L'infrastructure informatique européenne fait face à trois crises simultanées :
Les outils actuels (Ansible, Puppet) décrivent des actions à effectuer, pas des états à atteindre. Le résultat dépend de ce qui existait avant. La dérive est structurellement inévitable.
Jamf, Intune, AWX font de votre infrastructure une dépendance de leur cloud. Votre capacité à déployer dépend de leur disponibilité. Cloud Act, opacité, formats propriétaires.
15 000 entités françaises concernées. Échéance fin 2027. Amendes jusqu'à 10 M€ ou 2% du CA mondial. Responsabilité personnelle des dirigeants.
NixFleet transforme les garanties mathématiques de NixOS — reproductibilité, atomicité, traçabilité — en une plateforme de gestion de flotte d'entreprise, conforme NIS2 par construction et 100% auto-hébergeable.
API unique mkHost pour déclarer une flotte entière dans un seul flake.nix. 11 scopes s'activent automatiquement. Pas de DSL propriétaire — du NixOS standard.
Serveur central : état de la flotte, gestion des releases (manifestes immuables), orchestration des rollouts (canary, staged, all-at-once), journal d'audit complet. 17 endpoints REST. Authentification mTLS + API keys.
Binaire autonome sur chaque machine. Modèle pull (polling). Machine à 7 états avec health checks et rollback automatique en cas d'échec. Fonctionne même si le CP est temporairement indisponible.
12 modules de contrôle NIS2 actifs (+ 4 réservés DORA/ISO) avec pattern enforce + prove. Preset NIS2 (essential/important). Collecteur de preuves automatique. Fonctionne avec ou sans NixFleet.
NixFleet n'est pas un projet de recherche ni une vision. C'est un produit fonctionnel, testé, avec une sécurité production-ready.
| Composant | Statut | Détail |
|---|---|---|
Framework Nix (mkHost) | Fonctionnel | API simplifiée, 11 scopes auto-activés, templates flake |
| Control plane Rust | Fonctionnel | Axum, SQLite, HTTPS, mTLS, 17 endpoints, releases immuables, audit trail |
| Agent Rust | Fonctionnel | Machine à 7 états, polling, health checks, rollback auto |
| CLI Rust | Fonctionnel | init, bootstrap, deploy, rollback, status, release, rollout, machines, --json, -v |
| Sécurité | Production-ready | mTLS agent-CP, API keys SHA-256 (RBAC), HTTPS obligatoire |
| Compliance NIS2 | 12 contrôles actifs | + 4 réservés DORA/ISO, evidence collector automatique |
| Tests | Complet | 12 scénarios VM fleet, tests infra, eval Nix, intégration, unit Rust |
| Documentation | Complète | mdbook, getting started, architecture, référence API |
La directive NIS2 (article 21) définit 10 catégories de mesures. NixFleet couvre les 10 avec 12 modules de contrôle actifs, chacun suivant le pattern enforce + prove : appliquer le contrôle au niveau infrastructure, puis émettre une preuve machine-readable.
| Obligation NIS2 | Approche classique | NixFleet |
|---|---|---|
| Traçabilité des modifications | SIEM + outils séparés (+30k €/an) | Chaque changement = commit Git signé |
| Reprise après incident <24h | Runbooks manuels, résultat incertain | Rollback atomique < 90 secondes |
| Sécurité chaîne d'approvisionnement | Outils SBOM séparés, intégration manuelle | SBOM auto depuis flake.lock |
| Chiffrement (Art. 21h) | Config manuelle par système, incohérences | LUKS + mTLS + politique TLS, flotte entière |
| Contrôle d'accès (Art. 21i) | IAM séparé, CMDB manuelle | SSH hardening + audit d'accès intégrés |
| Inventaire des actifs | CMDB coûteuse, souvent inexacte | Inventaire complet dans nixosConfigurations |
| Capacité | Ansible / Puppet | Jamf / Intune | Colmena | NixFleet |
|---|---|---|---|---|
| Reproductibilité bit-for-bit | Non | Non | Oui | Oui |
| Souveraineté (auto-hébergé) | Partiel | Non | Oui | Oui |
| Support commercial / SLA | Oui | Oui | Non | Oui |
| Rollback atomique flotte | Non | Non | Non | Oui |
| Conformité NIS2 intégrée | Non | Non | Non | Oui |
| Stratégies de rollout | Manuel | Limité | Non | Oui |
| Collecte de preuves | Non | Partiel | Non | Oui |
PME et ETI européennes (50-500 employés) soumises à NIS2, sans équipe compliance dédiée. Ces organisations subissent la pression réglementaire mais n'ont ni le budget ni les équipes pour empiler les outils traditionnels.
