Inclut les dépendances obligatoires (accès utilisateurs, SQL, messagerie, annuaire/SSO) et les intégrations optionnelles (Microsoft Graph, contrôle d’accès, Wi‑Fi Guest, périphériques).
À adapter selon vos politiques (reverse proxy, NAT, ports SQL non standards, relais SMTP, etc.).
1) Flux internes (LAN)
# | Source → Destination | Sens | Proto/Port | Objet |
1 | Postes utilisateurs → Serveur WEB/API (IIS) | Entrant vers WEB | HTTPS 443 | Accès applicatif (portail & API) |
2 | Serveur WEB/API (IIS) → SQL Server | Sortant depuis WEB | TCP (SQL Server) par défaut 1433 | Accès base de données |
3 | Serveur WEB/API → Contrôleur(s) de domaine | Sortant depuis WEB | LDAPS 636 (recommandé) ou LDAP 389 | Authentification/lecture annuaire |
4 | Serveur WEB/API → Relais SMTP interne | Sortant depuis WEB | SMTP 25 ou Submission 587 (TLS) | Envoi e‑mails (invitations/notifications) |
5 | Poste d’accueil Visitor → Serveur WEB/API | Entrant vers WEB | HTTPS 443 | Traçabilité accueil / impression |
6 | Imprimantes badges ↔ Poste d’accueil / Serveur | Interne | USB / IP (TCP) | Impression badges/étiquettes |
2) Flux périphériques (optionnels)
# | Source → Destination | Sens | Proto/Port | Objet |
7 | iPad borne Visitor → Serveur WEB/API | Sortant (depuis iPad) | HTTPS 443 | Borne d’accueil (QR de liaison, enregistrement) |
8 | Écrans de salle (INNES/QBIC) → Serveur WEB/API | Sortant (depuis écrans) | HTTPS 443 | Affichage de salles / présence |
3) Flux externes (selon intégrations)
# | Source → Destination | Sens | Proto/Port | Objet |
9 | Serveur WEB/API → Microsoft Graph ( | Sortant depuis WEB | HTTPS 443 | Hamilton Meeting : lecture/écriture calendriers |
10 | Serveur WEB/API → Fournisseur SMS | Sortant depuis WEB | HTTPS 443 (ou selon fournisseur) | Notifications SMS (si activées) |
11 | Serveur WEB/API → Système de contrôle d’accès | Sortant depuis WEB | HTTPS 443 / TCP spécifiques | Connecteurs AEOS/… (création droits/badges) |
12 | Serveur WEB/API → Portail Wi‑Fi Guest | Sortant depuis WEB | HTTPS 443 | Génération de comptes invités (Ucopia/BlueSafe/Aruba) |
Les flux externes sont optionnels et dépendent des modules activés et des connecteurs retenus.
4) Variantes d’architecture
Reverse proxy/WAF : exposer uniquement HTTPS 443 ; terminer TLS au proxy ou en passthrough ; activer HSTS ; restreindre les IP sources d’administration.
Port SQL non standard : autoriser le port configuré sur l’instance SQL cible (au lieu de 1433).
Authentification fédérée (SSO) : ouvrir les flux nécessaires vers vos IdP (ADFS/SAML/OIDC) en HTTPS 443.
5) Règles pare‑feu — modèle de déclaration
Exemple WEB/API (zone serveur)
Entrant : HTTPS 443 depuis LAN utilisateurs, postes d’accueil, iPad/écrans.
Sortant : TCP SQL vers SQL Server ; LDAPS 636 (ou LDAP 389) vers AD ; SMTP 25/587 vers relais ; HTTPS 443 vers Graph/SMS/Intégrations si utilisés.
Exemple SQL Server (zone base)
Entrant : TCP SQL depuis WEB/API uniquement.
Sortant : restreint (mise à jour/backup selon politique interne).
6) Checklist d’ouverture de flux
FQDN du portail et certificat TLS validés.
HTTPS 443 ouvert vers le serveur WEB/API depuis LAN et périphériques.
TCP SQL ouvert WEB → SQL (port configuré).
LDAPS 636 (ou LDAP 389) WEB → AD.
SMTP 25/587 WEB → Relais.
HTTPS 443 WEB → Graph/SMS/Connecteurs si modules activés.
Impression badges/étiquettes testée (USB/IP).
Journaux/sondes HTTP/SQL/SMTP/Graph opérationnels.
7) Notes de sécurité
Privilégier LDAPS et TLS 1.2+ partout.
Filtrer par sous‑réseaux/groupes (postes d’accueil, écrans) et limiter les accès admin par VPN/IP autorisées.
Journaliser les ouvertures de flux et maintenir un inventaire des intégrations actives.
Liens croisés
Prérequis & compatibilité → versions OS/IIS/.NET/SQL, périphériques.
Procédure d’installation (On‑prem) → étapes techniques (IIS/SQL, comptes).
Chiffrement & secrets → certificats TLS/LDAPS, coffre‑fort.
Observabilité → supervision des sondes réseau & journaux.
Intégrations Entreprise → Microsoft 365/Graph, Contrôle d’accès, Wi‑Fi Guest.