Nos services libres
Les outils libres et Le Filament
Le Filament porte haut les valeurs du logiciel libre, en ne proposant et n’intégrant que des solutions répondant au cahier des charges des logiciels libres et open source.
Le Filament est aussi impliqué dans plusieurs communautés / réseaux fédérés autour de logiciels libres (OCA et APRIL notamment).
En parallèle, Le Filament prône un haut niveau de sécurité et protection des données de tout un chacun. Nous sommes convaincus que toutes les données méritent d’être protégées et sécurisées a priori (certains parlent de by design), et qu’il revient au propriétaire de la donnée (qui doit être suffisamment informé pour décider en toute conscience) de décider de ce qu’il souhaite partager / communiquer et à qui.
Afin de pouvoir concilier tous ces aspects, la stratégie du Filament est la suivante :
- mettre à disposition de tous un certains nombre d’outils libres qui ne stockent a priori pas (ou que peu) de données personnelles
- proposer l’intégration personnalisée des outils libres qui sont amenés à utiliser un certain nombre de données personnelles ou nécessitant un contrôle par leur propriétaire.
Ainsi Le Filament auto-héberge, maintient et met à disposition gratuitement de tous les outils suivants aux URL mentionnées ci-après :
- PrivateBin (échange de données sécurisées par encryption et auto-suppression après lecture) : https://cles.le-filament.com
- FramaDate (sélection d’une date pour un évènement) : https://date.le-filament.com
- EtherPad (édition collaborative d’un texte) : https://pad.le-filament.com
Le Filament s’est aussi spécialisé dans l’intégration d’outils amenés à gérer un certain nombre de données clés pour la plupart des structures tels que :
- Odoo (CRM, ERP, gestion de projets)
- Owncloud / NextCloud (partage de fichiers principalement, mais aussi partage de contacts / calendriers, visioconférence)
- OnlyOffice ou LibreOffice Online (édition collaborative de fichiers)
- Bluemind (messagerie collaborative)
- LemonLDAP (portail SSO) et OpenLDAP (annuaire d’utilisateurs)
Ces différents outils nous permettent de proposer une alternative viable à des services SAAS qui ont principalement basé leur modèle économique sur l’analyse des données de leurs utilisateurs (et qu’il ne nous semble pas nécessaire de citer ici…).
Politique de sécurité et sauvegarde
La politique de sécurité mise en place par Le Filament pour les services libres proposés gratuitement s’appuie sur plusieurs volets :
- Utilisation d’un protocole sécurisé par SSL/TLS (HTTPS), protégé par un Certificat provenant de Let’s Encrypt et renouvelé automatiquement tous les deux mois.
- Les services sont déployés dans une architecture conteneurisée basée sur Docker et publiés sur Docker Hub
- Les bases de données et services internes ne sont pas accessibles depuis l’extérieur, seul le front-end est servi sur l’interface publique du serveur et protégé par un reverse proxy Traefik
- Les serveurs hébergeant les services (loués auprès d’Ikoula en France) est lui même accessible uniquement par SSH (avec clés privées) par les salariés de la SCOP Le Filament
- Les accès au serveur sont protégés par un pare-feu logiciel IPTables
- Le service Fail2ban analyse les logs des différents services exécutés sur le serveur afin de détecter les attaques les plus courantes et bannir les adresses IP impliquées dans ces (tentatives d’) attaques
- Les différents services sont monitorés en continu par Nagios et des alertes automatiques sont envoyés aux salariés du Filament en cas de problème.
- Les services et le serveur sont régulièrement mis à jour (a minima tous les 3 mois, et lors de chaque mise à jour de sécurité majeure).
La politique de sauvegarde repose sur la réalisation de sauvegardes quotidiennes des différents services via le logiciel duplicity. Ces sauvegardes sont conservées pendant 20 jours glissants, encryptées et signées (par GnuPG) et poussées vers le Cloud Public OVH en utilisant l’Object Storage (données répliquées 3 fois sur des disques / serveurs différents en France).
La restauration des sauvegardes est testée de manière régulière (tous les 6 mois, ou à chaque mise à jour de l’outil Duplicity ou des services).