Grande clinique marseillaise : réseau Omada, fibre inter-bâtiments, Proxmox, téléphonie et Microsoft Entra ID

Sinfonee est intervenu auprès d'un grand établissement de santé privé situé à Marseille pour accompagner l'ouverture d'un nouveau bâtiment construit de zéro, tout en reprenant et modernisant l'infrastructure informatique existante du site principal. La mission, menée de bout en bout, couvrait cinq volets distincts et complémentaires : réseau du bâtiment neuf, interconnexion fibre inter-bâtiments, WiFi patients avec portail captif, virtualisation et téléphonie, et gestion des identités et sécurisation du parc informatique sous Microsoft Entra ID.

Les contraintes propres au secteur de la santé — disponibilité 24h/24, confidentialité des données patients, conformité aux recommandations ANSSI et HDS, continuité de service absolue en environnement clinique — ont guidé chaque choix technique.

Conception et câblage structuré

Le nouveau bâtiment a été câblé intégralement en Cat 7 dès la phase gros œuvre, en coordination avec les équipes du chantier. Chaque local technique de palier accueille un switch administrable TP-Link Omada alimenté en PoE+, raccordant les postes de travail, les bornes Wi-Fi, les téléphones IP et les équipements biomédicaux du plateau technique.

L'architecture réseau retenue s'articule autour d'un cœur de réseau redondant en baie principale, avec des liens montants en agrégation LACP vers chaque switch de distribution, afin d'éliminer tout point de défaillance unique sur les flux critiques.

Segmentation par VLANs

Pour respecter les bonnes pratiques de sécurité en milieu de santé et les recommandations ANSSI, nous avons défini une architecture VLANs stricte :

• VLAN Administration — postes du personnel administratif, accès au logiciel de gestion des patients (DPI)
• VLAN Médical — équipements biomédicaux connectés (moniteurs, imagerie, pompes intelligentes), segment isolé sans accès internet direct
• VLAN Personnel soignant — terminaux mobiles des infirmiers et médecins, accès aux applications métier via VPN interne
• VLAN WiFi patients — accès internet des patients hospitalisés, totalement isolé des réseaux internes
• VLAN Téléphonie — flux VoIP prioritaires (QoS activée), IPBX et téléphones IP
• VLAN Serveurs / Virtualisation — hyperviseurs Proxmox, VMs métier et infrastructure
• VLAN Sauvegardes — NAS et flux de réplication, sans accès depuis les autres VLANs
• VLAN Vidéosurveillance — caméras IP et NVR, sans sortie internet

Des ACL et règles de pare-feu inter-VLANs ont été configurées dans le contrôleur Omada pour garantir une isolation stricte, notamment entre le segment biomédical, le réseau patients et les systèmes d'information internes.

Le nouveau bâtiment et le bâtiment principal existant ont été interconnectés par un lien fibre optique multimode déployé en souterrain dans une gaine technique dédiée. Ce choix technique offre plusieurs avantages décisifs par rapport à une liaison cuivre ou WiFi point à point :

• Débit garanti : le lien fibre est dimensionné à 10 Gbps entre les deux cœurs de réseau, assurant une capacité largement suffisante pour les flux de réplication, de sauvegardes, de téléphonie et de vidéosurveillance transitant simultanément
• Immunité aux perturbations électromagnétiques : critique dans un environnement hospitalier où coexistent de nombreux équipements médicaux générant des interférences
• Isolation électrique complète entre les deux bâtiments, éliminant tout risque lié aux différences de potentiel de terre
• Redondance : deux fibres physiques distinctes ont été tirées dans la même gaine, permettant un basculement automatique en cas de rupture d'un lien

Côté réseau, les deux sites ne forment qu'un seul domaine Omada unifié : les politiques VLANs, les règles de pare-feu et la supervision sont gérées depuis un unique contrôleur logiciel, sans configuration redondante à maintenir sur chaque site.

Déploiement des bornes Wi-Fi

Des bornes TP-Link Omada EAP Wi-Fi 7 (802.11be) ont été implantées dans chaque couloir et espace commun des deux bâtiments. Un soin particulier a été apporté au dimensionnement RF : étude de couverture préalable, prise en compte des cloisons en béton et des plafonds techniques, réglage fin de la puissance d'émission pour éviter les interférences entre bornes adjacentes.

