Trust Center · Cartographie publique
Architecture technique
La transparence n'est pas une vulnérabilité. Voici la cartographie complète de l'infrastructure Humanix Académie : composants, technos, localisations, choix souverains. Conforme à la mesure 5 du Guide d'hygiène informatique ANSSI (cartographie précise de l'installation maintenue à jour).
🗺️ Schéma de l'architecture
Internet 🌐
│
│ HTTPS (TLS 1.3, HSTS preload)
▼
┌──────────────────────┐
│ HAProxy 2.9 │ ★ seul composant exposé
│ bare-metal frontal │ rate-limit, WAF léger
│ Scaleway Paris 🇫🇷 │ stick-table 10s window
└──────────┬───────────┘
│ IP privée (VPC Scaleway)
▼
┌──────────────────────┐
│ App Next.js 16 │ React 19 + Auth.js v5
│ + API routes │ Server Actions Prisma
│ Docker, isolé │ RBAC + step-up WebAuthn
│ Scaleway Paris 🇫🇷 │
└────┬────────┬────────┘
│ │
│ └──────────────────┐
▼ ▼
┌──────────────┐ ┌──────────────────┐
│ PostgreSQL16 │ │ Services externes│
│ + Prisma │ │ - Mistral 🇫🇷 │
│ LUKS │ │ - Mollie 🇳🇱 │
│ Scaleway 🇫🇷 │ │ - TEM Scaleway🇫🇷│
└──────┬───────┘ └──────────────────┘
│
│ pg_dump quotidien + age
▼
┌──────────────────────┐
│ Backup Object Storage│ Chiffré X25519 age
│ Scaleway 🇫🇷+ Amsterdam│ 30j rolling + 12 mois
└──────────────────────┘
Schéma source de vérité, mis à jour à chaque évolution majeure de l'infra.
🧩 Détail des composants
DNS + domaine
Résolution + email DMARC/DKIM/SPF
OVHcloud
France 🇫🇷
Domaine humanix-academie.fr enregistré OVH, DNSSEC actif.
Reverse-proxy frontal
Terminaison TLS, rate-limit, WAF léger, redirect HTTPS
HAProxy 2.9 (bare-metal)
Scaleway Paris 🇫🇷
Seul composant exposé Internet. TLS 1.3 only. HSTS preload. Rate-limit 600 req / 200 err / 150 conn par 10s par IP via stick-table.
Application Next.js
Frontend SSR + API routes + Server Actions
Next.js 16 + React 19 + Auth.js v5 (Docker)
Scaleway Paris 🇫🇷
Conteneur isolé, IP privée uniquement. Reçoit uniquement le trafic forwardé par HAProxy.
Base de données
Persistance multi-tenant + audit trail
PostgreSQL 16 + Prisma 6.16+
Scaleway Paris 🇫🇷
Disque chiffré LUKS au niveau hôte. Accès uniquement depuis l'app Next.js par IP privée. Connexions TLS.
Email transactionnel
Magic links Auth.js, alertes, notifications
Scaleway TEM (Transactional Email)
France 🇫🇷
API authentifiée par clé révocable, DMARC alignement strict.
IA (Hex chat + génération contenu)
Coach pédagogique conversationnel + génération phishing/quishing
Mistral AI (mistral-large + mistral-embed)
France 🇫🇷
Prompt injection garde-fous, contexte tenant strict, pas de fuite cross-tenant.
Paiement
Souscription abonnement, gestion factures
Mollie B.V.
UE 🇪🇺 (Amsterdam)
Webhooks HMAC-SHA256 obligatoires, fenêtre 5 min. PCI-DSS niveau 1, tokenisation CB.
Sauvegardes
Backup quotidien BDD + objets
pg_dump + chiffrement age (X25519) + FTPS Scaleway Object Storage
Scaleway Paris 🇫🇷 + miroir Amsterdam
Cycle 30 jours rolling + 12 mois mensuel. Test restauration trimestriel.
Signature certificats apprenants
Émission certificat Ed25519 vérifiable
Ed25519 RFC 8032 (clé hors-bande)
1Password vault interne
Clé privée jamais dans le repo, jamais dans l'app runtime. Signature dans une étape isolée.
Logs + supervision
Audit trail tamper-evident + métriques
Table Event Prisma (append-only) + Scaleway Cockpit
Scaleway Paris 🇫🇷
Retention 1 an minimum, 5 ans si incident déclaré. 20+ types d'événements audités.
🔐 Algorithmes cryptographiques utilisés
Tous les algorithmes sont conformes aux recommandations RGS B+ de l'ANSSI et aux standards NIST / IETF en vigueur.
| Usage | Algorithme |
|---|---|
| Hash mots de passe | scrypt RFC 7914 (N=2^15, r=8, p=1) |
| MFA TOTP | HMAC-SHA1 RFC 6238 (standard) |
| MFA WebAuthn | ES256 + EdDSA (FIDO2 W3C) |
| Signature certificats | Ed25519 RFC 8032 |
| Webhooks HMAC | HMAC-SHA256 |
| Chiffrement backup | age (X25519 + ChaCha20-Poly1305) |
| TLS en transit | TLS 1.3 partout |
| Disque BDD | LUKS AES-XTS |
🔒 Posture TLS
TLS version
1.3 only
HSTS
preload, max-age 1 an
Cipher suites
AES-GCM + ChaCha20-Poly1305
OCSP stapling
activé
Certificat
Let's Encrypt, renouvellement auto acme.sh
Validations indépendantes : SSL Labs A+, Mozilla Observatory A+, securityheaders.com A+.
🇫🇷 Choix souverains motivés
- Hébergement Scaleway Paris : opérateur de droit français (filiale Iliad), non soumis au Cloud Act US.
- IA Mistral (France) au lieu d'OpenAI ou Anthropic US : préserve la souveraineté sur le contexte tenant (prompts, réponses, embeddings).
- Paiement Mollie B.V. (Pays-Bas) : régulé DNB (banque centrale néerlandaise), PSD2 UE, pas de Stripe US.
- Email Scaleway TEM (France) : pas de SendGrid US, pas de Mailgun US, pas de Resend US.
- Backup Object Storage Scaleway : copies redondantes UE uniquement (Paris + Amsterdam).
- Domaine OVHcloud France : enregistrement DNS sur sol français.
Conformité 42 mesures ANSSI HG
Mapping public mesure par mesure (M1-M42)
Trust Center
RGPD, sous-traitants, continuité, engagement humain
Code source AGPLv3
Tout le code de la plateforme, auditable publiquement
Architecture mise à jour à chaque évolution majeure. État au .