Produit

Un outil conçu pour qu'un auditeur puisse lire vos résultats en quinze minutes.

Aegis Vetis évalue la conformité de vos clusters Kubernetes contre neuf référentiels, produit des rapports horodatés et signés, et maintient une matrice de traçabilité reproductible. Le logiciel est installé chez vous. Aucune donnée opérationnelle ne sort de votre périmètre.

Architecture technique.

Un composant central déployé dans votre infrastructure. Des agents légers dans les clusters supervisés. Aucun appel sortant par défaut.

Composant central

Control plane Aegis Vetis

Déployé sur votre infrastructure, sur un cluster dédié ou sur l'un des clusters supervisés. Orchestre les évaluations, stocke la configuration, expose l'API et l'interface utilisateur.

Agents par cluster

Évaluation locale

Un agent léger par cluster supervisé, déployé sous forme d'opérateur Kubernetes. Exécute les évaluations sur place, avec des permissions RBAC documentées et réduites au strict nécessaire.

Communications

mTLS interne, zéro sortie

Communications internes entre agents et control plane en TLS 1.3 avec authentification mutuelle. Aucun appel sortant vers l'Éditeur. Aucune télémétrie.

Architecture d'Aegis Vetis Control plane et agents déployés exclusivement sur l'infrastructure du Client. Communications internes en mTLS. Aucun flux sortant vers l'éditeur. VOTRE INFRASTRUCTURE — SOUS VOTRE RESPONSABILITÉ Control plane Aegis Vetis API · orchestration · stockage local des preuves tableau de bord · rapports · matrice de traçabilité mTLS mTLS mTLS Cluster 1 agent évaluation locale Cluster 2 agent évaluation locale Cluster N agent évaluation locale aucun flux sortant ADRIEN VINET CONSULTING SASU — éditeur pas de télémétrie · pas de phone home · pas de canal de révocation

Le control plane et les agents s'exécutent sur votre infrastructure. Les communications internes utilisent mTLS (TLS 1.3 avec authentification mutuelle). Aucune connexion sortante vers l'éditeur n'est initiée par le Logiciel.

Ce que l'outil collecte — et ce qu'il ne collecte pas.

La liste ci-dessous est exhaustive. Toute donnée non mentionnée n'est pas lue par Aegis Vetis.

  • Configuration du cluster

    Version de Kubernetes, paramètres du control plane, politiques RBAC, profils Pod Security, ressources personnalisées. Lecture seule, à cadence configurable.

  • Manifests des charges de travail

    Déploiements, services, ingress, politiques réseau et admission, entrées. Lecture des spécifications, sans extraction du contenu applicatif.

  • État des nœuds

    Caractéristiques techniques des nœuds (version du noyau, runtime de conteneurs, capacités), étiquettes et taints. Aucune lecture du contenu des volumes.

  • Événements Kubernetes

    Horodatage et nature des événements publiés par l'API Kubernetes. Conservation locale dans l'instance Aegis Vetis du Client, sans transmission.

  • Métadonnées d'audit

    Références aux ressources évaluées (espaces de noms, noms, labels pertinents) sans lecture des valeurs de Secrets ni des variables d'environnement.

Données jamais collectées

Les valeurs des Secrets Kubernetes et des ConfigMaps, les variables d'environnement des conteneurs, les logs applicatifs, le contenu des volumes persistants, les clés privées et les certificats privés ne sont jamais lus par Aegis Vetis. Cette exclusion est structurelle : les agents ne sollicitent pas ces ressources.

Quatre livrables, pensés pour l'audit.

Chaque livrable est conçu pour être présenté à un auditeur sans retraitement intermédiaire.

Tableau de bord multi-clusters

Vue consolidée de l'état de conformité par référentiel, par cluster et par namespace. Filtrage par criticité et par domaine (contrôle d'accès, cryptographie, journalisation, isolation réseau). Historique de l'évolution du score dans le temps.

Rapports PDF horodatés et signés

Un rapport par référentiel et par cluster, exportable à la demande ou généré selon un calendrier. Format attendu par les auditeurs ANSSI, HDS et SecNumCloud. Horodatage et signature cryptographique garantissent la non-répudiation.

Matrice de traçabilité exportable

Liste complète des contrôles évalués, avec référence à l'article d'origine, renvois croisés entre référentiels, résultat et éléments de preuve. Exportable en CSV et en JSON pour intégration au dossier d'audit.

Alertes de dérive

Notification lorsqu'un élément précédemment conforme devient non conforme, ou inversement. Canaux : courrier électronique via relais SMTP du Client, webhook générique HTTP POST vers un endpoint de réception du Client.

Installation et déploiement.

Trois modes de déploiement, tous opérés par vos équipes sur votre infrastructure. L'Éditeur n'intervient que si vous sollicitez une assistance.

