Identité du module
Définition
Z-PUCE est le moteur d'inférence IA embarqué de NetSecurePro IA. Il agit comme le cerveau local de l'écosystème Z-CORE : chaque décision de sécurité, chaque analyse d'anomalie, chaque réponse agentic passe par Z-PUCE sans jamais quitter l'infrastructure souveraine.
Namespace
z-core/zpuce
Module parent
NetSecurePro IA
Type
Processeur IA embarqué
Version
v1.0 · 2026
Auteur
Mohammed Ilyes Zoubirou
Principes Fondateurs
01
Souveraineté absolue
Aucune donnée traitée ne quitte l'infrastructure. Inférence 100% locale via Ollama / llama-cpp.
02
Zero-Trust natif
Chaque appel intermodule est authentifié JWT + validé signature. Aucune confiance implicite.
03
Intelligence embarquée
Routing MoE local, mémoire vectorielle chiffrée, détection d'anomalies temps-réel sans cloud.
Capacités principales
Inférence Locale
Exécution de LLM quantisés (Qwen2.5, DeepSeek-Coder) via Ollama/llama-cpp. Latence <50ms.
Crypto Matérielle
AES-256-GCM pour mémoire, TLS 1.3/mTLS pour transport, Fernet pour vecteurs ChromaDB.
Routing MoE
Mixture-of-Experts local : active uniquement l'expert pertinent selon le contexte sécurité/analyse.
Détection Anomalies
Pipeline Isolation Forest + LSTM-AE + XGBoost. PCI-DSS compliant, audit SHA-256.
RAG Souverain
ChromaDB chiffré + BAAI/bge-m3 embeddings. Contexte CVE et politiques de sécurité.
Observabilité
OpenTelemetry + Jaeger + Prometheus/Grafana. Traces distribuées sur tous les agents.
Sandboxing
Isolation bubblewrap par agent. Podman rootless. Aucun accès root en production.
Gouvernance
RGPD Art.32 · ISO 27001 · PIPEDA · EU AI Act. Audit trail immuable par opération.
Architecture Z-PUCE — 6 couches
Couches détaillées
1
Input Gate
Validation JWT RS256, sanitisation des entrées, rate limiting per-session, détection injection prompt (PromptGuard local). Tout payload non signé est rejeté avant d'atteindre l'inference engine.
2
MoE Router
Routing intelligent vers l'expert optimal : CVE-Expert (vulnérabilités), Net-Expert (topologie réseau), Anomaly-Expert (détection comportementale), Audit-Expert (conformité), Code-Expert (analyse code malveillant).
3
Inference Engine
Ollama + llama-cpp en mode GGUF quantisé. Stack modèles : Qwen2.5-3B (rapide), Qwen2.5-14B (profond), DeepSeek-Coder-V2:16b (code), BioMistral-7B (médical cross-module), Gemma3-4B (général).
4
RAG Souverain
ChromaDB local chiffré Fernet. Embeddings BAAI/bge-m3 multilingues. Hybrid retrieval BM25 + sémantique + RRF + cross-encoder reranker. Base CVE/NVD synchronisée localement.
5
Mémoire Agentique
4 couches mémoire : STM (contexte session Redis), LTM (incidents historiques SQLite), Vectorielle (patterns attaques), Épisodique (séquences temporelles). Rétention 90j glissants, AES-256-GCM.
6
Gouvernance Output
ARMED ethics enforcement : Accountability, Responsibility, Minimal-data, Explainability, Defense-in-depth. Audit trail SHA-256 chaîné. Compliance checker RGPD/ISO27001/PIPEDA avant chaque réponse.
