01 / Secteurs · Verticales métiers

Pour qui est conçu Aegirex ?
Cinq secteurs B2B où la souveraineté n'est pas optionnelle.

Aegirex cible les organisations dont le métier impose une garantie technique de confidentialité, une traçabilité opposable et un hébergement hors d'atteinte des juridictions extra-européennes. Cinq verticales sont priorisées dans cet ordre : conseil cybersécurité, cabinets d'avocats tech, santé HDS, défense, énergie et OIV. Pour chacune, la même combinaison : zero-knowledge OpenPGP.js v6, audit chain HMAC-SHA-256 vérifiable, hébergement France ou auto-hébergement AGPLv3.

Échanger sur votre cas d'usage Voir les 5 secteurs détaillés

Accès direct aux verticales

 1 · Conseil cybersécurité  2 · Cabinets d'avocats  3 · Santé · HDS  4 · Défense · SecNumCloud  5 · Énergie · OIV
02 / Vue d'ensemble

Cinq secteurs, une même architecture.

Le résumé de chaque verticale en une carte. Les sections détaillées ci-dessous reprennent défi, réponse Aegirex, cas d'usage typiques et tags fonctionnels.

DevOps et SRE

Mots de passe d'infrastructure, clés API, certificats wildcard, secrets CI/CD. Vos credentials de production ne doivent jamais transiter par un service tiers non chiffré ou stockés en clair sur GitHub. Aegirex stocke des blobs OpenPGP : un dump de la base est strictement inutilisable sans les clés privées des destinataires. Compatible avec vos workflows existants via API REST + webhooks.

Cas d'usage typiques : Clés SSH, secrets pipeline GitLab/GitHub, mots de passe DB production, certificats TLS, tokens cloud (AWS/GCP/Azure)

Secteur public et collectivités

Communes, départements, ARS, préfectures : la souveraineté des données est un impératif légal et politique. Auto-hébergement chez un opérateur d'infrastructure qualifié SecNumCloud, code source auditable par vos équipes ou un PASSI mandaté. Aucune dépendance à un acteur extra-UE soumis au Cloud Act.

Cas d'usage typiques : Accès aux applications métier (SIA, GED, SI-RH), codes d'accès aux SI partenaires (CAF, MSA), identifiants des véhicules de service

Professions réglementées

Avocats, notaires, experts-comptables, médecins libéraux : le secret professionnel est garanti par l'architecture, pas par une promesse contractuelle. Aucune réquisition ne peut nous obliger à livrer un secret en clair, puisque nous ne pouvons techniquement pas le lire. Compatible avec les exigences déontologiques (CNB, CSN, OEC).

Cas d'usage typiques : Accès aux dossiers clients, pièces jointes confidentielles, codes d'accès aux registres officiels, identifiants Telerecours

Conseil indépendant et freelances

Vous gérez les accès de plusieurs clients en parallèle. Aegirex cloisonne chaque client dans une organisation distincte avec son propre RBAC. Suppression d'un client = suppression instantanée de ses secrets de votre coffre. Réintégration en 1 clic à la mission suivante.

Cas d'usage typiques : Accès clients VPN, comptes administrateurs en mission, mots de passe de bases en intervention, secrets API de prestataires

Santé et HDS

Hébergeurs de Données de Santé, cliniques, laboratoires : séparation stricte entre les accès métier (DPI, RIS, PACS) et les accès techniques. Audit chain HMAC pour répondre aux exigences ANSM/CNIL/HDS. Logs exportables vers votre SIEM existant pour la traçabilité légale.

Cas d'usage typiques : Accès aux Dossiers Patients Informatisés (DPI), comptes administratifs SI hospitalier, identifiants imagerie médicale (PACS), secrets équipements biomédicaux connectés
03 / Verticale prioritaire · V1

ESN sécurité et cabinets conseil cybersécurité.

Sociétés françaises de conseil et d'expertise cybersécurité de moins de 200 employés : audit, pentest, réponse à incident, conseil DPO/RGPD à forte composante technique. Cycle de vente court (2-4 semaines), décideur tech-savvy, effet multiplicateur via recommandation aval.

