Skip to main content
VaultPAM
00 Comment ça marche

comment fonctionne vaultpam, en chiffres.

Cinq portes par session, cinq étapes pour l'intégration, une région UE, zéro modification du pare-feu. Les mêmes faits que racontaient les diagrammes animés — plats, rapides et faciles à vérifier.

01 En un coup d'œil

Tout le produit en six chiffres.

1.1
5
portes

Chaque session franchit cinq portes indépendantes. Toutes doivent s'ouvrir. Une seule suffit à stopper une attaque.

1.2
5
étapes

Intégration d'un opérateur — du compte à la session active — en cinq étapes, des minutes et non des jours.

1.3
0
modification du pare-feu

Le connecteur n'établit que des connexions sortantes. Aucun port entrant, aucune exception de pare-feu à demander.

1.4
1
région UE

Toutes les données, enregistrements et coffres résident dans GCP europe-central2 (Varsovie). Une région, sans sortie.

1.5
256
bits au repos

Identifiants chiffrés en AES-256-GCM au repos, derrière TLS 1.3 en transit.

1.6
100%
sessions journalisées

Chaque session privilégiée enregistrée et écrite dans un registre inviolable à chaîne de hachage.

02 Le pipeline de session

Cinq portes. Toutes doivent s'ouvrir. Une seule stoppe une attaque.

01

Pare-feu applicatif web

Porte 0 — WAF. Le trafic malformé et malveillant est rejeté avant d'atteindre le broker.

02

Authentification multifacteur

Porte 1 — MFA. L'identité est prouvée par TOTP ou FIDO2/WebAuthn avant que la moindre cible ne soit nommée.

03

Contrôle d'accès basé sur les rôles

Porte 2 — RBAC. Le rôle décide quelles cibles sont même visibles. Pas de rôle, pas de chemin.

04

Injection d'identifiants

Porte 3 — Coffre. Les identifiants sont retirés en just-in-time et injectés au niveau du protocole — jamais montrés à l'utilisateur.

05

Enregistrement de session

Porte 4 — REC. La session est enregistrée de bout en bout et signée dans la chaîne d'audit.

03 Intégration de l'opérateur

Cinq étapes, des minutes et non des jours.

01

Créer le compte

Un compte opérateur est provisionné. Aucun accès permanent n'est accordé à ce stade.

02

Attribuer le rôle

Un rôle est rattaché. C'est le rôle — non la personne — qui définit les cibles accessibles.

03

Demander l'accès

L'opérateur demande l'accès à une cible précise pour une fenêtre précise.

04

Le coffre approuve

Le coffre approuve et retire un identifiant limité dans le temps, en just-in-time.

05

La session démarre

Une session enregistrée s'ouvre. De la création du compte à la session active, il faut moins de cinq minutes.

04 Le connecteur

Sortant uniquement. Aucune modification du pare-feu.

PropriétéComportementValeur
DirectionSortant uniquement — le connecteur appelle vers la maisonAucun entrant
Ports entrantsAucun ouvert sur votre réseau0
TransportTunnel chiffré via le port 443TLS 1.3
Mode de défaillanceFail-closed — la perte du tunnel met fin aux sessionsFail-closed
Modifications du pare-feuAucune exception à demander ou à maintenir0
05 Résidence & chiffrement

Vos données restent dans l'UE. Chiffrées au repos et en transit.

ContrôleDétailValeur
Région principaleGCP europe-central2 (Varsovie) — principale et uniqueUE
Réplication inter-régionsAucune hors de l'UEAUCUNE
Identifiants au reposAES-256-GCM, clés stockées et rotées séparémentAES-256-GCM
Trafic en transitTLS 1.3 pour les sessions ; RDP, SSH et BDD via tunnels chiffrésTLS 1.3
Enregistrements de sessionChiffrement au niveau objet dans GCS (europe-central2)Chiffré
Transferts vers pays tiersRGPD/RODO article 44 — aucunAUCUN
06 Calendrier NIS2

Où vous en êtes sur l'horloge NIS2.

DateJalonStatut
Oct 2024Échéance de transposition de NIS2 pour les États membresPassée
Jan 2025Directive NIS2 en vigueur dans toute l'UEEn vigueur
Oct 2025Échéance d'enregistrement des entités essentielles de l'Annexe IPassée
Aujourd'huiL'application est active — où vous en êtes maintenantMaintenant