Guide de Déploiement Air-Gapped

Qu'est-ce que le Déploiement Air-Gapped ?

Un déploiement air-gapped signifie que Datacendia fonctionne entièrement au sein de votre réseau isolé avec zéro connectivité externe. Pas d'accès internet. Pas d'APIs cloud. Aucune donnée ne quitte votre infrastructure. C'est le seul modèle de déploiement qui répond aux exigences de sécurité ITAR, traitement classifié et infrastructure critique.

Air-gapped vs. réseaux VPN ou pare-feu : Un réseau protégé par VPN ou pare-feu a toujours une connectivité internet—elle est juste restreinte. Air-gapped signifie physiquement isolé : pas de câbles réseau connectés aux systèmes externes, pas de sans-fil, pas de cellulaire. Si le réseau peut atteindre internet (même via plusieurs sauts), ce n'est pas air-gapped.

Important : Le déploiement air-gapped est opérationnellement plus complexe que les déploiements cloud ou VPC. La question n'est pas s'il est plus facile d'utiliser l'IA cloud—la question est si vos exigences réglementaires, modèle de menace ou classification des données vous permettent d'accepter les risques de la connectivité externe.

Qui a Besoin d'un Déploiement Air-Gapped ?

Contractants de Défense

Les organisations manipulant des données techniques contrôlées ITAR, CUI ou informations classifiées ne peuvent pas utiliser l'IA cloud. Les réglementations de contrôle des exportations (ITAR, EAR) interdisent l'accès étranger aux données techniques, et les fournisseurs cloud basés aux États-Unis peuvent être soumis à des demandes légales de gouvernements étrangers.

Conformité ITAR (Réglementations sur le Trafic International d'Armes)
Données de programmes classifiés (SECRET, TOP SECRET, SCI)
Exigences CMMC Niveau 3
Protection de la chaîne d'approvisionnement de la Base Industrielle de Défense (DIB)

Infrastructure Critique

Les réseaux électriques, installations de traitement des eaux, systèmes de transport et réseaux de télécommunications sont désignés comme infrastructure critique. Le déploiement air-gapped empêche l'accès adversaire aux systèmes de contrôle et données opérationnelles.

Isolation des réseaux SCADA / ICS
Opérations des installations nucléaires (exigences NRC)
Gestion du réseau électrique (NERC CIP)
Services d'eau/eaux usées

Communauté du Renseignement

Les agences IC traitent des renseignements classifiés qui ne peuvent pas être exposés aux systèmes externes. Le déploiement air-gapped permet l'analyse IA de SIGINT, HUMINT et autres sources classifiées.

Analyse de renseignement classifié
IC ITE (Entreprise de Technologie de l'Information de la Communauté du Renseignement)
Déploiement SIPRNet / JWICS
Gestion d'informations compartimentées

Commercial Haute Valeur

Certaines organisations commerciales choisissent le déploiement air-gapped pour des raisons de protection concurrentielle ou de PI, même sans exigences réglementaires.

R&D pharmaceutique (candidats médicaments pré-brevet)
Secrets commerciaux de fabrication
Algorithmes de trading financier
Due diligence M&A (données sensibles de transactions)

Exigences d'Infrastructure

Exigences Système Minimales

Calcul

16 cœurs (32 recommandés)

Mémoire

64Go RAM (128Go recommandés)

Stockage

500Go SSD minimum (2To+ recommandés)

Système d'Exploitation

Ubuntu 22.04 LTS ou RHEL 8+

Réseau

Interne uniquement (pas de connectivité externe)

GPU

Optionnel (NVIDIA T4 ou mieux pour accélération)

Guide de Dimensionnement : Les exigences ci-dessus supportent 10-20 utilisateurs simultanés avec des volumes de données modérés. Pour des déploiements plus importants (100+ utilisateurs, 10To+ de données), contactez-nous pour une revue d'architecture.

Machines Virtuelles vs. Bare Metal : Datacendia peut fonctionner sur des machines virtuelles VMware ESXi, Hyper-V ou KVM. Cependant, pour des performances maximales et l'accélération GPU, le déploiement bare metal est recommandé. Assurez-vous que votre hyperviseur supporte le passthrough GPU si vous utilisez des VMs avec GPU.

