Licence et fonctionnement hors ligne

Le modèle de licence JWT Ed25519 de POSITRONIA, le jeton hors ligne 30 jours pour environnements air-gappés, et le scellement cryptographique des rapports (intégrité SHA-256 + signature Ed25519).

Dernière mise à jour :

Binaire gratuit, licence payante

POSITRONIA suit un modèle simple : le binaire est gratuit et inerte sans licence. Vous pouvez l'installer et l'inspecter librement ; c'est la licence qui active l'usage du scanner. Cette séparation est volontaire — elle vous laisse évaluer l'outil avant tout engagement, et elle est cohérente avec notre doctrine local-first (rien à activer côté serveur pour scanner).

La licence : JWT signé Ed25519

La licence prend la forme d'un jeton JWT signé par cryptographie Ed25519. POSITRONIA vérifie cette signature localement, sur votre machine, avant d'ouvrir les fonctions sensibles du scanner. La vérification n'a pas besoin de contacter en permanence un serveur central.

Deux modes de validation coexistent :

  • Vérification en ligne périodique (tous les 7 à 30 jours) — le mode courant.
  • Jeton hors ligne 30 jours — pour les environnements air-gappés.

Fonctionnement hors ligne (air-gapped)

C'est un différenciateur clé pour les organisations à forte exigence de sécurité.

Depuis votre Espace Client, vous pouvez générer un jeton hors ligne valable 30 jours. Une fois ce jeton installé, POSITRONIA fonctionne sans aucune connexion réseau pendant toute sa durée de validité.

Cela rend POSITRONIA utilisable dans des environnements totalement isolés : banques privées, santé, défense, cabinets juridiques sensibles — des contextes que les scanners cloud ne peuvent pas servir.

Des rapports scellés cryptographiquement

Chaque rapport produit par POSITRONIA est scellé pour garantir son intégrité dans le temps :

  • Intégrité SHA-256 — une empreinte cryptographique de chaque rapport, chaînée entre rapports successifs, établit une preuve d'intégrité temporelle.
  • Signature Ed25519 — chaque rapport est signé, ce qui authentifie son origine.

Concrètement : un rapport ne peut pas être modifié rétroactivement sans casser la chaîne. La régularité de vos scans devient elle-même une preuve — vous documentez votre travail continu d'adaptation à l'évolution réglementaire et technique.

Honnêteté sur le chiffrement

Nous vendons de la conformité ; nous nous tenons donc à un langage exact sur la sécurité. Voici ce que POSITRONIA garantit, sans sur-promesse :

  • Chiffrement au repos des rapports stockés (AES-256-GCM).
  • Anonymisation locale des données avant tout traitement optionnel.
  • Scellement Ed25519 et intégrité SHA-256 des rapports.

Nous ne revendiquons pas de « zero-knowledge », de « serveur aveugle » ni de chiffrement « de bout en bout » : l'implémentation actuelle ne correspond pas à ces notions, et un vendeur de conformité doit être exact plutôt qu'audacieux sur sa crypto.

Bientôt (Phase C). L'horodatage qualifié eIDAS et l'opposabilité temporelle pleine sont prévus en Phase C. À ce stade, le scellement constitue une preuve d'intégrité technique solide, et non un horodatage qualifié au sens eIDAS.

Documenter ≠ certifier

Rappel du principe non négociable : POSITRONIA produit le dossier (rapports, livrables, preuve d'intégrité), mais ne certifie pas au sens du RGPD (Art. 42-43) ou de l'AI Act (Art. 43). Un expert vérifié de l'Annuaire — DPO ou avocat tech — revoit et signe ce qui nécessite une validation professionnelle.

Récapitulatif

  • Le binaire est gratuit ; la licence (JWT Ed25519, vérifiée localement) l'active.
  • Jeton hors ligne 30 jours → usage en environnement air-gappé.
  • Rapports scellés : intégrité SHA-256 + signature Ed25519, chiffrés au repos AES-256-GCM.
  • Horodatage qualifié eIDAS : bientôt (Phase C).