Plateforme Low-Code CLS — Proposition d'hebergement sur Azure
Document : Demande de mise en place d'une plateforme low-code CLS sur Azure
Auteur : Christophe Kersuzan — Digital Manager — DSI CLS
Date : Avril 2026 | Version : 1.0 | Classification : Interne
Destinataires : Equipe Securite SI / RSSI
1. Contexte
La DSI CLS utilise plusieurs outils open source pour automatiser les processus metiers : orchestration de workflows, formulaires, chatbots, dashboards. Ces outils sont aujourd'hui repartis entre le LAN interne et un homelab personnel, ce qui pose des problemes de securite, de maintenabilite et de dependance.
Cette proposition vise a centraliser ces services sur une plateforme unique, hebergee dans Azure (tenant CLS existant), composee de 4 briques open source complementaires :
| Service | Role | Remplace | Licence |
|---|
| n8n | Orchestration de workflows, webhooks, integrations API, automatisations | Power Automate, scripts manuels, homelab | Open source (Sustainable Use License) |
| Typebot | Chatbots conversationnels et formulaires interactifs | Formulaires PowerApps, Microsoft Forms complexes | Open source (AGPLv3) |
| OpnForms | Formulaires web avances (logique conditionnelle, fichiers, notifications) | Zoho Creator, Google Forms, Microsoft Forms | Open source (AGPLv3) |
| NocoDB | Interface tableur collaborative sur base de donnees (vue Airtable) | Excel SharePoint, Airtable, Dataverse | Open source (AGPLv3) |
La proposition n'est pas d'exposer des services internes sur Internet, mais de creer une plateforme isolee dans Azure, sans aucune connexion vers le reseau CLS.
Point cle : Zero flux entrant vers le reseau CLS. L'instance n8n Labs vit dans Azure, communique avec les services SaaS dans Azure, et n'a besoin d'aucune ouverture de firewall sur le reseau CLS.
2. Comparatif des options
Option A — Exposer n8n interne
- Ouverture de flux entrant vers le LAN
- Reverse proxy + WAF a deployer
- Surface d'attaque sur l'infra CLS
- Mouvement lateral possible si compromis
- Contrainte de conformite (ISO 27001)
→ Rejetee par la securite
Option B — n8n Labs dans Azure (proposee)
- Zero flux entrant vers CLS
- Heberge dans le tenant Azure CLS existant
- Isole du reseau interne
- Pas de mouvement lateral possible
- Infrastructure geree par Microsoft (SLA 99.95%)
→ Compatible avec la politique de securite
3. Architecture proposee
3.1 Architecture globale
graph LR
subgraph Internet
ZC["🌐 Zoho Creator"]
SWA["🌐 Azure Static Web Apps
(Checklist, PauseCafe)"]
MOB["📱 Navigateurs mobile"]
end
subgraph Azure["☁️ Azure — Tenant CLS"]
subgraph ACA["Azure Container Apps"]
N8N["⚙️ n8n
Workflows & Webhooks"]
TB["💬 Typebot
Chatbots"]
OF["📝 OpnForms
Formulaires"]
NC["📊 NocoDB
Tableur collaboratif"]
end
PG[("🗄️ Azure PostgreSQL
(base partagee)")]
COSMOS[("🗄️ Cosmos DB
(free tier)")]
AI["🤖 Azure AI Foundry"]
SMTP["✉️ SMTP Office 365"]
end
subgraph LAN["🔒 LAN CLS (inchange)"]
JIRA["Jira Server"]
SUP["Supabase interne"]
N8NI["n8n interne"]
end
ZC -->|HTTPS 443| N8N
SWA -->|HTTPS 443| N8N
MOB -->|HTTPS 443| N8N
MOB -->|HTTPS 443| TB
MOB -->|HTTPS 443| OF
MOB -->|HTTPS 443| NC
N8N --> PG
TB --> PG
OF --> PG
NC --> PG
SWA --> COSMOS
N8N --> AI
N8N --> SMTP
N8N -.->|"Zoho API"| ZC
N8NI --> JIRA
N8NI --> SUP
style Azure fill:#eff6ff,stroke:#2563eb,stroke-width:2px
style ACA fill:#dbeafe,stroke:#3b82f6,stroke-width:1px
style LAN fill:#fef2f2,stroke:#ef4444,stroke-width:2px,stroke-dasharray: 5 5
style Internet fill:#f0fdf4,stroke:#22c55e,stroke-width:1px
Point cle : Aucune fleche ne traverse la frontiere vers le LAN CLS. La plateforme Azure est 100% autonome. Le n8n interne existant continue de gerer les flux LAN (Jira, Supabase).
