Référence technique · pour DSI, RSSI et partenaires techniques

L'IA dans vos systèmes. Sous votre contrôle.

La page de référence pour les DSI, RSSI, architectes et partenaires techniques qui évaluent HOLCO. Comment nous relions l'IA de pointe à vos systèmes existants sans perte de contrôle : lecture seule par défaut, données hébergées en France et en Union européenne, accès nominatif par collaborateur, journal d'audit complet, et vous gardez le code. Ce que nous livrons, avec quoi nous le construisons, où ça tourne, et comment ça se branche. En clair, sans marketing.

Positionnement

HOLCO n'est pas un revendeur. Nous ne sommes liés ni à un modèle unique, ni à un format de connecteur, ni à un cloud. Pour chaque mission, nous évaluons, comparons et retenons la combinaison adaptée au cas : vos contraintes de souveraineté, votre stack, votre budget. HOLCO est la couche de gouvernance entre vos données et l'IA, et nous le prouvons.

AGNOSTIQUE SUR LE MODÈLE

Claude, Mistral, Gemini, GPT, Hugging Face.

Nous choisissons le modèle adapté à la tâche, pas au contrat. Raisonnement long contexte, vision, code, exécution locale : le bon modèle l'emporte. Routage par tâche.

AGNOSTIQUE SUR LE FORMAT

MCP, DXT, REST, GraphQL, Webhooks.

Nous relions ce qui existe. Le format du connecteur est un moyen, pas une fin. Nous nous adaptons à vos API, pas l'inverse.

AGNOSTIQUE SUR LA SOUVERAINETÉ

Datacenter en France, sur votre cloud, on-premise.

Nous nous adaptons à la localisation de vos données et à votre périmètre de sécurité. Souverain en France par défaut, entièrement déployable sur votre infrastructure si nécessaire.

Ce que nous livrons

Six compétences que nous maîtrisons.

En clair, ce qu'une mission HOLCO produit concrètement. Chacune de ces compétences a été livrée plusieurs fois et peut être démontrée sur demande.

Agents IA pour dirigeants et métiers

Copilotes conversationnels qui lisent vos données métier, font remonter l'essentiel et produisent des livrables prêts à l'emploi. En français par défaut, multi-outils, avec citation stricte des sources.

Ponts MCP et API

Nous connectons votre assistant IA à vos outils métier existants (Pennylane, Odoo, Sage, SAP, HubSpot, Stripe, API internes) via MCP, DXT, REST, GraphQL ou webhooks. Aucune migration de plateforme.

Recherche sourcée (RAG)

Ingestion documentaire, vectorisation, recherche hybride et citation des réponses. Chaque affirmation renvoie au document source ou à l'appel d'API d'origine. Aucun chiffre inventé.

Évaluation et garde-fous qualité

Suites d'évaluation sous intégration continue, détection de régressions, réglages prudents par défaut. La sortie du modèle est testée comme tout autre composant de production avant mise en service.

Anti-hallucination

Liste blanche de sources, traçabilité (faits, calculs, hypothèses, limites, sources), refus de répondre quand le contexte est insuffisant. La confiance avant la couverture.

Exploitation et support

Installation côté client, supervision, canal de retour structuré, livraisons versionnées, procédure de divulgation de vulnérabilités. Nous restons présents après la livraison.

Stack

Composants utilisés en production.

Couche	Composant	Usage
Modèles IA	Anthropic Claude (Opus, Sonnet, Haiku)	Raisonnement long contexte, agents conversationnels, contextes sensibles
-	Mistral (Large, Codestral)	Souveraineté française, déploiements on-premise
-	Google Gemini	Multimodal, contextes très longs, recherche selon le besoin
-	OpenAI (GPT, gpt-image)	Outils ponctuels, génération d'images éditoriales
-	Hugging Face Hub	Modèles open source pour déploiements auto-hébergés
Orchestration	Model Context Protocol (MCP)	Ponts normalisés vers les systèmes du client
-	DXT (Desktop Extensions)	Distribution en un clic d'un serveur MCP empaqueté
-	SDK Anthropic	Streaming SSE, mise en cache de prompt, tool use
-	Orchestration multi-agents HOLCO	Agents spécialisés (lead, backend/QA, recherche, conformité), validation croisée
-	LangChain (selon le cas)	Chaînes RAG, vectorisation
Frontend	Next.js, React, Tailwind	Sites statiques (export), interfaces dirigeants
-	Framer Motion, Lucide	Animations éditoriales, iconographie
Backend	Node.js 22, Express, FastAPI (Python)	Proxys SSE, services métier
Données	Postgres 15, Supabase	Persistance, recherche vectorielle (pgvector)
-	Redis (selon le cas)	Cache, files de tâches
Sources officielles	API PISTE / DILA (Légifrance, BOFiP)	Réponses juridiques et fiscales sourcées à l'article
Infrastructure	Ubuntu 24.04 LTS, nginx 1.24	Reverse proxy TLS, hébergement statique
-	Chiffrement au repos (LUKS)	Disques chiffrés sur serveur dédié
-	Let's Encrypt (Certbot)	Certificats TLS, renouvellement automatique
-	systemd	Gestion des services en production
Hébergement	Serveur dédié, Scaleway (datacenters Paris)	Souverain France par défaut. Auto-hébergement client possible

