Architecture et réseau Visual Expert AI

Objectif

Ce document fournit aux administrateurs les prérequis de connectivité et une vue détaillée du flux des requêtes Visual Expert AI dans le système. Il se concentre sur l'architecture technique et les exigences réseau.

Pour les politiques et contrôles de sécurité, veuillez consulter :

• Sécurité et durcissement administratif : posture de chiffrement, politiques d'accès, gestion des vulnérabilités
• Protection des données et confidentialité : données traitées, concept de contexte de projet, politiques de rétention et de suppression

Architecture de haut niveau

Acteurs du système

• Client VE (application bureau ou web) : l'interface Visual Expert, depuis laquelle vous déclenchez les requêtes d'analyse IA. Le client envoie une macro IA prédéfinie (votre question accompagnée d'un extrait de code pertinent) vers VE Cloud.
• VE Cloud (Novalys sur Microsoft Azure) : l'infrastructure cloud Visual Expert hébergée par Novalys sur Azure. VE Cloud formate votre requête IA, gère les données de contexte de projet, appelle l'API OpenAI et retourne la réponse IA.
• Sous-traitant IA : actuellement OpenAI, accessible via leur API. OpenAI fournit le modèle IA qui génère les réponses à vos demandes d'analyse.

Flux des requêtes

1. Client VE → VE Cloud : votre client envoie la question et l'extrait de code réduit via une connexion chiffrée TLS.
2. VE Cloud → OpenAI : VE Cloud formate votre requête et la transmet à OpenAI via API. Les entrées/sorties ne sont pas utilisées pour l'entraînement de l'IA.
3. VE Cloud → Client VE : la réponse IA est retournée à votre client VE et affichée dans l'interface.
4. Conservation du contexte : les données de contexte de projet peuvent être conservées dans VE Cloud et chez OpenAI pour améliorer la qualité des réponses futures. Voir Protection des données et confidentialité pour plus de détails.

Pour le chiffrement, le modèle d'isolation et les politiques d'accès, voir Sécurité et durcissement administratif.

Prérequis réseau

Domaines à autoriser (obligatoire)

Visual Expert AI nécessite un accès HTTPS sortant vers le domaine : https://ai.visual-expert.com/. Ce domaine sert de passerelle entre VE Cloud et l'API IA, et doit être accessible depuis les systèmes exécutant des clients ou serveurs web Visual Expert.

Protocole et ports

HTTPS/TLS sur le port TCP 443 (sortant) est requis pour :

• La communication du client VE ou du serveur VE Web vers VE Cloud
• La communication de VE Cloud vers l'API OpenAI

Aucun port entrant n'a besoin d'être ouvert pour le fonctionnement de Visual Expert AI.

Exigences DNS

L'infrastructure DNS d'entreprise (ou DNS over HTTPS) doit résoudre le sous-domaine ai.visual-expert.com pour tout poste de travail ou serveur exécutant des clients Visual Expert.

Exemples de politique de trafic sortant (à titre indicatif)

Pare-feu (règle de sortie)

• Action : Autoriser
• Protocole : TCP
• Port : 443
• Destination : ai.visual-expert.com
• Journalisation : fin de session (recommandée à des fins d'audit)

Configuration du proxy

• Action : Autoriser la méthode CONNECT
• Destination : ai.visual-expert.com
• Exigence : préserver la validation de la chaîne de certificats TLS
• Note : ne pas interrompre ni intercepter les connexions TLS vers ce domaine
• S'assurer que le proxy n'effectue pas d'inspection SSL/TLS pour ce domaine

Contrôles administratifs pour l'utilisation de l'IA

Activer/désactiver l'IA par les crédits

• Activer l'IA pour des équipes spécifiques : allouez des crédits VE AI aux équipes ou référentiels nécessitant une analyse assistée par IA
• Désactiver l'IA pour des référentiels spécifiques : contactez Novalys pour mettre les crédits VE AI à zéro pour les référentiels où les fonctionnalités IA ne doivent pas être utilisées

Cela permet un contrôle granulaire sur les parties de votre base de code pouvant être analysées avec l'assistance de l'IA.

