Expliquer simplement comment les SecuBox vont protéger mutuellement leurs données, combien de boîtiers il faut, et combien ça coûte. Pas besoin d'être ingénieur pour comprendre — c'est fait pour ça.
Dans un ordinateur classique, le RAID c'est le fait de dupliquer vos données sur plusieurs disques durs. Si un disque lâche, les autres prennent le relais — zéro perte.
Avec le MirrorRAID, on applique exactement le même principe, mais entre des boîtiers SecuBox répartis à différents endroits. Chaque SecuBox est un "disque" dans la matrice. Si une box tombe (panne, vol, incendie), les autres possèdent une copie et le réseau continue de tourner.
Imaginez que chaque SecuBox est un coffre-fort dans une ville différente. Chaque coffre contient une copie de vos documents importants. Si un coffre est détruit, vous avez toujours accès aux autres. Et quand vous remplacez le coffre perdu, les autres lui transmettent automatiquement les documents manquants.
Selon l'importance des données et le nombre de boîtiers disponibles, on choisit un niveau de protection :
Toutes les données n'ont pas la même importance. Voici comment chaque type est traité :
| Données | En clair | Niveau MR | Criticité | Volume |
|---|---|---|---|---|
| 🔑 Clés & identités did:plc | Vos "papiers d'identité" numériques — irremplaçables | MR-10 | MAXIMALE | < 5 Mo |
| 🛡️ Threat Intelligence | La "liste noire" partagée des menaces détectées | MR-1 | CRITIQUE | 50-200 Mo |
| ⚙️ Configurations signées | Les réglages de chaque box — signés pour éviter la triche | MR-1 | CRITIQUE | 5-20 Mo |
| 📦 Packages IPK | Les logiciels installés sur les boxes — comme un App Store | MR-5 | HAUTE | 200-800 Mo |
| 🧠 Modèles AI | Cerveaux IA locaux pour analyser le trafic réseau | MR-0 / MR-5 | MOYENNE | 1-8 Go |
| 📊 Logs & métriques | Historique d'activité — utile mais reconstituable | MR-0 | BASSE | 100-500 Mo |
Les clés did:plc, c'est votre passeport numérique. Si vous le perdez sans copie, vous n'existez plus sur le réseau — d'où le niveau MR-10 (protection maximale). Les logs par contre, c'est un journal de bord : utile, mais si on le perd, le monde ne s'arrête pas.
Trois scénarios, du petit lab au réseau communautaire :
La mémoire interne des boîtiers (eMMC, 8-16 Go) sert uniquement pour le système. Toute l'archive RAID-like vit sur un SSD 1 To ajouté à chaque box :
Le eMMC, c'est le cerveau de la box (OS, configs, intelligence). Le SSD 1 To, c'est son entrepôt — là où elle stocke les archives partagées, les packages, les modèles AI. Sans le SSD, le RAID-like ne peut pas fonctionner à pleine capacité.
⚠️ Les prix NAND Flash sont en hausse depuis mi-2025 (+30-50% sur 6 mois). Les tarifs ci-dessus sont indicatifs pour février 2026.
Le MirrorRAID chiffre, signe et authentifie tout : packages, configs, identités did:plc, IoC. Pour que ça soit inviolable, les clés cryptographiques ne doivent jamais quitter un composant matériel sécurisé. C'est le rôle des Nitrokey — des clés USB fabriquées en Allemagne, open source, certifiées.
Les Nitrokey, c'est comme un sceau de cire médiéval : seul celui qui possède le sceau physique peut authentifier un document. Même si un pirate prend le contrôle total de votre SecuBox, il ne pourra jamais extraire les clés du Nitrokey — elles y sont enfermées à vie.
Quelles clés pour quels usages ?
Budget Nitrokey par scénario :
| Scénario | NK 3A Mini (par box) | NK HSM 2 (CA réseau) | NK 3C NFC (admins) | Total Nitrokey |
|---|---|---|---|---|
| A — Lab (3 boxes) | 3 × 29 € = 87 € | 1 × 69 € = 69 € | 1 × 59 € = 59 € | ~215 € |
| B — PME (6 boxes) | 6 × 29 € = 174 € | 2 × 69 € = 138 € | 2 × 59 € = 118 € | ~430 € |
| C — Fédération (20 boxes) | 20 × 29 € = 580 € | 3 × 69 € = 207 € | 5 × 59 € = 295 € | ~1 082 € |
Pourquoi pas des YubiKey ? Les Nitrokey sont open source (firmware auditable), fabriquées en Allemagne (souveraineté UE), et supportent Ed25519/Curve25519 natif — exactement ce que le mesh WireGuard et did:plc utilisent. Les YubiKey ont un firmware propriétaire fermé : impossible de vérifier l'absence de portes dérobées. Pour une solution visant la certification ANSSI, la transparence est non-négociable.
Récapitulatif tout compris — hardware + SSD 1 To + Nitrokey + accessoires :
💡 À comparer avec un UTM Fortinet/Palo Alto entrée de gamme : 2 000-8 000 €/an en licence seule, sans hardware. Le MirrorNet est un investissement one-shot avec zéro licence récurrente.
Un gros avantage des SecuBox : elles consomment presque rien comparé à un serveur classique.
Comparaison : un seul serveur rack consomme plus que 20 SecuBox combinées. Base : 0,20 €/kWh (EDF 2026).
Processus automatique en 5 étapes — aucune intervention humaine nécessaire :
C'est comme une équipe de relais : si un coureur trébuche, les autres couvrent son parcours. Quand il se relève (ou qu'un remplaçant arrive), il reprend sa place automatiquement.
| Phase | Version | Ce qui arrive | Statut |
|---|---|---|---|
| Phase 1 | v0.18 — Q1 2026 | MR-1 basique + gossip CrowdSec + SecuBox Factory | EN COURS |
| Phase 2 | v0.19 — Q2 2026 | MR-5 parité + rsync auto + dashboard réplication LuCI | PLANIFIÉ |
| Phase 3 | v0.20 — Q3 2026 | MR-6/MR-10 + BitTorrent P2P + intégration Nitrokey/HSM | PLANIFIÉ |
| Phase 4 | v1.0 MirrorNet | RAID-like complet et certifiable ANSSI CSPN + ENISA EUCC | OBJECTIF |
Chaque SecuBox reflète le réseau.
Le réseau survit à chaque SecuBox.