PRISME France 2030 · Culture & IA

§14 — Cybersécurité PRISME

Construire le dossierAxe projetDossier

Statut : v1 — juillet 2026

Sources terrain : Expérimentations actuelles · Plan directeur n8n · Protocole PRISME-Mesh · Capacité de portage · devis D01 (liste devis)

1. Enjeu

Les structures ICC manipulent des données sensibles : coordonnées d'artistes et de technicien·nes, contrats, billetterie, archives, courriels métier, flux de paie indirects (CDDU). La mutualisation numérique (Baserow, n8n, Calendrier Grainerie v3, webmail, Marty) augmente la surface d'exposition — et la responsabilité du porteur et des structures pilotes.

PRISME ne se limite pas à une posture « open source = sécurisé » : le projet documente une stratégie de cybersécurité en couches, alignée sur les bonnes pratiques ANSSI applicables à une PME/association et sur l'état réel de la stack Grainerie (TRL 6–7 en production interne).

2. Périmètre

ZoneContenuPhase
Site pilote GrainerieServeur Outils Grainerie · 48 conteneurs Docker · n8n · Baserow · Calendrier · edge Nœud IA POCExistant → durcissement M1–M12
Déploiements pilotes4–6 structures CIRC-INO / filière · package edge CHATONS (Le Filament)M12–M30
PRISME-MeshHubs GPU · jobs d'inférence · pas de centralisation des données métierM12–M36
Communs publiésCode · documentation · modèles — sans secrets ni données personnellesContinu

Hors périmètre initial : certification ISO 27001 · SOC2 · hébergement santé/finance.

3. Modèle de menaces (synthèse)

MenaceExemple ICCRéponse PRISME
Accès non autoriséCompte partagé · mot de passe faibleAuthentik (SSO/OIDC) · MFA cible M12 · rôles Baserow
Fuite via API / webhookWebhook Baserow exposé · boucle n8nValidation origine · router central · rate limiting · Plan directeur n8n Phase 1–2
Credential leakToken en clair dans workflowMigration credentials n8n · Docker secrets · rotation documentée
Ransomware / perte donnéesChiffrement serveurBorgmatic · sauvegardes chiffrées · tests restauration semestriels
Exposition InternetvLLM · admin Baserow publicTraefik · TLS · pas d'exposition directe des services internes · revue ANITI/B612 (mesh)
Supply chainImage Docker compromiseRegistre maîtrisé · pin versions · scan CVE (CI) — budget D01
Ingénierie socialePhishing équipes / résidencesFormation · procédure incident · contact référent

4. Architecture de sécurité — quatre couches

1

Réseau & périmètre

Segmentation Docker · réseaux internes Baserow↔n8n · TLS terminé Traefik · pare-feu hôte · accès SSH restreint · PRISME-Mesh en mTLS inter-hubs.

2

Identité & accès

Authentik (OIDC) · JWT Baserow · permissions Calendrier APP_PERMISSIONS · moindre privilège · journalisation des accès admin.

3

Applicatif & données

Validation webhooks · chiffrement secrets webmail · quotas · audit log · pas de credentials en clair dans les workflows · sanitization données avant exports Carbone.

4

Opérations & résilience

Borgmatic + Syncthing · supervision · procédure incident · comité technique mensuel · pentest D01 · plan de continuité (restauration < 24 h cible pilote).

%% mermaid-layout: tall
%%{init: {'theme': 'base', 'flowchart': {'htmlLabels': true, 'wrappingWidth': 200, 'nodeSpacing': 68, 'rankSpacing': 80, 'padding': 22, 'diagramPadding': 20}, 'themeVariables': { 'fontSize': '16px'}}}%%
flowchart TB
  U["Utilisateur·ices"] --> T["Traefik · TLS"]
  T --> A["Authentik · OIDC"]
  A --> C["Calendrier v3"]
  A --> B["Baserow"]
  B <-->|"réseau interne"| N["n8n"]
  N --> S["Services métier"]
  B --> P[("PostgreSQL")]
  P --> BK["Borgmatic · sauvegardes"]
  C --> E["Edge Nœud IA POC<br/>API locale"]

5. Mesures par composant

ComposantÉtat juillet 2026Cible PRISME M12Cible M24–M36
OrchestrationCredentials partiellement migrés · synchronisations à sécuriser0 secret en clair · validation des flux · scénarios inactifs archivésRéduction des points d'exposition · tests régression sécurité
Base de données métierAuth · rôles par jeu de donnéesRevue permissions pilotes · champs sensibles masquésModèle permissions réplicable filière
Calendrier v3Auth Baserow · permissions granulairesAudit APP_PERMISSIONS · durcissement routes APIPackage déploiement sécurisé CHATONS
Webmail / MartyChiffrement credentials · quotas · auditExport RGPD · consentement fédéréRevue DPIA module mail
PRISME-MeshSpécificationOIDC fédéré · mTLS · pas de PII en logsRevue sécurité ANITI / B612
Edge vLLMAPI locale Serveur OutilsNon exposé Internet · token API · rate limitCharte d'usage GPU partagé

Référence opérationnelle : Plan directeur orchestration (Phase 1 Sécurité, Phase 7.5) · état d'exploitation interne juillet 2026.

6. Gouvernance cybersécurité

Instance / rôleMission
Direction technique (La Grainerie)Exploitation quotidienne · application des correctifs · sauvegardes
Comité technique PRISMERevue mensuelle livrables · sécurité · TRL (consortium)
Référent·e cybersécurité F2030Coordination durcissement · relation prestataire audit · registre incidents
Le Filament (infogérance cible)Durcissement déploiements pilotes · Ansible · Traefik · CHATONS
Prestataire audit D01Pentest · accessibilité · recommandations S2 2026 (24 k€ budgétés)

Procédure incident (synthèse)

  1. Détection — monitoring · signalement utilisateur · alerte sauvegarde
  2. Confinement — coupure webhook / compte / conteneur concerné
  3. Évaluation — gravité · données touchées · CNIL si données personnelles
  4. Remédiation — correctif · rotation secrets · restauration si besoin
  5. Capitalisation — fiche incident · mise à jour doc · comité technique

7. Livrables France 2030 (cybersécurité)

#LivrableÉchéancePreuve
CYB-1Politique de sécurité PRISME (v1)M6Document publié pôle Diffuser
CYB-2Rapport audit / pentest communs (D01)M9–M12Rapport prestataire + plan d'actions
CYB-3Durcissement site pilote (Phase 1 n8n)M120 credential en clair · webhooks validés
CYB-4Guide déploiement sécurisé edge (CHATONS)M18Avec Le Filament
CYB-5Revue sécurité PRISME-MeshM24PV comité technique + recommandations
CYB-6Bilan sécurité structures pilotesM36≥ 3 audits internes documentés

8. Alignement appel & critères

RéférentielApport
Critères sélection AAPMaîtrise des risques numériques · souveraineté · pas de dépendance opaque
F05 IA responsableSécurité des flux IA · edge · pas d'exposition GPAI
Objectif 3 AAPJournaux d'accès · traçabilité exploitation contenus
DNSHPas de préjudice via négligence sécurité sur infra énergivore

9. Formulation dossier (copier-coller)

Voir aussi : RGPD & gouvernance des données · IA responsable F05 · Objectif 3 — droits