Audit inviolable
Un enregistrement qui ne peut pas être réécrit en silence.
Un journal que vous pouvez modifier n'est pas une preuve — c'est une suggestion. La piste d'audit de Clavitor est une chaîne cryptographique : chaque événement est haché dans le précédent, la position de la chaîne est témoignée sur une infrastructure séparée, et un seul passage retrace l'ensemble pour prouver que rien n'a été modifié, supprimé ou réordonné. Pas "nous promettons de ne pas y avoir touché". Vérifiez par vous-même.
Chaque action est enregistrée.
Un coffre-fort d'identifiants n'est aussi fiable que l'enregistrement de qui l'a utilisé. Clavitor enregistre chaque lecture d'identifiant, chaque remplissage automatique, chaque demande TOTP, chaque connexion, chaque modification administrative — et chaque refus. Chaque événement indique qui, quoi, quand, d'où, et comment il s'est terminé.
Qui, et quel type
Chaque événement est attribué à un acteur spécifique et étiqueté avec le type d'acteur — humain, extension de navigateur ou agent IA. L'activité de l'agent se distingue de l'activité humaine sur la même ligne, de sorte qu'une compétence de récolte ne puisse pas se cacher dans le bruit d'une utilisation normale.
Le cycle de vie complet
Créer, lire, mettre à jour, supprimer — et chaque utilisation. Le remplissage automatique et l'injection proxy sont enregistrés de la même manière qu'une lecture manuelle. Rien ne touche un identifiant en silence ; il n'y a aucun chemin vers un secret qui ne laisse pas une ligne derrière.
Des résultats, pas seulement des succès
Chaque événement enregistre comment il s'est terminé — succès, échec ou refus — avec un code de raison. Un agent bloqué, un pic de requêtes limité en débit, une IP refusée, une connexion échouée : tout est enregistré. Les auditeurs se soucient davantage de ce qui a été arrêté que de ce qui a réussi.
La chaîne
Haché dans l'historique.
Chaque ligne d'audit est liée à la précédente par un hachage. Modifiez une ligne antérieure — modifiez un champ, supprimez un événement, réordonnez deux lignes — et tous les hachages suivants ne correspondront plus. La falsification n'est pas cachée ; elle est structurelle, et elle est bruyante.
# every row carries the hash of the row before it row_hash = SHA256( prev_hash | event_id | created_at | data ) # any edit, delete, or reorder breaks the recomputation # rows are append-only — never UPDATEd, never DELETEd
C'est le même principe d'ajout uniquement sur lequel repose l'ensemble du coffre-fort — le journal d'audit ne bénéficie pas d'une version plus faible de celui-ci. Pourquoi rien n'est jamais écrasé →
Témoigné hors serveur
Le réécrire localement ne suffit pas.
Une chaîne seule protège contre les modifications à l'intérieur du journal. Mais l'opérateur qui détient le disque pourrait, en théorie, recalculer toute la chaîne à partir d'un point de départ falsifié. La chaîne ne vit donc pas uniquement sur le serveur qui l'écrit.
La tête de la chaîne de chaque coffre-fort est ancrée à une infrastructure séparée — un témoin unidirectionnel qui enregistre où était la chaîne à chaque instant. Pour réécrire l'historique de manière convaincante, vous devriez vaincre le journal et le témoin, de manière synchronisée, sans jamais être en désaccord.
Un second système se souvient de la position
Le POP qui écrit le journal pousse la tête de sa chaîne — séquence et hachage — vers le central comme témoin au mieux de ses capacités. Le central n'est jamais dans le chemin d'écriture, il ne peut donc jamais ralentir le coffre-fort ; il se souvient seulement de ce qu'on lui a dit être l'état de la chaîne la dernière fois.
Si le journal local devient plus court que la position témoignée, c'est un retour en arrière. Si une position témoignée revient avec un hachage différent, c'est une bifurcation. L'un ou l'autre est une tentative de troncature ou de réécriture — et l'un ou l'autre déclenche une alerte opérateur dès qu'il est détecté.
