Nos services libres

Le Filament porte haut les valeurs du logiciel libre, en ne proposant et n’intégrant que des solutions répondant au cahier des charges des logiciels libres et open source.
Le Filament est aussi impliqué dans plusieurs communautés / réseaux fédérés autour de logiciels libres (OCA et APRIL notamment).

En parallèle, Le Filament prône un haut niveau de sécurité et protection des données de tout un chacun. Nous sommes convaincus que toutes les données méritent d’être protégées et sécurisées a priori (certains parlent de by design), et qu’il revient au propriétaire de la donnée (qui doit être suffisamment informé pour décider en toute conscience) de décider de ce qu’il souhaite partager / communiquer et à qui.

Afin de pouvoir concilier tous ces aspects, la stratégie du Filament est la suivante :

• mettre à disposition de tous un certains nombre d’outils libres qui ne stockent a priori pas (ou que peu) de données personnelles
• proposer l’intégration personnalisée des outils libres qui sont amenés à utiliser un certain nombre de données personnelles ou nécessitant un contrôle par leur propriétaire.

Nous considérons que la première catégorie d’outils peut être proposée en mode SAAS (hébergées par Le Filament et accessibles gratuitement) quand nous nous refusons de proposer (et d’utiliser) la deuxième catégorie d’outils hébergés chez des tiers et nous préconisons l’installation sur des serveurs propriété des utilisateurs (ou loués directement par les utilisateurs auprès d’un hébergeur), de plus ces outils nécessitent la plupart du temps une configuration spécifique à chaque structure, ainsi qu’un accompagnement à leur utilisation – ils ne sont donc pas proposés en mode SAAS par Le Filament.

Ainsi Le Filament auto-héberge, maintient et met à disposition gratuitement de tous les outils suivants aux URL mentionnées ci-après :

• PrivateBin (échange de données sécurisées par chiffrage et auto-suppression après lecture) : https://cles.le-filament.com
• FramaDate (sélection d’une date pour un évènement) : https://date.le-filament.com
• EtherPad (édition collaborative d’un texte) : https://pad.le-filament.com
• Draw.io (édition de diagrammes) : https://schema.le-filament.com
• Jitsi (visioconférence) : https://video.le-filament.com

Outre ces services libres, Le Filament travaille principalement avec l'outil Odoo qui est un Progiciel de Gestion Intégrée (PGI ou ERP en anglais) qui permet de gérer toutes les informations d'une entreprise ou d'une association de manière centralisée (depuis la base de contacts, la prospection commerciale / CRM, les devis/factures, gestion de stock, gestion de projets, etc.). Si vous souhaitez mettre en place Odoo pour votre structure, nous pouvons vous accompagner, pour cela, vous pouvez nous contacter directement pour que nous voyions ensemble comment répondre à vos besoins / attentes en envoyant un e-mail à contact@le-filament.com.

Historiquement ou pour nos propres besoins, nous avons été amené à intégrer / maintenir les outils suivants, mais ce n'est plus notre activité principale :

• Owncloud / NextCloud (partage de fichiers principalement, mais aussi partage de contacts / calendriers, visioconférence en petit groupe)
• OnlyOffice ou LibreOffice Online (édition collaborative de fichiers)
• Bluemind (messagerie collaborative)
• LemonLDAP (portail SSO) et OpenLDAP (annuaire d’utilisateurs)
• GitLab (Plate-forme DevOps et gestion de code source)
• Tuleap (Gestion Agile de projets)
• Mattermost ou Zulip (Messageries d'équipes / groupes)

Matérielle

Les services sont hébergés chez Ikoula, sur un serveur dédié Agile S en France (à Eppes) ayant les caractéristiques suivantes :

• CPU : Intel® Xeon® E3 1220v5 (4 coeurs / 4 threads) cadencé à 3 GHz
• RAM : 8GB DDR4


• Disque : 1TB SATA3


• Réseau : 1Gbps


• Carte GPU : GeForce GT710 1Go

Logicielle

Sur le serveur est installé le système d'exploitation Ubuntu 18.04 LTS

Les services sont déployés dans une architecture conteneurisée basée sur Docker et publiés sur Docker Hub

Le déploiement du serveur, les mises à jour, et les vérifications de conformité sont toutes réalisées depuis Ansible, à partir des rôles publiés sur https://github.com/lefilament/ansible.

La politique de sécurité mise en place par Le Filament pour les services libres proposés gratuitement s’appuie sur plusieurs volets :

• Les bases de données et services internes ne sont pas accessibles depuis l’extérieur, seul le front-end est servi sur l’interface publique du serveur et protégé par un reverse proxy Traefik
• Utilisation d’un protocole sécurisé par SSL/TLS (HTTPS), protégé par un Certificat provenant de Let’s Encrypt et renouvelé automatiquement tous les deux mois. automatiquement par Traefik
• Les serveurs hébergeant les services est lui même accessible uniquement par SSH (avec clés privées) par les salariés de la SCOP Le Filament
• Les accès au serveur sont protégés par un pare-feu logiciel IPTables
• Le service Fail2ban analyse les logs des différents services exécutés sur le serveur afin de détecter les attaques les plus courantes et bannir les adresses IP impliquées dans ces (tentatives d’) attaques
• Les différents services sont monitorés en continu par Nagios et des alertes automatiques sont envoyés aux salariés du Filament en cas de problème.
• Les services et le serveur sont régulièrement mis à jour (mise à jour complète tous les 3 mois, mise à jour de sécurité chaque mois).
• Les différents paquets installés (avec leurs versions) et les images docker utilisées (avec leurs digests) sont récupérées chaque jour sur un serveur tiers (VPS SSD1 OVH en France - Gravelines) afin de suivre les évolutions sur le serveur et afin d'être en mesure de réinstaller le serveur à l'identique en cas de défaillance. Par mesure de sécurité ces données ne seront pas rendues publiques mais peuvent être communiquées sur demande.
• Le serveur est supervisé par un service Nagios hébergé sur un autre serveur dédié Agile S Ikoula (en France) monitorant tous les services (certificats + réponses requête HTTPS + services sur serveur), l'utilisation mémoire et CPU des dockers et du système d'exploitation, la charge CPU, l'utlisation RAM et disque toutes les 10 minutes, avec alerte automatique par e-mail en cas de dépassement des seuils configurés.

La politique de sauvegarde repose sur la réalisation de sauvegardes quotidiennes des différents services via le logiciel duplicity. Ces sauvegardes sont conservées pendant 20 jours glissants, chiffrées et signées (par GnuPG) et poussées vers le Cloud Public OVH en utilisant l’Object Storage (données répliquées 3 fois sur des disques / serveurs différents en France - Gravelines).
La restauration des sauvegardes est testée de manière régulière (tous les 6 mois, ou à chaque mise à jour de l’outil Duplicity ou des services).