Sous le capot

Comment COCKPIT
gouverne réellement vos agents

Une lecture en deux niveaux : l'explication pour le dirigeant qui veut comprendre sans jargon, et le détail pour la DSI qui veut vérifier l'architecture. Quatre sujets — l'intégration OpenClaw, le brainstorming multi-moteurs, la gestion humaine des agents, et la chaîne de preuve.

01 — Architecture

COCKPIT propose et contrôle.
OpenClaw exécute.

COCKPIT ne remplace pas vos outils d'exécution : il s'intercale entre le dirigeant et eux. OpenClaw est le sous-système d'exécution métier ; COCKPIT est la couche de gouvernance qui l'encadre.

ComposantRôlePour le dirigeant
COCKPITObserver, synthétiser, diagnostiquer, proposer, journaliser, demander validationLe poste de commandement. C'est ici que vous comprenez, arbitrez et déléguez.
OpenClawExécuter les missions métier permanentes via les agents TelegramLa force opérationnelle. C'est l'outil qui fait le travail de fond, sous mandat.
NovaAgent principal de délégation et de coordination OpenClawLe chef d'orchestre des agents. Relais naturel de COCKPIT vers la flotte.
Moteurs IAProduire analyses, contradictions, décisions, code et auditsPlusieurs cerveaux, chacun avec une force différente, mobilisables ensemble ou seul.
Agents de nœudEnvoyer l'état du PC ou d'un serveur vers COCKPITUne vigie par machine. Chaque serveur remonte sa santé, sans interface d'admin à gérer.
A

Vue dirigeant

Une seule interface pour comprendre la situation, arbitrer et déléguer. Le dirigeant ne touche jamais directement à l'exécution — il mandate, et vérifie le résultat.

B

Vue DSI

Architecture modulaire FastAPI, pont contrôlé vers la gateway OpenClaw, agents de nœud signés HMAC, jetons rotatifs. COCKPIT n'ouvre aucune interface d'admin supplémentaire sur les serveurs.

En résumé. COCKPIT ne duplique pas la gateway OpenClaw. Il l'observe, lui impose un cadre (validation des actions sensibles, traçabilité), et lui délègue sous mandat. Le pont est unidirectionnel par défaut : COCKPIT propose et contrôle ; OpenClaw exécute dans des limites définies.
Schéma d'architecture : le dirigeant arbitre via COCKPIT, qui orchestre les moteurs IA, contrôle OpenClaw par mandat, reçoit les preuves et l'état des agents de nœud. Nova coordonne la flotte d'agents sous délégation.
Architecture en une figure. Le dirigeant décide (haut gauche), COCKPIT orchestre les moteurs IA (haut centre) et mandate OpenClaw (centre droite) qui exécute via Nova et sa flotte (bas droite). Les agents de nœud (bas gauche) remontent l'état des infrastructures. Flèche pleine = mandat/action, flèche tiretée = preuve/état.
02 — Intelligence artificielle

Plusieurs cerveaux,
pas un seul oracle

Un moteur IA, même excellent, reste une opinion. COCKPIT sait orchestrer plusieurs moteurs aux forces différentes — et les faire débattre. La décision naît de la confrontation, pas de la confiance aveugle dans un modèle unique.

Chat solo

Échange direct avec un moteur choisi. Le bon réflexe pour les questions simples et la production rapide.

Brainstorm contradictoire

Plusieurs moteurs répondent en parallèle à la même question, puis se confrontent. Les désaccords remontent explicitement — c'est là que se trouve l'information utile.

Conseil d'administration IA

Plusieurs moteurs jouent des rôles distincts (stratégie, finance, risque, ops) et votent. La décision est encadrée, argumentée et traçable.

A

Vue dirigeant

Ne jamais décider sur la foi d'un seul modèle. Faire débattre, exiger les contradictions, et laisser l'humain arbitrer en dernier ressort. La diversité des IA est une garantie, pas un luxe.

B

Vue DSI

Flotte multi-fournisseurs (GLM, Grok via OpenRouter, Claude, GPT…), routage par modèle primaire + fallbacks, aucune dépendance à un fournisseur unique. Indépendance vis-à-vis des modèles = résilience du raisonnement.

Un brainstorm seul reste un brouillon. Il devient un livrable lorsqu'il aboutit à une décision, un artefact, une délégation ou une action vérifiable. COCKPIT fait le lien entre la production intellectuelle et la preuve d'exécution.
Schéma du brainstorm multi-moteurs : trois moteurs IA répondent en parallèle, un contradicteur les confronte et lève les points aveugles, une synthèse affiche recommandation, risques et niveau de confiance, puis l'humain décide GO ou NO-GO de façon tracée.
Le brainstorm contradictoire. Trois moteurs répondent en parallèle (gauche), un contradicteur les confronte et expose les désaccords (centre), une synthèse ressort recommandation + risques + niveau de confiance (droite), puis l'humain arbitre GO/NO-GO de façon tracée. C'est la confrontation, pas le consensus, qui produit l'information utile.
03 — Gestion humaine des agents

Les agents proposent.
L'humain autorise.

