Infrastructure livrée  ·  auto-hébergée

Toute l'entreprise sur sa propre infrastructure.

Une plateforme numérique complète — messagerie, fichiers, tableaux de bord et automatisations — hébergée par l'entreprise elle-même, sans dépendre des grands fournisseurs cloud. Une seule identité pour chaque employé, un accès chiffré depuis n'importe où, et une surveillance qui tourne toute seule.

SIGNATURE : périmètre réseau vivant
7
Services
auto-hébergés
15
Employés,
1 seul login
4
Automatisations
en continu
0
Port ouvert
sur le routeur
100%
Données
sous contrôle
En clair

À quoi ça sert, concrètement

AutoCore Tech remplace l'empilement habituel d'abonnements (Google Workspace, Microsoft 365, Slack, Dropbox…) par une seule plateforme que l'entreprise héberge et possède. Les employés retrouvent les mêmes usages — discuter, partager des fichiers, suivre des données — mais les informations restent chez elle, accessibles en HTTPS depuis partout, et protégées par une frontière réseau et une identité unique.

Ce qui tourne

Sept services, une seule maison

Chaque brique répond à un besoin du quotidien. Toutes sont hébergées sur la même infrastructure et reliées entre elles.

🔑

Authentik

Identité unique · SSO

Le trousseau de clés de l'entreprise. Un employé se connecte une fois et accède à tous les outils, sans mot de passe en double.

📁

Nextcloud

Fichiers & partage

L'espace de stockage commun. Chaque département voit uniquement les dossiers qui le concernent, selon des règles d'accès claires.

💬

Mattermost

Messagerie d'équipe

La discussion interne, par canaux. Les alertes automatiques de l'infrastructure y arrivent aussi, en direct.

📊

Budibase

Tableaux de bord

Les données métier (incidents, sécurité, documents) rassemblées dans des tableaux lisibles, alimentés tout seuls.

⚙️

n8n

Automatisation

Le chef d'orchestre invisible. Il surveille, alerte et rédige des rapports sans intervention humaine.

🛡️

OPNsense + Cloudflare

Pare-feu & accès sécurisé

La frontière. Le pare-feu sépare les zones sensibles, et le tunnel chiffré publie les services sans exposer le réseau.

Un seul login

Une clé qui ouvre toutes les portes

Plus de dizaine de comptes à gérer. Chaque employé possède une identité unique, et ses droits suivent automatiquement selon son département.

L'employé se connecte une fois

Sur n'importe quel service, il arrive sur la même page de connexion sécurisée Authentik.

Son identité est vérifiée

Le service interroge Authentik via le standard OIDC : aucun mot de passe n'est stocké ailleurs.

Ses droits arrivent avec lui

Son département (IT, Ventes, Direction) détermine ce qu'il peut voir et modifier — appliqué partout en même temps.

Accès accordé, instantanément

Il est dans l'outil, avec exactement les permissions qu'il doit avoir. Ni plus, ni moins.

Identité centralisée
👤
15 employésrépartis en 3 départements
🔐
1 identité chacunprotocole OIDC / OAuth2
🎯
Droits propagéspar groupe, automatiquement
IT_Admin Ventes_Marketing Direction_RH
Sans intervention

L'infrastructure se surveille toute seule

Quatre automatisations tournent en permanence. Elles détectent les pannes, repèrent les intrusions, préviennent l'équipe et rédigent le bilan quotidien — pendant que tout le monde dort.

Disponibilité

Surveillance des services

Vérifie en continu que le stockage de fichiers répond. En cas de panne, un incident est créé et l'équipe est prévenue en direct — puis l'incident se referme tout seul au retour à la normale.

Fréquence · toutes les 5 minAlerte · canal #incidents
Sécurité

Détection des intrusions

Surveille les tentatives de connexion échouées. Au-delà d'un seuil depuis une même adresse, une alerte de sécurité est levée avec l'adresse, le nombre d'essais et la gravité.

Fréquence · toutes les 10 minAlerte · canal #security
Rapport

Bilan quotidien automatique

Chaque matin à 8h, un rapport est composé : état des services, connexions des dernières 24h, incidents ouverts et validité du certificat de sécurité — puis publié à l'équipe.

Fréquence · 8h, du lun. au ven.Diffusion · canal #daily-report
Documents

Suivi des nouveaux fichiers

Repère les fichiers déposés dans l'espace partagé. Une tâche est créée et une notification est envoyée avec des boutons d'action pour la prendre en charge ou ouvrir le fichier.

Fréquence · toutes les 5 minNotif. · canal #general
Sur pièces

L'infrastructure en images

Trente captures réelles des consoles d'administration, configurations et automatisations en fonctionnement. Cliquez pour agrandir.

