le PC simulateur en win 7 seul et sans aucune relation avec les autres ordinateurs
Les PC administration 2 pour la gestion mail et autres, relié au serveur WEB (non encore décidé, en réflexion d'un hébergement dédié auprès d'un fournisseur) relié au net.

Par la suite, quand les finances nous le permettront, nous changeront les PC caisses XP en Win 11 (ou 12 si il est sorti à ce moment là) et pourront relier le tout à internet.

[Christophe]

Par la suite, quand les finances nous le permettront, nous changeront les PC caisses XP en Win 11 (ou 12 si il est sorti à ce moment là) et pourront relier le tout à internet.

Il te faut en attendant voir le comportement de ton système de caisse sur machine plus récente. De mémoire ta base est en Access, essayes-la sur une version Acess récente. Si tu es encore en format .mdb, il faudrait faire une conversion en .accdb
Dans l'absolu, si tu peux laisses les machines de caisse offline.
Par précaution, neutralises la possibilité de monter des clés USB sur les postes clients.

[fred1599]

Comment vous orchestrez toutes ces zones ? Si toutes ces zones sont indépendantes, comment allez vous faire circuler toutes les informations venant de chacune des zones ?

Pourquoi ne pouvez vous pas changer Windows XP en une distribution linux (aucun coût) ? Y a-t-il de vieux logiciels seulement compatibles avec le système Windows XP ?

[Christophe]

Pourquoi ne pouvez vous pas changer Windows XP en une distribution linux (aucun coût) ?

Parce que sa base est sous Accsss et ASP, il faudrait la redevelopper.

[Artemus24]

Salut à tous.

a) Chez quel fournisseur internet êtes vous (Orange, Free, Bouygues Télécom ou SFR) ? Ou un autre ?

b) Qu'est-ce que votre FAI vous propose ? ADSL ? FTTH ? Satellite ?

c) je suppose que par "modem", vous voulez sous-entendre la BOX de votre FAI.
Il faut savoir que les BOX ne sont pas faites pour brancher trop de PC dessus.
Il y a selon les modèles, deux ou quatre prises RJ45, qui sont limités à 1gb/s.

d) si ce n'est pas une BOX, dans ce cas, il faudra investir dans un vrai routeur.
Donc par Modem, je comprends un boitier ONT si c'est de la fibre optique.
Ce point n'est pas très clair car il est central à votre futur réseau local.

e) je vois que vous avez indiqué un HUB.
NON, il vous faut un SWITCH éthernet que l'on nomme en français un commutateur.

f) FRED1599 conseille un commutateur (Switch) administrable, mais je n'en vois pas l'utilité.
Vous pouvez trouver dans le commerce un petit commutateur comme ce D-LINK DMS-108 qui fonctionne à 2.5gb/s.
Vous pouvez en trouver un autour des 100€.

g) Vous avez en fait deux sous-réseaux, l'un accessible par l'internet et l'autre pas.
Si vous n'avez pas de vrai routeur, juste un BOX, il est impossible de scinder votre réseau en deux branches.
La BOX ne permet que d'avoir un et un seul type adressage, en général pour l'IPv4 "192.168.1.0/24" et pour l'IPv6, celle fournie par la délégation du préfixe qui est en "/64" (le /24 et le /64 sont des masques réseaux).

h) la solution la plus simple, dans ce cas, est d'avoir un second commutateur.
Le premier sera relié à votre BOX et le second à votre serveur database qui fera aussi office de serveur DHCP.

i) les difficultés vont commencer par savoir exactement ce que vous voulez obtenir et savoir le faire par la suite évoluer.
Sans compétence dans le domaine réseau, c'est mission impossible.
Vous pouvez toujours vous procurer du matériel mais il faudrait encore savoir s'en servir.

j) je suis du même avis que continuer à utiliser les anciennes version de Windows est une erreur.
Vous pouvez installer une distribution Linux (j'utilise Debian sans aucun problème) qui saura mieux vous protéger.
Là aussi, il faut s'y connaitre un tant soit peu dans ce genre d'OS qui est très différent de Windows.

@+

[fred1599]

f) FRED1599 conseille un commutateur (Switch) administrable, mais je n'en vois pas l'utilité.
Vous pouvez trouver dans le commerce un petit commutateur comme ce D-LINK DMS-108 qui fonctionne à 2.5gb/s.
Vous pouvez en trouver un autour des 100€.

Vous n'avez pas peur... reprenons le contexte et pourquoi j'indique ce type de matériel

D'après les explications du PO, l'association utilise des caisses sous Windows XP et des bases de données Access/ASP, tout en ayant besoin d'ordinateurs sous Windows 11 connectés à Internet.

J'insiste donc sur "l'importance de la segmentation du réseau (VLANs) pour empêcher le mouvement latéral des logiciels malveillants".

Pour créer des VLANs, un switch administrable est techniquement obligatoire. Un switch non administrable (basique) ne permet pas de "taguer" les paquets ou de séparer logiquement les réseaux. Sans switch administrable, tous les appareils se voient, ce qui est critique ici.

Je signale que "l'utilisation de Windows XP est un risque important" et mentionne spécifiquement le risque lié au protocole SMBv1 (vecteur principal des ransomwares).

On ne peut pas connecter des machines Windows XP (qui ne reçoivent plus de mises à jour de sécurité depuis des années) sur le même réseau "plat" que des PC Windows 11 connectés à Internet. Si un PC Windows 11 est infecté par Internet, il contaminera immédiatement les caisses XP via le réseau local. Le switch administrable permet d'isoler hermétiquement les caisses XP dans un VLAN sans accès Internet, tout en permettant des communications très filtrées vers le serveur si nécessaire.

Utiliser des équipements grand public (routeurs Wi-Fi simples ou switches non gérés) exposerait l'association à une perte de données catastrophique (vol ou cryptolocker)...