Processus de Déploiement

Étape 1 : Évaluation Pré-Déploiement (Semaine 1)

Objectif : Valider la préparation de l'infrastructure et identifier les dépendances.

Auditer l'architecture réseau isolée existante
Identifier les sources de données internes (bases de données, partages de fichiers, applications)
Déterminer les médias sécurisés approuvés pour le transfert de fichiers (USB, DVD, SneakerNet interne)
Définir les exigences d'accès utilisateur et d'authentification (LDAP, CAC/PIV, SAML)
Revoir les runbooks opérationnels et procédures de gestion des changements

Étape 2 : Transfert des Packages (Semaine 2)

Objectif : Déplacer les packages d'installation Datacendia dans l'environnement air-gapped.

Datacendia fournit les packages d'installation sous forme d'archives compressées (.tar.gz)
Les packages sont signés cryptographiquement (signatures GPG fournies)
Transférer via médias sécurisés approuvés suivant les procédures de transfert de données de votre organisation
Vérifier l'intégrité du package en utilisant les checksums et signatures fournis

Taille Typique du Package : 2-5Go compressé (modèles, code application, dépendances)

Étape 3 : Installation (Semaine 2-3)

Objectif : Installer Datacendia sur l'infrastructure isolée.

Extraire les packages d'installation sur le serveur cible
Exécuter le script d'installation automatisé (valide les dépendances, configure les services)
Initialiser la base de données (PostgreSQL embarqué ou connexion à une base existante)
Configurer l'intégration d'authentification (LDAP, Active Directory, SAML IdP)
Configurer les certificats TLS pour HTTPS interne

Temps d'Installation : 4-8 heures (dépend de la complexité de l'infrastructure)

Étape 4 : Configuration des Connecteurs de Données (Semaine 3-4)

Objectif : Connecter Datacendia aux sources de données internes.

Configurer les connecteurs de base de données (PostgreSQL, Oracle, SQL Server, etc.)
Configurer l'accès aux partages de fichiers (NFS, SMB/CIFS)
Intégrer avec les APIs internes (REST, SOAP)
Tester l'ingestion de données et valider la connectivité
Configurer les planifications de rafraîchissement pour la synchronisation des données

Étape 5 : Tests et Validation (Semaine 4-5)

Objectif : Valider l'installation et vérifier l'absence de dépendances externes.

Tests d'isolation réseau (confirmer qu'aucune connexion sortante n'est tentée)
Tests d'acceptation utilisateur avec groupe pilote
Benchmarking de performance sous charge
Tests de failover et récupération
Transfert de documentation et formation des opérateurs

Étape 6 : Mise en Production (Semaine 5-6)

Objectif : Déployer aux utilisateurs de production et établir les opérations continues.

Migrer la configuration pilote vers la production
Sessions d'intégration et formation des utilisateurs
Établir les procédures de monitoring et opérationnelles
Documenter les runbooks pour les scénarios courants

Calendrier Total de Déploiement : 4-6 semaines de l'évaluation d'infrastructure à la production. Le calendrier suppose que l'infrastructure est disponible et que votre équipe a des ressources dédiées pour le déploiement.

Mise à Jour et Maintenance

Comment Fonctionnent les Mises à Jour dans les Environnements Air-Gapped

Datacendia ne peut pas se mettre à jour automatiquement comme les logiciels cloud. Les mises à jour sont livrées sous forme de packages hors ligne transférés via médias sécurisés approuvés.

Processus de Mise à Jour :

Datacendia publie le package de mise à jour (trimestriellement ou selon les besoins pour les correctifs de sécurité)
Le client télécharge le package de mise à jour depuis le portail client Datacendia (depuis un système connecté)
Le client transfère le package vers l'environnement air-gapped via médias approuvés
Le client valide la signature du package en utilisant la clé GPG
Le client exécute le script de mise à jour pendant la fenêtre de maintenance
Le système sauvegarde automatiquement la version actuelle avant d'appliquer la mise à jour
La mise à jour s'applique, les services redémarrent, les tests de validation s'exécutent

Fréquence des Mises à Jour : Versions majeures : Trimestriellement. Correctifs de sécurité : Selon les besoins (typiquement 1-3 par trimestre). Vous contrôlez quand appliquer les mises à jour—il n'y a pas de mises à jour forcées.

