Modèle de sécurité
Sept couches de défense, appliquées par défaut. Aucune case à cocher, rien de payant en plus.
Sept couches
- Isolation par micro-VM : pas de noyau partagé entre apps
- Image signée : chaque image est signée ECDSA, vérifiée au démarrage
- Scan CVE : à chaque build, blocage si critique
- Secrets chiffrés : au repos, par tenant, jamais loggés
- TLS de bout en bout : Let's Encrypt automatique, HSTS, mTLS interne
- DDoS bloqué en amont : protection L3/L4 native OVHcloud
- Audit trail : tout accès, toute action, journalisé en immutable
Modèle de menaces couvert
| Menace | Couverte par |
|---|---|
| Tenant qui exploite une CVE noyau pour accéder à un autre | Isolation micro-VM |
| Image altérée entre build et runtime | Signature ECDSA + vérif au start |
| Dépendance avec CVE critique non patchée | Scan CVE bloquant |
| Exfiltration de secrets via logs | Filtrage automatique des secrets |
| MITM sur trafic interne | mTLS entre services internes |
| DDoS volumétrique | Protection L3/L4 OVHcloud incluse |
| Compromission d'un compte humain | MFA hardware, SSO, audit logs |
| Insider threat plateforme | Audit fin de tout accès opérateur · contrôle par double approbation |
Ce qui n'est PAS couvert
La plateforme couvre la sécurité de l'infrastructure. Vous restez responsable de :
- La sécurité de votre code applicatif (XSS, injection SQL, broken auth, etc.)
- La gestion de vos secrets côté code (logique d'usage)
- La conformité métier (PCI DSS si vous traitez des cartes : il faut un audit séparé)
- Les mises à jour de vos propres dépendances (le scan CVE alerte, vous patchez)
Programme bug bounty
Programme actif. Récompenses jusqu'à 10 000 € selon la criticité. Politique de divulgation responsable, hall of fame public. Email : security@di2amp.com.
Auditer votre propre app
Vous pouvez auditer (pen test) vos propres applications hébergées sur la plateforme, sans procédure spéciale. Vous nous prévenez 48 h à l'avance par email pour qu'on whitelist votre IP source côté DDoS protection.