Les choix précis sont arrêtés au cadrage, selon le cas et les contraintes de souveraineté. Rien n'est imposé.

Orchestration et ponts

Comment nous relions l'IA à vos systèmes.

Notre objectif technique : construire le pont entre vos systèmes et le modèle d'IA, sans imposer de format. Nous sommes agnostiques sur le mécanisme de connexion. Si votre SaaS expose un serveur MCP, nous l'utilisons. S'il fournit une extension DXT, nous la prenons. Sinon, nous nous branchons directement sur son API REST, son GraphQL ou ses webhooks. Le format importe peu : ce qui compte, c'est que l'agent puisse interroger vos données au moment où le dirigeant pose la question.

Formats de pont pris en charge

Format	Catégorie	Description technique
Serveur MCP	Standard ouvert	Model Context Protocol (Anthropic, novembre 2024). Serveur tiers ou interne exposant ressources, prompts et outils à un agent IA. JSON-RPC sur stdio, HTTP+SSE ou WebSocket.
Extension DXT (.dxt)	Paquet Anthropic	Desktop Extensions pour Claude. Archive ZIP empaquetant un serveur MCP avec ses dépendances (Node, Python ou binaire). Distribution en un clic, sans chaîne d'outils côté client.
REST / OpenAPI	Universel	Description OpenAPI 3.x convertie en outils exploitables par l'agent. Authentification OAuth2, clé d'API ou JWT selon le SaaS. Utilisé pour Salesforce, HubSpot, Pennylane, Stripe, etc.
GraphQL	Universel	Schémas typés introspectés à l'exécution, génération automatique des outils côté agent. Shopify, Linear, GitHub, Notion v2.
Webhooks	Événementiel	Point d'entrée HTTPS exposé pour recevoir les événements du SaaS (signature HMAC vérifiée). Déclenche un traitement par l'agent ou un envoi d'email récurrent.
Connecteur natif	OAuth + SDK	Pour Google Workspace, Microsoft 365, Slack, etc. SDK officiel et jeton de rafraîchissement OAuth2 à durée courte. Périmètre minimal, jamais d'accès total.
Sur mesure (SSH, JDBC, fichiers)	Spécifique	Quand le SaaS n'expose pas d'API publique, nous nous branchons sur la couche de stockage : tunnel SSH vers une base, lecture S3/SFTP, agent local autorisé.

Nos outils, en lecture seule et tracés

Au-dessus des ponts, nous construisons des outils métier gouvernés. Trois principes : la lecture seule par défaut (nous proposons, le client tranche), la traçabilité de bout en bout, et le sourcing officiel des réponses (aucun chiffre inventé).

RÉVISION COMPTABLE

PennyPilot

Couche de révision comptable en lecture seule pour cabinets d'expertise comptable. Connecteur Pennylane, une trentaine d'outils en lecture seule, authentification OAuth HOLCO. Les réponses sont sourcées sur Légifrance et le BOFiP via l'API officielle PISTE/DILA. L'outil propose, le cabinet tranche : aucune écriture dans Pennylane.

GOUVERNANCE DATA VERS IA

Couche de gouvernance

HOLCO se place entre les données du client et le modèle d'IA. Routage par tâche, masquage avant transmission au modèle quand c'est demandé, périmètre d'accès nominatif par collaborateur. La donnée transite, elle n'est pas stockée durablement ni utilisée pour entraîner un modèle.