Capacité de Rollback

Si une mise à jour cause des problèmes, Datacendia supporte le rollback en une commande vers la version précédente. Toutes les données et configurations sont préservées pendant le rollback.

Support à Long Terme

Datacendia fournit des versions de support à long terme (LTS) pour les clients qui ne peuvent pas mettre à jour fréquemment. Les versions LTS reçoivent des correctifs de sécurité pendant 18 mois sans forcer les mises à niveau de fonctionnalités.

Considérations Opérationnelles

Compromis vs. Déploiement Cloud

Aspect	SaaS Cloud	Air-Gapped
Temps de Configuration	Heures	Semaines
Mises à Jour	Automatiques	Manuelles (packages hors ligne)
Charge Opérationnelle	Faible (nous gérons)	Élevée (vous gérez)
Réponse Support	Accès distant possible	Documentation + partage d'écran uniquement
Souveraineté des Données	Partielle	Complète
Options de Conformité	SOC 2, RGPD, HIPAA	ITAR, Classifié, CMMC, Tous

Exigences en Personnel

Le déploiement air-gapped nécessite du personnel technique interne pour gérer le système. Équipe recommandée :

Administrateur Système (0.5 ETP) : Correctifs OS, monitoring, gestion des utilisateurs
DBA (0.25 ETP) : Maintenance base de données, gestion des sauvegardes
Ingénieur Réseau (selon besoins) : Dépannage connectivité, optimisation performance
Propriétaire Application (0.25 ETP) : Support utilisateurs, modifications configuration, gestion connecteurs données

Modèle de Support

Datacendia fournit du support pour les déploiements air-gapped via :

Portail de documentation (accessible depuis systèmes connectés)
Sessions de partage d'écran (non invasives, dépannage visuel)
Support email et téléphone
Points trimestriels avec l'équipe succès client

Nous ne pouvons pas accéder à distance aux systèmes air-gapped, donc le dépannage repose sur votre équipe fournissant logs, captures d'écran et détails de configuration.

Questions Fréquentes

Datacendia peut-il fonctionner sur SIPRNet ou JWICS ?

Oui. Datacendia est architecturalement conçu pour le déploiement sur des réseaux classifiés incluant SIPRNet (SECRET) et JWICS (TOP SECRET/SCI). Le déploiement suit le même processus de transfert de packages hors ligne via procédures approuvées de manipulation de médias classifiés. Nous recherchons des partenaires pilotes avec des exigences de réseaux classifiés.

Comment ajouter de nouvelles sources de données après le déploiement initial ?

Les connecteurs de données peuvent être configurés via l'interface d'administration Datacendia. Aucun package externe nécessaire sauf si vous vous connectez à un nouveau type de base de données non inclus dans l'installation initiale.

Que se passe-t-il si mon système air-gapped tombe en panne ?

Datacendia supporte les configurations haute disponibilité (HA) avec failover automatique. En mode HA, si le nœud primaire tombe, un nœud secondaire prend le relais en 15 minutes. Vous gérez l'infrastructure HA (nous fournissons des conseils de configuration).

Puis-je utiliser mes propres modèles IA au lieu des modèles Datacendia ?

Oui. Datacendia supporte le déploiement hétérogène de LLM. Vous pouvez déployer vos propres modèles fine-tunés (compatibles avec le format HuggingFace Transformers) aux côtés ou à la place des modèles Datacendia.

Combien coûte le déploiement air-gapped ?

Le prix du déploiement air-gapped commence à 150K$ annuellement (vs. 75K$ pour SaaS cloud). La prime couvre les packages de mise à jour hors ligne, le modèle de support étendu et le conseil architectural pour les déploiements complexes. Voir détails des tarifs.

En savoir plus sur les options de déploiement souverain ou explorer les cadres de conformité.

DATACENDIA