Le défi

Outiller la souveraineté qu'on prêche

Un cabinet qui audite la sécurité d'autres organisations ne peut pas conserver les secrets de ses missions chez un acteur soumis au Cloud Act, sans certificat de transparence et sans chaîne d'audit vérifiable. Le coffre d'équipe doit lui-même passer les critères que ses propres consultants exigent en audit. Les solutions américaines grand public ne tiennent pas la première itération de cette grille.

La réponse Aegirex

Coffre auditable de bout en bout

  • Code AGPLv3 intégralement lisible sur GitHub, sans build propriétaire caché
  • Whitepaper cryptographique public détaillant OpenPGP.js v6, Argon2id et HMAC-SHA-256
  • Audit chain vérifiable indépendamment via bin/console aegirex:audit:verify
  • Cloisonnement strict par mission via multi-org à compte-pivot
  • Livraison de coffre au client final sans exfiltration en fin de mission

Cas d'usage typiques

Coffre interne du cabinet

Clés SSH des consultants pentest, tokens cloud d'audit, accès aux plateformes de reporting de mission, identifiants des laboratoires offensifs.

Coffre par mission client

Une organisation Aegirex par client, isolant strictement les secrets : aucun consultant non affecté ne voit le moindre credential de la mission, RBAC à 6 rôles.

Coffre partagé client final

En fin de mission, le coffre est transmis au client sans passage par export en clair : re-chiffrement direct vers ses clés OpenPGP, traçabilité du transfert dans l'audit chain.

Réponse à incident

Coffre temporaire d'investigation, rotation des accès d'urgence, journal d'accès opposable pour le rapport d'incident final.

Profil type. Une ESN de 30 consultants peut typiquement démarrer en 10-50 sièges Business, étendre à 100+ sièges après 6 mois et devenir prescriptrice de la solution auprès de ses propres clients lors des missions d'audit ou de mise en conformité.

AGPLv3 Audit chain HMAC Multi-org Auto-hébergement RBAC 6 rôles CLI aegirex
04 / Verticale n°2

Cabinets d'avocats tech et RGPD.

Cabinets parisiens et lyonnais de 10 à 100 avocats avec département IT, data, IP ou RGPD. Ils manipulent quotidiennement des dossiers ultra-confidentiels (M&A, brevets, contentieux) sous un devoir déontologique strict de secret professionnel.

Le défi

Secret professionnel opposable

Le secret professionnel de l'avocat n'est pas négociable : il engage la responsabilité déontologique et pénale du cabinet. Les outils de productivité grand public ne fournissent ni convention de preuve sur l'accès aux dossiers, ni garantie technique que l'éditeur ne peut pas lire les pièces. La traçabilité doit tenir devant le bâtonnier comme devant un juge.

La réponse Aegirex

Architecture qui tient devant le juge

  • Zero-knowledge : l'éditeur ne peut techniquement pas lire les pièces stockées
  • Audit chain HMAC tenant lieu de convention de preuve sur les accès
  • Hébergement France, juridiction française, DPA standardisé Business
  • Organisation par dossier client ou par associé, cloisonnement strict
  • Export d'audit signé pour les contrôles ordinaux et déontologiques

Cas d'usage typiques

  • Accès aux dossiers clients hébergés sur la GED interne du cabinet
  • Pièces jointes confidentielles d'opérations M&A et de due diligence
  • Codes d'accès aux registres officiels (RCS, BODACC, INPI, registres ordinaux)
  • Identifiants Telerecours et plateformes de procédures dématérialisées
  • Comptes administratifs des plateformes de signature électronique
  • Secrets partagés avec un avocat correspondant à l'étranger sans passer par e-mail en clair
Zero-knowledge Devoir de preuve Hébergement France DPA standardisé RGPD natif Cloisonnement multi-org
05 / Verticale n°3

Santé · cliniques, laboratoires, éditeurs HDS.

Cliniques privées (50-500 ETP), laboratoires d'analyses médicales, éditeurs de logiciels de santé (DMP, télémédecine), mutuelles santé. Le cycle d'achat est plus long (3 à 6 mois) car il passe par DSI, DPO, comité métier et parfois HAS.

