𧩠Principe de sĂ©paration fonctionnelle des plans â VPN vs PKI
đŻ Vision stratĂ©gique
La Fédération distingue désormais deux plans de communication complémentaires :
-
un plan de contrÎle chiffré (VPN), réservé à la gestion et à la sécurité,
-
un plan applicatif fédératif (PKI/TLS), ouvert et interopérable entre les membres.
Ce modÚle réduit la complexité, augmente la robustesse et préserve la souveraineté locale tout en favorisant la coopération inter-fédérée.
𧱠1. Plan de contrÎle (Couches 1 à 4)
†Description
Ce plan regroupe toutes les communications critiques nécessaires au bon fonctionnement des infrastructures :
-
Synchronisation, gestion, supervision, sauvegarde, réplication
-
Authentification et distribution des identités
-
Routage interne, DNS, orchestration, PKI, IDS/IPS
†Caractéristiques
| ĂlĂ©ment | DĂ©tail |
|---|---|
| Couches concernées | 1. Infrastructure ⹠2. Réseautique ⹠3. SystÚmes ⹠4. Sécurité |
| Mécanisme de transport | Tunnels chiffrés (WireGuard / IPSec / OpenVPN) |
| Routage | VRF dédiée, non routée vers le plan applicatif |
| Portée | Intra-fédérée ou inter-fédérée restreinte |
| Authentification | Certificats internes (CA technique) |
| Objectif | Protection du plan de gestion et maintien de la cohĂ©rence entre nĆuds |
†RÎle du VPN
Le VPN nâest plus une exigence universelle, mais un canal rĂ©servĂ© aux opĂ©rations critiques :
-
sauvegarde inter-site,
-
réplication Ceph ou base,
-
transfert de configuration,
-
supervision fédérative,
-
synchronisation DNS/PKI.
đ 2. Plan applicatif fĂ©dĂ©ratif (Couches 5 Ă 8)
†Description
Ce plan transporte les services offerts aux usagers, aux partenaires et aux autres fédérés.
Les communications y sont authentifiées et chiffrées au niveau applicatif, non au niveau réseau.
†Caractéristiques
| ĂlĂ©ment | DĂ©tail |
|---|---|
| Couches concernées | 5. Middleware ⹠6. Applications ⹠7. Gouvernance ⹠8. Interface utilisateur |
| Mécanisme de transport | Routage fédératif direct (172.16/12) |
| Sécurisation | TLS/MTLS via la PKI fédérative |
| Authentification | Keycloak (OIDC/SAML), certificats utilisateurs |
| Portée | Interfédérée, ouverte et contrÎlée |
| Objectif | Connecter les services et citoyens de la Fédération sans dépendance au VPN |
†RÎle de la PKI
-
Fournit lâidentitĂ© et la confiance mutuelle entre services.
-
Permet le chiffrement bout-à -bout et la non-répudiation sans infrastructure VPN.
-
Rend la Fédération nativement interopérable et auto-suffisante.
âïž 3. SynthĂšse â DualitĂ© des plans
| Plan | Couches | Transport | SĂ©curisation | Usage principal |
|---|---|---|---|---|
| Plan de contrĂŽle | 1â4 | VPN chiffrĂ© | Isolement rĂ©seau (WireGuard/IPSec) | Gestion, supervision, sĂ©curitĂ© |
| Plan applicatif | 5â8 | Routage fĂ©dĂ©ratif | TLS/PKI fĂ©dĂ©rative | Services aux usagers et interop. |
đ 4. BĂ©nĂ©fices stratĂ©giques
-
đ SĂ©curitĂ© ciblĂ©e â les VPN ne protĂšgent que ce qui le requiert.
-
đ§ SimplicitĂ© opĂ©rationnelle â moins de tunnels Ă maintenir, moins dâerreurs.
-
đ°ïž InteropĂ©rabilitĂ© fluide â les apps fĂ©dĂ©rĂ©es communiquent directement via DNS et PKI.
-
đĄ SouverainetĂ© renforcĂ©e â chaque fĂ©dĂ©rĂ© administre ses clĂ©s, ses certificats, et ses accĂšs.
-
âïž Performance accrue â suppression des surcouches dâencapsulation pour les flux applicatifs.
-
đ ExtensibilitĂ© naturelle â tout nouveau membre sâintĂšgre sans VPN complexe, en important la PKI et le routage fĂ©dĂ©ratif.
đ§ 5. Principe directeur
đč âLe VPN protĂšge la structure, pas la conversation.â
La FĂ©dĂ©ration BorĂ©ale distingue les plans dâopĂ©ration (infrastructure, sĂ©curitĂ©, orchestration)
des plans de collaboration (services, gouvernance, communication).Ainsi, la confiance circule au rythme du chiffrement,
pas au prix dâun tunnel.