Contrôle de défense en profondeur

Vous pouvez bloquer le trafic sortant vers ai.visual-expert.com au niveau du périmètre réseau pour empêcher tout trafic IA lors des phases pilotes, des audits ou en cas de désactivation complète de l'IA.

Ce qui est (et n'est pas) envoyé à l'IA

Données transmises au service IA

• Votre requête d'analyse : la question ou la macro d'analyse spécifique que vous déclenchez
• Un extrait de code minimal : uniquement le fragment de code strictement nécessaire pour répondre à votre requête

Données non transmises au service IA

• Référentiels de code source complets ou dumps de bases de données globaux
• Données de production ou enregistrements métier
• Code ou objets de base de données non liés à la demande d'analyse en cours

Pour le périmètre de traitement des données, voir Protection des données et confidentialité. Pour le chiffrement et l'isolation, voir Sécurité et durcissement administratif.

Dépannage (connectivité)

• Vérifier la connectivité sortante : le port TCP 443 vers ai.visual-expert.com est autorisé par le pare-feu et les équipements réseau
• Vérifier la configuration du proxy :
  • Le proxy autorise la méthode CONNECT vers ai.visual-expert.com
  • La validation de la chaîne de certificats TLS est préservée
  • Le proxy ne bloque pas les connexions ni ne les limite en débit
• Confirmer que des crédits VE AI sont disponibles (valeur non nulle)
• Tester la résolution DNS vers ai.visual-expert.com

FAQ — Architecture et réseau

A1. Quels domaines doivent être autorisés pour le trafic sortant ?

Vous devez autoriser le trafic HTTPS sortant vers ai.visual-expert.com.

A2. Quel protocole et quel port sont requis ?

HTTPS/TLS sur le port TCP 443 est requis pour le trafic sortant.

A3. Dans quel sens les connexions réseau s'établissent-elles en fonctionnement normal ?

Toutes les connexions sont sortantes. Le client VE se connecte à VE Cloud via TLS, et VE Cloud se connecte à l'API OpenAI via TLS. Aucune connexion entrante n'est requise.

A4. Quelles exigences DNS s'appliquent aux postes de travail ou serveurs exécutant VE ?

L'infrastructure DNS d'entreprise (ou DNS over HTTPS) doit pouvoir résoudre les sous-domaines de ai.visual-expert.com.

A5. Quelles règles proxy sont requises si nous utilisons un proxy HTTP ?

Le proxy doit autoriser la méthode CONNECT vers ai.visual-expert.com et préserver la validation de la chaîne de certificats TLS. Ne pas effectuer d'inspection SSL/TLS pour ce domaine.

A6. Comment désactiver l'utilisation de l'IA pendant une phase pilote ou un audit ?

Demandez à Novalys de mettre les crédits VE AI à zéro pour les référentiels ou équipes concernés. Vous pouvez également bloquer le trafic sortant vers ai.visual-expert.com au niveau du périmètre réseau.

Glossaire

• API : Application Programming Interface — protocoles de communication entre logiciels
• DNS : Domain Name System — traduit les noms de domaine en adresses IP
• DoH : DNS over HTTPS — résolution DNS via des connexions HTTPS chiffrées
• HTTPS : Hypertext Transfer Protocol Secure — HTTP avec chiffrement TLS
• TCP : Transmission Control Protocol — protocole de transmission de données fiable et orienté connexion
• TLS : Transport Layer Security — protocole cryptographique pour la communication sécurisée

 

En savoir plus sur Visual Expert AI

• Visual Expert AI : Sécurité et durcissement administratif
• Visual Expert AI : Protection des données et confidentialité 
• Visual Expert AI FAQ