Le défi

Séparer accès métier et accès techniques

Les données de santé sont sous régime HDS : hébergeur qualifié, DPA spécifique, audit log long, séparation stricte des accès. Un coffre B2B utilisé dans cet environnement doit lui-même s'inscrire dans la chaîne HDS de bout en bout. La traçabilité des accès aux systèmes critiques (DPI, RIS, PACS) doit être opposable aux autorités ANSM, CNIL et au certificateur HDS.

La réponse Aegirex

Couche secrets pour environnements HDS

  • Auto-hébergement chez votre hébergeur HDS qualifié dès aujourd'hui (AGPLv3)
  • Aegirex Cloud HDS planifié en T+9 à T+12 mois avec hébergeur partenaire
  • Audit log conservé 1 an minimum (Business) ou 5 ans (Enterprise)
  • Export SIEM CEF/LEEF/OCSF pour intégration aux SOC santé
  • RBAC granulaire 6 rôles pour séparer biomed, DSI, prestataires
  • DPA spécifique HDS en cours de rédaction avec conseil juridique

Cas d'usage typiques

  • Accès aux Dossiers Patients Informatisés (DPI) côté praticiens et administratifs
  • Comptes administrateurs du SI hospitalier et des plateformes de prise de rendez-vous
  • Identifiants des imageurs (PACS, RIS) et passerelles DICOM
  • Secrets des équipements biomédicaux connectés (pompes, moniteurs, automates de laboratoire)
  • Comptes de service des éditeurs externes (télémédecine, DMP, e-prescription)
  • Accès aux référentiels nationaux (RPPS, ADELI, Ameli Pro)
HDS (chaîne partenaire) Audit log 1 an Export SIEM RBAC granulaire DPA spécifique Self-host AGPLv3
06 / Verticale n°4

Défense · SecNumCloud et clearance.

DGA, industriels de défense, ETI sous-traitantes Tier 1, cabinets de conseil défense. Trois prérequis cumulatifs : qualification SecNumCloud effective, habilitation collaborateurs (CD ou SD), et track record de 12 mois sur clients critiques.

Le défi

Zéro dépendance extra-EU, zéro tolérance

Le secteur défense n'accepte aucune dépendance à une juridiction non européenne dans le chemin de données sensibles. La qualification SecNumCloud est un seuil d'entrée non négociable. Les environnements air-gappés exigent un déploiement auto-hébergeable sans télémétrie sortante et sans dépendance runtime à un service tiers hébergé.

La réponse Aegirex

Self-host air-gappable et code vérifiable

  • Trajectoire SecNumCloud visée pour Aegirex Cloud (non engagée à ce jour)
  • Déploiement air-gappable sans télémétrie sortante (V2)
  • Code source AGPLv3 vérifiable jusqu'au niveau crypto
  • Reproductible build pour les images Docker officielles
  • Habilitation des collaborateurs Aegirex au niveau attendu en cours
  • SLA et juridiction négociables en Enterprise, escrow code & données opt-in

Cas d'usage typiques

  • Accès aux environnements de développement de systèmes embarqués critiques
  • Comptes administrateurs des chaînes CI/CD de programmes défense
  • Secrets des plateformes de simulation et bancs d'essai
  • Identifiants des outils de classification documentaire (DR, CD, SD)
  • Comptes de service des passerelles inter-réseaux et diodes
  • Accès aux portails fournisseurs DGA et plateformes d'appel d'offres restreints
SecNumCloud (visée) Air-gap (V2) Reproducible build Escrow opt-in SLA négocié Habilitations CD/SD
07 / Verticale n°5

Énergie et OIV · NIS2 outillée.

Opérateurs réseau d'énergie, distributeurs régionaux, régies d'eau et syndicats intercommunaux, exploitants ferroviaires régionaux, opérateurs portuaires. NIS2 impose un calendrier dont la transposition française se précise sur 2026-2027. Cycle long (6-12 mois), exigence SecNumCloud et référent projet senior dédié.

Le défi

Conformité NIS2 sans usine à gaz

Les opérateurs essentiels et importants doivent prouver la gestion des accès, la traçabilité, la gestion d'incident et la chaîne de responsabilité. La pression réglementaire monte avant que les outils du marché ne soient prêts. Beaucoup d'OIV construisent encore leur gouvernance secrets sur des partages chiffrés artisanaux ou des solutions héritées non auditables.

