Galaxus, le géant suisse du commerce électronique derrière Digitec, a choisi de ne plus déléguer le « système nerveux » de son infrastructure à de grands fournisseurs de réseaux et de services managés. Au lieu de payer des licences coûteuses, d’accepter des contrats rigides et de dépendre de matériel propriétaire, l’entreprise a opté pour une voie plus exigeante, mais bien plus libre : construire sa propre infrastructure réseau entièrement basée sur des technologies open source.

Le résultat est une architecture en production, non un simple projet expérimental, qui connecte aujourd’hui environ 30 sites — entrepôts, magasins, bureaux et clouds publics répartis en Europe — via des tunnels chiffrés peer-to-peer. Et le plus important : tout est sous le contrôle direct de l’équipe d’ingénierie, sans intermédiaires ni chaînes invisibles.

Du confort des Big Tech à la prise en main du contrôle

Pendant des années, Galaxus s’est appuyée sur des éléments communs à une grande partie du secteur :

• Clouds publiques avec limitations et coûts croissants.
• Équipements réseau propriétaires avec licences renouvelables obligatoires.
• VPN traditionnels peu flexibles et difficiles à faire évoluer.
• Services « managed » qui, sous couvert de commodité, imposaient leurs propres règles.

Avec des bureaux supplémentaires, plus de fournisseurs de connectivité (fibre, cuivre, mobile) et un usage intensif de plusieurs clouds — Azure, Google Cloud, Hetzner et serveurs internes on-premise — ce modèle a atteint ses limites. Les dépendances contractuelles rendaient l’agilité difficile et faisaient craindre des projets qui prenaient des semaines à planifier… alors qu’ils étaient budgétés sur plusieurs années.

Face à cette situation, l’équipe interne responsable de l’infrastructure, Planet Express, s’est posée une question essentielle :

« Est-il pertinent que le réseau qui relie toute l’entreprise dépende de contrats verrouillés, de matériel avec licences et de fournisseurs qui fixent le rythme ? »

La réponse a été un refus catégorique. Voilà comment est né le nouveau design du réseau.

Un backbone d’entreprise construit avec des composants ouverts

Le projet que Galaxus a mis en production ces deux dernières années repose sur un ensemble de technologies bien connues de la communauté sysadmin et du logiciel libre.

1. Matériel standard, sans boîte noire

Pour les points de présence dans les sites physiques, ils utilisent MinisForum MS-01, de petits ordinateurs équipés de processeurs Intel Core i9 et de deux ports SFP 10 Gbit/s. Ces mini-PC agissent comme des nœuds de réseau capables de connecter directement les lignes des fournisseurs d’accès à Internet et de faire transiter le trafic à 10 Gbit/s, sans dépendre de routeurs fermés et coûteux.

De plus, les supports physiques pour monter ces équipements — portant le logo de l’équipe — sont imprimés en 3D en interne, illustrant parfaitement la philosophie du projet : un contrôle total, du matériel au logiciel.

2. Virtualisation et routage

Sur ce matériel, on déploie :

• Proxmox VE comme hyperviseur, créant une petite « cloud réseau » locale dans chaque site, permettant un accès en cas d’urgence si une machine virtuelle tombe en panne.
• OpenWRT comme système d’exploitation pour les routeurs, exécuté dans des machines virtuelles au sein de Proxmox. Des millions de routeurs domestiques fonctionnent sous des versions d’OpenWRT ; Galaxus applique cette même fiabilité en environnement professionnel.

3. VPN peer-to-peer avec Tailscale et Headscale

Le saut décisif vers une souveraineté renforcée se fait au niveau de la connectivité :

• Tailscale établit les tunnels chiffrés entre les sites et les clouds, transformant chaque routeur ou serveur en un nœud de réseau privé, sans problématiques de NAT, d’adresses IP changeantes ni règles complexes de pare-feu.
• Plutôt que de s’appuyer uniquement sur le service géré de Tailscale, Galaxus utilise Headscale, une plateforme de contrôle auto-hébergée et compatible, qui définit quels nœuds peuvent communiquer. Elle ne fonctionne pas comme un routage, mais contrôle toute la topologie du réseau.

De cette façon, l’entreprise dispose d’un réseau maillé chiffré de bout en bout, où les lignes rouges du diagramme interne représentent des connexions VPN directes entre entrepôts, bureaux et clouds publics, selon la politique de sécurité.

4. Automatisation à grande échelle : Terraform + Ansible

Avec près de 30 sites, il est hors de question de configurer manuellement chaque gateway. Pour automatiser, l’équipe Planet Express s’appuie sur du code :

• Terraform crée et détruit les instances de gateways sur Proxmox et dans divers fournisseurs cloud.
• Ansible, via des modèles Jinja2 et fichiers YAML, déploie la configuration sur tous les routeurs et nœuds en une seule exécution.

