Passer au contenu principal Passer à la navigation Passer au pied de page
Offre limitée : Design Partner Program. Plan BUSINESS gratuit à vie.

Ce que la conformité requiert vraiment

Rediacc s'exécute sur votre infrastructure. Vous contrôlez vos données. Voici comment cela s'aligne avec les principaux cadres de conformité.

Rediacc s’exécute entièrement sur votre infrastructure. Lors du clonage, des sauvegardes et des déploiements, vos données restent sur vos machines. Vous êtes à la fois le responsable du traitement et le prestataire de traitement. Aucun SaaS tiers, aucun accès externe.

Nous mettons en correspondance les capacités techniques de Rediacc avec les exigences majeures de conformité. Chaque page détaille une réglementation spécifique avec des références au texte juridique officiel.

Matrice de conformité

CadrePortéeCapacités clés de Rediacc
RGPDProtection des données et vie privée dans l’UEClonage CoW sur la même machine, chiffrement LUKS2, magasin de configuration à connaissance nulle, journalisation d’audit, droit à l’effacement via rdc repo delete
SOC 2Critères de services de confiance pour les organisations de servicesChiffrement au repos, synchronisation de configuration à connaissance nulle, isolation réseau, piste d’audit, sauvegarde et récupération
HIPAAProtection des informations de santé aux États-UnisChiffrement LUKS2, magasin de configuration à connaissance nulle, accès SSH uniquement, Docker daemons isolés, sécurité de transmission
CCPADroits de confidentialité des consommateurs californiensAuto-hébergé (pas de vente/partage de données), chiffrement à connaissance nulle, suppression chiffrée, inventaire des données par dépôt
ISO 27001Contrôles de gestion de la sécurité de l’informationGestion des actifs, contrôles cryptographiques, magasin de configuration à connaissance nulle, contrôle d’accès, sécurité opérationnelle
PCI DSSProtection des données de cartes de paiementSegmentation réseau par architecture, chiffrement obligatoire, journalisation d’audit, réduction du périmètre via l’auto-hébergement
NIS2 et DORACybersécurité et résilience financière de l’UEÉlimination des risques liés à la chaîne d’approvisionnement, tests de résilience via clonage CoW, chiffrement, détection d’incidents
Souveraineté des donnéesLois mondiales sur la résidence des données (PIPL, LGPD, KVKK, PIPA et autres)Auto-hébergé = les données ne quittent jamais votre juridiction. Pas de transferts transfrontaliers, pas d’évaluations d’adéquation

Fondations architecturales

Voici ce qui les relie : chaque cadre de conformité dans cette section revient à la même fondation technique.

  • Chiffrement au repos : Chaque dépôt est chiffré en LUKS2 AES-256. Les identifiants sont stockés uniquement dans la configuration locale de l’opérateur, jamais sur le serveur.
  • Isolation réseau : Chaque dépôt dispose de son propre Docker daemon, sous-réseau IP loopback (/26) et règles iptables. Les conteneurs de différents dépôts ne peuvent pas communiquer entre eux.
  • Clonage copy-on-write : rdc repo fork utilise des reflinks du système de fichiers (cp --reflink=always). Les données sont dupliquées sur la même machine sans aucun transfert réseau.
  • Journalisation d’audit : Plus de 70 types d’événements couvrant l’authentification (connexion, 2FA, changements de mot de passe, révocation de session), le cycle de vie des jetons API, les opérations du magasin de configuration, l’activité d’abonnement/licence et les opérations CLI au niveau machine (cycle de vie du dépôt, sauvegarde, synchronisation, sessions terminales). Accessible via le tableau de bord d’administration, la page d’activité du portail (avec filtrage au niveau de l’organisation) et rdc audit CLI. Les opérations au niveau machine sont également enregistrées dans vos journaux système pour la défense en profondeur.
  • Sauvegarde chiffrée : rdc repo push/pull transfère les données via SSH. La destination de sauvegarde reçoit des volumes chiffrés LUKS.
  • Magasin de configuration à connaissance nulle : Synchronisation chiffrée optionnelle des configurations entre appareils. Les configurations sont chiffrées côté client avec AES-256-GCM avant l’envoi. Le serveur ne stocke que des blobs opaques. Le serveur ne peut pas lire les clés SSH, les identifiants, les adresses IP ou les données de configuration en clair. La dérivation de clé utilise passkey PRF extension + HKDF avec séparation de domaine. L’accès des membres est géré via l’échange de clés X25519, et la révocation est immédiate.

Pour plus de détails sur ces capacités, consultez Architecture, Dépôts, Stockage de configuration et Sécurité du compte.

Pourquoi c’est important

Les manquements à la conformité sont coûteux. Vraiment coûteux. Les cas ci-dessous montrent des problèmes que l’architecture de Rediacc empêche structurellement :

IncidentAmendeCe qui a mal tourné
Meta : transferts de données UE-US1,2 Md EURDes données personnelles transférées au-delà des frontières sans garanties adéquates. Auto-hébergé signifie aucun transfert.
Equifax : données non chiffrées700 M USD147 millions d’enregistrements stockés sans chiffrement avec une segmentation réseau insuffisante. LUKS2 est obligatoire, pas optionnel.
Target : mouvement latéral18,5 M USDLes attaquants ont pivoté d’un fournisseur HVAC vers les systèmes de paiement via un réseau plat. L’isolation par dépôt empêche cela.
Anthem : PHI non chiffrées16 M USD79 millions de dossiers de santé stockés sans chiffrement. LUKS2 AES-256 est toujours actif.
Blackbaud : cascade de brèche SaaS49,5 M USDUn ransomware chez un fournisseur SaaS a exposé les données de plus de 13 000 organisations clientes. Auto-hébergé signifie qu’une brèche du fournisseur ne peut pas atteindre vos données.
British Airways : segmentation insuffisante20 M GBPLes attaquants ont injecté du code malveillant en raison de contrôles réseau inadéquats. Les Docker daemons isolés et iptables empêchent l’accès latéral.
Google : droit à l’effacement50 M EURDifficulté à effacer complètement les données dans les systèmes distribués. L’effacement cryptographique via la destruction LUKS est instantané et complet.

Avis important

Ces pages expliquent comment l’architecture de Rediacc s’aligne avec les exigences de conformité. Mais voici la réalité : la conformité est plus vaste que le simple logiciel. Vous aurez besoin de politiques, de procédures, de formation et probablement d’audits tiers. Rediacc gère la partie infrastructure. Travaillez avec vos équipes juridique et de conformité pour le reste.