Le mécanisme de roaming transparent 802.11r/k/v assure des transitions fluides pour le personnel se déplaçant d'un couloir à l'autre avec leurs terminaux mobiles professionnels.

Portail captif patients et conformité LCEN

L'accès Wi-Fi destiné aux patients hospitalisés passe obligatoirement par un portail captif intégré au contrôleur Omada. Les patients s'authentifient via un code à usage unique remis à l'admission par le personnel soignant.

Conformément aux obligations de la loi LCEN et aux décrets relatifs à la conservation des données de connexion, chaque session génère un enregistrement horodaté archivé automatiquement, avec les informations suivantes :

• Identifiant de session
• Adresse MAC de l'appareil du patient
• Adresses IP attribuées (DHCP) et plages correspondantes
• Horodatages de début et fin de session
• Volume de données échangées

Les journaux sont chiffrés, isolés sur un VLAN dédié et purgés automatiquement après 12 mois. Le réseau patients ne peut en aucun cas atteindre les systèmes d'information internes, les dossiers patients ou les équipements biomédicaux.

Plutôt que d'acquérir un contrôleur matériel dédié, nous avons opté pour le contrôleur logiciel Omada, déployé sous forme de machine virtuelle sur l'infrastructure Proxmox. Ce choix offre plusieurs avantages opérationnels :

• Haute disponibilité : la VM du contrôleur bénéficie des mécanismes de redondance Proxmox (migration à chaud, snapshots automatiques avant chaque mise à jour)
• Centralisation de la gestion : l'ensemble des équipements Omada des deux bâtiments — switchs, bornes Wi-Fi, routeurs — est piloté depuis une interface unique, avec visibilité en temps réel sur la topologie réseau
• Évolutivité : l'ajout de futurs bâtiments ou d'équipements supplémentaires ne nécessite pas de remplacement du contrôleur physique
• Mises à jour sans interruption : les mises à jour du firmware des équipements et du contrôleur sont planifiées hors heures d'activité depuis l'interface d'administration

Mise en place de l'hyperviseur Proxmox VE

Un cluster Proxmox VE (Virtual Environment) a été déployé sur des serveurs physiques dédiés hébergés dans la baie principale du nouveau bâtiment. Proxmox, solution de virtualisation open source éprouvée, permet de faire coexister des machines virtuelles (KVM) et des conteneurs (LXC) sur les mêmes hôtes physiques, en mutualisant les ressources de calcul et de stockage.

Machines virtuelles hébergées

Le cluster Proxmox héberge l'ensemble des services d'infrastructure de l'établissement :

• Contrôleur Omada — gestion centralisée du réseau multi-sites
• Serveur Active Directory / Microsoft Entra ID Connect — annuaire central des identités et synchronisation avec le cloud
• Serveur de fichiers — partages réseau sécurisés pour les services administratifs
• Serveur IPBX — gestion de la téléphonie IP de l'établissement
• Serveur de supervision — monitoring réseau, alertes et tableaux de bord d'infrastructure
• VMs applicatives métier — logiciels de gestion RH, facturation, planification des soins

Haute disponibilité et sauvegardes

Les VMs critiques (AD, IPBX, contrôleur Omada) sont configurées en haute disponibilité Proxmox : en cas de défaillance d'un nœud physique, les machines virtuelles redémarrent automatiquement sur un nœud sain en moins de deux minutes, sans intervention humaine.

Le module Proxmox Backup Server (PBS) assure des sauvegardes incrémentales et dédupliquées de l'ensemble des VMs, planifiées quotidiennement vers un stockage NAS dédié. Les sauvegardes sont testées mensuellement par restauration complète sur un environnement de test isolé.

L'ouverture du nouveau bâtiment était l'occasion de moderniser et d'unifier le système de téléphonie de l'ensemble du site clinique. Nous avons déployé un IPBX centralisé hébergé en VM sur Proxmox, couplé à des téléphones IP PoE raccordés via le VLAN Téléphonie dédié.

