Aller au contenu

Sécurité · Confiance

Vérifiez , ne faites pas confiance.

Chaque version publique est livrée signée, attestée et accompagnée d'un inventaire des composants logiciels — vous vérifiez la provenance et l'intégrité avec des outils publics au lieu de nous faire confiance. Le pipeline est construit et exercé en CI aujourd'hui ; ses preuves deviennent publiques avec la première version.

Chaîne d'approvisionnement

Ce qui est livré avec chaque version

Le pipeline de release génère ces artefacts automatiquement. Aucune version publique n'existe encore — les éléments marqués « première version » deviennent vérifiables dès la publication de la première version taguée ; security.txt est en ligne aujourd'hui.

Première version

SLSA Build Level 3

Chaque binaire de version est construit par GitHub Actions avec une attestation de provenance SLSA via slsa-github-generator. L'attestation prouve que le binaire a été construit à partir du code source validé, dans un environnement de compilation renforcé, sans intervention manuelle.

Comment fonctionne la vérification
Première version

Signatures cosign sans clé

Les artefacts de version sont signés avec Sigstore cosign (mode sans clé via Fulcio + Rekor). Vous pouvez vérifier les signatures sans que nous distribuions une clé publique — le registre de transparence est la racine de confiance.

Guide de vérification
Première version

Inventaire des composants logiciels

Chaque version inclut un SBOM aux formats CycloneDX et SPDX, listant chaque dépendance avec sa version et sa licence. Lisible par machine, auditable.

Comment vérifier le SBOM
Première version

Avis OpenVEX

Les vulnérabilités connues et leur applicabilité à chaque version sont publiées sous forme de documents OpenVEX. Les déclarations VEX distinguent « affecté », « non affecté » et « en investigation ».

Comment les avis sont vérifiés
En ligne

security.txt (RFC 9116)

Une politique de divulgation des vulnérabilités lisible par machine à /.well-known/security.txt, conforme à la RFC 9116. Inclut le contact, le lien vers la politique et la date d'expiration.

Voir security.txt

Architecture

Sécurité par conception

Refus par défaut

L'état inconnu est refusé, pas autorisé. Chaque décision de politique utilise le refus par défaut — un moteur qui ne peut pas atteindre son magasin de politiques refuse toutes les requêtes plutôt que de fonctionner en mode ouvert.

Audit en ajout seul

Le registre d'audit est en ajout seul avec chaînage cryptographique. Les événements ne peuvent être modifiés ou supprimés silencieusement — toute altération brise la chaîne et est détectable.

Aucun appel sortant

Le moteur fonctionne entièrement dans votre environnement. La vérification de licence est hors ligne (vérification de signature Ed25519). Aucune télémétrie, aucun appel réseau obligatoire, aucun serveur d'activation.

Moindre privilège

RBAC et ABAC basés sur Cedar avec des autorisations limitées. Rôles personnalisés, plafonds de délégation et accès d'urgence avec double contrôle. L'ensemble de permissions par défaut est vide.

Conformité

État de conformité

Nous publions ce qui est en ligne, ce qui est construit et attend la première version publique, et ce qui n'est pas encore commencé. Nous ne revendiquons pas de certifications que nous n'avons pas obtenues.

En ligne aujourd'hui

  • RFC 9116 security.txt

    Politique de divulgation des vulnérabilités lisible par machine, en ligne à /.well-known/security.txt.

Construit — public avec la première version

  • SLSA Build Level 3

    Attestation de provenance via slsa-github-generator — construite et exercée en CI ; publiée avec chaque version taguée.

  • SBOM (CycloneDX + SPDX)

    Inventaire des composants logiciels généré pour chaque build de version.

  • Signatures cosign sans clé

    Signature d'artefacts basée sur Sigstore via Fulcio + Rekor.

  • Avis OpenVEX

    Déclarations d'applicabilité des vulnérabilités par version.

Planifié

  • SOC 2 Type II

    Planifié. Requis pour le cloud géré, pas pour l'auto-hébergement.

  • ISO 27001

    Planifié. Calendrier non engagé.

