On-premise
La juridiction de votre outil de conformité est la juridiction de vos preuves.
Aegis Vetis est un progiciel, pas un service d'informatique en nuage. Il est installé sur votre infrastructure, opéré sous votre responsabilité, et ne communique pas avec nos serveurs par défaut. Voici pourquoi ce choix est structurel, et non commercial.
Le problème des services de conformité opérés en nuage.
Les services d'informatique en nuage ont résolu beaucoup de problèmes de mise à l'échelle. Pour la conformité réglementaire d'un système d'information régulé, ils en introduisent trois qui ne disparaissent pas à coups de clauses contractuelles.
-
La sensibilité des données de conformité.
L'inventaire de vos clusters, vos manifests, la configuration de vos politiques d'admission, la liste des dérives constatées, le contenu de vos journaux d'évaluation — ces données décrivent finement votre surface d'attaque. Les externaliser vers l'infrastructure d'un tiers équivaut à confier, en continu, la cartographie de vos défauts à un opérateur dont vous ne contrôlez ni l'infrastructure d'hébergement, ni les accès internes, ni les obligations juridiques.
-
La juridiction applicable à votre outil de conformité.
La juridiction sous laquelle sont hébergées les preuves de votre conformité doit rester la vôtre. Une clause de localisation dans un contrat, une mention « données hébergées en Europe » dans une fiche technique ou un chiffrement au repos opéré par le fournisseur ne règlent pas la question du pouvoir de réquisition extra-territorial dont peut être détentrice la maison-mère du prestataire. Le seul moyen garanti d'y échapper est de ne pas faire sortir les données.
-
La reproductibilité des évaluations passées.
Un audit réglementaire exige que chaque évaluation puisse être rejouée à froid, dans la configuration historique du cluster au moment du contrôle. Lorsque l'outil d'audit et ses données vivent dans une infrastructure distincte de celle du cluster, cette reproductibilité est tributaire de la politique de rétention et de versionnage du fournisseur. Le changement d'abonnement, la clôture d'un compte ou une évolution produit de son côté peut réduire ou supprimer cette rétention, sans recours.
Ce que le on-premise permet concrètement.
Au-delà du positionnement, voici les quatre propriétés opérationnelles qu'il n'est pas possible d'obtenir autrement.
Air-gap pleinement supporté
Déploiement sur un cluster isolé d'Internet. Images poussées dans votre registry privé. Mises à jour livrées sous forme de paquets signés, transférés manuellement. Aucun appel réseau sortant requis au fonctionnement.
Hébergement maîtrisé de bout en bout
Le logiciel s'exécute sur votre infrastructure. Vous contrôlez la localisation physique, la distribution Kubernetes, les politiques de sauvegarde et la rétention. Aucune donnée ne sort de votre périmètre par défaut.
Versionnage local des preuves
Les rapports, matrices de traçabilité et journaux d'évaluation sont stockés dans votre système d'information, selon votre propre politique de conservation. Vous pouvez rejouer à froid une évaluation vieille de plusieurs années, dans la configuration exacte du moment.
Support opéré depuis la France
Équipe d'édition et support basés en France. Contractualisation, factures et documentation en français. Accès à votre infrastructure strictement encadré : ponctuel, supervisé par vous, via les canaux que vous fournissez.
Comparaison sur les dimensions qui importent aux RSSI.
Les dimensions ci-dessous sont celles qui structurent la décision d'un RSSI en environnement régulé. Elles ne recouvrent pas l'ensemble des critères d'évaluation, mais elles définissent la catégorie d'outil.
| Dimension | Service de conformité opéré en nuage | Aegis Vetis |
|---|---|---|
| Localisation des données de conformité | Infrastructure du fournisseur, ou d'un tiers hébergeur de celui-ci | Votre infrastructure, exclusivement |
| Juridiction applicable aux données | Celle du siège du fournisseur et de sa chaîne d'actionnariat | La vôtre |
| Mode air-gap | Incompatible par construction | Pleinement supporté |
| Accès du fournisseur à vos clusters | Permanent, requis au fonctionnement du service | Uniquement sur votre demande ponctuelle, par les canaux que vous fournissez |
| Reproductibilité d'un audit ancien | Tributaire de la politique de rétention du fournisseur et de l'état du compte | Contrôlée localement, aussi longtemps que vous le décidez |
| Rétention des preuves | Définie par le plan souscrit chez le fournisseur | Définie par vous, sans plafond |
| Conditions de sortie | Export à la clôture, puis suppression par le fournisseur | Aucun mécanisme de désactivation à distance. Les fonctions d'évaluation cessent à l'expiration du jeton de Licence ; les rapports et journaux produits antérieurement demeurent accessibles localement, sans verrouillage applicatif |
| Modèle d'opération | Service d'informatique en nuage opéré par un tiers | Progiciel sous licence, opéré par vous sur votre infrastructure |
Cette comparaison porte sur le modèle d'opération, et non sur tel ou tel éditeur nommé. Elle s'applique à l'ensemble des services de conformité opérés en nuage, quel que soit leur fournisseur.
Nous vous présentons cette approche en 30 minutes.
Démonstration adaptée à votre référentiel prioritaire et à la réalité de votre infrastructure. Réponse sous 24 heures ouvrées. Échange en français. Clause de confidentialité possible sur demande.