La sécurité d'un système d'agents ne tient pas à un seul verrou, mais à une gradation. COCKPIT impose quatre niveaux d'action, du simple regard au geste critique — chacun avec ses règles et son niveau de contrôle.

NiveauActionContrôle
1 — ObservationLecture et inventaire sans modificationAccès libre. Aucun risque.
2 — DiagnosticCommandes autorisées en lecture seulePérimètre défini. Aucune écriture.
3 — Action réversibleProposition, sauvegarde, rollback expliciteSauvegarde obligatoire avant. Retour arrière possible.
4 — Action critiqueModifications sensibles, prod, sécuritéBlocage jusqu'à confirmation humaine + procédure dédiée.
A

Vue dirigeant

Les sujets sensibles (paie, engagements financiers importants, Euronext, prod, RH) ne sont jamais pré-tranchés par un agent. Ils remontent avec le tag INTOUCHABLE, et reviennent toujours vers le dirigeant sans arbitrage automatique.

B

Vue DSI

Sas de validation explicite, file d'attente des approbations, risque et rollback affichés avant action. Une approbation ne déclenche aucune exécution automatique sur la production — elle autorise, puis un humain ou un agent mandaté exécute sous contrôle.

Frontière de délégation. Tout ce qui touche à la paie, aux statuts, aux engagements > 5 000 €, à Euronext, à la prod OpenClaw, aux RH sensibles ou aux credentials est intouchable : ces sujets peuvent apparaître dans la note matinale, mais uniquement signalés — jamais pré-tranchés par un agent.
Pyramide inversée des quatre niveaux d'action COCKPIT : du niveau 1 Observation (large, libre) au niveau 4 Action critique (étroit, sas de validation humain obligatoire), avec contrôle humain croissant. Les sujets INTOUCHABLE sont rattachés au niveau 4.
Gradation du contrôle. Plus l'action est sensible, plus elle est étroite et encadrée. Les niveaux 1 et 2 laissent de l'autonomie aux agents ; le niveau 3 impose sauvegarde et rollback ; le niveau 4 (sas) bloque jusqu'à confirmation humaine. Les sujets INTOUCHABLE — paie, Euronext, prod, credentials, RH — ne sont jamais pré-tranchés.
04 — Traçabilité & preuve

Le travail n'est pas « probablement fait ».
Il est prouvé.

La confiance d'un système agentique se mesure à la qualité de sa preuve. COCKPIT journalise chaque maillon — de l'information source à la preuve d'exécution — pour la direction comme pour le régulateur.

Registre des décisions

Chaque décision a un responsable, un statut, une échéance. Le registre est durable, queryable et exportable.

Journal hashé

Les actions sensibles sont journalisées et empreintées (SHA-256). Toute altération est détectable. Les secrets ne sont jamais en clair.

Preuves d'exécution

Le résultat d'un mandat est vérifié, horodaté et archivé. Pas de « probablement fait » : un artefact opposable.

Audit trail

De l'observation initiale à la preuve, chaque maillon est auditable. Pensé pour la direction ET pour le régulateur.

A

Vue dirigeant

Chaque affirmation importante peut être reliée à sa source, sa date et son responsable. Le doute n'est pas masqué : il est affiché, avec son niveau de confiance (fiable / à vérifier / non confirmé).

B

Vue DSI

Registre persistant (PostgreSQL), journal append-only hashé, archivage des livrables, exports auditables. Architecture conforme aux attentes RGPD et préparation AI Act (article 50 transparence applicaoût 2026).

La chaîne de confiance complète. Observer → Analyser → Décider → Autoriser → Exécuter → Vérifier. Chaque maillon journalisé, chaque action sensible validée, chaque résultat prouvé. C'est ce qui transforme un empilement d'outils en un système gouvernable.
Chaîne de confiance en six maillons : Observer, Analyser, Décider, Autoriser, Exécuter, Vérifier. Sous la chaîne, une bande de journalisation transversale indique que chaque maillon est horodaté, empreinté SHA-256 et archivé, avec un bouclier de conformité.
La chaîne de bout en bout. Six maillons — Observer, Analyser, Décider, Autoriser, Exécuter, Vérifier — reliés par un fil dont la couleur traduit le degré d'engagement (faits gris → preuve finale teal). En dessous, une journalisation transversale horodate et empreinte (SHA-256) chaque maillon : aucune altération n'est indétectable, et l'audit trail sert la direction comme le régulateur.
Aller plus loin

Voyez l'architecture sur votre cas.

Démonstration technique pour votre DSI : pont OpenClaw, brainstorm multi-moteurs, sas de validation, chaîne de preuve. Sur votre environnement, avec vos contraintes.

Demander une démo technique