Cybee > Notre FAQ > Faq générale Cybee > Comment est assuré la confidentialité des données et des sauvegardes ?

Comment est assuré la confidentialité des données et des sauvegardes ?

Comment Cybee protège vos données et vos sauvegardes ?

La confidentialité de vos données repose sur plusieurs mécanismes distincts.

Concernant les données sauvegardées elles-mêmes

Cybee ne les voit pas. Les sauvegardes transitent directement de l’agent installé sur vos serveurs protégés vers votre environnement S3 contenant les sauvegardes.

  • Elles ne passent jamais par l’infrastructure de production Cybee.

Les blocs de données chiffrés par Restic (AES-256) ne sont donc jamais accessibles à la plateforme Cybee, ni lors du transfert, ni au repos.

Concernant les clés de chiffrement 

Elles sont gérées avec un niveau de protection élevé (mais pas dans un modèle zero-knowledge).

  • Les mots de passe des dépôts sont stockés dans un coffre-fort de secrets (Vault), accessible uniquement via un composant interne dédié (vault-proxy) qui ne dispose d’aucune API publique.
  • En pratique, ce mot de passe est chiffré dès sa sortie du vault et reste chiffré jusqu’à l’orchestrateur qui en a besoin pour les opérations de maintenance (check, prune, forget).

Nota : Une évolution prévue ira plus loin : le mot de passe sera chiffré jusqu’à l’agent ou au service spécifique au moment précis où il en a besoin, et uniquement ce composant pourra le déchiffrer.

Deux modes de gestion des clés sont disponibles

Soit Cybee génère un mot de passe aléatoire pour votre dépôt et le stocke dans le vault, soit vous fournissez votre propre mot de passe qui est alors enregistré dans le vault.

Dans les deux cas, l’accès est strictement encadré par le système de permissions ReBAC : par défaut, aucun opérateur humain n’a accès aux mots de passe, et un agent ne peut y accéder que pendant la fenêtre temporelle où il doit effectuer une sauvegarde.

En résumé : Cybee n’est pas une architecture zero-knowledge au sens strict, mais la combinaison du chiffrement des données à la source, de la non-traversée de l’infrastructure Cybee par vos données, et de la protection des clés par vault avec contrôle d’accès granulaire offre un niveau de confidentialité conforme aux exigences RGPD et aux recommandations de l’ANSSI pour les solutions de sauvegarde cloud.