REGISTRE DE PREUVE

Tickets et journal auditable

Chaque demande devient un dossier auditable : journal d'historique inaltérable (empreintes chaînées SHA-256), provenance des agents (réalisé par, relu par), case de supervision humaine, liens de partage protégés et éphémères. La preuve fait partie du livrable.

Pour les éditeurs SaaS

Comment HOLCO consomme vos API.

Vous êtes Pennylane, HubSpot, Notion, Salesforce ou tout autre éditeur SaaS, et l'un de vos clients vient de signer avec HOLCO. Vous voulez comprendre comment notre agent va consommer votre API ? Voici nos pratiques par défaut. Pour un examen plus approfondi, écrivez à alan@holco.co (audit, environnement de test, DPA, accord de partenariat).

Authentification: OAuth 2.0 standard avec jetons de rafraîchissement à durée courte (15 min) quand c'est possible. Sinon, stockage chiffré de la clé d'API.
Jetons de rafraîchissement: Jamais journalisés ni exportés. Stockés chiffrés au repos (AES-256), renouvelés au minimum tous les mois.
Limites de débit: Strictement respectées. Repli exponentiel sur erreur 429. Pas d'interrogation agressive : les webhooks sont préférés quand ils existent.
User-Agent: Identifiable : User-Agent: HOLCO-Agent/<version> (+contact@holco.co). Vous permet d'auditer et de mesurer l'usage.
Périmètre OAuth: Minimal. Lecture seule par défaut, écriture uniquement si la fonction l'exige et avec le consentement explicite du client.
Stockage des données: Pas de re-stockage durable. Lecture, agrégation et restitution en mémoire. Cache court (1 h maximum) pour respecter les limites de débit.
Journal d'audit: Chaque appel d'API est journalisé côté HOLCO (méthode, endpoint, statut, durée en ms). Conservation 90 jours, accessible au client sur demande.
Suppression / révocation: Sur demande du client ou révocation OAuth : jetons purgés sous 24 h, caches vidés, journaux anonymisés conformément au DPA.

Sécurité opérationnelle

Contrôles en production.

Le modèle d'accès aux données d'abord, l'infrastructure ensuite. Par défaut, nos agents sont en lecture seule: ils lisent et raisonnent, ils n'écrivent jamais dans vos systèmes. L'accès est rattaché à un utilisateur nominatif (une clé par collaborateur), chaque appel est consigné dans un journal d'audit traçable (qui, quel fichier, quelle classe de données, lecture seule), les données restent en France et en Union européenne, les prompts ne sont jamais utilisés pour entraîner un modèle, et à la fin vous gardez le code. Le tableau ci-dessous détaille la couche opérationnelle sous-jacente.

Domaine	Contrôle	Détail
Chiffrement	Au repos (LUKS) et en transit (TLS)	Disques chiffrés sur serveur dédié (LUKS). Transit en TLS 1.2/1.3, HSTS preload. La donnée est protégée au stockage comme sur le réseau.
Accès serveur	Clés SSH ED25519	Pas d'authentification par mot de passe. Port personnalisé. Fail2ban actif. Audit d'authentification quotidien.
-	MFA console fournisseur	Compte d'administration du fournisseur protégé par TOTP et clé physique de secours.
TLS	Let's Encrypt + Certbot	Renouvellement automatique. HSTS activé (max-age 6 mois). TLS 1.3 préféré, 1.2 au minimum.
En-têtes HTTP	Durcissement nginx	En-têtes durcis : noindex sur les surfaces sensibles, Content-Security-Policy, Referrer-Policy, X-Frame-Options.
Pare-feu	ufw (pare-feu Ubuntu)	Règles minimales : 22 (port SSH personnalisé), 80, 443. Tout le reste bloqué par défaut.
Système	Mises à jour de sécurité	unattended-upgrades actif sur les paquets de sécurité Ubuntu LTS. Redémarrages planifiés hors heures ouvrées.
Secrets	.env hors du dépôt	Valeurs sensibles (clés d'API, jetons OAuth) dans des fichiers .env en permission 600. Jamais versionnées. Rotation manuelle ou automatisée selon le secret.
Journaux	journalctl + rotation	Conservation 90 jours, adresses IP partiellement anonymisées après 30 jours. Aucun contenu utilisateur journalisé.
Sauvegarde	Snapshots fournisseur	Snapshots disque quotidiens, rétention 7 jours. Bases applicatives sauvegardées séparément avec restauration à un instant T jusqu'à J-7.
Supervision	Alertes systemd	Service à l'arrêt : alerte email. Erreurs nginx 5xx surveillées. Seuils disque/mémoire à 85 % : alerte.
Données client	Aucun entraînement	DPA signés avec chaque fournisseur d'IA (Anthropic, Mistral, Google, OpenAI). Vos prompts et retours ne sont jamais utilisés pour entraîner un modèle.
-	Zéro rétention en transit	Les données qui transitent par HOLCO ne sont pas conservées durablement. Lecture, agrégation, restitution, puis purge.
-	Fin de mission	Code source, schémas, secrets et données remis au client. Comptes fournisseurs transférés ou supprimés selon la préférence du client. Suppression conforme en fin de mission.

