Aller au contenu

Édition Souverain-hybride (BYOK)

L'édition Souverain-hybride est conçue pour les organisations qui veulent l'isolation infrastructure du souverain pur, mais sans sacrifier la qualité des frontier LLMs (Mistral Large, Claude Sonnet 4.6, GPT-5, Gemini 2.5).

C'est le compromis : vos données restent sur votre infra, mais les appels de synthèse IA peuvent sortir vers des APIs externes que vous configurez vous-même (BYOK — Bring Your Own Key).

Offre On-premise / Souverain — sur devis

Le déploiement souverain-hybride fait partie de l'offre On-premise / Souverain, une installation sur-mesure, sur devis — pas de souscription en self-service. Pour démarrer, nous contacter.

Architecture

graph TB
    U[Utilisateurs internes] -->|HTTPS| Web[Myeline Web<br/>chez le client]
    Web --> DB[(MariaDB)]
    Web --> Redis[(Redis)]
    Web --> Chroma[(ChromaDB)]
    Web --> Ollama[Ollama local<br/>bge-m3 embedding]
    Web -.->|"BYOK Mistral<br/>Claude / OpenAI / Gemini<br/>(par org, au choix)"| LLM[Provider IA<br/>de votre choix]
    Web -.->|"Service account GCP<br/>(votre projet)"| GDrive[Google Drive]
    Web -.->|"BYOC OAuth<br/>(vos propres apps)"| OneDrive[OneDrive]

Différences avec souverain pur

Fonctionnalité Souverain Souverain-hybride
Ollama local
API externe (Mistral, etc.) ✅ (BYOK par org)
Connecteur Google Drive ✅ (service account GCP)
Connecteurs OneDrive / Dropbox ✅ (BYOC — vos OAuth apps)
Connecteur Notion / Zotero
Stripe
Audit log local
Backup off-host (S3 / rclone) Vers infra interne Vers MinIO ou S3 cloud

BYOK — Bring Your Own Key

En souverain-hybride, chaque organisation au sein de votre déploiement peut choisir indépendamment son provider LLM via /admin/orgs/<slug> :

  • Local Ollama (par défaut, gratuit)
  • Mistral AI (votre clé)
  • Anthropic Claude (votre clé)
  • OpenAI (votre clé)
  • Google Gemini (votre clé)

Les clés sont stockées chiffrées dans la DB (org.ai_api_key_enc via Fernet, dérivée de CLOUD_TOKEN_KEY). Aucune clé "platform" partagée — chaque org paie son provider en direct.

BYOK embedding (synapse 0025)

Depuis la migration 0025, chaque organisation peut aussi choisir son fournisseur d'embedding indépendamment du LLM. Utile quand le déploiement utilise Ollama bge-m3 par défaut mais qu'une org veut un embedding de meilleure qualité (Voyage, Cohere multilingue) ou une trace de facturation séparée (Mistral, OpenAI).

Fournisseur Modèle par défaut Dim Notes
Mistral mistral-embed 1024 🇫🇷 hébergé UE, RGPD
OpenAI text-embedding-3-small 1536 -3-large 3072 dim aussi supporté
Voyage voyage-3 1024 Qualité top, anglais + multilingue
Cohere embed-multilingual-v3.0 1024 Multilingue fort, 100+ langues

Configuration via /org/<slug>/admin → carte « Fournisseur d'embedding (BYOK) ». Le routing s'applique uniquement à la collection org_{id}_shared ; la collection partagée publique et les bibliothèques personnelles des membres restent sur le fournisseur par défaut du déploiement.

Verrou dimensionnel. Un changement de fournisseur sur une collection déjà indexée est refusé tant que les vecteurs existants ne sont pas effacés — même quand la dimension est identique (un vecteur Mistral 1024 dim et un vecteur Voyage 1024 dim vivent dans des espaces cosinus incompatibles). Procédure :

flask wipe-org-embed-collection --org <id> --confirm
# Puis activer le nouveau fournisseur via /org/<slug>/admin
flask reindex-embeddings

Sécurité. Les clés d'embedding suivent le même schéma de stockage que les clés LLM (org.embed_api_key_enc Fernet-chiffré, jamais réémis en clair par l'UI — un masque •••••••• confirme uniquement qu'une clé est enregistrée).

BYOC — Bring Your Own Credentials

Pour activer les connecteurs cloud (Google Drive, OneDrive, Dropbox, kDrive) en souverain-hybride, vous devez enregistrer vos propres apps OAuth chez chaque provider. Les credentials de myeline.io ne fonctionnent que pour le SaaS central.

Pourquoi ? Vos utilisateurs internes accèdent à Myeline via https://myeline.acme.local/..., donc le redirect URI OAuth est https://myeline.acme.local/user/cloud/gdrive/callback. Google / Microsoft / Dropbox vérifient le redirect URI contre la liste blanche de l'app OAuth qui a initié le flow — Myeline central n'a pas votre URL dans sa whitelist (et nous ne pouvons pas la rajouter à l'échelle pour des raisons de sécurité et de scalabilité).

Voir le walkthrough détaillé : Installation souverain-hybride § BYOC.

Pour qui ?

  • Entreprises qui veulent un trade-off pragmatique entre souveraineté et qualité de la synthèse IA
  • Organisations qui ont déjà des contrats Anthropic / OpenAI / Mistral Enterprise et veulent les utiliser via Myeline
  • Cabinets de conseil ou d'avocats qui hébergent eux-mêmes Myeline pour leurs clients et facturent une marge sur l'IA
  • Universités / labos qui veulent indexer leur Drive Workspace mais garder la base sur leur cluster de calcul interne

Modèle économique

  • Licence annuelle sur devis (12 mois max)
  • Vous payez directement les providers IA que vous activez (Mistral La Plateforme, Anthropic Console, OpenAI, Google AI Studio)
  • Pas de marge cachée chez nous — vous voyez vos coûts IA en direct
  • Support inclus — conditions détaillées dans le contrat de licence

Démarrer

git clone -b synapse git@github.com:ClaraVnk/myeline.git
cd myeline
./scripts/install.sh
# → Choisir option 3 (Installation souverain-hybride)
# → Coller la clé de licence
# → Le wizard demande explicitement les credentials BYOC OAuth

Walkthrough complet : Installation souverain-hybride.