Proposition technique — juillet 2026

Un guichet de demandes pour la Mairie de Lauris

Ticketing basé sur le logiciel libre GLPI, hébergé en France, accessible de partout en HTTPS sécurisé — sans VPN, sans serveur à entretenir à la main.

Logiciel libre françaisGLPI (éditeur Teclib', Paris) — utilisé par de nombreuses collectivités et administrations. Aucune licence à payer.
Hébergement souverainServeur virtuel OVHcloud, datacenter en France, RGPD. Le domaine lauris.fr est déjà chez OVH.
~15 €/mois tout comprisServeur + sauvegardes externalisées. Pas de matériel, pas d'hyperviseur, pas de licence.
Sécurisé sans VPNHTTPS partout, double authentification (2FA) pour les agents, bannissement automatique des attaquants.

Voir la démonstration en ligne → ticket.pitotec.fr
Instance réelle, déjà aux couleurs de la mairie (catégories Urbanisme, Services techniques, Administration, RH, Élus).

1. Le besoin

La mairie (~4 000 habitants) reçoit des demandes par tous les canaux : mails, appels, passages en mairie. Un outil de ticketing centralise ces demandes, les affecte automatiquement au bon service (urbanisme, services techniques, administration…), garde l'historique et envoie des accusés de réception — sans changer les habitudes des demandeurs : un simple email suffit à créer un ticket.

La solution proposée ici s'oppose point par point à une installation « à la main » sur un hyperviseur avec accès VPN : elle réduit la maintenance, simplifie l'accès des agents et améliore la sécurité (comparatif au §5).

2. Schéma d'architecture

Agents & élus en mairie, en déplacement, en télétravail — navigateur web Demandeurs administrés, associations, services → un simple email Messagerie de la mairie Google Workspace (existant) boîte dédiée tickets@lauris.fr VPS OVHcloud — datacenter en France Linux minimal (mises à jour de sécurité automatiques) + Docker Caddy — porte d'entrée HTTPS automatique (Let's Encrypt) en-têtes de sécurité, journal d'accès fail2ban — sentinelle lit le journal d'accès, bannit les IP hostiles (force brute, scans) réseau Docker interne — jamais exposé à Internet GLPI 11 (conteneur) tickets, catégories, affectation automatique aux services MariaDB (conteneur) base de données — accessible uniquement par GLPI Collecteur email intégré à GLPI relève la boîte tickets@ toutes les 60 s (IMAP) → chaque email devient un ticket ; accusé de réception automatique Sauvegardes chiffrées, chaque nuit Object Storage OVH — hors du serveur, restauration testée HTTPS + identifiant + code 2FA trafic filtré email IMAP (relevé), SMTP (réponses) tickets.lauris.fr — simple enregistrement DNS (domaine déjà chez OVH)

Trois briques logicielles conteneurisées (Docker) : le proxy Caddy, l'application GLPI, la base MariaDB. Seul Caddy est joignable depuis Internet, uniquement en HTTPS.

3. Comment une demande devient un ticket (sans compte, sans VPN)

  1. Un administré ou un service écrit à tickets@lauris.fr (adresse Google Workspace existante de la mairie — rien ne change pour lui).
  2. GLPI relève cette boîte toutes les 60 secondes en IMAP : l'email devient un ticket (objet = titre, corps = description, pièces jointes conservées).
  3. La catégorie choisie par l'agent (urbanisme, voirie, RH…) affecte automatiquement le ticket au bon service.
  4. Le demandeur reçoit un accusé de réception automatique ; s'il répond à cet email, sa réponse s'ajoute au fil du ticket (pas de doublon).
  5. Les emails traités sont déplacés (jamais supprimés) dans des dossiers de la boîte — la messagerie reste la source de vérité.
Raccordement à Google Workspace — deux options, les deux éprouvées : (a) un mot de passe d'application sur un compte dédié tickets@ (mise en place en 10 minutes) ; (b) une connexion OAuth 2.0 via le plugin officiel oauthimap (recommandée à terme : aucun mot de passe stocké, révocable depuis la console Google). Un garde-fou anti-boucle intégré à GLPI empêche les notifications de générer des tickets en cascade.

4. La sécurité, sans VPN

Un VPN protège l'accès, mais au prix d'un client à installer, configurer et dépanner sur chaque poste — et il ne protège en rien l'application elle-même. L'approche proposée sécurise chaque couche :

CoucheMesure
TransportHTTPS obligatoire, certificats renouvelés automatiquement (Let's Encrypt), HSTS.
AuthentificationDouble authentification (2FA/TOTP) imposée à tous les comptes agents/élus ; mots de passe de 12 caractères minimum. Les demandeurs, eux, ne se connectent jamais : leur canal est l'email.
ApplicationSurface réduite : API désactivée, chemins techniques bloqués au proxy, comptes par défaut désactivés. Image officielle GLPI maintenue par l'éditeur.
Anti-intrusionfail2ban : les IP qui enchaînent les échecs de connexion ou scannent le serveur sont bannies automatiquement. Journal d'accès complet conservé.
DonnéesLa base de données n'est jamais exposée à Internet (réseau Docker interne). Sauvegardes chiffrées quotidiennes hors du serveur.
Option renforcéeSi souhaité : restriction de la page de connexion à l'adresse IP de la mairie (les demandeurs ne sont pas concernés, ils passent par l'email).

Ces mesures sont déjà en place et vérifiables sur la démonstration (ticket.pitotec.fr).

5. Comparatif avec une installation « hyperviseur + VPN »

Hyperviseur chez un prestataire + VPNVPS OVH + Docker (proposé)
Mise à jour de l'applicationManuelle, sur rendez-vous avec le prestataireChangement de version de l'image officielle : une commande, quelques secondes d'interruption, retour arrière possible
Entretien du serveurOS + hyperviseur + VM à maintenirOS minimal avec mises à jour de sécurité automatiques ; l'applicatif vit dans les conteneurs
Accès des agentsClient VPN à installer/dépanner sur chaque poste, blocages en mobilité ou sur réseau publicN'importe quel navigateur, de partout — identifiant + code 2FA
Demandes des administrésImpossibles à travers un VPNPar simple email — aucun compte, aucune installation
SauvegardesÀ la charge du prestataire (à vérifier contractuellement)Quotidiennes, chiffrées, externalisées, procédure de restauration documentée et testée
DépendanceForte (accès, compétence, disponibilité du prestataire)Standard ouvert : tout est reproductible ailleurs en quelques heures (fichiers de configuration versionnés)
Coût récurrentFacturation prestataire + infrastructure dédiée≈ 15 €/mois (serveur + sauvegardes), logiciel gratuit
Reprise après sinistreDépend du prestataireRecréer un VPS + restaurer la sauvegarde = remise en service en moins d'une demi-journée

6. Exploitation au quotidien

Coûts estimés

PosteEstimation
VPS OVHcloud (2 vCPU, 4 Go RAM — largement dimensionné)≈ 7 à 14 € HT/mois
Object Storage OVH (sauvegardes)≈ 1 €/mois
Sous-domaine tickets.lauris.fr0 € (domaine déjà chez OVH)
Licence GLPI0 € (logiciel libre)

7. Pour aller plus loin