Spécifications techniques
Moteur d'inférence
Runtime primaireOllama v0.6+
Runtime secondairellama-cpp-python
Format modèlesGGUF Q4_K_M / Q8_0
Latence cible<50ms (3B) · <200ms (14B)
Concurrence8 sessions parallèles
Context window32K tokens
GPU supportCUDA 12 · ROCm · CPU fallback
Stack modèles
Général rapideQwen2.5-3B-Instruct-Q4
Général profondQwen2.5-14B-Instruct-Q4
Code/CVEDeepSeek-Coder-V2:16b
Bio/MédicalBioMistral-7B-Q4
PolyvalentGemma3-4B-IT-Q8
EmbeddingsBAAI/bge-m3 (multilingual)
Rerankercross-encoder/ms-marco-MiniLM
Infrastructure requise
OSDebian 12 / Ubuntu 24.04
CPU min.8 vCPU (ARM64/x86-64)
RAM min.32 GB DDR5
StorageNVMe 500 GB+
RéseauIsolé VLAN · WireGuard mesh
ConteneurisationPodman rootless
SecretsHashiCorp Vault
Stockage & Mémoire
Vector DBChromaDB (Fernet-encrypted)
Cache STMRedis 7 · TTL 3600s
LTMPostgreSQL 16 WAL
Audit logSQLite WAL + SHA-256 chain
Rétention90 jours glissants
BackupChiffré AES-256 · S3 privé
RGPD purgeAPI DELETE conforme Art.17
API Z-PUCE
Endpoints principaux
# Z-PUCE FastAPI — Endpoints souverains
POST /zpuce/v1/inference # Inférence directe avec MoE routing
POST /zpuce/v1/scan/cve # Analyse CVE/NVD avec RAG local
POST /zpuce/v1/scan/network # Analyse topologie réseau (Nmap wrapper)
POST /zpuce/v1/anomaly # Détection anomalies (pipeline ML)
GET /zpuce/v1/memory/{session} # Lecture mémoire agentique (chiffrée)
DELETE /zpuce/v1/memory/{session} # Purge RGPD Art.17
GET /zpuce/v1/audit/trail # Audit log SHA-256 chaîné
GET /zpuce/v1/health # Statut modules + métriques
GET /zpuce/v1/metrics # Prometheus scraping endpoint
Payload exemple — Inférence sécurité
# Request
{
"session_id": "sess_abc123",
"query": "Analyser CVE-2024-3094 impact sur notre stack",
"context": { "module": "netsecure", "priority": "HIGH" },
"routing_hint": "cve_expert" # optionnel
}
# Response Z-PUCE
{
"source": "zpuce/cve_expert",
"model_used": "deepseek-coder-v2:16b",
"rag_sources": ["nvd.nist.gov/local", "memory:episodes"],
"response": "...",
"armed_check": "PASSED",
"audit_hash": "sha256:3f4a...",
"latency_ms": 187
}
Posture de sécurité
Chiffrement
Données au reposAES-256-GCM
TransportTLS 1.3 · mTLS inter-services
Vecteurs ChromaDBFernet (AES-128-CBC + HMAC)
JWT signingRS256 (4096-bit)
SecretsHashiCorp Vault · rotation 90j
Post-quantum (roadmap)Kyber-768 · Q3 2026
Isolation & Sandboxing
Agentsbubblewrap (seccomp + namespaces)
ConteneursPodman rootless
RéseauVLAN isolé · WireGuard mesh
Accès rootJAMAIS en production
Inter-modulesZero-Trust · JWT par appel
WAFCrowdSec · Fail2ban · rate-limit
Niveaux d'alerte ARMED
Protocole d'escalade
| Niveau | Déclencheur | Action Z-PUCE | Notification |
|---|---|---|---|
| NIV 1 · LOG | Anomalie mineure, scan port | Enregistrement audit trail | Log Grafana |
| NIV 2 · ALERT | Tentative brute-force, CVE détectée | Blocage temporaire + alerte | Admin (Slack/mail) |
| NIV 3 · BLOCK | SQLi, XSS, exfiltration tentée | Blocage IP + isolation session | Admin + DPO |