  • Test de pénétration indépendant

    Planifié. Sera publié une fois terminé.

Préparation par cadre

Posture de conformité

Le produit cartographie les capacités vers 25 catalogues de cadres de conformité. Ci-dessous la posture de préparation pour les cadres les plus demandés par les acheteurs enterprise. Chaque élément est une cartographie de préparation — pas une certification.

Préparation cartographiée

ISO/IEC 27001:2022

Cartographie des contrôles de l'Annexe A avec pointeurs de preuve. Non certifié.

Préparation cartographiée

ISO/IEC 42001:2023

Cartographie de préparation AIMS — le produit génère les preuves requises par un AIMS. Non certifié.

Préparation cartographiée

SOC 2 Type II

Cartographie des Trust Services Criteria (Security / Common Criteria). Non attesté.

Préparation cartographiée

EU AI Act

Modèle de documentation technique Annexe IV. Le produit est un outil de gouvernance, pas lui-même un système de l'Annexe III.

Préparation cartographiée

CSA STAR / AICM

Auto-évaluations CAIQ v4 et AI-CAIQ (AICM v1.0) préparées. Non soumises au STAR Registry.

Préparation cartographiée

GDPR

Runbook RTBF avec crypto-shred, attestation de résidence, rétention et conservation légale. Auto-hébergé : le client est responsable et sous-traitant.

Préparation cartographiée

NIST AI RMF 1.0

Cartographie des sous-catégories incluant le Profil IA Générative (AI 600-1).

Partiel

DORA

Export de la vue des risques ICT ; le générateur de Registre d'Information est un add-on enterprise.

Préparation cartographiée

Directive NIS 2

Cartographie des obligations avec posture de chaîne d'approvisionnement ICT et preuve de notification d'incidents.

Package de confiance

Documents de due-diligence

Le package de confiance est publié dans le dépôt source. Les acheteurs enterprise peuvent demander le package complet — y compris les questionnaires pré-remplis et le guide d'évaluation — via enterprise@olivares.ai.

Les fichiers disponibles sont des instantanés Markdown publics avec leur provenance. Les éléments sans source partageable restent disponibles sur demande.

Questionnaire

Auto-évaluation CAIQ v4

CSA Cloud Controls Matrix v4 — 17 domaines avec pointeurs de preuve.

Télécharger (Markdown)
Questionnaire

Auto-évaluation AI-CAIQ / AICM

CSA AI Controls Matrix v1.0 — 18 domaines incluant Model Security.

Télécharger (Markdown)
Questionnaire

Banque de réponses aux questionnaires de sécurité

33 réponses pré-vérifiées alignées sur SIG 2026, CSA AI-CAIQ et les questionnaires courants des acheteurs.

Télécharger (Markdown)
Architecture

Architecture de référence

Architecture orientée acheteur : trois zones de confiance, topologies de déploiement, HA/DR, dimensionnement.

Télécharger (Markdown)
Évaluation

Guide d'évaluation

Preuve de valeur en 10 jours ouvrables — critères pass/fail contre le vrai binaire.

Télécharger (Markdown)
Commercial

Matrice des fonctionnalités

Comparaison complète Community (AGPL) vs Enterprise — les 26 add-ons.

Télécharger (Markdown)
Sécurité

Guide de durcissement

Vérification du modèle de menaces avec preuve file:line — prêt pour le pentest.

Disponible sur demande
Accessibilité

VPAT

Voluntary Product Accessibility Template pour la console d'administration.

Télécharger (Markdown)

Traitement des données

Sous-traitants

Olivares AI est un logiciel auto-hébergé. Le produit fonctionne entièrement dans votre infrastructure — les données ne quittent jamais votre périmètre. Il n'y a aucun sous-traitant des données clients. Les fournisseurs de LLM sont vos fournisseurs, pas les nôtres ; le produit les inventorie pour votre gestion des risques tiers.

Si une offre de cloud géré est introduite, les sous-traitants seront listés ici avant tout traitement de données.

