Matrice de conformité¶
AKKO 2026.04 est pensée pour les industries régulées (banque, santé, secteur public). Cette page cartographie chaque contrôle DORA, NIS2 et RGPD pertinent pour une plateforme data + IA vers l'artéfact AKKO qui y répond.
Ceci n'est pas une certification
AKKO fournit les primitives ; la certification finale relève de votre équipe conformité avec ses auditeurs. Utilisez cette matrice comme document de traçabilité, pas comme conseil juridique.
Primitives transverses¶
Toutes les régulations ci-dessous réutilisent les mêmes briques. Les cadrer une fois, les appliquer partout :
| Primitive | Composant AKKO |
|---|---|
| Identité & accès | Keycloak (OIDC), fédération LDAP/AD optionnelle |
| Autorisation | Policies OPA Rego (Trino column mask, row filter, ABAC), auto-rules Catalog Manager Pro |
| Chiffrement au repos | StorageClass avec encryption (cloud) / Linux dm-crypt (on-prem), object storage SSE-KMS |
| Chiffrement en transit | TLS end-to-end via cert-manager + Let's Encrypt |
| Piste d'audit | Keycloak events + OPA decision logs + Trino query log + object storage audit + reçus ADEN signés HMAC + events JSON Catalog Manager → logs layer |
| Rétention logs | logs layer 14 j chaud + S3 WORM Object Lock 365 j froid (RGPD Art. 30, RTS DORA) |
| Monitoring | Prometheus + VictoriaMetrics (Apache 2.0) + Alertmanager |
| Backup / DR | Velero + velero-plugin-for-* par stockage, snapshots par CronJob |
| Résidence des données | Clouds souverains (Outscale SecNumCloud, OVHcloud UE), k3s on-prem |
| Gestion des secrets | Secrets K8s (chiffrement server-side) + SealedSecrets / External Secrets Operator, jamais ConfigMap |
DORA (Digital Operational Resilience Act, UE 2022/2554)¶
Applicable aux entités financières UE à partir du 17/01/2025.
| Chapitre DORA / Article | Contrôle | Implémentation AKKO |
|---|---|---|
| Ch. II Art. 6 | Cadre de gestion des risques TIC | docs/admin/rbac.md + policies OPA + docs/adr/ (chaque risque architectural tracé en ADR) |
| Ch. II Art. 9 | Protection & prévention | TLS (cert-manager), pod security restricted, NetworkPolicies, images signées (Cosign), barrière scan Trivy |
| Ch. II Art. 10 | Détection | Prometheus + alertes VictoriaMetrics + webhooks Alertmanager |
| Ch. II Art. 11 | Réponse & récupération | Backups Velero + dr-playbook.fr.md (cibles RTO/RPO) + dr-drill-log.fr.md (formulaire trimestriel) |
| Ch. II Art. 12 | Apprentissage & évolution | Historique Git + release notes GitHub + log ADR |
| Ch. II Art. 13 | Communication (avec autorités) | JSON d'audit exportable (logs layer → S3) |
| Ch. III Art. 17–23 | Gestion d'incidents TIC | Runbook d'astreinte (docs/admin/runbooks/*) + événements d'audit structurés |
| Ch. IV Art. 24–27 | Tests de résilience opérationnelle | tests/post-deploy/* (E2E smoke) + chaos testing recommandé à l'échelle |
| Ch. V Art. 28–44 | Risque tiers | Inventaire licences (docs/licenses/inventory.md) + images Harbor signées Cosign + scannées Trivy |
NIS2 (Directive (UE) 2022/2555)¶
Applicable aux entités essentielles et importantes à partir du 18/10/2024.
| Article NIS2 | Contrôle | Implémentation AKKO |
|---|---|---|
| Art. 20 — Gouvernance | Responsabilité management sur le risque | Log ADR + discipline planning sprint |
| Art. 21(2)(a) — Analyse de risque | Politiques de sécurité | Cette page + docs/admin/rbac.md |
| Art. 21(2)(b) — Gestion d'incidents | Processus IR | Runbooks dans docs/admin/runbooks/ |
| Art. 21(2)(c) — Continuité d'activité | Backup, DR | CronJobs Velero, exercices de restore |
| Art. 21(2)(d) — Chaîne d'approvisionnement | Sécurité vendeur/fournisseur | check-licenses.sh + artéfacts Harbor signés |
| Art. 21(2)(e) — Acquisition, dev, maintenance | SDLC sécurisé | CI Woodpecker (.woodpecker/*.yml — lint, no-hardcoding, Trivy, signature Cosign, scan licences) |
| Art. 21(2)(f) — Évaluation d'efficacité | Tests | tests/post-deploy/, E2E Playwright |
| Art. 21(2)(g) — Hygiène cyber de base | Formation | Docs bilingues (EN + FR) |
| Art. 21(2)(h) — Cryptographie | Politique crypto | TLS partout, chiffrement disque, reçus HMAC |
| Art. 21(2)(i) — Sécurité RH | Contrôle d'accès | Keycloak RBAC + fédération LDAP + mutations gated sur akko-admin |
| Art. 21(2)(j) — Gestion d'actifs | Inventaire | helm/akko/values.yaml déclare chaque version de service |
RGPD (Règlement (UE) 2016/679)¶
Applicable à tout traitement de données personnelles dans l'UE.
