Réseau & périmètre
Segmentation Docker · réseaux internes Baserow↔n8n · TLS terminé Traefik · pare-feu hôte · accès SSH restreint · PRISME-Mesh en mTLS inter-hubs.
Statut : v1 — juillet 2026
Sources terrain : Expérimentations actuelles · Plan directeur n8n · Protocole PRISME-Mesh · Capacité de portage · devis D01 (liste devis)
Les structures ICC manipulent des données sensibles : coordonnées d'artistes et de technicien·nes, contrats, billetterie, archives, courriels métier, flux de paie indirects (CDDU). La mutualisation numérique (Baserow, n8n, Calendrier Grainerie v3, webmail, Marty) augmente la surface d'exposition — et la responsabilité du porteur et des structures pilotes.
PRISME ne se limite pas à une posture « open source = sécurisé » : le projet documente une stratégie de cybersécurité en couches, alignée sur les bonnes pratiques ANSSI applicables à une PME/association et sur l'état réel de la stack Grainerie (TRL 6–7 en production interne).
| Zone | Contenu | Phase |
|---|---|---|
| Site pilote Grainerie | Serveur Outils Grainerie · 48 conteneurs Docker · n8n · Baserow · Calendrier · edge Nœud IA POC | Existant → durcissement M1–M12 |
| Déploiements pilotes | 4–6 structures CIRC-INO / filière · package edge CHATONS (Le Filament) | M12–M30 |
| PRISME-Mesh | Hubs GPU · jobs d'inférence · pas de centralisation des données métier | M12–M36 |
| Communs publiés | Code · documentation · modèles — sans secrets ni données personnelles | Continu |
Hors périmètre initial : certification ISO 27001 · SOC2 · hébergement santé/finance.
| Menace | Exemple ICC | Réponse PRISME |
|---|---|---|
| Accès non autorisé | Compte partagé · mot de passe faible | Authentik (SSO/OIDC) · MFA cible M12 · rôles Baserow |
| Fuite via API / webhook | Webhook Baserow exposé · boucle n8n | Validation origine · router central · rate limiting · Plan directeur n8n Phase 1–2 |
| Credential leak | Token en clair dans workflow | Migration credentials n8n · Docker secrets · rotation documentée |
| Ransomware / perte données | Chiffrement serveur | Borgmatic · sauvegardes chiffrées · tests restauration semestriels |
| Exposition Internet | vLLM · admin Baserow public | Traefik · TLS · pas d'exposition directe des services internes · revue ANITI/B612 (mesh) |
| Supply chain | Image Docker compromise | Registre maîtrisé · pin versions · scan CVE (CI) — budget D01 |
| Ingénierie sociale | Phishing équipes / résidences | Formation · procédure incident · contact référent |
Segmentation Docker · réseaux internes Baserow↔n8n · TLS terminé Traefik · pare-feu hôte · accès SSH restreint · PRISME-Mesh en mTLS inter-hubs.
Authentik (OIDC) · JWT Baserow · permissions Calendrier APP_PERMISSIONS · moindre privilège · journalisation des accès admin.
Validation webhooks · chiffrement secrets webmail · quotas · audit log · pas de credentials en clair dans les workflows · sanitization données avant exports Carbone.
Borgmatic + Syncthing · supervision · procédure incident · comité technique mensuel · pentest D01 · plan de continuité (restauration < 24 h cible pilote).
%% mermaid-layout: tall
%%{init: {'theme': 'base', 'flowchart': {'htmlLabels': true, 'wrappingWidth': 200, 'nodeSpacing': 68, 'rankSpacing': 80, 'padding': 22, 'diagramPadding': 20}, 'themeVariables': { 'fontSize': '16px'}}}%%
flowchart TB
U["Utilisateur·ices"] --> T["Traefik · TLS"]
T --> A["Authentik · OIDC"]
A --> C["Calendrier v3"]
A --> B["Baserow"]
B <-->|"réseau interne"| N["n8n"]
N --> S["Services métier"]
B --> P[("PostgreSQL")]
P --> BK["Borgmatic · sauvegardes"]
C --> E["Edge Nœud IA POC<br/>API locale"]| Composant | État juillet 2026 | Cible PRISME M12 | Cible M24–M36 |
|---|---|---|---|
| Orchestration | Credentials partiellement migrés · synchronisations à sécuriser | 0 secret en clair · validation des flux · scénarios inactifs archivés | Réduction des points d'exposition · tests régression sécurité |
| Base de données métier | Auth · rôles par jeu de données | Revue permissions pilotes · champs sensibles masqués | Modèle permissions réplicable filière |
| Calendrier v3 | Auth Baserow · permissions granulaires | Audit APP_PERMISSIONS · durcissement routes API | Package déploiement sécurisé CHATONS |
| Webmail / Marty | Chiffrement credentials · quotas · audit | Export RGPD · consentement fédéré | Revue DPIA module mail |
| PRISME-Mesh | Spécification | OIDC fédéré · mTLS · pas de PII en logs | Revue sécurité ANITI / B612 |
| Edge vLLM | API locale Serveur Outils | Non exposé Internet · token API · rate limit | Charte d'usage GPU partagé |
Référence opérationnelle : Plan directeur orchestration (Phase 1 Sécurité, Phase 7.5) · état d'exploitation interne juillet 2026.
| Instance / rôle | Mission |
|---|---|
| Direction technique (La Grainerie) | Exploitation quotidienne · application des correctifs · sauvegardes |
| Comité technique PRISME | Revue mensuelle livrables · sécurité · TRL (consortium) |
| Référent·e cybersécurité F2030 | Coordination durcissement · relation prestataire audit · registre incidents |
| Le Filament (infogérance cible) | Durcissement déploiements pilotes · Ansible · Traefik · CHATONS |
| Prestataire audit D01 | Pentest · accessibilité · recommandations S2 2026 (24 k€ budgétés) |
| # | Livrable | Échéance | Preuve |
|---|---|---|---|
| CYB-1 | Politique de sécurité PRISME (v1) | M6 | Document publié pôle Diffuser |
| CYB-2 | Rapport audit / pentest communs (D01) | M9–M12 | Rapport prestataire + plan d'actions |
| CYB-3 | Durcissement site pilote (Phase 1 n8n) | M12 | 0 credential en clair · webhooks validés |
| CYB-4 | Guide déploiement sécurisé edge (CHATONS) | M18 | Avec Le Filament |
| CYB-5 | Revue sécurité PRISME-Mesh | M24 | PV comité technique + recommandations |
| CYB-6 | Bilan sécurité structures pilotes | M36 | ≥ 3 audits internes documentés |
| Référentiel | Apport |
|---|---|
| Critères sélection AAP | Maîtrise des risques numériques · souveraineté · pas de dépendance opaque |
| F05 IA responsable | Sécurité des flux IA · edge · pas d'exposition GPAI |
| Objectif 3 AAP | Journaux d'accès · traçabilité exploitation contenus |
| DNSH | Pas de préjudice via négligence sécurité sur infra énergivore |
Voir aussi : RGPD & gouvernance des données · IA responsable F05 · Objectif 3 — droits