• Numérotation unifiée entre les deux bâtiments : les extensions internes sont joignables depuis n'importe quel poste du site, quelle que soit sa localisation physique, via la liaison fibre inter-bâtiments
• QoS réseau configurée dans Omada pour prioriser les flux VoIP sur l'ensemble des switchs, garantissant une qualité d'appel optimale même en période de forte charge réseau
• VLAN dédié et isolé pour les flux téléphoniques, empêchant toute interférence avec les autres trafics réseau
• Intégration avec les lignes SIP opérateur pour les appels entrants et sortants vers l'extérieur
• Files d'attente, musique d'attente, groupements d'appels et répondeurs configurés pour les différents services de la clinique (accueil, urgences, services administratifs)
• Possibilité d'accès au système de téléphonie depuis les smartphones du personnel via softphone sécurisé sur VPN interne

Migration vers Microsoft Entra ID

Le parc informatique existant de l'établissement — plusieurs dizaines de postes Windows répartis sur les deux bâtiments — a fait l'objet d'une reprise complète dans le cadre de cette mission. Le point central de cette modernisation : la migration vers Microsoft Entra ID (anciennement Azure Active Directory), la solution de gestion des identités cloud de Microsoft.

Un serveur Active Directory on-premise, hébergé en VM sur Proxmox, est synchronisé en permanence avec Entra ID via Microsoft Entra Connect. Cette architecture hybride permet de conserver le contrôle local sur les comptes et les stratégies de groupe (GPO), tout en bénéficiant des fonctionnalités cloud avancées d'Entra ID.

Sécurisation des sessions et des accès

La reprise du parc a été l'occasion de déployer un ensemble cohérent de mesures de sécurité sur les postes de travail et les accès utilisateurs :

• Authentification multifacteur (MFA) obligatoire pour tous les comptes, notamment pour les accès aux applications Microsoft 365 et aux outils métier hébergés dans le cloud
• Accès conditionnel Entra ID : les connexions depuis des appareils non conformes ou depuis des localisations inhabituelles sont automatiquement bloquées ou soumises à une vérification supplémentaire
• Jonction hybride des postes (Hybrid Azure AD Join) : chaque poste Windows est enregistré à la fois dans l'AD on-premise et dans Entra ID, permettant l'application des politiques de sécurité cloud sur tous les équipements
• Gestion des mots de passe centralisée : politique de complexité et de rotation imposée, réinitialisation en libre-service (SSPR) pour les utilisateurs, réduisant les sollicitations au support
• Chiffrement des postes via BitLocker, géré centralement depuis Entra ID, avec dépôt des clés de récupération dans l'annuaire cloud
• Déploiement des applications via Intune : les logiciels métier, les agents de sécurité et les mises à jour sont poussés automatiquement sur les postes, sans intervention manuelle sur chaque machine
• Inventaire et conformité du parc : chaque poste fait l'objet d'un rapport de conformité automatique (version OS, antivirus à jour, chiffrement actif) visible depuis la console d'administration Intune

Reprise et nettoyage du parc existant

Avant la migration, un audit complet du parc a été réalisé : recensement des postes, vérification des versions Windows, identification des logiciels obsolètes ou non licenciés. Les postes trop anciens pour migrer vers Windows 11 ont été remplacés. L'ensemble du parc repris bénéficie désormais d'une gestion unifiée, avec un support de niveau 1 facilité grâce à la prise en main à distance sécurisée intégrée à Intune.

• Infrastructure réseau unifiée : deux bâtiments interconnectés en fibre 10 Gbps, gérés depuis un unique contrôleur Omada, avec segmentation VLANs stricte adaptée aux contraintes du milieu médical
• Conformité LCEN assurée : portail captif patients, journalisation horodatée et chiffrée des connexions WiFi, rétention automatique sur 12 mois
• Sécurité des données patients : isolation totale du réseau patients vis-à-vis des systèmes d'information internes et des équipements biomédicaux
• Infrastructure virtualisée résiliente : cluster Proxmox en haute disponibilité, sauvegardes incrémentales quotidiennes, restauration testée mensuellement
• Téléphonie unifiée : numérotation commune aux deux bâtiments, qualité d'appel garantie par QoS, intégration SIP opérateur
• Gestion des identités modernisée : migration vers Microsoft Entra ID, MFA obligatoire, accès conditionnel, postes sous Intune — réduction significative de la surface d'attaque
• Parc informatique assaini : inventaire complet, postes obsolètes remplacés, déploiement applicatif centralisé via Intune
• Supervision centralisée : tableaux de bord réseau, alertes automatiques, prise en main à distance sécurisée pour le support