La réponse Aegirex

Coffre conforme par construction

  • Audit chain HMAC immuable pour la traçabilité opposable NIS2
  • Export SIEM continu vers votre SOC interne ou externalisé
  • RBAC granulaire et SCIM 2.0 pour le provisioning depuis l'IAM corporate
  • SLA contractuel négociable en Enterprise (99,5 % standard, plus sur devis)
  • Reporting compliance exportable pour les audits internes et externes
  • Hébergement France, juridiction française, DPA standardisé Business

Cas d'usage typiques

  • Accès aux SCADA et systèmes de supervision de réseaux énergie/eau
  • Identifiants des passerelles industrielles (OPC UA, Modbus, IEC 61850)
  • Comptes administratifs des plateformes de gestion d'incident NIS2
  • Secrets des prestataires de maintenance des infrastructures critiques
  • Accès aux systèmes billettique et exploitation des opérateurs transport
  • Identifiants des chaînes de reporting ANSSI et autorités sectorielles
NIS2-ready SCIM 2.0 SLA négocié Reporting compliance SIEM continu Hébergement France
08 / Architecture transverse

Six briques pour cinq secteurs.

Le même socle technique répond aux contraintes de chaque verticale. Ces six briques ne sont pas des options : elles sont incluses dès le tier gratuit ou natives à l'architecture.

Zero-knowledge OpenPGP.js v6

Chiffrement côté client avec dérivation Argon2id du mot de passe maître. Les clés privées ne quittent jamais le navigateur. Un dump complet de la base est inutilisable.

Audit chain HMAC-SHA-256

Chaque événement d'audit est scellé et chaîné cryptographiquement. La commande bin/console aegirex:audit:verify détecte toute falsification rétroactive.

SSO SAML 2.0, OIDC, RBAC, SCIM

SSO et 2FA inclus dès le tier gratuit. RBAC à 6 rôles dès Pro. SCIM 2.0 et politique mots de passe configurable dès Business pour le provisioning depuis l'IAM corporate.

Auto-hébergement AGPLv3

Déploiement Docker Compose ou Kubernetes documenté. Air-gappable, sans télémétrie sortante. Le code source est intégralement public, y compris les fonctionnalités Pro et Business.

Multi-organisation à compte-pivot

Un utilisateur, N memberships payants, facturation portée par l'organisation. Cloisonnement strict des secrets par client, mission ou département.

RGPD natif, hébergement France

Hébergement France métropolitaine, juridiction française, DPA standardisé en Business, négocié en Enterprise. Aucun sous-traitant extra-UE dans le chemin de données.

09 / FAQ sectorielle

Questions de DSI et RSSI.

Huit questions récurrentes posées par les acheteurs des cinq verticales. Si la vôtre manque, écrivez-nous.

Mon métier impose le secret professionnel : comment Aegirex le garantit-il techniquement ?

Le chiffrement OpenPGP.js v6 est exécuté côté client avant tout envoi serveur, avec dérivation Argon2id (RFC 9106) du mot de passe maître. Aucune clé privée ne quitte le navigateur. Un dump complet de la base est strictement inutilisable sans les clés des destinataires. Aucune réquisition ne peut nous contraindre à livrer un secret en clair : nous ne pouvons techniquement pas le lire. C'est la définition d'un système zero-knowledge, opposable au juge comme au bâtonnier.

Nous sommes hébergeur HDS : Aegirex est-il qualifié HDS ?

Aegirex Cloud n'est pas encore qualifié HDS de bout en bout. Le segment santé est planifié en T+9 à T+12 mois, conditionné à la signature d'un hébergeur HDS partenaire et à la rédaction d'un DPA spécifique relu par le conseil juridique. En attendant, l'auto-hébergement chez votre propre hébergeur HDS qualifié reste possible dès aujourd'hui via la licence AGPLv3. Une référence santé en design partner gratuit est ouverte pour amorcer la chaîne.

Notre appel d'offres impose SecNumCloud : êtes-vous qualifiés ?

