Skip to main content
VaultPAM
00 Comment ça marche

voyez exactement comment vaultpam fonctionne. pas de boîtes noires.

Chaque connexion passe par VaultPAM — authentifiée, autorisée, enregistrée. Rien n’atteint votre infrastructure directement.

01 Architecture du système

Trois zones. Un modèle de sécurité.

Tout le trafic passe par VaultPAM — rien n’atteint votre infrastructure directement.

01

La zone utilisateur

Navigateurs, clients RDP et SSH natifs. Quiconque se connecte, d’où que ce soit — chaque requête entre par la même porte d’entrée.

02

VaultPAM — le courtier

L’authentification, l’autorisation et l’enregistrement ont lieu ici. Rien n’atteint votre infrastructure directement ; chaque chemin est intermédié.

03

Votre infrastructure

Serveurs, bases de données, hôtes de rebond. Accessibles uniquement via VaultPAM, uniquement avec des identifiants injectés que l’utilisateur ne voit jamais.

CHAQUE CHEMIN INTERMÉDIÉ BLOQUÉ — PAS DE COURTIER VAULT PAM BROWSER RDP SSH RDP-PROD SSH-BASTION DB-MASTER VAULTPAM TROIS ZONES FIG.01 EU-WAW · NIS2
Fig. 01 Zone utilisateur → courtier → infrastructure. Aucun nœud n’atteint l’infrastructure directement.
02 Méthodes d’accès

Trois façons de se connecter. Un modèle de sécurité.

Que votre équipe utilise un navigateur, un client RDP natif ou un terminal SSH — chaque session passe par le même pipeline d’authentification, d’autorisation et d’enregistrement.

2.1 · HTTPS

Navigateur

Ouvrez votre navigateur. Sans plugin, sans VPN, sans client RDP. La session complète incluant l’enregistrement s’exécute dans le navigateur via HTTPS.

2.2 · RDP/TLS

Client RDP natif

Utilisez n’importe quelle application RDP standard. VaultPAM gère la session via sa passerelle — MFA, RBAC et enregistrement s’appliquent exactement comme dans le navigateur.

2.3 · SSH/TLS

Client SSH natif

Utilisez n’importe quel émulateur de terminal. Connectez-vous à la passerelle SSH de VaultPAM, pas directement à la cible. Piste d’audit complète, même politique.

03 Pipeline de sécurité

Ce qui se passe dans VaultPAM.

Cinq étapes — à chaque fois, pour chaque session, pour chaque protocole.

01

Le WAF filtre chaque requête

OWASP Top 10, injection SQL, XSS — avant l’exécution de toute logique applicative.

02

Le MFA est imposé

TOTP, clés matérielles (YubiKey, Touch ID) ou votre fournisseur SSO existant. Aucune session sans cela.

03

Le RBAC vérifie l’accès

Le rôle de l’utilisateur et les autorisations sur la cible sont vérifiés avant l’ouverture de toute session.

04

Identifiants récupérés du coffre

Les identifiants sont récupérés depuis le coffre chiffré et injectés dans la session — l’utilisateur ne voit jamais le mot de passe.

05

Session enregistrée de bout en bout

Chaque session est enregistrée intégralement — inviolable, de qualité audit, stockée exclusivement dans l’UE.

04 Le Connector

Aucun port entrant requis.

Le Connector VaultPAM s’exécute dans votre réseau et initie un tunnel chiffré exclusivement sortant vers VaultPAM Cloud. Votre pare-feu n’a jamais besoin d’une règle entrante ouverte.

Tout le trafic du Connector utilise le TLS mutuel (mTLS) — les deux côtés présentent des certificats. Les certificats de courte durée tournent automatiquement. Si un renouvellement échoue, le Connector se ferme de façon sécurisée : il arrête de transmettre le trafic plutôt que de revenir à une connexion non vérifiée.

Le Connector est sans état et sûr en cas de plantage. S’il redémarre, il se ré-authentifie et se reconnecte automatiquement — sans intervention manuelle.

Déployez en 5 minutes

Conteneur Docker ou pod Kubernetes. Aucune règle de pare-feu à ouvrir. Tirez l’image, définissez votre jeton d’inscription, démarrez. Première session en moins de 30 minutes.

05 Sandbox

Pas encore prêt à déployer un Connector ?

La sandbox VaultPAM vous donne un environnement entièrement fonctionnel sans installation requise. VaultPAM déploie automatiquement le Connector et trois systèmes cibles — bureau RDP, terminal SSH, bureau VNC — dans un namespace isolé appartenant exclusivement à votre organisation.

Aucun autre tenant ne peut voir ou accéder à votre sandbox. Les identifiants sont générés de façon unique par organisation au moment de l’activation. Activation en moins de 60 secondes. 14 jours inclus, extensible deux fois.

votre sandbox inclut14 jours · sans carte
RessourceStatut
Bureau RDP (Windows)Inclus
Terminal SSH (Linux)Inclus
Bureau VNC (Linux)Inclus
Connector préconfiguré — déployé automatiquementInclus
Identifiants uniques par organisationInclus
Namespace isolé — privé à votre orgInclus

Sandbox de 14 jours — aucune carte bancaire requise

Prêt à le voir
en action ?