Pour un dossier de sécurité formel (audit ANSSI, environnement client ISO 27001), écrivez à alan@holco.co.

Hébergement et conformité

Données souveraines en France, réversibilité garantie.

Localisation des données par défaut: France (Scaleway, datacenters Paris)
Souveraineté: Hors champ du Cloud Act et des législations extra-européennes
Certification datacenter: ISO 27001
Serveur: Serveur dédié, Ubuntu 24.04 LTS
Reverse proxy: nginx 1.24
Chiffrement au repos: LUKS (disques chiffrés)
Chiffrement en transit: TLS 1.2/1.3, HSTS preload
En-têtes durcis: noindex, CSP, Referrer-Policy, X-Frame-Options
TLS: Let's Encrypt, renouvellement automatique
Auto-hébergement client: Possible (santé, finance réglementée, défense)
Rôle RGPD: HOLCO sous-traitant au sens de l'article 28, DPA signé avec le client
Entraînement de modèle sur vos données: Jamais. DPA signés avec chaque fournisseur.
Rétention en transit: Zéro. Aucune conservation durable des données en transit.
Conservation: Conforme : pièces comptables 10 ans (CGI, Code de commerce)
Livrables de fin de mission: Code source, schémas, secrets et données remis. Suppression en fin de mission.
Conformité: RGPD by design. ANSSI sur demande pour les environnements sensibles.

Méthode

Cycle de 6 à 7 semaines, du cadrage à l'usage.

№	Étape	Durée	Livrable
01	Cadrage	S+1	Cartographie des systèmes et des questions récurrentes. Plan de réponse validé par un opérateur senior.
02	Connexion MCP	S+2	Branchement à vos systèmes via Model Context Protocol (standard ouvert, Anthropic, 2024).
03	Construction	S+3 à S+6	Conception et développement (agent, email, alerte ou application). Démos hebdomadaires, itérations courtes, validation croisée des livrables.
04	Mise en production	S+7	Déploiement, formation, remise de la documentation. Le client garde la maîtrise du code, des clés et des données.
05	Exploitation	En continu	Suivi de l'usage réel, ajustements, ajout de cas. Engagement mensuel résiliable.

FAQ technique

Les questions des DSI et RSSI.

