Sécurité Natalia On-Premise

Architecture conçue pour passer un audit RSSI rapide en mode Strict. NIST SP 800-53 / ISO 27001 / ANSSI référencés.

✅ Pas de connectivité sortante (mode Strict) ✅ RGPD by design ✅ Pseudonymisation cryptographique ✅ Audit log immuable ✅ RBAC 4 rôles ✅ Chiffrement at-rest + in-transit ⏳ SOC 2 (roadmap) ⏳ ISO 27001 (roadmap)

3 modes contractuels — résumé

Les garanties sécurité dépendent du mode contractuel sélectionné à l'installation. Référence complète : matrice des modes contractuels.

Architecture déconnectée (mode Strict)

  • Aucune connectivité sortante requise pour le fonctionnement nominal.
  • Données traitées et stockées dans votre infrastructure exclusivement.
  • Logs locaux uniquement.
  • Pas de sous-traitant Natalia.
  • Pas de DPA art.28 à signer.

Chiffrement

At-rest

Chiffrement standard de l'industrie (algorithmes NIST SP 800-175B) appliqué à la configuration et au datastore de l'appliance.

In-transit

TLS 1.2+, certificats client-fournis ou auto-signés pour l'interface web locale.

Pseudonymisation PII

Pseudonymisation cryptographique au niveau colonne pour les numéros de téléphone, dérivation salée par tenant.

RBAC 4 rôles

Viewer

Lecture dashboard analytics.

Admin

Configuration, export, procédure "phone reveal" auditée.

Auditor

Lecture seule audit log + reveal log.

Integrator

Gestion licence. Pas d'accès CDR.

Authentification & gestion des échecs de connexion

L'authentification est locale. Les échecs de connexion sont remontés explicitement à l'opérateur, throttlés à la source, et inscrits comme événement distinct dans l'audit log pour permettre à un Auditor de les passer en revue ultérieurement.

  • Hash de mot de passe fort (Argon2id, paramètres OWASP 2025).
  • Tentatives de connexion rate-limitées avec backoff exponentiel.
  • Pas d'échec silencieux : chaque erreur est visible côté opérateur et auditée.
Écran de connexion administrateur avec message d'erreur mot de passe incorrect
L'échec de connexion est explicite et l'événement correspondant est ajouté à l'audit log.

Audit log immuable

  • Chaque action sensible journalisée avec horodatage signé.
  • Vérification d'intégrité cryptographique par chaîne de hashs.
  • Export CSV pour SIEM client (Splunk, ELK, Graylog).
  • Rétention configurable (défaut 13 mois).

Licence & vérification d'intégrité

  • Vérification de licence cryptographique locale (Ed25519, NIST FIPS 186-5).
  • Aucune communication réseau requise pour la validation.
  • Période de grâce post-expiration (alerte préventive avant blocage).
  • Détection de manipulation horloge / rollback.

Hardening de la VM

  • Image VM minimaliste durcie (CIS Benchmark niveau 1).
  • Confinement processus (NoNewPrivileges, ProtectSystem=strict, RestrictSUIDSGID).
  • Pas de shell utilisateur, gestion via console série + interface web.

Réversibilité / portabilité

  • Export CDR standard (CSV, JSON).
  • Dump SQL standard.
  • OVA portable entre hyperviseurs.

RGPD art.17 — droit à l'effacement

  • Procédure d'effacement sélectif par extension (cascade sur tous CDR associés).
  • Certificat d'effacement émis.

Annexe RFP

  • Questionnaire RSSI pré-rempli (sur demande sous NDA, format CAIQ-Lite/SIG-Lite).
  • Lettre éditeur (engagement CVE disclosure, support sécurité, SBOM CycloneDX sur demande).
  • Référentiels : NIST SP 800-53 Rev.5 (AC/AU/SC/IR), ISO 27001:2022 Annex A, ANSSI Guide d'hygiène.

Dernière mise à jour :

Suggérer une modification