Détails techniques

L’architecture repose sur un orchestrateur n8n self-hosted déployé sur un serveur VPS. Le système utilise un webhook pour recevoir les requêtes d’analyse, puis exécute plusieurs appels API en parallèle vers des services de threat intelligence : AbuseIPDB pour la réputation, VirusTotal pour l’analyse multi-sources, AlienVault OTX pour la threat intelligence et IPinfo pour la géolocalisation.

Les données récupérées sont ensuite normalisées afin d’obtenir une structure cohérente, puis un score de menace (0–100) est calculé à l’aide d’une logique personnalisée. Ce score est utilisé pour déterminer un niveau de risque (faible, moyen ou élevé) et générer une décision finale compréhensible pour l’utilisateur.

Le système est déployé à l’aide de Docker et configuré avec Nginx en reverse proxy, permettant de séparer l’interface utilisateur et l’interface d’administration n8n. L’ensemble est sécurisé avec HTTPS via Let’s Encrypt.

Les résultats des analyses sont enregistrés dans Google Firestore afin de permettre la conservation d’un historique et d’éventuelles analyses futures. L’accès à Firestore est configuré via un service account sécurisé.

Afin de faciliter la portabilité du projet, un script d’installation Bash a été développé pour automatiser le déploiement sur une nouvelle machine, incluant l’installation des dépendances, le lancement de n8n et la configuration du serveur web.

Ce projet démontre la capacité à concevoir une solution complète intégrant orchestration, automatisation, APIs externes et déploiement en production, dans une approche proche des environnements SOC.

Liens