Chart Helm

Recommandé

Chart Helm officiel téléchargeable depuis le portail éditeur. Installation par helm install sur le cluster de destination, avec fichier values.yaml documenté. Convient aux équipes qui exploitent déjà Helm en production.

Mode air-gap

Zone isolée

Pour les clusters totalement isolés d'Internet : les images de conteneurs et les paquets de référentiels sont téléchargés depuis un poste connecté, transférés par les moyens choisis par le Client (support physique, flux de transfert unidirectionnel interne), puis poussés dans votre registry privé. Les signatures cryptographiques garantissent l'intégrité et la provenance. Aucun appel réseau sortant n'est requis au fonctionnement.

Mises à jour

Rythme maîtrisé

Les mises à jour du Logiciel et les évolutions des référentiels sont publiées sous forme de paquets signés sur le portail éditeur. Vous les téléchargez et les appliquez selon votre propre calendrier. Aucune auto-mise-à-jour ne s'exécute à votre insu.

Compatibilité Kubernetes.

La compatibilité est testée à chaque release, sur les distributions suivantes :

Version Kubernetes

1.28 et ultérieures

kubeadm

Supporté (installations maîtrisées)

OpenShift

Supporté (4.14 et ultérieures)

k3s

Supporté

Rancher

Supporté

Distributions managées

Supportées lorsque le cluster demeure opéré sous la responsabilité du Client

Les distributions non listées peuvent être évaluées sur demande. La qualification repose sur la conformité à l'API Kubernetes standard et sur la disponibilité des permissions RBAC requises.

Intégrations techniques.

Aegis Vetis privilégie les formats ouverts et les protocoles standards. Aucune dépendance à un outil d'opérateur externe. Aucun connecteur vers un service tiers imposé.

Export de rapports

Formats PDF, JSON, CSV. Les rapports PDF sont horodatés et signés. Les formats structurés permettent l'intégration au référentiel documentaire du Client.

Notifications par courrier électronique

Via le relais SMTP authentifié du Client. Aucun compte de messagerie hébergé par Aegis Vetis n'est mobilisé.

Webhook générique

Envoi en HTTP POST vers un endpoint du Client pour les événements importants (dérive, alerte, fin de génération de rapport). Le Client maîtrise la destination et le format de consommation.

Captures du produit.

Captures et extraits présentés en démonstration.

aegis-vetis · tableau de bord Conformité par référentiel 3 clusters supervisés · actualisé il y a 2 min CIS Kubernetes v1.12.0 94% ANSSI — hygiène 87% HDS v1.6 / 2023 91% NIS2 — attention 78% prod-01 · prod-02 · staging-01

Tableau de bord

Score de conformité par référentiel, consolidé sur l'ensemble des clusters supervisés. Filtrable par cluster, namespace, domaine de contrôle.

rapport-secnumcloud-prod-01.pdf Rapport de conformité Cluster PROD-01 · SecNumCloud 3.2 2026-04-23 14:32:07 UTC · horodaté · signé SecNumCloud §4.2.1 — chiffrement en transit SecNumCloud §5.1.3 — journalisation horodatée SecNumCloud §6.2.4 — rotation des secrets · écart constaté SecNumCloud §7.1.2 — cloisonnement inter-tenants SecNumCloud §8.3.1 — politique d'admission stricte Signature RSA-4096 · AVS-3f9a...c2e8 Reproductible sur configuration horodatée

Rapport PDF

Rapport horodaté, signé cryptographiquement, reproductible. Chaque contrôle référencé jusqu'à l'article du référentiel source.

aegis-vetis · matrice de traçabilité Contrôles × référentiels Renvois croisés documentés · export CSV / JSON CONTRÔLE CIS ANSSI HDS NIS2 RGPD API server — audit log Pod Security Standards TLS 1.3 inter-services RBAC — moindre privilège Chiffrement secrets au repos ·· ··· ··· 5 contrôles affichés · 77 au total · exportable

Matrice de traçabilité

Un contrôle technique, plusieurs référentiels servis. Export CSV ou JSON pour intégration au dossier d'audit.

aegis-vetis · alerte de dérive ! Dérive détectée — PROD-02 2026-04-23 14:32:07 UTC · criticité haute Contrôle CIS-1.2.16 · API server audit log Espace de noms kube-system / kube-apiserver Évolution ✓ conforme (2026-04-22 09:14) ✗ non conforme (2026-04-23 14:32)

Alerte de dérive

Notification lorsqu'un contrôle précédemment conforme cesse de l'être. Envoi par courrier électronique et webhook.

Les captures ci-dessus illustrent les quatre livrables natifs. La démonstration présente le produit en conditions réelles sur un cluster représentatif de votre contexte.

Voyez-le tourner sur un cluster.

Démonstration en conditions réelles, sur un cluster représentatif de votre contexte. Trente minutes. Échange en français. Clause de confidentialité possible sur demande.

Demander une démo