Architecture de sécurité

Une architecture pensée pour la confiance

MAFATE repose sur des standards cryptographiques approuvés ANSSI, une infrastructure souveraine en France et une chaîne d'audit inaltérable. Chaque détail a été conçu pour les organisations soumises à NIS2, DORA et RGPD.

Algorithmes approuvés ANSSIHSM (PKCS#11)Hébergé en France

Vue d'ensemble de l'architecture

Du plaintext de l'application au stockage chiffré : chaque couche est isolée et auditée.


  Votre Application
        |
        | HTTPS / TLS 1.3
        v
  +---------------------+
  |   API MAFATE        |  <- Authentification API Key + IP allowlist
  |   (Scaleway Paris)  |
  +---------------------+
        |
        | Envelope Encryption
        v
  +---------------------+     +-------------------+
  |  Data Encryption    |---->|  HSM (KMS)        |
  |  Key (DEK)          |     |  Master Key (KEK)  |
  |  AES-256-GCM        |     |  PKCS#11          |
  +---------------------+     +-------------------+
        |
        | Ciphertext + IV + Tag
        v
  +---------------------+     +-------------------+
  |   Stockage chiffré  |     |  Audit HMAC       |
  |   (Scaleway, FR)    |     |  Chaine immutable |
  +---------------------+     +-------------------+
        |
        | Backup chiffré
        v
  +---------------------+
  |   OVH (backup)      |  <- France uniquement
  |   Isolation réseau  |
  +---------------------+

Chiffrement de bout en bout

Chaque donnée est chiffrée avec AES-256-GCM avant tout stockage. L'architecture envelope encryption garantit qu'aucune clé de donnée (DEK) n'est jamais stockée en clair.

AES-256-GCM : Algorithme approuvé ANSSI, authentification intégrée
Envelope Encryption : DEK chiffrée par la KEK HSM, séparation totale
IV unique par opération : Nonce aléatoire de 96 bits, jamais réutilisé
HKDF pour la dérivation : Clés dérivées selon le contexte d'usage

Gestion des clés par HSM

Les clés maîtresses (KEK) ne quittent jamais le HSM (interface PKCS#11). Toute opération cryptographique est effectuée à l'intérieur du module.

HSM (PKCS#11) : Interface standard pour la protection des clés maîtresses
Zero export de KEK : La clé maître ne sort jamais du HSM
Rotation automatique : Rotation des DEK paramétrable (30/90/365 jours)
Multi-tenant isolé : Espace de clés isolé par organisation

Infrastructure 100% souveraine

Scaleway : Hébergement principal

Datacenters à Paris et Amsterdam (UE)
Région active : fr-par-1
CLOUD Act inapplicable
Isolation réseau VPC
TLS 1.3 minimum

OVH : Backup secondaire

Backup chiffré AES-256
Région : Roubaix, France
Réplication asynchrone
Rétention configurable
Test de restauration mensuel

Réseau et accès

TLS 1.3 (TLS 1.2 désactivé)
Authentification API key + HMAC
Rate limiting par tenant
IP allowlist configurable
Zero trust architecture

Mesures de sécurité

Tableau de bord des protections implémentées dans MAFATE.

Catégorie	Mesure	Standard	Statut
Chiffrement	AES-256-GCM au repos	ANSSI / NIST SP 800-38D	Actif
Chiffrement	TLS 1.3 en transit	ANSSI TLS Guide	Actif
Gestion des clés	HSM (PKCS#11)	PKCS#11 v2.40	Actif
Gestion des clés	Rotation automatique des DEK	NIST SP 800-57	Actif
Authentification	HMAC-SHA256 pour API	RFC 2104	Actif
Authentification	2FA obligatoire (admin)	ANSSI TOTP	Actif
Audit	Chaîne HMAC immutable	Art. 25 RGPD	Actif
Audit	Export des journaux	NIS2 Art.21	Actif
Infrastructure	Hébergement France uniquement	RGPD Art.44	Actif
Infrastructure	Isolation VPC multi-tenant	ISO 27001 A.13	Actif
Certification	ISO 27001	ISO/IEC 27001:2022	Roadmap
Certification	HDS (Hébe. Données Santé)	ANS HDS	Roadmap

Chaîne d'audit HMAC inaltérable

Chaque opération cryptographique génère une entrée de journal signée par HMAC-SHA256. La chaîne est construite de façon à ce que toute modification postérieure soit immédiatement détectable.

Chaque event inclut : timestamp, user, action, ressource, hash précédent
Signature HMAC-SHA256 par entrée
Vérification d'intégrité à la demande ou automatique
Export JSON + CSV pour vos outils SIEM
Conservation configurable (90 jours minimum par défaut)

// Exemple d'entrée de journal

{
  "id": "evt_01jk...",
  "timestamp": "2026-03-18T10:42:31Z",
  "action": "key.encrypt",
  "user_id": "usr_8a2b...",
  "tenant_id": "ten_4f1c...",
  "key_id": "key_9d3e...",
  "status": "success",
  "ip": "185.93.x.x",
  "prev_hash": "a3f8c2...",
  "hmac": "sha256:9b4d1e..."
}

Certifications : Roadmap

MAFATE suit un plan de certification progressif aligné sur les exigences NIS2 et sectorielles.

Prévue Q4 2026

ISO 27001

Système de management de la sécurité de l'information

Prévue 2027

SOC 2 Type II

Audit indépendant sécurité, disponibilité, confidentialité

Prévue 2027

HDS

Hébergeur de Données de Santé : ANS

Tests de sécurité

Nous soumettons notre infrastructure à des tests réguliers pour détecter et corriger les vulnérabilités avant qu'elles ne deviennent des incidents.

Analyse de vulnérabilités automatiséeContinue
Scans continus de l'infrastructure et des dépendances. Alertes en temps réel.
Tests de pénétrationPlanifié T3 2026
Pentest externe par un prestataire indépendant. Rapport disponible sur demande RSSI.
Audit de codeRevue systématique
Revue systématique du code cryptographique par l'équipe et des reviewers externes.

Divulgation responsable

Vous avez trouvé une vulnérabilité ? Nous vous remercions de nous le signaler de façon responsable.

Contact sécurité

security@mafate.io

Réponse sous 48h : accusé de réception garanti
Aucune poursuite : pour les chercheurs de bonne foi
Hall of fame : reconnaissance publique sur demande

Merci de ne pas divulguer publiquement la vulnérabilité avant que nous ayons eu le temps de la corriger (délai raisonnable de 90 jours).

MAFATE vs alternatives

Comparaison des caractéristiques de sécurité des principales solutions de gestion de clés.

Critère	MAFATE	AWS KMS	Azure Key Vault	Thales
Algorithme	AES-256-GCM	AES-256	AES-256	AES-256 / RSA
HSM	HSM logiciel (PKCS#11)	FIPS 140-2 L3	FIPS 140-2 L2/L3	FIPS 140-2 L3
Souveraineté	France (hors CLOUD Act)	USA (CLOUD Act)	USA (CLOUD Act)	Multi-régions
Audit trail	HMAC immutable	CloudTrail	Azure Monitor	Logs internes
CLOUD Act	Non applicable	Applicable	Applicable	Partiel
Prix	Dès 0 € / mois	$1/clé/mois + ops	€0,04/op + HSM	Sur devis

Informations à titre indicatif. Tarifs et certifications vérifiés en mars 2026.

Des questions sur notre architecture ?

Nos experts peuvent vous présenter l'architecture en détail, répondre à vos questionnaires RSSI et vous accompagner dans votre due diligence.

Demander un audit technique Voir la conformité réglementaire