3.2 Flux reseau detailles
graph TB
subgraph ENTRANTS["📥 Flux entrants (Internet → Azure)"]
direction TB
IN1["IN-01 : Azure SWA → n8n
Webhooks notifications"]
IN2["IN-02 : Zoho Creator → n8n
Formulaires VMS"]
IN3["IN-03 : Mobile → n8n
Dashboards"]
IN4["IN-04 : Mobile → Typebot
Chatbots"]
IN5["IN-05 : Mobile → OpnForms
Formulaires"]
IN6["IN-06 : Mobile → NocoDB
Tableur"]
end
subgraph SORTANTS["📤 Flux sortants (Azure → SaaS)"]
direction TB
OUT1["OUT-01 : n8n → SMTP O365
Emails clsworkflow@"]
OUT2["OUT-02 : n8n → Azure AI Foundry
LLM GPT/Grok"]
OUT3["OUT-03 : n8n → Cosmos DB
Donnees webapps"]
OUT4["OUT-04 : n8n → Zoho API
Desk & Creator"]
OUT5["OUT-05 : n8n → RSS publics
Veille automatisee"]
end
subgraph ZERO["🚫 Flux LAN CLS"]
NONE["AUCUN FLUX
Zero connexion entrante ou sortante
vers le reseau interne CLS"]
end
style ENTRANTS fill:#dbeafe,stroke:#2563eb
style SORTANTS fill:#f0fdf4,stroke:#22c55e
style ZERO fill:#fef2f2,stroke:#ef4444,stroke-width:2px
style NONE fill:#fee2e2,stroke:#ef4444,color:#dc2626
3.3 Flux type : notification email (exemple PauseCafe)
sequenceDiagram
participant U as Hotesse
participant SWA as Azure Static Web App
participant CDB as Cosmos DB
participant N8N as n8n (Azure)
participant SMTP as SMTP O365
U->>SWA: Change statut - Pause installee
SWA->>CDB: Stocke notification (pending)
Note over SWA,CDB: Architecture actuelle (polling 5min)
rect rgb(240, 253, 244)
Note over SWA,N8N: Architecture cible (webhook direct)
SWA->>N8N: POST /webhook/pausecafe-notify
N8N->>SMTP: Envoi email clsworkflow@
SMTP-->>U: Email Pause cafe installee
N8N-->>SWA: 200 OK
end
3.4 Flux type : commande VMS Indonesie
sequenceDiagram
participant BD as BD Indonesie
participant ZC as Zoho Creator
participant N8N as n8n (Azure)
participant GEM as Gemini OCR
participant PG as PostgreSQL Azure
participant SMTP as SMTP O365
BD->>ZC: Saisie commande + upload documents
ZC->>N8N: POST /webhook/vms-indo-order
N8N->>GEM: OCR documents (KTP, NPWP, SIPI...)
