Sécurité

La sécurité par défaut, pas en option.

Isolation par micro-VM, secrets séparés, signature des images, audit complet, suppression cryptographique. Vous n'avez rien à configurer pour que ce soit déjà bien fait.

Hébergement France Modèle de sécurité
001 / IsolationMicro-VM par app, pas de voisin
002 / SecretsSéparés, chiffrés, audités
003 / ConformitéRGPD natif, SecNumCloud en cours
004 / AuditLogs immutables, exports SIEM
Sept piliers

Ce que la plateforme fait pour vous, sans rien faire.

Vous n'avez aucune case à cocher dans une checklist de sécurité. Tout ce qui suit est appliqué dès le premier déploiement.

Isolation par micro-VM dédiée

Chaque application tourne dans sa propre machine virtuelle légère, pas dans un conteneur partagé. Vos voisins ne peuvent pas voir votre mémoire, vos fichiers, ou intercepter votre trafic. La frontière est garantie au niveau matériel.

tenant_a → vm_isolated_a
tenant_b → vm_isolated_b
→ pas de noyau partagé

Secrets jamais en clair

Stockés chiffrés au repos avec une clé par tenant. Jamais affichés dans le dashboard, jamais loggés. Rotation automatique sur demande.

Scan CVE à chaque build

Aucune image avec une vulnérabilité critique n'atteint la production. Base de données mise à jour quotidiennement.

Suppression cryptographique

Quand vous supprimez une donnée, sa clé de chiffrement est détruite. Les bits sur le disque deviennent mathématiquement illisibles. Conforme RGPD article 17.

DDoS bloqué en amont

Protection L3/L4 native sur l'infrastructure OVHcloud. Vous n'avez rien à configurer, rien à payer en plus, même sous attaque massive.

Signature des images

Chaque image est signée avec une clé liée à votre compte. Si elle est altérée entre le build et le runtime, le déploiement échoue. SBOM jointe.

Audit logs immutables

Chaque action sur le compte est tracée : qui, quoi, quand, depuis quelle IP. Logs append-only, exportables vers votre SIEM. Rétention 1 an Pro, 3 ans Entreprise.

Pipeline sécurisé

Six contrôles entre votre commit et la production.

Chaque déploiement passe par six étapes de sécurité. Ce qui n'est pas conforme ne sort pas du pipeline.

  • Détection automatique du langage Pas de Dockerfile écrit n'importe comment. Buildpack vérifié, mainteneur connu.
  • Build reproductible Lockfiles respectés à la lettre. Mêmes inputs = même image. Pas de surprise.
  • SBOM généré et signé Inventaire complet des dépendances, signé cryptographiquement, joint à chaque release.
  • Scan CVE en temps réel Vulnérabilités critiques bloquées. Rapport téléchargeable sur demande.
  • Signature ECDSA de l'image Clé liée à votre compte. Vérification à chaque démarrage de container.
  • Validation au runtime Si la signature ne correspond pas, le pod ne démarre pas. Aucun code non vérifié n'arrive à servir une requête.
build #1247 · monsite
12:42:01→ source# détection : Python 3.12 (paketo)
12:42:03→ build# cache hit, 7 layers réutilisés
12:42:14→ test# 42 tests passés, 0 échec
12:42:18→ scan# 0 CVE critique, 2 CVE mineures
12:42:19→ sbom# 184 dépendances inventoriées
12:42:20→ sign# ECDSA-P256, key_id = tenant_4f9c
12:42:21→ deploy# vérification signature OK
12:42:24→ rolling# 2/2 pods prêts, healthcheck OK
12:42:32→ route# TLS provisionné, trafic basculé

✓ Déploiement vérifié de bout en bout en 31 s
Conformité

Les certifications, à jour.

État réel des certifications. Pas de promesse vague, des dates et des organismes audit.

RGPD
Règlement général sur la protection des données
Conforme · DPA disponible
ISO 27001
Système de management de la sécurité
Certifié · Bureau Veritas
SECNUMCLOUD
Qualification ANSSI · niveau 2
En cours · audit prévu Q3 2026
HDS
Hébergeur de données de santé
Roadmap · Q1 2027
SOC 2 TYPE II
Service Organization Control
Roadmap · Q4 2026
ISO 27017
Sécurité des services cloud
Roadmap · Q1 2027
DORA
Digital Operational Resilience Act
Compatible · clauses sur demande
NIS 2
Directive sur la cybersécurité UE
Compatible · clauses sur demande
Télécharger le DPA
Audit logs

Chaque action, tracée.

Vu depuis le dashboard, exportable vers votre SIEM, immutable. Idéal pour vos auditeurs internes ou externes.

audit_logs · monsite last 24h · 412 events
14:37:21 léa@team.fr déploiement v47 sur monsite 82.103.21.4
14:35:08 marc@team.fr secret STRIPE_KEY mis à jour 82.103.21.4
14:22:55 marc@team.fr addon postgres-pro upgradé · standard → standard-large 82.103.21.4
14:18:02 api_token_4f9c rotation automatique de la clé de signature internal
13:55:14 léa@team.fr invitation envoyée à nouveau@team.fr (rôle: developer) 82.103.21.4
13:42:31 léa@team.fr connexion réussie · MFA validé 82.103.21.4
12:08:47 marc@team.fr domaine custom app.exemple.fr ajouté · TLS provisionné 82.103.21.4

Sécurisé par défaut.
Sans rien faire.

Aucune case à cocher. Aucun add-on payant. Aucune zone grise.

Démarrer gratuitement Lire le DPA