← Retour à Majordome Architecture de sécurité

Pas de promesses.
Une architecture vérifiable.

La plupart des SaaS vous demandent de leur faire confiance sur parole. Majordome vous donne les outils pour vérifier vous-même.

Note d'honnêteté. Aucun service IA basé sur LLM ne peut prétendre que ses opérateurs ne voient jamais les données qu'il traite — le modèle doit lire le contenu pour le traiter. Ce que Majordome promet, c'est que chaque accès est techniquement contraint, journalisé, et vérifiable par vous. La sécurité par audit, pas par invisibilité.

Le principe : couches indépendantes

Notre sécurité repose sur quatre couches qui se vérifient mutuellement. Aucune ne dépend de la confiance que vous nous accordez ; chacune est techniquement enforcée.

┌──────────────────────────────────────────────────────┐ │ COUCHE 1 — Réseau │ │ Tailscale VPN privé · UFW deny-all · TLS 1.3 │ │ Votre serveur est invisible depuis internet public │ └──────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────┐ │ COUCHE 2 — Disque │ │ LUKS full-disk AES-256 │ │ Clé n'est PAS sur le disque, fetched depuis Vault │ └──────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────┐ │ COUCHE 3 — Base de données applicative │ │ SQLCipher AES-256 sur la DB SQLite │ │ Deuxième clé indépendante, fetched depuis Vault │ └──────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────┐ │ COUCHE 4 — Audit │ │ Backblaze B2 Object Lock (mode Compliance) │ │ Chaque accès admin loggé, IMPOSSIBLE à supprimer │ │ Token lecture pour vous │ └──────────────────────────────────────────────────────┘

Couche 1 — Réseau

Votre serveur invisible

Votre VPS est protégé par Tailscale, un VPN maillé moderne. Le port SSH n'est pas accessible depuis l'internet public — uniquement depuis le réseau privé Tailscale dont vous et nous sommes membres.

Concrètement : si quelqu'un scanne votre adresse IP publique, il ne voit aucun port ouvert. Le pare-feu UFW est en mode deny-all par défaut, avec une seule règle d'autorisation pour SSH sur l'interface Tailscale.

Chiffrement en transit

TLS 1.3 obligatoire pour toute communication externe. Entre nos serveurs (par exemple votre VPS et notre Vault), nous utilisons mTLS (TLS bidirectionnel) avec certificats auto-signés vérifiés.

Couche 2 — Chiffrement disque

LUKS, le standard Linux

Tout votre disque est chiffré avec LUKS (Linux Unified Key Setup) en AES-256. Si quelqu'un vole physiquement le serveur ou son disque, il obtient un disque illisible.

La clé n'est pas sur le disque

Le point critique : la clé LUKS ne réside pas sur le serveur lui-même. Elle est stockée dans HashiCorp Vault, sur un serveur séparé. Au démarrage, votre VPS contacte le Vault via Tailscale (mTLS), récupère la clé, déverrouille le disque, puis efface la clé de la mémoire.

Conséquence pratique : si nos serveurs sont saisis sans le Vault, ou si le Vault est saisi sans le serveur, dans les deux cas l'attaquant n'a rien d'exploitable.

Couche 3 — Chiffrement base de données

SQLCipher au-dessus de SQLite

La base de données qui contient vos conversations, documents, messages, est chiffrée avec SQLCipher en AES-256, indépendamment du chiffrement disque. C'est une deuxième couche : même quelqu'un qui aurait un accès root au serveur (par exemple nous, en support) ne peut pas lire la base sans la clé applicative.

Vérification possible : ouvrir le fichier bridge.db avec sqlite3 standard renvoie l'erreur "file is not a database". Seul le moteur SQLCipher avec la bonne clé peut le lire.

Couche 4 — Audit logs immutables

Backblaze B2 Object Lock

Chaque action administrative sur votre VPS est journalisée puis envoyée vers Backblaze B2 avec Object Lock en mode Compliance. Ce mode rend les fichiers cryptographiquement immuables pendant la durée de rétention configurée (90 jours minimum chez nous) — nous ne pouvons pas les supprimer ni les modifier, même avec les credentials root du compte Backblaze.

Vous avez un token lecture

Pour les formules Intendance et au-delà, nous vous fournissons un token de lecture limité à votre tenant. Vous pouvez interroger l'API Backblaze à tout moment et voir en temps réel qui s'est connecté à votre serveur, à quelle heure, depuis quelle IP, et quelle commande a été exécutée.

Ce qu'on log, ce qu'on ne log PAS

On log : connexions SSH (qui, quand, durée), commandes sudo, accès Vault, déclencheurs de cron, dispatches du bridge (timestamp, identifiant de groupe hashé, latence).

On ne log JAMAIS : contenu de vos messages WhatsApp, contenu de vos documents, identifiants de personnes physiques en clair, données chiffrées par leur clé.

Différenciation par formule

€59 / mo

Essentiel

Conteneur isolé sur infrastructure mutualisée. Numéro bridge partagé Majordome. Encryption au niveau tenant. Audit logs disponibles à la demande.

€149 / mo

Intendance

VPS dédié à votre nom. Stack complète LUKS + SQLCipher + Vault + Backblaze. Token lecture audit logs inclus. Backups chiffrés avec votre clé.

€499 / mo

Le Domaine

Souveraineté maximale. Vous possédez votre compte Unipile, les webhooks vont directement à votre VPS sans passer par notre infrastructure. Notre seul accès : SSH admin (audité).

sur devis

Le Domaine Souverain

Self-hosted complet. Vous hébergez tout. Nous fournissons le code signé, vous le déployez. Aucun accès technique de notre part.

Numéro bridge partagé (Essentiel) — la transparence sur le dispatcher

Pour la formule Essentiel, votre numéro bridge est partagé entre plusieurs clients Majordome. Un dispatcher technique route chaque message selon l'identifiant du groupe d'origine.

Garanties techniques du dispatcher

Authentification & accès admin

Backups

Notification de violation

En cas d'incident de sécurité affectant vos données, nous vous notifions sous 72 heures conformément au RGPD article 33. Notre plan de réponse documente les rôles, les escalades, les communications obligatoires aux autorités (CNIL en France, équivalents nationaux ailleurs).

Conformité

CadreStatutComment
RGPD (UE)✓ ConformePrivacy policy, DPA, RoPA, droits exerçables
POPIA (Afrique du Sud)✓ ConformeInformation Officer désigné, registration en cours
CCPA (Californie)✓ ConformeSection dédiée dans privacy policy
SOC 2 Type I○ Planifié 2026 H2Audit prévu une fois 10+ clients actifs
ISO 27001○ Roadmap 2027Sera engagé après SOC 2

Vérification continue

Pour les formules Intendance et au-delà, vous pouvez à tout moment :

Pour aller plus loin

DERNIÈRE MISE À JOUR · 16 AVRIL 2026 · VERSION 01
CONTACT · SECURITY@TRYMAJORDOME.COM