Sécurité & IT

Conçu pour le
Directeur IT.

Auto-hébergé, non-root, aucun appel sortant. Voici tout ce dont vos équipes sécurité et infrastructure ont besoin pour valider Kilter.

Ce que vous évaluez
Avant Kilter

La boucle IT quotidienne

  • 06:00 — scripts d'extraction lancés à la main sur le core
  • Les ops trouvent un fichier manquant, mal daté ou pour le mauvais compte
  • L'outil de rapprochement de référence (Corona ou équivalent) l'ingère
  • L'audit demande qui a décidé quoi, et quand
Avec Kilter

L'étape un disparaît

  • Core Pull lit l'extrait GL directement depuis votre core
  • La collecte SFTP / IMAP alimente le scanner — aucun fichier porté à la main
  • Le moteur propose les rapprochements ; l'humain confirme ou rejette
  • Chaque décision est scellée dans un journal d'audit inviolable
Posture de sécurité

Auditée, durcie, prête pour l'audit.

TOTP obligatoire à chaque connexion

Microsoft / Google Authenticator d'emblée ; ajoutez la couche AD / LDAPS optionnelle pour une MFA mot-de-passe + TOTP complète. Un cache anti-rejeu bloque la réutilisation des codes (30 s).

Non-root, rootfs en lecture seule

Tourne en UID 10001, toutes les capacités Linux retirées, no-new-privileges appliqué. Seuls les montages sont accessibles en écriture.

Chiffré au repos

Secrets TOTP + identifiants SMTP protégés par Fernet (AES-128-CBC + HMAC-SHA256). La clé reste dans votre gestionnaire de secrets.

Journal d'audit inviolable

Chaque connexion, dépôt, rapprochement, litige et export — horodaté UTC, bloqué en UPDATE/DELETE par des déclencheurs BD, et scellé sous des ancres SHA-256 chaînées. Un point de vérification détecte les modifications faites même par accès direct à la BD.

Réduction du périmètre PCI-DSS

Le PAN complet n'est jamais conservé — masqué en first6 + last4 à la jointure du parseur. Aucune SAD acceptée ; texte libre expurgé à l'ingestion.

Auto-hébergé. Aucun appel sortant.

Tourne sur votre VM ou cloud privé. Aucune télémétrie, aucune vérification de mise à jour, aucune donnée ne quitte votre infrastructure.

Exécution
Python 3.13 · FastAPI · uvicorn mono-processus
Base de données
SQLite (WAL, sauvegarde à chaud) par défaut · PostgreSQL intégré (MVCC) pour l'échelle
Collecte
Dépôt de dossier · collecte SFTP / IMAP · Core Pull (toute BD)
Langues
Anglais · Français (en pilote relecteur natif)
Interface
Jinja2 rendu côté serveur — pas de SPA, aucune dépendance à un framework JS
Conteneur
Non-root UID 10001 · rootfs en lecture seule · capacités retirées
Sortant
Uniquement Teams (443) + SMTP (587) si vous activez les alertes
Entrant
Un seul port HTTPS que vous contrôlez. /docs & /openapi désactivés par défaut
La décision IT

Ce que votre équipe est amenée à évaluer.

Posture de sécurité

Durcissement du conteneur, MFA, chiffrement, immuabilité de l'audit — à confronter à votre référentiel CIS.

Adéquation du déploiement

FastAPI mono-processus sur une seule VM. Docker ou systemd. Aucun service externe requis pour fonctionner.

Intégration des identités

Couche mot-de-passe AD / LDAPS optionnelle ; le TOTP reste le second facteur. Modèle de rôles maker / checker.

Connectivité au core

L'option Core Pull lit les extraits GL directement depuis Oracle / MS-SQL / Postgres / MySQL.

Résidence des données

Tout reste sur votre infrastructure. Vous détenez la clé de chiffrement et la base de données.

Conditions commerciales

Licence par capacité, utilisateurs illimités, licence propriétaire. Frais de pilote crédités sur l'An 1.

Faible risque, réversible

Un pilote IT de quatre semaines.

Semaine 1

Mise en place

Déployez le conteneur sur votre VM, enrôlez le TOTP et câblez AD/LDAP pour une MFA complète. Aucune donnée ne quitte la machine.

Semaine 2

Créer les modèles

Mappez vos formats de relevé et d'extrait GL avec l'assistant BYO CSV/XLSX. Liez-les aux comptes.

Semaine 3

Exécuter en parallèle

Rapprochez en parallèle de votre outil de référence. Comparez le nombre d'anomalies et les décisions, côte à côte.

Semaine 4

Basculer

Validez les critères de succès fixés d'avance. Convertissez — ou repartez. Les frais de pilote sont crédités sur l'An 1.

Vous voulez le briefing IT complet ?

Nous présentons à vos équipes sécurité et infrastructure le modèle de menaces, le déploiement et un pilote en exécution parallèle sur votre propre VM.

Demander le briefing