Une stack 100 % auditable, souveraine, vérifiable.
Orchessia Trust est conçu pour être démontrable jusqu'àu dernier composant. Zéro dépendance hyperscaler extra-européenne. Zéro bibliothèque cryptographique externe opaque. Hébergement strictement UE, déployable on-premises ou cloud souverain SecNumCloud.
Neuf domaines, neuf implémentations natives.
Orchessia Trust utilise exclusivement la bibliothèque standard Node.js (node:crypto) pour les primitives cryptographiques. Chaque ligne est auditable. Pas de jose, pas de noble, pas d'opentimestamps.
| Domaine cryptographique | Implémentation Orchessia Trust | Justification souveraineté |
|---|---|---|
| Ed25519 / ECDSA P-256 / SHA-256 / AES-256-GCM | Bibliotheque standard Node.js (node:crypto) | Primitive auditée, etablie, aucun composant tiers opaque. |
| JWS — JSON Web Signature (RFC 7515) | Implementation native, environ 80 lignes auditables | Pas de dépendance jose / jsonwebtoken. |
| JCS — Canonical JSON (RFC 8785) | Implementation native, environ 50 lignes | Determinisme des condensats garanti par notre propre code. |
| Arbre de Merkle SHA-256 | Implementation native, environ 120 lignes | Pas de dépendance merkletreejs. |
| ASN.1 DER / X.509 / CMS | node:crypto.X509Certificate et ASN.1 natif | Pas de dépendance node-forge ni asn1.js. |
| Horodatage RFC 3161 | Autorite d'horodatage souveraine Orchessia Trust (ECDSA P-256, CMS) | Independance vis-a-vis d'OpenTimestamps. Reconnu eIDAS. Compatible openssl. |
| Identité et biometrie | Tesseract.js WASM, ONNX SCRFD, ArcFace local | Pas d'Onfido, Jumio ou Sumsub. Données biometriques jamais transmises a un tiers. |
| Authentification administrateurs | WebAuthn navigateur, @simplewebauthn/server | Pas d'Auth0, Okta ou Cognito. Clé hardware-backed obligatoire. |
| Stockage des cles | HashiCorp Vault on-premises (fallback pgcrypto + KEK environnement) | Pas de KMS hyperscaler (AWS, GCP, Azure). |
Strictement Union européenne.
Aucune donnée Orchessia Trust ne transite par un hyperscaler extra-européen. Le déploiement est possible en cloud souverain (OVHcloud, Outscale) ou directement on-premises chez le client.
Datacenters Roubaix, Strasbourg, Gravelines. Réseau privé. Isolation tenant stricte. Conformité RGPD native.
Filiale Dassault Systèmes. Multi-région UE. Compatibilité HDS pour la santé. Capacité défense souveraine.
Programme Sovereign : déploiement air-gap possible, HSM dédié, cérémonie de clés notariée, séquestre code source.
HashiCorp Vault on-premises, jamais de KMS hyperscaler.
Les clés cryptographiques (signatures Ed25519, ECDSA TSA, KEK chiffrement) sont stockées dans HashiCorp Vault déployé chez le client ou sur infrastructure souveraine. En programme Sovereign, HSM dédié avec cérémonie de clés filmée.
- Stockage
- HashiCorp Vault
- Cérémonie
- Génération automatique
- Audit
- Journalisation des accès
- Stockage
- HSM dédié
- Cérémonie
- Cérémonie filmée
- Audit
- Rotation et révocation tracées
- Stockage
- HSM redondant + sequestre
- Cérémonie
- Cérémonie notariée
- Audit
- Séquestre du code source
Signaler une vulnérabilité.
Orchessia Trust accueille les rapports de vulnérabilités selon le standard CVD (Coordinated Vulnerability Disclosure). Périmètre : domaine et sous-domaines trust.orchessia.fr, bibliothèques SDK, certificat TSA et sa chaîne de confiance.
Auditer Orchessia Trust en profondeur.
Sous accord de confidentialité, votre RSSI ou auditeur externe peut consulter le code source, les rapports d'audit, et participer à la cérémonie de clés.