La société a choisi de libérer sur GitHub son framework Ansible pour OpenWRT, invitant d’autres équipes à réutiliser, adapter et améliorer cette solution. Ce n’est pas qu’un projet interne, mais une contribution à l’écosystème ouvert qui leur a permis d’atteindre ce stade.

Moins de dépendance, plus d’options

Ce nouvel approche n’est pas qu’un simple exercice de style : elle a des impacts concrets sur le business :

• Galaxus peut déplacer les pipelines de build ou les charges de travail entre Hetzner, Azure, Google Cloud ou ses propres serveurs en fonction des coûts, capacités ou proximité avec l’utilisateur.
• Il n’existe plus de contrats qui obligent à utiliser un matériel ou un service précis parce que « la licence est déjà payée ».
• Les nouvelles implantations ou intégrations dans de nouvelles clouds peuvent se faire en quelques semaines — voire quelques jours — tout en maintenant un modèle réseau cohérent.

Concrètement, le réseau peer-to-peer transporte déjà du trafic critique : des données de commandes et étiquettes vers l’entrepôt de Wohlen, jusqu’aux appels API en temps réel sur Azure et Google, pendant que les utilisateurs parcourent la boutique.

Souveraineté numérique : faire confiance à ses propres ingénieurs

En filigrane, le message est clair : Galaxus préfère compter sur ses propres développeurs plutôt que sur la commodité des géants du numérique. Alors que d’autres entreprises acceptent des boîtes noires et des contrats pluriannuels, la société suisse mise sur la compréhension, le contrôle et l’évolution de chaque couche de son infrastructure réseau.

Ce chemin n’est pas sans coût : construire et maintenir une telle infrastructure requiert talent interne, discipline dans l’automatisation et une prise de responsabilité accrue. Mais, en contrepartie, Galaxus bénéficie de :

• Indépendance stratégique face aux fournisseurs spécifiques.
• Meilleure capacité de négociation, en ne dépendant pas d’une seule plateforme.
• Transparence technique, en connaissant précisément le fonctionnement de chaque composant.

Des initiatives antérieures, comme les thin clients Linux déployés par l’entreprise, s’inscrivent aussi dans cette logique : ces équipements sont en croissance — une quarantaine d’utilisateurs actifs simultanément — et leur dépôt sur GitHub continue de s’enrichir.

Pour la société, la conclusion est simple : assumer la responsabilité technique augmente la liberté de décision et améliore les conditions économiques. Ce qui était considéré comme « trop complexe » devient, grâce à l’écosystème open source et à l’automatisation, une option accessible pour toute organisation souhaitant réduire sa dépendance aux solutions fermées.

Questions fréquentes

Qu’entend-on par “souveraineté numérique” dans le contexte des réseaux d’entreprise ?
C’est la capacité d’une organisation à maîtriser sa propre infrastructure technologique : choisir ses fournisseurs, déplacer ses charges de travail, auditer sa sécurité et éviter des dépendances contractuelles ou techniques qui limiteraient ses choix. En matière de réseaux, cela signifie ne pas être lié à du matériel propriétaire ni à des services managés susceptibles de changer leurs conditions ou leurs prix unilatéralement.

Quels logiciels libres sont utilisés par Galaxus dans sa nouvelle infrastructure réseau ?
L’architecture combine plusieurs technologies ouvertes : Proxmox VE comme hyperviseur, OpenWRT pour le routage, Tailscale comme client VPN, Headscale comme plan de contrôle auto-hébergé, et Terraform + Ansible pour automatiser la création et la configuration de tous les gateways et nœuds.

Quels bénéfices Headscale apporte-t-il par rapport au service SaaS géré de Tailscale ?
Headscale permet de maintenir le même modèle de réseau que Tailscale, mais avec un contrôle total sur l’information, l’authentification et les politiques. En évitant de dépendre d’un service SaaS externe, l’entreprise préserve la confidentialité de ses données internes et évite tout changement unilateral de conditions ou de prix.

Une PME peut-elle adopter une démarche similaire à celle de Galaxus ?
Absolument, à une échelle plus modeste. Le même modèle — matériel standard, OpenWRT, Tailscale/Headscale, Proxmox et automatisation via Ansible — peut relier bureaux, télétravailleurs et serveurs dans le cloud. L’essentiel est de commencer petit, documenter l’architecture dès le départ et traiter l’infrastructure comme du code : ainsi, faire passer d’une à dix sites devient une simple répétition, sans tout redessiner.

source : digitec.ch