GEM-->>N8N: Donnees extraites
N8N->>N8N: Validation + logique metier
N8N->>PG: INSERT customers, vessels, beacons, orders
N8N->>SMTP: Email notification nouvelle commande
SMTP-->>BD: Email confirmation
N8N-->>ZC: 200 OK - Commande traitee
3.5 Deploiement phase
gantt
title Planning de deploiement
dateFormat YYYY-MM-DD
axisFormat %b %Y
section Phase 1 - n8n (20 EUR/mois)
Deploiement Azure Container Apps :a1, 2026-05-01, 1d
Migration workflows depuis homelab :a2, after a1, 3d
Tests et validation :a3, after a2, 2d
Mise en production :milestone, after a3, 0d
section Phase 2 - NocoDB (23 EUR/mois)
Deploiement NocoDB :b1, 2026-06-01, 1d
Configuration vues VMS Indonesie :b2, after b1, 2d
Formation equipe JB :b3, after b2, 1d
section Phase 3 - Typebot + OpnForms (31 EUR/mois)
Deploiement Typebot + OpnForms :c1, 2026-07-01, 1d
Creation chatbot Service Desk :c2, after c1, 3d
Migration formulaires Zoho :c3, after c2, 2d
4. Matrice de flux
4.1 Flux entrants (Internet → Plateforme Azure)
| ID | Source | Destination | Port | Description | Auth | Impact LAN CLS |
|---|
| IN-01 | Azure Static Web Apps | n8n Labs (Azure) | 443 | Webhooks depuis Checklist Salles, PauseCafe | API Key | AUCUN |
| IN-02 | Zoho Creator (SaaS) | n8n Labs (Azure) | 443 | Webhooks formulaires (VMS Indonesie) | Secret partage | AUCUN |
| IN-03 | Navigateurs (Internet) | n8n (Azure) | 443 | Dashboards + interface admin n8n | Azure AD SSO | AUCUN |
| IN-04 | Navigateurs (Internet) | Typebot (Azure) | 443 | Chatbots conversationnels embarques dans les webapps ou en standalone | Public (chatbot) / Azure AD (admin) | AUCUN |
| IN-05 | Navigateurs (Internet) | OpnForms (Azure) | 443 | Formulaires web (soumission par les utilisateurs internes et externes) | Lien unique / Azure AD (admin) | AUCUN |
| IN-06 | Navigateurs (Internet) | NocoDB (Azure) | 443 | Interface tableur collaborative pour les equipes metiers (consultation et saisie) | Azure AD SSO | AUCUN |
4.2 Flux sortants (n8n Labs Azure → Services externes)
| ID | Source | Destination | Port | Description | Auth | Impact LAN CLS |
|---|
| OUT-01 | n8n Labs | smtp.office365.com | 587 | Envoi emails (clsworkflow@groupcls.com) | SMTP AUTH | AUCUN |
| OUT-02 | n8n Labs | Azure AI Foundry | 443 | Appels LLM (GPT, Grok) | API Key Azure | AUCUN |
| OUT-03 | n8n Labs | Azure Cosmos DB | 443 | Base de donnees (dans le meme tenant) | Connection string | AUCUN |
| OUT-04 | n8n Labs | desk.zoho.eu | 443 | API Zoho Desk | OAuth2 | AUCUN |
| OUT-05 | n8n Labs | Flux RSS publics | 443 | Collecte veille automatisee | Aucune | AUCUN |
Resultat : ZERO flux vers/depuis le LAN CLS
Tous les flux restent dans Azure ou vers des SaaS externes. Le reseau interne CLS n'est ni source ni destination d'aucun flux.
4.3 Flux optionnel (si besoin de synchro Jira interne)
| ID | Source | Destination | Port | Description | Impact | Alternative |
|---|
| OPT-01 |
n8n Labs (Azure) |
jira-ext.cls.fr (LAN) |
443 |
Synchro Jira ↔ Zoho (existant sur n8n interne) |
Necessite un flux sortant Azure → LAN ou un VPN site-to-site |
Garder ce workflow sur l'instance n8n interne existante. n8n Labs ne gere que les workflows qui n'ont pas besoin du LAN. |
Approche recommandee : Deux instances n8n cohabitent, chacune dans son perimetre :
• n8n interne (aiops-qo-1) : workflows qui touchent le LAN (Jira, Supabase interne)
• n8n Labs Azure : workflows Internet (webhooks Zoho, Azure webapps, dashboards mobiles, emails)
5. Hebergement technique
| Composant | Service Azure | Cout estime |
|---|
| n8n (conteneur) | Azure Container Apps (plan Consumption) | ~10-15 EUR/mois (idle = 0 EUR) |
| Base de donnees n8n | Azure Database for PostgreSQL Flexible (Burstable B1ms) | ~15 EUR/mois |
| Donnees metier | Azure Cosmos DB (free tier existant) | 0 EUR |
| Stockage | Azure Blob Storage | < 1 EUR/mois |
| DNS | n8n-labs.groupcls.com (CNAME vers Azure) | 0 EUR |