| NIV 4 · CRITICAL | Breach confirmée, data leak | Shutdown complet + forensics | Admin + DPO + CNIL + CERT |
Métriques de sécurité — Objectifs v1.0
KPIs souverains
Couverture chiffrement données
100%
Isolation inter-agents
100%
Conformité RGPD Art.32
96%
Détection anomalies (F1-score cible)
0.94
Couverture observabilité OpenTelemetry
88%
Post-quantum readiness (roadmap Q3)
15%
Intégration écosystème Z-CORE
Matrice d'intégration
| Module | Protocole | Données échangées | Chiffrement | Statut |
|---|---|---|---|---|
| Z-CORE | LangGraph · REST | Contexte routé, prompt | AES-256-GCM | ✓ ACTIF |
| NetSecurePro | FastAPI · gRPC | Alertes, scans, CVE | mTLS + JWT | ✓ ACTIF |
| MedicalTracker | FHIR R4 · REST | Anonymisé, agrégé | HDS + AES | ✓ ACTIF |
| SnowflakeSync | Batch · Kafka | Métriques anonymisées | k-anonymity | ✓ ACTIF |
| IA22_TUNNEL | Ngrok · CF Tunnel | Proxy inference GGUF | TLS 1.3 · JWT | ✓ ACTIF |
| NutriTrack | REST | Profil nutritionnel | AES-256 | Q2 2026 |
| PsyCore | REST | Santé mentale anonymisée | AES-256 + HDS | Q2 2026 |
Guide de déploiement rapide
Docker Compose — Z-PUCE Stack
# docker-compose.zpuce.yml
services:
zpuce-api:
image: netsecurepro/zpuce:1.0
environment:
- VAULT_ADDR=http://vault:8200
- OLLAMA_HOST=http://ollama:11434
- CHROMA_HOST=http://chromadb:8000
- ZPUCE_SECRET=${{VAULT_SECRET}} # Jamais hardcodé
networks: [zpuce-net]
security_opt: [no-new-privileges:true]
ollama:
image: ollama/ollama:latest
volumes: [ollama-models:/root/.ollama]
networks: [zpuce-net]
chromadb:
image: chromadb/chroma:latest
environment:
- CHROMA_SERVER_AUTHN_CREDENTIALS=${{CHROMA_TOKEN}}
volumes: [chroma-data:/chroma/chroma]
networks: [zpuce-net]
vault:
image: hashicorp/vault:1.17
cap_add: [IPC_LOCK]
networks: [zpuce-net]
networks:
zpuce-net: {driver: bridge, internal: true} # Isolé
Roadmap Z-PUCE 2026
Q1 2026 — Fondations
Q1
Architecture 6 couches
Input Gate · MoE Router · Inference Engine · RAG Souverain · Mémoire Agentique · Gouvernance ARMED
Q1
Stack modèles initialisée
Qwen2.5 · DeepSeek-Coder · BioMistral · Gemma3 · BAAI/bge-m3
Q1
Intégration Z-CORE
LangGraph orchestration · JWT zero-trust · ChromaDB chiffré
Q2 2026 — Intelligence
Q2
MoE dynamique amélioré
Auto-routing basé sur métriques de performance · apprentissage des patterns
Q2
Détection anomalies avancée
LSTM-AE amélioré · F1 ≥ 0.96 · réduction faux positifs
Q2
Intégration NutriTrack + PsyCore
Cross-module routing sécurisé · mémoire partagée chiffrée
Q3 2026 — Certification
Q3
Post-Quantum Cryptography
Kyber-768 pour échange de clés · CRYSTALS-Dilithium pour signatures
Q3
Certification HDS + ISO 27001
Audit tiers · Pentest · Documentation conformité complète
Q3
Edge computing
Z-PUCE-Lite pour Raspberry Pi 5 · modèles <1B Q4
Q4 2026 — Écosystème
Q4
SDK partenaires Z-PUCE
Python · TypeScript · Rust bindings · Documentation publique
Q4
Marketplace modules
Experts MoE tiers · plugins sécurité certifiés Z-PUCE
Q4
WASM inference
Z-PUCE-Web : inférence navigateur via WebAssembly · zéro serveur