Non. La qualification SecNumCloud est un objectif visé pour Aegirex Cloud, mais elle n'est ni obtenue ni engagée à ce jour. Pour les besoins internes des ESN sécurité, l'adoption ne nécessite pas cette qualification ; pour des offres en aval impliquant secteur public, OIV ou défense, la qualification est un prérequis non négociable que nous visons à plus long terme. Le code AGPLv3 permet par ailleurs un déploiement immédiat chez un opérateur SecNumCloud tiers déjà qualifié.

Pouvons-nous auditer le code avant tout déploiement ?

Oui. L'intégralité du code source Aegirex est publiée sous AGPLv3 sur GitHub, y compris les fonctionnalités Pro et Business. Un whitepaper cryptographique détaille les choix d'algorithmes (OpenPGP.js v6, Argon2id, AES-256-GCM, HMAC-SHA-256). La commande bin/console aegirex:audit:verify permet de vérifier indépendamment l'intégrité de la chaîne d'audit, sans avoir à nous faire confiance. Un audit PASSI peut être mandaté en parallèle, nous fournissons toute la documentation d'architecture nécessaire.

Comment se passe l'intégration avec notre SIEM ?

Les événements d'audit sont exportables aux formats CEF, LEEF et OCSF : configurable dès Pro, natif en Business et Enterprise. Chaque entrée est scellée par HMAC-SHA-256 chaînée, ce qui permet à votre SIEM de détecter toute tentative de falsification rétroactive. Les destinations supportées incluent Splunk, Elastic, QRadar, Microsoft Sentinel et n'importe quel collecteur Syslog standard. Le débit est dimensionné pour absorber les pics d'activité d'une organisation de plusieurs milliers de sièges.

Quelles sont vos références dans mon secteur ?

Aegirex est en phase de constitution de design partners : 15 places ouvertes pour les premiers cabinets conseil cybersécurité et ESN sécurité françaises, avec 6 mois gratuits contre un retour structuré (appel mensuel, retour écrit) et autorisation d'utiliser le logo une fois la phase passée. Les références sectorielles santé, défense et OIV se construiront après l'obtention des qualifications correspondantes. Aucun témoignage fictif n'est publié : nous préférons annoncer des références réelles après signature plutôt qu'avant.

Combien de temps pour un déploiement type ?

Cloud : inscription, configuration SSO SAML 2.0 ou OIDC et import du premier coffre en moins d'une heure. Auto-hébergement : déploiement Docker Compose documenté, comptez une demi-journée pour un POC, une à deux semaines pour une mise en production complète avec SSO, sauvegardes chiffrées hors site, intégration SIEM et provisioning SCIM. Le cycle de décision commercial typique sur la verticale ESN sécurité est de 2 à 4 semaines ; il s'allonge à 3-6 mois en santé et 6-12 mois en défense et OIV.

Quel modèle économique pour une grande équipe ?

Au-delà de 50 sièges, le plan Business à 6 €/siège/mois (annuel) débloque sièges illimités, RBAC granulaire 6 rôles, SCIM 2.0, audit log 1 an et SLA 99,5 %. Le plan Enterprise permet de négocier SLA, DPA, juridiction, préavis et escrow code & données. La sécurité cryptographique (SSO, 2FA, passkeys, audit chain HMAC) est incluse dès le tier gratuit : vous payez la gouvernance et les garanties contractuelles, pas la cryptographie. L'auto-hébergement AGPLv3 reste gratuit pour la licence logicielle, vous ne payez alors que votre infrastructure.

10 / Démarrer

Votre secteur,
votre cas d'usage.

Échangeons sur la verticale qui vous concerne : cycle de décision, prérequis réglementaires, périmètre d'un POC. Aucune relance commerciale agressive, juste un échange technique sur la pertinence de la solution.

Échanger sur votre cas d'usage Lire le whitepaper sectoriel
Zero-knowledge OpenPGP.js v6, Argon2id, HMAC-SHA-256
Audit chain vérifiable indépendamment
Hébergement France, juridiction française
Code AGPLv3, auto-hébergeable, air-gappable
Multi-organisation à compte-pivot, cloisonnement strict
Loading…
Loading the web debug toolbar…
Attempt #