| Total estime | | ~25-30 EUR/mois |
6. Securite
| Mesure | Detail |
|---|
| Authentification admin | Interface n8n protegee par Azure AD (SSO CLS). Seuls les utilisateurs autorises accedent a l'editeur de workflows. |
| Authentification webhooks | Chaque webhook entrant valide une API key ou un secret. Pas de webhook ouvert sans authentification. |
| Chiffrement | TLS 1.2+ sur tous les flux (entrants et sortants). Certificat gere par Azure. |
| Isolation reseau | n8n Labs n'a aucun acces au LAN CLS. Pas de VPN, pas de peering, pas de tunnel. |
| Credentials | Chiffres au repos dans la base PostgreSQL n8n (AES-256-GCM). Jamais exposes dans les logs. |
| Logs et audit | Azure Monitor + Log Analytics. Historique des executions dans n8n (30 jours). Alerte sur erreurs. |
| Mise a jour | Image Docker n8n mise a jour mensuellement (patch de securite). |
| Backup | PostgreSQL : backup automatique Azure (7 jours). Workflows : versionnes sur GitHub (repo prive CLS). |
| Pas de donnees sensibles | Donnees traitees : tickets support, commandes VMS, lignes mobiles, veille publique. Pas de donnees RH, medicales, bancaires ou classifiees defense. |
7. Analyse des couts
7.1 Option A — Exposer n8n interne (reverse proxy DMZ)
| Composant | Detail | Cout/mois |
|---|
| n8n (existant) | Deja deploye sur aiops-qo-1, aucun cout supplementaire | 0 EUR |
| Reverse proxy (DMZ) | VM ou conteneur Traefik/Nginx en DMZ. Si VM dediee : ~10-15 EUR/mois Azure ou serveur interne. | 0-15 EUR |
| WAF applicatif | ModSecurity (gratuit) ou Azure WAF (~25 EUR/mois) | 0-25 EUR |
| Certificat TLS | Let's Encrypt (gratuit) ou certificat CLS existant | 0 EUR |
| Supabase / PostgreSQL | Existant en interne | 0 EUR |
| Total mensuel Option A | 0-40 EUR/mois |
Couts caches Option A :
- Temps infra (deploiement reverse proxy, regles WAF, maintenance) — estime 2-3 jours equipe infra
- Modification firewall + validation secu — processus long, risque de rejet
- Surveillance et patching du reverse proxy — charge recurrente equipe infra
- Surface d'attaque elargie sur le LAN CLS — risque operationnel non chiffrable
7.2 Option B — Plateforme Low-Code Azure (proposee)
Scenario 1 — n8n seul (MVP)
| Composant | Service Azure | Detail | Cout/mois |
|---|
| n8n (conteneur) | Azure Container Apps (Consumption) | Facture a l'usage, idle = 0 EUR | ~5-10 EUR |
| PostgreSQL (partage) | Azure PostgreSQL Flexible (B1ms) | 1 vCPU, 2 Go RAM, 32 Go. Base partagee par tous les services. | ~13 EUR |
| Cosmos DB | Free tier (existant) | Webapps Checklist Salles + PauseCafe | 0 EUR |
| Stockage / DNS / TLS | Azure managed | Blob Storage + Let's Encrypt | < 1 EUR |
| Total Scenario 1 | ~20 EUR/mois |
Scenario 2 — Stack complete (n8n + Typebot + OpnForms + NocoDB)
| Composant | Service Azure | Detail | Cout/mois |
|---|
| n8n (conteneur) | Azure Container Apps (Consumption)
Meme environnement, resources partagees | Orchestration, webhooks, dashboards | ~5-10 EUR |
| Typebot (2 conteneurs) | Builder (admin) + Viewer (public). Chatbots conversationnels. | ~5 EUR |
| OpnForms (conteneur) | Formulaires web avances avec logique conditionnelle. | ~3 EUR |
| NocoDB (conteneur) | Interface tableur sur PostgreSQL. Vue Airtable pour les equipes. | ~3 EUR |
| PostgreSQL (partage) | Azure PostgreSQL Flexible (B1ms) | Base unique partagee par n8n, Typebot, NocoDB, OpnForms. | ~13 EUR |
| Cosmos DB | Free tier (existant) | Webapps Azure (Checklist, PauseCafe) | 0 EUR |
| Stockage / DNS / TLS | Azure managed | Blob Storage + certificats | < 1 EUR |
| Total Scenario 2 — Stack complete | ~31 EUR/mois |
| Total annuel | ~372 EUR/an |
4 services open source pour 31 EUR/mois — soit le prix d'une seule licence Power Automate Premium (15 EUR/user/mois x 2 users). La base PostgreSQL est partagee entre tous les services, ce qui mutualise le poste le plus couteux.