Pour les profils techniques

Sous le capot

Architecture, segmentation réseau, propagation d'identité et automatisations — le détail de la mise en œuvre.

architecture
01

Architecture réseau — segmentation DMZ / LAN

OPNsense agit comme routeur et pare-feu principal. Il isole deux zones et ne laisse passer entre elles que les flux strictement nécessaires. Les services exposés vivent en DMZ ; les services critiques (dont l'identité) restent au LAN, inaccessibles depuis Internet. Cloudflare Zero Trust Tunnel publie les services en HTTPS de bout en bout, sans ouvrir aucun port entrant sur le routeur.

DMZ — exposée
vnet143 · 10.42.20.0/24
  • Nextcloud, Mattermost, Budibase, n8n
  • Nginx Proxy Manager (routage HTTPS)
  • Point d'entrée du tunnel Cloudflare
LAN — critique
vnet142 · 10.42.10.0/24
  • Authentik (fournisseur d'identité)
  • Portainer (orchestration conteneurs)
  • Non exposé directement à Internet
table services
02

Cartographie des services

Adresses et ports fictifs — anonymisés pour cette présentation.

ServiceZoneAdresse · portDomaine public
PortainerLAN10.42.10.5:9444portainer.autocore-tech.com
Nginx Proxy ManagerDMZ10.42.20.8:8181proxy.autocore-tech.com
AuthentikLAN10.42.10.5:9301lab-gab-authentik.autocore-tech.com
NextcloudDMZ10.42.20.8:8080lab-gab-nextcloud.autocore-tech.com
MattermostDMZ10.42.20.8:8065lab-gab-mattermost.autocore-tech.com
BudibaseDMZ10.42.20.8:10000lab-gab-budibase.autocore-tech.com
n8nDMZ10.42.20.8:5678lab-gab-n8n.autocore-tech.com
identité
03

Identité & propagation des droits (OIDC)

Authentik est le fournisseur d'identité unique (IdP) en OIDC / OAuth2. Les rôles sont propagés vers chaque application via des Property Mappings qui injectent les bons claims dans le jeton d'authentification — l'attribution des droits admin est donc pilotée depuis un seul endroit.

ApplicationRègle de mappingRésultat
NextcloudIT_Admin → groups:["admin"]Rôle Admin attribué automatiquement
MattermostIT_Admin → role:system_adminAdmin via attribut OpenID
Budibasescope groups → IT_AdminRôle Admin attribué par groupe
RBAC
04

Matrice d'accès aux dossiers (RBAC)

Dossier partagéDirection / RHVentesTechnique (TI)
AdministrationLecture / ÉcritureAucun accèsLecture seule
Clients & ContratsLecture seuleLecture / ÉcritureAucun accès
Documentation TechAucun accèsLecture seuleLecture / Écriture
Commun (public)Lecture / ÉcritureLecture / ÉcritureLecture / Écriture
workflows
05

Détail des automatisations (n8n)

Disponibilité

Surveillance Nextcloud

Schedule · toutes les 5 min

Ping HTTP sur /status.php. Si le code ≠ 200, ouverture d'un incident Budibase + alerte #incidents. Re-test au cycle suivant : fermeture automatique de l'incident au retour UP.

Schedule → HTTP GET status.php → IF 200 → Budibase POST incident → Mattermost #incidents → Re-ping → Budibase PATCH résolu
Sécurité

Détection brute force

Schedule · toutes les 10 min

Lecture de l'API d'événements Authentik (login_failed), comptage par IP dans un nœud Code. Au-delà de 5 tentatives : alerte Budibase + #security avec IP, nombre d'essais et sévérité.

Schedule → HTTP Authentik API → Code (comptage IP) → IF ≥5 → Budibase POST /securite → Mattermost #security
Rapport

Bilan quotidien 8h

Cron · 0 8 * * 1-5

Quatre branches parallèles (Nextcloud, Authentik 24h, incidents Budibase, SSL) fusionnées, puis un nœud Code génère un rapport Markdown publié dans #daily-report.

Cron → 4× HTTP parallèles → Merge → Code (Markdown) → Mattermost #daily-report
Documents

Nouveau fichier détecté

Schedule · toutes les 5 min

Requête PROPFIND WebDAV, parsing XML et filtre sur les dépôts de moins de 5 min. Pour chaque nouveau fichier : tâche Budibase + notification Mattermost avec boutons d'action.

Schedule → PROPFIND WebDAV → Code (parse XML) → IF nouveau → Budibase POST /documents → Mattermost + boutons
stack
06

Pile technique

Orchestration · Docker + Portainer  —  Identité · Authentik (OIDC/OAuth2)  —  Fichiers · Nextcloud  —  Messagerie · Mattermost  —  Données · Budibase  —  Automatisation · n8n  —  Réseau & sécurité · OPNsense, Nginx Proxy Manager, Cloudflare Zero Trust Tunnel.

lightbox