Ticketing basé sur le logiciel libre GLPI, hébergé en France, accessible de partout en HTTPS sécurisé — sans VPN, sans serveur à entretenir à la main.
Voir la démonstration en ligne → ticket.pitotec.fr
Instance réelle, déjà aux couleurs de la mairie (catégories Urbanisme, Services techniques, Administration, RH, Élus).
La mairie (~4 000 habitants) reçoit des demandes par tous les canaux : mails, appels, passages en mairie. Un outil de ticketing centralise ces demandes, les affecte automatiquement au bon service (urbanisme, services techniques, administration…), garde l'historique et envoie des accusés de réception — sans changer les habitudes des demandeurs : un simple email suffit à créer un ticket.
La solution proposée ici s'oppose point par point à une installation « à la main » sur un hyperviseur avec accès VPN : elle réduit la maintenance, simplifie l'accès des agents et améliore la sécurité (comparatif au §5).
Trois briques logicielles conteneurisées (Docker) : le proxy Caddy, l'application GLPI, la base MariaDB. Seul Caddy est joignable depuis Internet, uniquement en HTTPS.
tickets@
(mise en place en 10 minutes) ; (b) une connexion OAuth 2.0 via le plugin
officiel oauthimap
(recommandée à terme : aucun mot de passe stocké, révocable depuis la console Google).
Un garde-fou anti-boucle intégré à GLPI empêche les notifications de générer des tickets en cascade.
Un VPN protège l'accès, mais au prix d'un client à installer, configurer et dépanner sur chaque poste — et il ne protège en rien l'application elle-même. L'approche proposée sécurise chaque couche :
| Couche | Mesure |
|---|---|
| Transport | HTTPS obligatoire, certificats renouvelés automatiquement (Let's Encrypt), HSTS. |
| Authentification | Double authentification (2FA/TOTP) imposée à tous les comptes agents/élus ; mots de passe de 12 caractères minimum. Les demandeurs, eux, ne se connectent jamais : leur canal est l'email. |
| Application | Surface réduite : API désactivée, chemins techniques bloqués au proxy, comptes par défaut désactivés. Image officielle GLPI maintenue par l'éditeur. |
| Anti-intrusion | fail2ban : les IP qui enchaînent les échecs de connexion ou scannent le serveur sont bannies automatiquement. Journal d'accès complet conservé. |
| Données | La base de données n'est jamais exposée à Internet (réseau Docker interne). Sauvegardes chiffrées quotidiennes hors du serveur. |
| Option renforcée | Si souhaité : restriction de la page de connexion à l'adresse IP de la mairie (les demandeurs ne sont pas concernés, ils passent par l'email). |
Ces mesures sont déjà en place et vérifiables sur la démonstration (ticket.pitotec.fr).
| Hyperviseur chez un prestataire + VPN | VPS OVH + Docker (proposé) | |
|---|---|---|
| Mise à jour de l'application | Manuelle, sur rendez-vous avec le prestataire | Changement de version de l'image officielle : une commande, quelques secondes d'interruption, retour arrière possible |
| Entretien du serveur | OS + hyperviseur + VM à maintenir | OS minimal avec mises à jour de sécurité automatiques ; l'applicatif vit dans les conteneurs |
| Accès des agents | Client VPN à installer/dépanner sur chaque poste, blocages en mobilité ou sur réseau public | N'importe quel navigateur, de partout — identifiant + code 2FA |
| Demandes des administrés | Impossibles à travers un VPN | Par simple email — aucun compte, aucune installation |
| Sauvegardes | À la charge du prestataire (à vérifier contractuellement) | Quotidiennes, chiffrées, externalisées, procédure de restauration documentée et testée |
| Dépendance | Forte (accès, compétence, disponibilité du prestataire) | Standard ouvert : tout est reproductible ailleurs en quelques heures (fichiers de configuration versionnés) |
| Coût récurrent | Facturation prestataire + infrastructure dédiée | ≈ 15 €/mois (serveur + sauvegardes), logiciel gratuit |
| Reprise après sinistre | Dépend du prestataire | Recréer un VPS + restaurer la sauvegarde = remise en service en moins d'une demi-journée |
docker compose pull && docker compose up -d).
L'OS n'est pas concerné, il ne fait que porter Docker.unattended-upgrades). Aucune autre logique n'est installée sur la machine.| Poste | Estimation |
|---|---|
| VPS OVHcloud (2 vCPU, 4 Go RAM — largement dimensionné) | ≈ 7 à 14 € HT/mois |
| Object Storage OVH (sauvegardes) | ≈ 1 €/mois |
| Sous-domaine tickets.lauris.fr | 0 € (domaine déjà chez OVH) |
| Licence GLPI | 0 € (logiciel libre) |