7.3 Comparatif avec les alternatives Microsoft
| Solution | Cout mensuel | Cout annuel (5 users) | Limitations |
|---|
| n8n Labs Azure | ~20 EUR fixe | ~240 EUR | Aucune limite d'utilisateurs, d'executions ou de connecteurs |
| Power Automate Premium | ~15 EUR/user/mois | ~900 EUR | Connecteurs HTTP/custom premium, throttling 500 req/min |
| PowerApps Premium | ~20 EUR/user/mois | ~1200 EUR | Requis si Dataverse ou connecteurs custom |
| Power Automate + PowerApps | ~35 EUR/user/mois | ~2100 EUR | Stack complete Microsoft, licences par utilisateur |
| Azure Logic Apps (Standard) | Variable | ~500-1500 EUR | Facture a l'action, cout imprevisible a volume |
n8n Labs a 20 EUR/mois remplace des licences PowerPlatform a 900-2100 EUR/an tout en offrant plus de flexibilite (webhooks, OCR, LLM, dashboards HTML, PostgreSQL). Le cout est fixe et independant du nombre d'utilisateurs.
7.4 Synthese comparative des deux options
| Critere | Option A — Exposer n8n interne | Option B — n8n Labs Azure |
|---|
| Cout mensuel | 0-40 EUR | ~20 EUR |
| Cout cache (infra/temps) | 2-3j equipe infra + maintenance recurrente | Deploiement 1 jour, maintenance minimale |
| Flux entrant LAN CLS | OUI (port 443) | AUCUN |
| Modification firewall | OUI (processus validation secu) | AUCUNE |
| Surface d'attaque LAN | Augmentee | Inchangee |
| Dependance homelab | Partielle (VMS Indo reste sur homelab) | Supprimee totalement |
| Disponibilite (SLA) | Depend infra CLS interne | SLA Azure 99.95% |
| Sauvegarde | A configurer manuellement | Backup Azure automatique (7j) |
| Mise a jour securite | Manuelle (equipe infra) | Pull image Docker (1 commande) |
| Delai de mise en oeuvre | Semaines (validation secu + infra) | 1 journee |
| Acceptabilite securite | Risque de rejet | Compatible politique secu |
7.5 Couts evites
| Element | Situation actuelle | Avec n8n Labs Azure |
|---|
| Homelab personnel (treompan.com) | Utilise pour VMS Indonesie, emails, tests. Electricite + maintenance perso. Dependance a un collaborateur. | Supprime. Tout rapatrie dans le tenant CLS. |
| Licences Power Automate Premium | Necessaires si connecteurs HTTP custom pour PauseCafe | Evitees. n8n gere les webhooks nativement. |
| Polling intermediaire | Pattern complexe Azure → Cosmos → n8n CLS poll /5min. Latence + consommation Cosmos DB. | Supprime. Webhook direct, temps reel. |
| Temps d'ingenierie | Contournements architecturaux pour pallier l'absence d'acces Internet | Reduit. Architecture simplifiee. |
8. Perimetre fonctionnel
Services et workflows qui migreraient vers la plateforme Azure :
8.1 n8n — Orchestration et automatisation
| Workflow | Usage | Benefice plateforme Azure |
|---|
| Checklist Salles — Alertes M42 | Envoi email M42 quand salle degradee/bloquante | Webhook direct depuis Azure SWA (supprime le polling) |
| PauseCafe — Notifications | Email au demandeur sur changement de statut | Webhook direct depuis Azure SWA |
| VMS Indonesia — Order Processing | Reception commandes Zoho, OCR Gemini, stockage PostgreSQL | Webhook Zoho direct (supprime homelab) |
| VMS Indonesia — Dashboard | Dashboard operationnel 3741+ commandes | Accessible mobile sans VPN |
| Transcript CR — Envoi email | Envoi du compte-rendu genere par l'IA | Webhook direct depuis Azure SWA |
| Veilles automatisees (6 flux) | Cyber, maritime, IA, mobile, AO, VIGISAT | RSS publics + SMTP corporate |
| Synchro Jira ↔ Zoho | Bidirectionnelle, toutes les 15 min | Reste sur n8n interne (necessite acces Jira LAN) |
8.2 Typebot — Chatbots et formulaires conversationnels
| Cas d'usage | Description |
|---|
| Assistant VMS Indonesia | Chatbot pour guider les BD indonesiens dans la saisie de commandes. Remplace le formulaire Zoho Creator. |
| FAQ Service Desk | Chatbot self-service avant ouverture de ticket M42. Reduit le volume de tickets. |
