Aether365

Français

English
Deutsch
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Français

English
Deutsch
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Modèle de sécurité

Maintenu par : Aether365 Team Public : Équipes sécurité et administrateurs informatiques Périmètre : Isolation des tenants, protection des données et modèle d'autorisations

Cette page décrit comment Aether365 protège vos données, quel accès il a à votre environnement Microsoft 365 et les choix architecturaux réalisés pour garantir la sécurité des données de votre tenant.

Authentification et accès

Comment Aether365 accède à votre tenant

Aether365 accède à votre tenant Microsoft 365 en tant qu'application multi-tenant enregistrée dans Microsoft Entra ID. Lorsque vous accordez le consentement administrateur, un principal de service est créé dans votre tenant. Aether365 s'authentifie ensuite à l'aide de ses propres identifiants d'application (client ID et client secret) - pas avec des identifiants de compte utilisateur.

Cela signifie :

  • Aucun mot de passe utilisateur n'est stocké
  • Aucune autorisation déléguée n'est accordée
  • L'accès est uniquement au niveau application, non lié à un utilisateur individuel
  • Vous pouvez révoquer l'accès à tout moment en supprimant le principal de service de votre tenant

Autorisations en lecture seule

Toutes les autorisations Microsoft Graph accordées à Aether365 sont de type application en lecture seule. La liste complète est disponible sur aether365.io/security#permissions.

Aether365 ne demande jamais d'autorisations d'écriture. L'écran de consentement Microsoft n'affiche que des autorisations de type lecture.

Révoquer l'accès

Pour révoquer l'accès d'Aether365 à votre tenant :

  1. Ouvrez Paramètres > Connexions dans le tableau de bord Aether365
  2. Cliquez sur Déconnecter à côté du tenant
  3. Alternativement, dans le centre d'administration Microsoft Entra, accédez à Applications d'entreprise et supprimez le principal de service Aether365

La déconnexion supprime la connexion d'Aether365 et arrête les analyses futures. Les données d'analyse précédemment collectées sont conservées conformément à la politique de rétention standard.

Protection des données

Chiffrement

CoucheMéthode
Données en transitTLS 1.2+ (HTTPS partout)
Données au reposChiffrement AES-256 au repos
Fichiers de résultats d'analyseAES-256 server-side encryption
Secrets (identifiants API)Coffre-fort chiffré (chiffrement par enveloppe)

Quelles données sont stockées

Aether365 stocke :

  • Instantanés de configuration - Les valeurs lues depuis Microsoft Graph lors de chaque analyse. Ce sont les valeurs de configuration brutes utilisées pour évaluer chaque contrôle.
  • Résultats d'analyse - Statut réussi, échoué ou ignoré pour chaque contrôle, ainsi que les valeurs détectées et attendues pour les contrôles échoués.
  • Métadonnées du tenant - L'identifiant Microsoft de votre tenant, l'e-mail de votre compte, le niveau d'abonnement et les horodatages de connexion.
  • Paramètres de notification - Les adresses e-mail et les URL de webhook Teams que vous avez configurées.

Aether365 ne stocke pas :

  • Le contenu des e-mails, les données de calendrier ou tout contenu généré par les utilisateurs
  • Les mots de passe ou identifiants des utilisateurs
  • Les tokens Microsoft Graph (les tokens d'accès sont éphémères et utilisés uniquement pendant l'analyse)

Résidence des données

Toutes les données sont stockées exclusivement dans notre centre de données UE (Ireland, Ireland). Aucune donnée n'est répliquée en dehors de cette région. Cela s'applique à :

  • La base de données (résultats d'analyse, métadonnées des tenants)
  • Le stockage de fichiers (fichiers de résultats d'analyse)
  • Le coffre-fort de secrets (identifiants d'application)

Consultez Résidence des données et confidentialité pour les détails, y compris notre accord de traitement des données.

Sécurité de l'infrastructure

Architecture Zero-Trust

Chaque requête API nécessite un JWT valide émis par le système d'authentification d'Aether365 après l'authentification Microsoft Entra. Le JWT est validé à chaque requête :

  • Vérification de la signature RS256 par rapport au endpoint JWKS d'Aether365
  • Vérification de l'expiration du token
  • Vérification de l'émetteur et de l'audience

Il n'y a pas d'endpoint API non authentifié, à l'exception de /public/config (qui ne renvoie que les paramètres de la plateforme comme le mode maintenance).

Isolation des tenants

Chaque requête en base de données inclut un filtre d'identifiant de tenant dérivé du JWT authentifié - pas des paramètres de la requête. Il est architecturalement impossible d'interroger les données d'un autre tenant via l'API.

Les charges de travail d'analyse s'exécutent dans des environnements de calcul isolés et éphémères. Chaque tâche d'analyse dispose de :

  • Aucun stockage persistant
  • Aucun accès réseau inter-tenant
  • Un rôle de service dédié avec le minimum d'autorisations requises
  • Une terminaison automatique après achèvement

Gestion des secrets

Les identifiants d'application (client ID et secret Microsoft Entra) sont stockés dans un coffre-fort de secrets chiffré. Ils sont :

  • Jamais stockés dans des variables d'environnement
  • Jamais écrits dans les journaux
  • Récupérés au moment de l'exécution et conservés en mémoire uniquement pendant la durée de l'analyse
  • Renouvelés selon un calendrier

Sécurité du compte

Authentification

Aether365 utilise Microsoft comme fournisseur d'identité. Vous vous connectez avec votre compte Microsoft via OpenID Connect. Aucun mot de passe Aether365 séparé n'existe.

Authentification multifacteur

Le MFA est appliqué par les stratégies d'accès conditionnel de votre compte Microsoft. Aether365 hérite des exigences MFA imposées par votre tenant Microsoft.

Gestion des sessions

Les tokens d'accès sont des JWT à courte durée de vie. Les tokens de rafraîchissement sont stockés dans le stockage local de votre navigateur et renouvelés à chaque utilisation. La déconnexion invalide immédiatement votre session.

Journal d'audit

Chaque action effectuée dans le tableau de bord ou l'API Aether365 est enregistrée dans un journal d'audit : qui a effectué l'action, quand, et depuis quelle adresse IP. Consultez Journal d'audit.

Divulgation responsable

Si vous découvrez un problème de sécurité dans Aether365, veuillez le signaler à security@aether365.io. Nous accuserons réception sous 24 heures et visons à résoudre les problèmes critiques sous 72 heures. Nous ne disposons pas de programme public de bug bounty pour le moment, mais nous mentionnerons les signalements dans les notes de version avec l'accord du déclarant.

Cette page vous a-t-elle été utile ?

© 2026 Aether365. All rights reserved.