| Pays | Opportunité |
|---|---|
| France | 15 000 entités NIS2, plus grand marché EU |
| Allemagne | Mandat souveraineté BSI |
| Pays-Bas | Forte communauté NixOS |
| Belgique | Siège institutions EU |
| Suisse | Finance, pharma, neutralité |
| Nordiques | Maturité numérique élevée |
| Solution | Coût |
|---|---|
| Ansible + AWX + compliance | 80-150k € |
| Jamf / Intune | 40-100k € |
| NixFleet Pro | 6-36k € |
Modèle open-core : le moteur est open source (MIT/AGPL), la valeur commerciale est dans l'orchestration enterprise et l'expertise compliance. Le client ne dépend jamais de NixFleet — s'il quitte, sa configuration Nix fonctionne sans nous.
| Tier | Prix | Cible |
|---|---|---|
| Community | Gratuit | < 10 machines |
| Pro | 499-2 999 €/mois | 10-200 machines, PME |
| Enterprise | 50-500k €/an | 200+ machines |
| Sovereign | Sur mesure | Gouvernement, défense |
| Service | Description |
|---|---|
| Audit NIS2 | Gap analysis + plan de remédiation |
| Pilote | Audit + déploiement 5-10 machines |
| Migration | Transition depuis Ansible/Puppet |
| Formation | Nix/NixOS pour équipes infra |
| Terminé | Phase 0-4 | Simplification Nix, hardening Rust (mTLS, audit), orchestration flotte, modules infra, compliance, hardening pre-public |
| En cours | Phase 5 | Lancement open source : documentation, templates, 12 VM tests, 11 ADRs — reste : placeholders + repos publics |
| Prochain | Phase 6 | Outreach et pilotes : ANSSI, partenaires consulting, Horizon Europe, 3 pilotes |
| Bloqué | Phase 7 | Enterprise : multi-tenant, RBAC, dashboard — en attente des retours pilotes |
NixOS fournit les garanties fondamentales. NixFleet ajoute tout ce qu'il faut pour passer d'un serveur bien configuré à une flotte gérée en entreprise :
| Capacité | NixOS seul (DIY) | Avec NixFleet |
|---|---|---|
| Déploiement flotte | SSH manuel ou Colmena (push) | Agent autonome (pull), fonctionne à travers les firewalls |
| Rollout progressif | Aucun — tout ou rien | Canary, staged %, health-gated |
| Rollback | Manuel, machine par machine | Automatique sur échec health check, flotte entière <90s |
| Visibilité flotte | Aucune vue centralisée | État de chaque machine en temps réel via le control plane |
| Sécurité | À configurer soi-même | mTLS + API keys + HTTPS intégrés, zéro config |
| Conformité NIS2 | Effort manuel considérable | 12 contrôles NIS2 activables en 1 ligne, preuves automatiques |
| Audit trail | Inexistant | Journal complet avec identité acteur, export CSV/JSON |
| Support | Communauté (best-effort) | SLA, support dédié, expertise compliance |
Opérateurs NIS2 (5-10 machines) pour un pilote gratuit de 3 mois. Vous recevez l'audit + le déploiement, nous recevons un cas d'usage réel.
Cabinets avec expertise NIS2/DORA (Capgemini, Wavestone, Deloitte). Modèle co-pilote : votre expertise réglementaire + notre plateforme.
Consortium Horizon Europe CL3 (deadline sept. 2026). Vérification formelle, audit sécurité, recherche compliance.