Services du fournisseur

Notre site web, nos licences et nos communications reposent sur :

Cloudflare

Actif

Hébergement du site, DNS et protection anti-bot.

Resend

Dès le lancement

E-mails transactionnels et diffusion de la newsletter.

Polar

Dès la disponibilité commerciale

Marchand officiel pour les licences commerciales.

GitHub

Actif

Hébergement du code source et communauté.

Nous n’utilisons aucun fournisseur d’analytique côté client et n’exécutons aucune analytique dans le navigateur.

Vérifiez vous-même

Ne nous croyez pas sur parole

À partir de la première version publique, chaque affirmation d'artefact de cette page est vérifiable avec des outils publics — le script fourni parcourt les signatures, les attestations et l'intégrité du SBOM. Téléchargez d'abord les artefacts ; ne pipez jamais un installeur dans un shell.

# Livré avec la première version publique — téléchargez les artefacts
# de la version, puis exécutez le vérificateur fourni depuis ce répertoire :
scripts/verify-release.sh                              # sans clé (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # air-gap, aucun réseau

Le script vérifie les signatures cosign, la provenance SLSA, ainsi que les attestations SBOM et OpenVEX. La chaîne de commandes manuelle complète est documentée dans le guide « Vérifier une release » de la documentation.

Évaluation enterprise

Déployez l'environnement de démonstration en cinq minutes, puis exécutez la preuve de valeur complète en 10 jours ouvrables. Le guide d'évaluation inclut des critères pass/fail contre le vrai binaire — pas de slides, pas de sandbox, pas d'environnement de démo différent de la production.

Questions de confiance

Avez-vous SOC 2 ou ISO 27001 ?

Pas encore. SOC 2 Type II est prévu pour l'offre cloud gérée. Nous sommes honnêtes sur notre posture : le pipeline de chaîne d'approvisionnement (SLSA L3, SBOM, cosign, OpenVEX) est construit, et ses preuves seront publiées avec la première version publique.

Le produit a-t-il eu un test de pénétration ?

Pas encore. Un test de pénétration indépendant est prévu et sera publié une fois terminé.

Comment vérifier qu'une version est authentique ?

Une fois la première version publique publiée : exécutez le script de vérification fourni (scripts/verify-release.sh) ou vérifiez manuellement avec cosign — chaque version porte une attestation de provenance SLSA et des signatures cosign, aucune confiance en nous requise. D'ici là, il n'existe aucun artefact public à vérifier, et cette page le dit au lieu de prétendre le contraire.

Où sont stockées mes données ?

Olivares AI est auto-hébergé — vos données restent dans votre propre infrastructure. Le fournisseur ne voit, ne stocke et ne traite jamais vos données. Le cloud géré (quand disponible) offrira des engagements de résidence des données.

Un DPA est-il disponible ?

Le DPA est en cours de revue juridique. Il est disponible sur demande via enterprise@olivares.ai avant tout engagement impliquant le traitement de données personnelles.

Quels cadres de conformité le produit prend-il en charge ?

Le produit cartographie 25 catalogues de cadres dont EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM et les lois étatiques américaines sur l'IA. Chaque cadre est constitué de données avec des preuves par contrôle — pas une affirmation de certification.

Comment évaluer le produit ?

Compilez depuis les sources, lancez l'environnement de démonstration en cinq minutes et suivez le guide d'évaluation de 10 jours. Chaque critère est pass/fail contre le vrai binaire. Contactez enterprise@olivares.ai pour une licence d'évaluation enterprise qui déverrouille les 26 add-ons pendant le POV.

Quelle est la différence entre Community et Enterprise ?

Le build AGPL est la plateforme complète — rien n'est retiré. Enterprise ajoute 26 capacités de mitigation de risques et d'opération à échelle (multi-IdP, pare-feu de contenu, rétention WORM, registre DORA, et plus) plus une exception légale au copyleft AGPL et un support avec SLA. La matrice complète des fonctionnalités est dans le package de confiance.

La sécurité commence par la transparence

Chaque version publique est livrée signée, attestée et documentée — vérifiez l'intégrité vous-même. Les preuves sont publiques dès la première version.