| Onboarding collaborateur | Formulaire conversationnel pour les nouveaux arrivants (collecte infos IT, acces, materiel). |
8.3 OpnForms — Formulaires avances
| Cas d'usage | Description |
|---|
| Demandes internes | Demandes d'achat, demandes d'acces, reservations — avec logique conditionnelle et notifications. |
| Enquetes et feedback | Satisfaction client, retour d'experience projet, sondages internes. |
| Collecte terrain | Rapports d'inspection, fiches incident — compatible mobile, upload photos. |
8.4 NocoDB — Interface tableur collaborative
| Cas d'usage | Description |
|---|
| VMS Indonesia — Gestion commandes | Vue tableur Airtable sur les 3741+ commandes PostgreSQL. Filtres, tri, edition inline pour JB et son equipe. |
| Flotte Mobile — Suivi migrations | Plan de migration smartphones en vue tableur partageable avec l'equipe EADM. |
| Referentiels metiers | Listes de reference (salles, directions, formules) editables par les equipes sans toucher au code. |
9. Reponses aux objections securite
| Objection | Reponse |
|---|
| "On ne veut pas exposer un service interne sur Internet" |
On ne le fait pas. n8n Labs est une instance separee, hebergee dans Azure, qui n'a aucun lien avec le LAN CLS. C'est comme deployer une Azure Function ou un App Service. |
| "n8n est open source, c'est un risque" |
n8n est utilise par 50 000+ entreprises. Le code est audite publiquement sur GitHub. Les credentials sont chiffres AES-256. L'instance est dans un conteneur isole sur Azure Container Apps (meme isolation que Azure Functions). |
| "Ca ouvre une surface d'attaque" |
La surface d'attaque est identique a celle de nos Azure Static Web Apps deja deployees. Les webhooks sont authentifies par API key. L'admin est protege par Azure AD. |
| "Qui maintient ? Que se passe-t-il si Christophe part ?" |
Les workflows sont versionnes sur GitHub (repos prives CLS). La documentation existe. n8n a une interface visuelle (drag & drop) accessible a tout profil technique. C'est plus facile a reprendre qu'un script Python ou un Power Automate complexe. |
| "Pourquoi ne pas utiliser Power Automate ?" |
Power Automate est utilise pour les flux simples. Pour l'orchestration complexe (OCR + LLM + PostgreSQL + webhooks + dashboards HTML), n8n est plus adapte et ne genere pas de cout de licence supplementaire (vs. connecteurs Premium Power Automate). |
| "Et la conformite / ISO 27001 ?" |
Azure Container Apps est certifie ISO 27001, SOC 2, GDPR. Les donnees restent dans le tenant CLS Azure (region France Central ou West Europe). Aucune donnee classifiee defense n'est traitee. |
10. Correspondance avec le document Sandbox IA initial
Comment la proposition Azure repond point par point au document CLS-DIT-CP-25-0045 de decembre 2025
10.1 Ce qui ne change pas (garde du document original)
- La matrice de decision Microsoft / Zoho / Sandbox est toujours valide
- Le catalogue de 30+ demandes IA internes identifiees reste la reference
- La repartition des roles : Microsoft pour M365, Zoho pour CRM/Desk, n8n pour le cross-system
- La stack logicielle (n8n, Typebot, NocoDB, OpenForms) — les memes briques, hebergement different
10.2 Ce qui change (Azure au lieu de DMZ)
| Aspect | Proposition initiale (DMZ) | Proposition Azure |
|---|
| Hebergement | Serveurs recuperes / Mac Mini en DMZ CLS | Azure Container Apps (PaaS Microsoft) |
| Reseau | Ouverture DMZ + reverse proxy + WAF | Aucune modification reseau CLS |
| Securite | Firewall rules + maintenance WAF | Isolation totale (zero flux LAN) |
| Maintenance | ~0.3 ETP equipe Digital Factory | Image Docker mise a jour (1 commande) |
| Disponibilite | Depend hardware recupere | SLA Azure 99.95% |
| Backup | Manuel (snapshots Proxmox) | Automatique Azure (7j PostgreSQL, 30j Cosmos) |
| Cout | 0 EUR (serveurs recup) ou 2500 EUR (Mac Mini) + ~2K EUR/an | ~22 EUR/mois (~264 EUR/an) |