Vérifiez à la demande
Un passage. Intact, ou brisé.
Vous n'avez pas à nous croire sur parole. Le coffre-fort retrace la chaîne depuis la première ligne, recalcule chaque hachage et vous donne le résultat — un badge de vérification qui indique intact ou, si un seul octet a bougé, brisé. Il n'y a pas d'orange, pas de « probablement correct ». Une vérification de sécurité qui échoue doit échouer bruyamment ; celle-ci le fait.
Chiffré, et toujours interrogeable
L'enregistrement prouve qui a agi — sans exposer ce qu'il a touché.
Le journal d'audit est chiffré au repos avec le même schéma de chiffrement au niveau du champ que les identifiants qu'il suit. Seules les colonnes structurelles — ID d'événement, ID d'entrée, horodatage — restent en texte brut, car c'est tout ce dont une requête a besoin. Un disque volé produit des jetons opaques, pas une carte de vos adresses IP, acteurs et modèles d'accès.
Les pivots fonctionnent toujours sans tout révéler. Chaque ligne contient des jetons de compartiment hachés et clés, de sorte que "tout ce que cette IP a fait" ou "chaque lecture refusée" s'exécute comme une recherche indexée et ne déchiffre que les lignes correspondantes — jamais l'ensemble du corpus, jamais un index en texte brut qu'un voleur de disque pourrait lire. Vous obtenez la requête. L'attaquant obtient du bruit.
Le rapport
Preuves de conformité, à la demande.
Le journal d'audit est une page de première classe dans le coffre-fort — pas une exportation que vous reconstruisez après coup. Filtrez par acteur, entrée, IP ou plage de dates. Cliquez sur n'importe quelle cellule pour pivoter. Triez par n'importe quelle colonne. Groupez par jour, action, résultat ou acteur. Les puces de facette affichent les comptes en direct à mesure que vous affinez. Exportez le résultat en CSV pour votre SIEM ou votre auditeur.
CMMC NIVEAU 2
Preuves d'audit et de responsabilité
Les contrôles NIST SP 800-171 3.3.1 (enregistrer ce qui est nécessaire), 3.3.2 (lier à l'identité) et 3.3.8 (protéger l'intégrité du journal) demandent une identité par événement, une IP et un horodatage, stockés de manière protégée et résistante à la falsification. Clavitor enregistre les trois, chiffre le journal et le chaîne.
SOC 2 · ISO 27001
Preuves de surveillance, interrogeables
Le critère des Services de confiance CC7.2 et ISO/IEC 27001 A.8.15 exigent des journaux d'authentification et d'actions privilégiées. Chaque accès à un identifiant est un tel événement — typé par acteur, horodaté par résultat, chiffré, filtrable et exportable.
HIPAA · RGPD
Responsabilité, par conception
Les contrôles d'audit HIPAA §164.312(b) et les obligations de responsabilité du RGPD Article 32 sont satisfaits par le même journal. Pas de module de conformité séparé, pas de frais supplémentaires — la piste d'audit fait partie du produit. Les plans d'entreprise ajoutent l'exportation inter-coffres vers votre SIEM.
La politique devient une preuve.
Sans un enregistrement digne de confiance, chaque affirmation sur le contrôle d'accès n'est qu'une politique — "nous ne regardons pas", "les agents sont à portée limitée", "rien ne fuit". Avec un journal chaîné, témoigné et vérifiable, ces affirmations deviennent des choses que vous pouvez vérifier. C'est la différence entre vous demander de nous faire confiance et vous permettre de nous prouver.
Voir l'autre moitié de l'enregistrement.
La piste d'audit prouve qui a agi. L'immuabilité prouve que les données sur lesquelles ils ont agi n'ont jamais été modifiées en silence en dessous d'eux.