Aller au contenu principal
Sécurité et conformité

Où le code s'exécute, où les identifiants sont stockés, et qui a approuvé quoi

Avant de confier vos processus métier à l'IA, ces quelques questions méritent d'être éclaircies. Cette page y répond point par point, chacun correspondant à un mécanisme déjà mis en œuvre dans la plateforme.

Les étapes de code s'exécutent dans une sandbox DockerIdentifiants chiffrés en AES-256-GCMDéploiement privé pris en charge
Six lignes de défense

Chaque ligne de défense correspond à un mécanisme déjà en place

Six cartes couvrent chacune un aspect, les éléments étant tous tirés de l'implémentation actuelle du produit.

SBXIsolation d’exécution
  • Les étapes de code s'exécutent dans une sandbox Docker, chaque exécution utilisant un nouveau conteneur
  • Chaque langage utilise une image d'exécution dédiée
  • L'accès réseau du conteneur est contrôlé, avec un délai d'expiration par défaut de 30 secondes
AESSécurité des identifiants
  • Les identifiants sont stockés chiffrés en AES-256-GCM
  • La rotation des clés de chiffrement est prise en charge
  • Claude Pro / ChatGPT peuvent passer par une connexion à l'abonnement, sans avoir à coller d'API Key
SSOIdentité et accès
  • 14 méthodes de connexion OAuth / OIDC, dont un OIDC auto-hébergé
  • Les API Key sont émises selon 6 portées de moindre privilège
  • Déclencher une exécution, lire les résultats et répondre à une validation peuvent chacun utiliser leur propre Key
GATEPortes de validation
  • Une étape marquée manual_approval met l'exécution en pause et notifie via les trois canaux — App, e-mail et API
  • Les valeurs du formulaire de validation sont modifiables directement, par exemple pour ajuster l'enchère avant d'approuver
  • Refus automatique en cas de dépassement du délai, dont la durée est configurable
LOGAudit et traçabilité
  • Chronologie d'exécution, journal de chaque étape, consommation de token et coût enregistrés à chaque exécution
  • Le déroulement de l'exécution peut être exporté en JSON / YAML
  • Le palier Enterprise fournit des journaux d'audit
CAPQuotas et coûts
  • Le nombre d'exécutions concurrentes est limité selon le palier : 1 / 5 / 15 / 50
  • L'historique d'exécution est conservé selon le palier, soit 180 jours pour le palier Team
  • L'usage de l'assistant IA est plafonné par jour, soit 20 fois/jour pour le palier Pro
Isolation d’exécution

Des étapes de code dans 7 langages, toutes exécutées en sandbox

python, javascript, typescript, bash, ruby, lua, cli : quel que soit le langage, les étapes de code en production s'exécutent dans un conteneur Docker.

Les étapes de code sont la partie la plus puissante d'un workflow, et aussi celle qui a le plus besoin de limites. Qu'un script soit généré par l'assistant IA ou écrit de votre main, il s'exécute dans la même sandbox.

  • Le conteneur est créé au moment de l'exécution et détruit dès qu'elle se termine
  • Chaque langage dispose d'une image d'exécution dédiée, l'accès réseau du conteneur étant contrôlé
  • Les variables du workflow sont injectées sous forme de variables d'environnement WF_VAR_*
  • Délai d'expiration par défaut de 30 secondes ; les artefacts sont exportés via un canal dédié et téléchargeables depuis le détail de l'exécution
sandbox-profileproduction
# per-run sandbox profile (illustrative)
container:
  lifecycle: ephemeral              # create, run, destroy
  image: dedicated-per-language  # 7 runtimes
  network: controlled-egress
  timeout: 30s                     # default
env:
  WF_VAR_*: injected
artifacts:
  export: artifact-channel       # fetch from run detail

Configuration illustrative, destinée à expliquer le comportement de la sandbox ; ce n'est pas un fichier réel du produit.

Périmètre de données

Vos identifiants ne servent qu'aux appels que vous avez configurés

Dans le cloud, en BYOK, le trafic de modèle se connecte directement au fournisseur que vous avez choisi ; pour un périmètre plus strict, déployez l'ensemble de la plateforme dans votre environnement.

BYOKUtilisation dans le cloud

Les appels LLM utilisent vos propres clés et sont envoyés directement au fournisseur que vous avez configuré ; la plateforme enregistre à chaque exécution la consommation de token et le coût, et les clés sont stockées chiffrées en AES-256-GCM.

  • Plus de 15 fournisseurs au choix ; au sein d'un même workflow, chaque Agent peut utiliser un modèle différent
  • Claude Pro / ChatGPT prennent en charge une connexion à l'abonnement
  • Possibilité de brancher Ollama / LM Studio en local, les appels de modèle restant sur votre machine
SELF-HOSTEDDéploiement privé

Le palier Enterprise déploie l'ensemble de la plateforme dans votre environnement, vos données ne franchissant pas votre périmètre.

  • Définitions de workflows, journaux d'exécution et identifiants sont tous stockés dans votre infrastructure
  • Mise à l'échelle horizontale multi-instances, les métriques Prometheus se branchant sur votre supervision existante
  • Le SSO et un OIDC auto-hébergé se raccordent à votre système d'identité
GDPR

Les droits sur les données sont intégrés comme fonctionnalités du produit

Export, suppression et enregistrement du consentement : ces trois éléments disposent chacun d'un point d'accès fonctionnel dans le produit.

EXPORTExport de données

Exportez vos données personnelles en libre-service dans le produit, au titre du droit à la portabilité.

DELETEDroit à l'effacement

La suppression du compte et des données associées s'initie dans le produit, au titre du droit à l'oubli.

CONSENTRegistres de consentement

Le consentement aux cookies et les décisions d'autorisation sont enregistrés et traçables jusqu'à l'instant précis.

Questions de sécurité : posez-les directement par e-mail
Pour toute question précise sur l'architecture, la sandbox, les identifiants ou la conformité, écrivez à admin@braidrun.com ; pour vérifier par vous-même au préalable, inscrivez-vous et faites tourner un workflow via le mode demo d'un modèle.