Chaque session franchit cinq portes indépendantes. Toutes doivent s'ouvrir. Une seule suffit à stopper une attaque.
comment fonctionne vaultpam, en chiffres.
Cinq portes par session, cinq étapes pour l'intégration, une région UE, zéro modification du pare-feu. Les mêmes faits que racontaient les diagrammes animés — plats, rapides et faciles à vérifier.
Tout le produit en six chiffres.
Intégration d'un opérateur — du compte à la session active — en cinq étapes, des minutes et non des jours.
Le connecteur n'établit que des connexions sortantes. Aucun port entrant, aucune exception de pare-feu à demander.
Toutes les données, enregistrements et coffres résident dans GCP europe-central2 (Varsovie). Une région, sans sortie.
Identifiants chiffrés en AES-256-GCM au repos, derrière TLS 1.3 en transit.
Chaque session privilégiée enregistrée et écrite dans un registre inviolable à chaîne de hachage.
Cinq portes. Toutes doivent s'ouvrir. Une seule stoppe une attaque.
Pare-feu applicatif web
Porte 0 — WAF. Le trafic malformé et malveillant est rejeté avant d'atteindre le broker.
Authentification multifacteur
Porte 1 — MFA. L'identité est prouvée par TOTP ou FIDO2/WebAuthn avant que la moindre cible ne soit nommée.
Contrôle d'accès basé sur les rôles
Porte 2 — RBAC. Le rôle décide quelles cibles sont même visibles. Pas de rôle, pas de chemin.
Injection d'identifiants
Porte 3 — Coffre. Les identifiants sont retirés en just-in-time et injectés au niveau du protocole — jamais montrés à l'utilisateur.
Enregistrement de session
Porte 4 — REC. La session est enregistrée de bout en bout et signée dans la chaîne d'audit.
Cinq étapes, des minutes et non des jours.
Créer le compte
Un compte opérateur est provisionné. Aucun accès permanent n'est accordé à ce stade.
Attribuer le rôle
Un rôle est rattaché. C'est le rôle — non la personne — qui définit les cibles accessibles.
Demander l'accès
L'opérateur demande l'accès à une cible précise pour une fenêtre précise.
Le coffre approuve
Le coffre approuve et retire un identifiant limité dans le temps, en just-in-time.
La session démarre
Une session enregistrée s'ouvre. De la création du compte à la session active, il faut moins de cinq minutes.
Sortant uniquement. Aucune modification du pare-feu.
| Propriété | Comportement | Valeur |
|---|---|---|
| Direction | Sortant uniquement — le connecteur appelle vers la maison | Aucun entrant |
| Ports entrants | Aucun ouvert sur votre réseau | 0 |
| Transport | Tunnel chiffré via le port 443 | TLS 1.3 |
| Mode de défaillance | Fail-closed — la perte du tunnel met fin aux sessions | Fail-closed |
| Modifications du pare-feu | Aucune exception à demander ou à maintenir | 0 |
Vos données restent dans l'UE. Chiffrées au repos et en transit.
| Contrôle | Détail | Valeur |
|---|---|---|
| Région principale | GCP europe-central2 (Varsovie) — principale et unique | UE |
| Réplication inter-régions | Aucune hors de l'UE | AUCUNE |
| Identifiants au repos | AES-256-GCM, clés stockées et rotées séparément | AES-256-GCM |
| Trafic en transit | TLS 1.3 pour les sessions ; RDP, SSH et BDD via tunnels chiffrés | TLS 1.3 |
| Enregistrements de session | Chiffrement au niveau objet dans GCS (europe-central2) | Chiffré |
| Transferts vers pays tiers | RGPD/RODO article 44 — aucun | AUCUN |
Où vous en êtes sur l'horloge NIS2.
| Date | Jalon | Statut |
|---|---|---|
| Oct 2024 | Échéance de transposition de NIS2 pour les États membres | Passée |
| Jan 2025 | Directive NIS2 en vigueur dans toute l'UE | En vigueur |
| Oct 2025 | Échéance d'enregistrement des entités essentielles de l'Annexe I | Passée |
| Aujourd'hui | L'application est active — où vous en êtes maintenant | Maintenant |