| Scalabilite | Limitee au hardware | Container Apps auto-scale |
| IA locale confidentielle | Mac Mini M4 (Llama local) | Non couvert — necessite toujours le Mac Mini pour ce cas |
10.3 Preuve de concept : deja en production
Ce qui etait propose comme POC dans le document original est deja operationnel sur Azure :
| Demande du doc original | Statut Azure | Detail |
|---|
| n8n orchestration | ✅ En prod | Azure Container Apps, 4 workflows VMS Indo actifs |
| Supabase / PostgreSQL | ✅ En prod | Azure PostgreSQL Flexible, 3 bases (n8n, vms_indonesia, flotte_mobile) |
| Dashboards interactifs | ✅ En prod | 6 Static Web Apps (Hub, Checklist, PauseCafe, Flotte Mobile, VMS Dashboard, Transcript CR) |
| Typebot chatbots | 🔜 Phase 2 | Peut etre ajoute comme container sidecar (~5 EUR/mois) |
| NocoDB base no-code | 🔜 Phase 2 | Idem (~3 EUR/mois) |
| OpenForms formulaires | ✅ Remplace | Formulaires custom dans les SWA (PauseCafe, Checklist, Flotte Mobile) |
| Ghost CMS | ❌ Non necessaire | Documentation integree dans le Hub (page docs.html) |
| IA multi-providers | ✅ En prod | Azure AI Foundry (GPT, Grok), OCR Gemini via n8n |
| IA locale Mac Mini | ❌ Non couvert | Reste pertinent pour donnees RH/Legal confidentielles |
| Integration Jira/Zoho | ✅ En prod | n8n CLS interne (synchro bidirectionnelle) |
| Veille automatisee | ✅ En prod | 6 workflows de veille (VMS, Cyber, IA, Mobile, AO, VIGISAT) |
8 demandes sur 11 sont deja en production sur Azure. Le POC demande en decembre 2025 est devenu un environnement operationnel en 4 mois, sans aucune intervention de l'equipe infra et sans aucun flux vers le LAN CLS.
10.4 Reponses aux risques identifies dans le document original
| Risque / Hypothese | Mitigation originale (DMZ) | Mitigation Azure |
|---|
| R1 : Proliferation outils hors gouvernance | Matrice de decision | Matrice de decision + tout dans le meme tenant Azure (visible dans le portail) |
| R2 : Donnees sensibles dans le Sandbox | Classification obligatoire | Donnees en France (France Central), chiffrees au repos, Azure certifie ISO 27001 |
| R3 : Doublon avec Zoho Flow | Matrice de decision | Meme matrice. n8n pour le cross-system uniquement |
| H1 : IT valide le principe | Presentation Digital/IT | Zero flux LAN = pas d'ouverture reseau a valider |
| H2 : Serveurs disponibles | Specs minimales | Plus necessaire — Azure Container Apps |
| H3 : Digital Factory maintient | ~0.3 ETP | Identique — la maintenance est sur les workflows, pas l'infra |
10.5 Le Mac Mini reste pertinent
Le Mac Mini M4 pour l'IA locale confidentielle (RH, Legal, Achats) n'est PAS remplace par Azure. Il repond a un besoin different : la souverainete des donnees pour les informations hautement confidentielles.
Les deux propositions sont
complementaires :
- Azure = workflows cross-system, dashboards, webapps, IA cloud (donnees metiers courantes)
- Mac Mini = IA locale pour donnees confidentielles (RH, Legal) — modeles Llama en local, zero donnees sortantes
11. Demande
Autorisation de deployer une plateforme low-code CLS sur Azure Container Apps dans le tenant CLS existant (souscription Facturation PowerBI - Fabric).
| Phase 1 (immediat) | n8n seul — ~20 EUR/mois — migration des workflows existants + suppression dependance homelab |
| Phase 2 (M+1) | + NocoDB — ~23 EUR/mois — interface tableur pour VMS Indonesie et Flotte Mobile |
| Phase 3 (M+2) | + Typebot + OpnForms — ~31 EUR/mois — chatbots et formulaires avances |
Impact reseau CLS : ZERO — aucune ouverture de flux, aucune modification firewall, aucun VPN.
Cout maximum : 31 EUR/mois (stack complete) — 372 EUR/an
Responsable : Christophe Kersuzan — DSI CLS
Code source : GitHub CLS (repos prives, versionnes, documentees)
Delai Phase 1 : 1 journee de deploiement
CLS — Collecte Localisation Satellites — Document interne — Avril 2026