La securite,
de bout en bout.
Architecture zero-trust, chiffrement AES-256, hebergement souverain en Europe, audit trail RGPD. Voici comment TAPION protege vos donnees.
Donnees souveraines. Europe.
IONOS, Allemagne
Exclusivement heberge chez IONOS, operateur europeen independant. Aucun serveur AWS, Azure ou GCP. Aucune donnee ne transite hors de l'Union Europeenne.
RGPD conforme
Heberge en Allemagne (UE), hors juridiction US Cloud Act. Vos donnees ne quittent jamais l'Union Europeenne. Audit trail, droit a l'effacement et DPA Enterprise inclus.
Deploiement on-premise
Le plan Enterprise supporte un deploiement sur vos propres serveurs. Dans ce cas, TAPION n'accede a aucune de vos donnees : vous restez seul maitre de l'infrastructure.
Isolation par conception.
Microservices isoles
Chaque composant (Ocarina, Hildegarn, Epee, Dashboard) tourne dans son propre conteneur Docker sans acces internet direct. Communication interne uniquement via le reseau Docker tapion.
Secrets cryptographiques
Chaque secret est genere par setup.sh via secrets.token_urlsafe(). JWT 384-bit, AES-256 key, service keys 256-bit. Aucune valeur par defaut en production.
Multi-tenancy stricte
Chaque organisation est isolee par org_id au niveau base de donnees. Toutes les requetes SQL filtrent sur org_id via un middleware FastAPI. Pas d'acces croise possible.
VMs Firecracker isolees
Hildegarn execute chaque test de mutation dans une VM Firecracker (KVM). La VM est detruite apres chaque test, sans acces au reseau de production. Aucun risque de lateralisation.
CAPACITES DE DETECTION ACTIVES
- + Test de blocage reseau automatise (Epee) : chaque test confirme une latence inferieure a 150 ms
- + Mutation CVE automatique : des qu'une CVE critique est publiee, TAPION genere un test pour verifier votre exposition
- + Regle Sigma Office vers PowerShell : detection des macros malveillantes qui lancent un shell en arriere-plan (taux de faux positifs valide a 2,1%)
Chiffre partout, tout le temps.
Toutes les connexions client-serveur utilisent TLS 1.3. Le certificat est genere localement par setup.sh (4096-bit RSA, 825 jours). En production, remplacez-le par un certificat signe d'une CA reconnue.
Les donnees sensibles (tokens, credentials) sont chiffrees avec une cle AES-256 stockee dans DATA_ENCRYPTION_KEY. La cle ne transite jamais en clair dans les logs.
Tous les mots de passe utilisateur sont haches avec bcrypt (cost factor 12). Les hashes sont calcules au premier demarrage et stockes dans PostgreSQL. Le mot de passe en clair n'est jamais persiste.
Acces minimal, controle total.
JWT + refresh tokens
Les sessions utilisateur utilisent des JWT signes HS256 avec TTL court (15 min). Les refresh tokens sont stockes en base et peuvent etre revoques a tout moment. Blacklist Redis pour l'invalidation immediate.
CSRF protection
Token CSRF double-submit cookie active par defaut (TAPION_CSRF=true). Toutes les mutations (POST, PATCH, DELETE) valident le token. Desactivable uniquement en developpement.
Rate limiting
Les endpoints d'authentification sont limites a 10 tentatives par minute par IP via Redis. Les endpoints API sont limites par token. Protection contre le brute force et le credential stuffing.
RBAC par organisation
Deux roles par organisation : admin (acces complet) et user (lecture seule). Les actions admin sont protegees par le middleware require_admin.
Service keys M2M
Les communications inter-services (Epee - Dashboard - Hildegarn) utilisent des cles de service dediees (EPEE_SERVICE_KEY, HILDEGARN_SERVICE_KEY), distinctes des tokens utilisateur.
CORS restrictif
Les origines autorisees sont listees explicitement dans CORS_ORIGINS. Par defaut : https://localhost uniquement. Wildcard * jamais utilise.
Audit trail RGPD natif.
Chaque action administrative est enregistree dans un journal infalsifiable. L'audit trail est stocke en base de donnees avec horodatage UTC, identite de l'acteur, adresse IP et detail de l'action.
Actions tracees : connexions, deconnexions, creations/suppressions d'utilisateurs et d'agents, modifications de regles, blocages manuels, exports de donnees, changements de configuration.
Pret pour les audits.
RGPD
- + Donnees hebergees en Europe (UE), hors juridiction US Cloud Act
- + Audit trail des acces aux donnees personnelles
- + Droit a l'effacement : suppression d'organisation et donnees sur demande
- + DPA disponible pour le plan Enterprise
NIS2 (contribution partielle)
TAPION contribue aux exigences NIS2 art. 21 sur les points suivants. Une conformite NIS2 complete necessite des mesures organisationnelles complementaires.
- + Art. 21 b) : gestion des incidents (detection, reponse, journalisation)
- + Art. 21 h) : cryptographie (AES-256 au repos, TLS 1.3 en transit)
- o Art. 21 a), c) a g), i) j) : hors perimetre TAPION
SOC 2 Type II
- + Controles d'acces RBAC documentes
- + Chiffrement au repos et en transit
- + Audit trail immuable avec retention configurable
- + Controles alignes SOC 2, demarche de certification en cours
Compatible ISO 27001 (demarche en cours)
- + Gestion des identites et acces (IAM) native
- + Journalisation et monitoring des evenements
- + Tests de penetration reguliers
- + Politique de divulgation responsable
Vous avez trouve une vulnerabilite ?
Nous encourageons la divulgation responsable. Si vous decouvrez une faille de securite dans TAPION, contactez-nous avant toute publication publique. Nous nous engageons a repondre sous 48h ouvrables et a corriger dans les 30 jours.
contact@tapion.app · Chiffrement PGP disponible sur demande