1. Architecture
Plateforme déployée sur Kubernetes avec isolation stricte par tenant. Chiffrement des données au repos (LUKS, S3 SSE-KMS) et en transit (TLS 1.3 obligatoire). Pas de mutualisation au niveau des données ou des secrets.
2. Authentification et accès
Authentification à deux facteurs requise pour tous les comptes administrateurs. Single Sign-On (SAML 2.0, OIDC) disponible sur les forfaits Squad et Enterprise. RBAC granulaire et journalisation complète des actions.
3. Modèles de langage
BYOK par défaut : votre clé LLM, vos contrats avec les fournisseurs. Aucune donnée client n'est utilisée pour entraîner un modèle externe. Le LLM Proxy assure la résolution des credentials sans qu'ils ne transitent par les pods d'agents.
4. Surveillance
Observabilité bout-en-bout : Prometheus pour les métriques, Loki pour les journaux applicatifs, Tempo pour le tracing distribué. Alertes 24/7 sur les forfaits avec SLA, astreinte humaine.
5. Sauvegardes et continuité
Sauvegardes chiffrées quotidiennes, rétention configurable (7, 30 ou 90 jours selon forfait). Tests de restauration trimestriels documentés. Plan de continuité d'activité formalisé.
6. Conformité
Conforme RGPD by design. ISO 27001 — audit en cours. SecNumCloud visé pour les clients soumis à des exigences de souveraineté renforcées (santé, défense, services publics).
7. Tests d'intrusion
Audits de sécurité annuels par un prestataire externe indépendant. Programme de divulgation responsable (responsible disclosure) ouvert à la communauté.