Claude (Anthropic) par défaut pour la qualité de raisonnement. Mistral pour la souveraineté française. Gemini (Google) pour le multimodal et les très longs contextes. OpenAI quand le moteur le justifie. Hugging Face pour les déploiements auto-hébergés. Le routage se fait par tâche, et le choix est arrêté au cadrage.
Non. Un DPA (accord de traitement des données) est signé avec chaque fournisseur d'IA. Aucun entraînement de modèle sur vos données. Pour les contextes sensibles (santé, finance réglementée), nous déployons une configuration auto-hébergée chez le client avec des modèles open source.
Hébergement souverain en France, chez Scaleway (datacenters Paris, certifiés ISO 27001), hors champ du Cloud Act et des législations extra-européennes. Serveur dédié, chiffrement au repos (LUKS) et en transit (TLS 1.2/1.3, HSTS preload). L'auto-hébergement chez le client reste possible.
HOLCO agit comme sous-traitant au sens de l'article 28 du RGPD, avec un DPA signé avec chaque client. Zéro rétention des données en transit, aucun entraînement de modèle sur vos données, conservation conforme (pièces comptables 10 ans selon le CGI et le Code de commerce) et suppression en fin de mission.
Non, pas par défaut. Nos agents sont en lecture seule : ils lisent et raisonnent, ils n'écrivent pas. L'écriture n'est activée que si la fonction l'exige et avec votre consentement explicite. PennyPilot, par exemple, propose des corrections mais n'écrit jamais dans Pennylane : le cabinet tranche.
L'accès est nominatif, une clé par collaborateur. Chaque appel est consigné dans un journal d'audit traçable (qui, quel fichier, quelle classe de données, lecture seule). Pour le registre de preuve, l'historique est inaltérable (empreintes chaînées SHA-256) avec provenance des agents et supervision humaine.
Model Context Protocol. Standard ouvert publié par Anthropic en novembre 2024. Il permet à un agent IA d'interroger des systèmes externes (CRM, ERP, bases de données, API) de façon normalisée. Il évite de réécrire les outils existants. Nous prenons aussi en charge DXT, REST/OpenAPI, GraphQL et les webhooks.
Tout SaaS exposant une API. Connecteurs MCP standards ou sur mesure : Salesforce, HubSpot, Pipedrive, SAP, Sage, Oracle, Notion, Airtable, Monday, Slack, Microsoft 365, Google Workspace, Stripe, Pennylane, Odoo. Les applications internes via REST ou GraphQL.
Ubuntu 24.04 LTS sur serveur dédié souverain en France (Scaleway). Reverse proxy nginx 1.24. TLS via Let's Encrypt (renouvellement automatique). Services systemd. Hébergement chez le client possible (auto-hébergement, cloud souverain, cluster Kubernetes).
Une équipe d'agents spécialisés se répartit le travail : un agent lead pour l'orchestration, un agent backend/QA, un agent recherche/benchmark et un agent conformité. Les livrables font l'objet d'une validation croisée avant remise.
6 à 7 semaines du cadrage à la production. 2 à 3 semaines pour les cas simples (email récurrent, alerte sur seuil). Démos hebdomadaires.
Le code source complet, les schémas d'architecture, les secrets et clés d'API, les prompts versionnés, la documentation. Aucune dépendance imposée. Le client peut reprendre la main avec son équipe ou un autre prestataire.
Forfait ou rémunération indexée sur la valeur livrée. Devis au cadrage. Engagement mensuel résiliable pendant la phase d'exploitation.
Pas de certification en interne (nous sommes une petite équipe). Nous opérons dans des environnements clients certifiés et suivons les recommandations de l'ANSSI pour les déploiements sensibles. Un dossier de sécurité documenté est fourni à chaque mission. Les datacenters utilisés sont certifiés ISO 27001.

Glossaire

Termes utiles.

Agent IA: Programme qui interprète une demande, choisit les outils à interroger, agrège et formule une réponse. Plus avancé qu'un agent conversationnel simple.
MCP: Model Context Protocol (Anthropic, 2024). Standard ouvert pour relier un agent IA à des systèmes externes.
DXT: Desktop Extensions. Format Anthropic empaquetant un serveur MCP et ses dépendances pour une distribution en un clic.
RAG: Génération augmentée par la recherche. On fournit à l'IA les bons documents au moment de répondre. Permet des réponses précises sans réentraînement.
Réglage fin (fine-tuning): Adaptation d'un modèle à un domaine. Rarement nécessaire : le RAG couvre la plupart des cas.
Vectorisation (embedding): Représentation vectorielle d'un texte. Sert à comparer et rechercher des contenus sémantiquement proches.
SSE: Server-Sent Events. Protocole qui permet à l'IA de transmettre sa réponse au fil de sa génération.
DPA: Accord de traitement des données. Contrat encadrant le traitement des données entre le client et le sous-traitant (y compris les fournisseurs d'IA).
Sous-traitant (RGPD): Au sens de l'article 28 du RGPD, l'entité qui traite des données pour le compte du responsable de traitement. C'est le rôle de HOLCO, encadré par un DPA.
Cloud Act: Loi américaine permettant aux autorités d'exiger des données détenues par un fournisseur US. L'hébergement souverain en France y échappe.
Lecture seule: Mode où l'agent lit et raisonne sans jamais écrire dans les systèmes du client. Le client tranche sur les corrections proposées.
Journal d'audit: Trace inaltérable des accès et opérations (qui, quoi, quand). Chez HOLCO, empreintes chaînées SHA-256 pour le registre de preuve.
Modèle de pointe (frontier): Les modèles d'IA les plus avancés du moment : Claude Opus, Mistral Large, Gemini, GPT.
Mise en cache de prompt: Mise en cache d'une partie du prompt système côté fournisseur. Réduit le coût et la latence sur les longs contextes partagés.
Tool use: Capacité d'un agent à appeler des fonctions externes structurées (API, recherche web, code, bases de données).