Skip to main content
VaultPAM
00 Sécurité

sécurisé dès la conception. chaque session, chaque identifiant, chaque octet.

L'accès zero-trust, le chiffrement de bout en bout et des pistes d'audit complètes étaient des exigences non négociables — pas des ajouts après coup.

01 Principes de sécurité

Sept principes qui régissent chaque décision.

01

Accès zero-trust

Chaque session est authentifiée et autorisée à chaque requête. Aucune confiance implicite issue de l'emplacement réseau, du rôle ou d'une session antérieure.

02

Chiffrement de bout en bout

Trafic de session chiffré en transit. Identifiants chiffrés au repos avec AES-256-GCM. Les clés ne sont jamais stockées avec les données.

03

Moindre privilège par défaut

Accès minimal requis, appliqué à l'exécution : sessions limitées dans le temps, injection d'identifiants juste-à-temps, expiration automatique.

04

Piste d'audit immuable

Chaque action privilégiée est journalisée dans un stockage résistant aux manipulations. Les enregistrements, les événements d'accès et les changements de politique ne peuvent être modifiés.

05

Résidence des données dans l'UE

Toutes les données, enregistrements et coffres-forts résident dans GCP europe-central2 (Varsovie). Aucun transfert en dehors de l'UE.

06

Aucune exposition des identifiants

Les identifiants sont injectés au niveau du protocole et ne sont jamais exposés à l'utilisateur connecté. Les mots de passe restent à l'intérieur du proxy.

07

Posture de conformité continue

Contrôles NIS2, RGPD, SOC 2 et ISO 27001 mappés sur les fonctionnalités. Rapports générés à la demande, et non assemblés à la main.

02 Authentification & autorisation

MFA, SSO et accès basé sur les rôles — sans taxe de configuration.

CapacitéMécanismeNorme
Authentification multifacteurTOTP, FIDO2/WebAuthn, SMS OTPRFC 6238 / FIDO2
Authentification unique (SSO)SAML 2.0, OIDC / OAuth 2.0SAML 2.0 / OIDC
Contrôle d'accès basé sur les rôlesRôles des locataires, politiques de session, ACL de destinationNIST RBAC
Identifiants juste-à-tempsExtraction du coffre-fort limitée dans le temps, rotation automatiqueNIS2 Art. 21
Expiration de sessionDurée d'inactivité configurable par rôle + durée maximaleSOC 2 CC6.1
03 Protection des données

Chiffrement et stockage que votre équipe juridique peut approuver.

3.1

Coffre-fort des identifiants

Chiffré au repos avec AES-256-GCM. Les clés du coffre-fort sont stockées séparément et rotées automatiquement. Les clés ne sont jamais journalisées.

3.2

Chiffrement en transit

TLS 1.3 pour les sessions de navigateur. Trafic RDP, SSH et base de données proxifié via des tunnels chiffrés. Pas de texte en clair sur le fil.

3.3

Enregistrement de session

Stocké dans GCS (europe-central2), chiffrement au niveau des objets. Accès aux audits contrôlé séparément de la relecture.

3.4

Résidence des données dans l'UE

Toutes les données, sauvegardes et journaux résident dans GCP europe-central2 (Varsovie). Aucune réplication entre régions en dehors de l'UE.

3.5

Contrôles de rétention

Rétention configurable avec droit à l'effacement RGPD. La suppression est journalisée et irréversible.

3.6

Sauvegarde et récupération

Sauvegardes automatisées quotidiennes, récupération jusqu'à un point dans le temps. Chiffrées au repos et testées trimestriellement.

04 Modèle de menace

STRIDE — vérifié à chaque version.

MenaceContrôleStatut
UsurpationMFA + liaison de jetons de sessionATTÉNUÉ
ManipulationJournal d'audit immuable + signatures HMACATTÉNUÉ
RépudiationEnregistrement complet de la session + événements d'audit signésATTÉNUÉ
Divulgation d'informationsAES-256-GCM au repos, TLS 1.3 en transit, aucune exposition des identifiantsATTÉNUÉ
Déni de serviceLimitation du débit, limites de connexion, WAF (ModSecurity)ATTÉNUÉ
Escalade de privilègesRBAC, identifiants JIT avec moindres privilèges, isolation des locatairesATTÉNUÉ
05 Résidence dans l'UE

Vos données restent dans l'UE. Toujours.

VaultPAM fonctionne exclusivement sur GCP europe-central2 (Varsovie). Aucune donnée n'est transférée ou répliquée en dehors de l'UE — une contrainte architecturale stricte, pas un réglage.

  • GCP europe-central2 (Varsovie) — région primaire et unique
  • Aucune réplication entre régions en dehors de l'UE
  • Conforme à l'article 44 du RGPD — aucun transfert vers des pays tiers
  • Contrôles de résidence NIS2 Article 21 satisfaits
  • La portée SOC 2 Type II comprend l'infrastructure eu-central2