Pourquoi faire confiance à Thalaxo ?
Lecture seule par défaut. Révocable en un clic.
Zéro stockage durable de credentials cloud.
Ce que Thalaxo peut — et ne peut pas — faire
Chaque connexion cloud démarre avec le niveau de permission le plus bas possible. Vous décidez si — et quand — vous accordez davantage.
Lecture seule par défaut
Les nouvelles connexions démarrent au niveau OBSERVER : découverte, tableaux de bord, insights FinOps — aucune mutation sans votre accord explicite.
Révocable en un clic
Déconnexion → secrets purgés → instructions de teardown pour AWS, Azure et GCP. Sans ticket. Sans appel support.
Zéro stockage de credentials
HashiCorp Vault HA + chiffrement enveloppe AWS KMS (AES-256-GCM). Aucun secret en clair. Jamais.
Piste d’audit complète
Chaque action est tracée : qui, quand, depuis quelle IP, état avant/après, identifiant de job. Historique immuable avec lien de rollback.
Chiffrement à chaque couche
Protection standardisée en transit et au repos — sans exception.
Vous pouvez retirer l’accès de Thalaxo en un clic.
Vos secrets sont purgés immédiatement.
Vous recevez les instructions de teardown côté provider.
Sans ticket. Sans projet de migration.
Révoquer dans la console
Un seul bouton de déconnexion.
Secrets purgés immédiatement
Vault vidé. Contexte de clé KMS invalidé.
Instructions de teardown envoyées
AWS CloudFormation / rôle Azure / GCP WIF — nettoyage complet côté client.
Certifications & conformité
SOC 2 Type II
AICPA SSAE 18 — Trust Services Categories : Sécurité, Disponibilité, Confidentialité, Intégrité du traitement. Kick-off juin 2026. Identité de l’auditeur communiquée sous NDA.
ISO 27001
Engagement SMSI initié. Analyse d’écarts et feuille de route en cours. Cible : décembre 2026. Identité de l’auditeur communiquée sous NDA.
RGPD & Souveraineté des données
Production : AWS eu-west-3 (Paris, France) — déploiement en cours. KMS, S3 et sauvegardes déjà en Paris. Vos workloads cloud restent dans vos comptes.
Questions fréquentes
Ce que les CTOs et les équipes sécurité demandent avant de connecter leur cloud.
Stockez-vous mes clés d’accès AWS ?
Non — dans le cas recommandé. Nous utilisons AssumeRole (AWS), la délégation de rôle (Azure) ou Workload Identity Federation (GCP). Aucune clé d’accès longue durée stockée comme chemin principal. Tout credential en transit est chiffré par enveloppe avec AWS KMS et purgé à la révocation.
Êtes-vous certifiés SOC 2 aujourd’hui ?
Nous sommes sous audit SOC 2 Type II depuis juin 2026. Nous ne revendiquons pas un rapport Type II complété avant que l’auditeur ne l’émette. L’identité de l’auditeur est disponible sur demande sous NDA. Les contrôles sont documentés, justifiés et en cours de revue indépendante — pas auto-attestés.
Où sont hébergées les données ?
Production cible : AWS eu-west-3 (Paris, France) — déploiement en cours. KMS, S3 et sauvegardes sont déjà dans eu-west-3. Vos workloads cloud restent dans les régions que vous choisissez — Thalaxo ne devient jamais responsable du traitement de vos données d’infrastructure.
Peut-on rester en lecture seule définitivement ?
Oui. Le niveau OBSERVER est le niveau par défaut et suffit pour toutes les fonctionnalités FinOps : découverte complète de l’inventaire, tableaux de bord de coûts, recommandations de rightsizing et rapports d’audit PDF. Les opérations d’écriture nécessitent un upgrade explicite que vous choisissez par credential.
Que se passe-t-il si on arrête d’utiliser Thalaxo ?
Révoquez les credentials dans la console → secrets purgés immédiatement → instructions de teardown par provider (suppression du stack CloudFormation AWS, retrait du rôle Azure, unbind GCP WIF). Votre compte cloud n’a plus aucun principal Thalaxo actif. Aucun projet de migration requis.
Besoin de la matrice de contrôles détaillée ?
Demandez notre dossier sécurité SOC 2 et les preuves de contrôles sous NDA.
Disponible pour les revues sécurité enterprise et les questionnaires d’achat.