Sécurité

Sécurité by design, pas en option

L'architecture gbox est pensée d'abord pour que vos données ne sortent jamais. Voici comment, concrètement.

🏢

100 % on-premise

Aucune connexion sortante par défaut. La Box fonctionne dans votre LAN, isolable en air-gap si besoin. Vos données ne transitent JAMAIS par un service tiers.

🔐

Chiffrement bout-en-bout

TLS interne, FileVault sur disque, Postgres chiffré at-rest, sauvegardes Restic chiffrées. Les clés restent chez vous, jamais chez nous.

👤

SSO entreprise

Intégration native Active Directory, Azure AD, Okta, Google Workspace via OIDC. Authentik en frontal pour les autorisations fines par groupe.

📋

Audit logs

Toute interaction tracée et signée : qui a posé quoi, quand, à quel modèle, avec quelles sources. Rétention configurable selon votre politique.

Architecture

Une Box, des couches

┌──────────────────────────────────────────────────────┐
│  Internet                            ❌ pas d'accès  │
└──────────────────────────────────────────────────────┘
                         │
                ┌────────┴────────┐
                │  Firewall LAN   │   Port 443 entrant uniquement
                └────────┬────────┘
                         │
       ┌─────────────────┴─────────────────┐
       │  Reverse proxy + TLS (Caddy)      │   Cert. CA entreprise
       └─────────────────┬─────────────────┘
                         │
       ┌─────────────────┴─────────────────┐
       │  SSO Authentik   (OIDC vers AD)   │   Auth + autorisation
       └─────────────────┬─────────────────┘
                         │
   ┌──────────────┬──────┴──────┬──────────────┐
   │ Open WebUI   │ LiteLLM     │ Ragnight     │
   │ (chat UI)    │ (API gw)    │ (RAG, KB)    │
   └──────┬───────┴──────┬──────┴──────┬───────┘
          │              │             │
          └──────────────┴─────────────┘
                         │
                ┌────────┴────────┐
                │  Ollama         │   Modèles locaux
                │  (Gemma 4 ...)  │   GPU/Apple Silicon
                └─────────────────┘

  Postgres (chiffré at-rest, FileVault)
  Audit logs centralisés (rétention configurable)
  Sauvegardes Restic chiffrées vers NAS interne

Comparaison

gbox vs services cloud d'IA générative

Critère	gbox (on-prem)	ChatGPT / Claude / Gemini cloud
Où vivent vos données ?	Dans votre datacenter	Datacenters US/UE éditeur
Données en transit	LAN interne, TLS	Internet vers cloud public
Données au repos	Vos disques, vos clés	Disques éditeur, leurs clés
SSO entreprise	Natif (OIDC/SAML)	Selon plan
Clés de chiffrement	Sous votre contrôle	Géré par l'éditeur
Audit logs	Complets, à vous	Partiels, leur périmètre
Base légale RGPD	Traitement interne (article 6)	Sous-traitance + DPA
Notification de violation	Vous décidez	Selon SLA éditeur
Lock-in fournisseur	Aucun, vous gardez tout	Élevé

Conformité

Notre roadmap conformité

🇪🇺

RGPD

Conformité native par architecture (pas de transfert hors UE, pas de sous-traitance par défaut).

Conforme

🛡️

SOC 2 Type 1

Démarrage Q3 2026 via Vanta. Disponibilité prévue Q1 2027.

En cours

🌐

ISO 27001

Alignement sur les contrôles ISO 27001 dès la v1.0. Certification visée Q3 2027.

Aligné

🏥

HDS (Hébergement Données de Santé)

Mode `gbox-health` disponible : configuration durcie, audit logs renforcés. Certif Q4 2027.

Disponible

⚖️

EU AI Act readiness

Documentation conforme aux exigences AI Act, transparence sur les modèles utilisés, contrôle humain par défaut.

Conforme

Une question sécurité ou conformité ?

Notre équipe peut répondre à un questionnaire DSI, fournir un dossier d'architecture détaillé, ou organiser une visio avec votre RSSI.

Échanger avec un expert