| Article RGPD | Contrôle | Implémentation AKKO |
|---|---|---|
| Art. 5 — Principes | Licéité, finalité, minimisation | OPA row filters + column masks (akko-opa/files/group_policies.json), vue de redaction akko_ai_pii() |
| Art. 6 — Licéité | Base légale | Documenter par tenant dans values-tenant-<id>.yaml |
| Art. 15 — Droit d'accès | Export données utilisateur | Export via API admin Keycloak + requête Trino sur iceberg.<tenant>.* — endpoint dédié sur la roadmap (#174) |
| Art. 16 — Rectification | Corriger données inexactes | UPDATE Trino standard sur les tables Iceberg |
| Art. 17 — Droit à l'effacement | Right to be forgotten | DELETE FROM iceberg.<tenant>.users WHERE user_id = ? + Keycloak DELETE /users/{id} + API admin dédiée sur la roadmap (#174) |
| Art. 20 — Portabilité | Export en format structuré | Export Superset CSV/JSON + Trino UNLOAD |
| Art. 25 — Privacy by design & by default | Protection des données intégrée | Policies OPA, masquage PII, isolation tenant |
| Art. 30 — Registre des traitements | Registre ROPA | Requêtes d'audit logs layer + audit_receipt.py signé HMAC |
| Art. 32 — Sécurité du traitement | Mesures techniques & organisationnelles | TLS + chiffrement au repos + RBAC + audit |
| Art. 33 — Notification de violation | Détection + notification sous 72 h | Alertmanager → webhook ops + piste audit requêtable |
| Art. 35 — AIPD | Analyse d'impact | Équipe conformité propriétaire ; AKKO fournit l'inventaire dans dpia-inventory.fr.md (5 sections × ~20 flux personal-data + procédures DSR/effacement + baseline transferts hors UE) |
Lacunes et roadmap¶
Les contrôles suivants sont partiellement implémentés en 2026.04 et livrés intégralement dans les sprints à venir :
| Lacune | Régulation | Statut | Tâche |
|---|---|---|---|
| API right-to-erasure | RGPD Art. 17 | Sprint 43 (livré) | POST /admin/users/{id}/erasure appuyé sur OPA + Trino DELETE + Keycloak DELETE |
| API de portabilité des données | RGPD Art. 20 | Sprint 43 (livré) | GET /admin/users/{id}/export → ZIP CSV + JSON |
| Playbook DR + doc RTO/RPO | DORA Art. 11 | Sprint 43 (livré) | dr-playbook.fr.md — chiffres mesurés par exercice |
| Journal d'exécution DR | DORA Art. 11 | Sprint 52 P2 (livré, PR #44) | dr-drill-log.fr.md — formulaire trimestriel à remplir, PDF signé en stockage froid object-locked |
| Inventaire DPIA données personnelles | RGPD Art. 35 | Sprint 52 P2 (livré, PR #43) | dpia-inventory.fr.md |
| Intégration SIEM (Splunk / Sentinel / ELK) | NIS2 Art. 21(2)(b) | Sprint 44 (livré, off par défaut) | siem-forwarder.fr.md — sub-chart forwarder logs layer → SIEM |
| Périmètre pentest | NIS2 Art. 21(2)(f) | Sprint 52 P2 (livré, PR #45) | pentest-scope.fr.md — brief auditeur ; engagement externe côté client |
| Rapport pentest externe | NIS2 Art. 21(2)(f) | Engagement client | Annuel + à chaque release majeure ; schéma de livrables documenté dans pentest-scope §« Livrables » |
| Service mesh mTLS | NIS2 Art. 21(2)(h) | Sprint 52 P1 (livré, off par défaut) | mtls.fr.md — Linkerd CNCF Graduated, ADR-037 |
| Couches de chiffrement au repos | NIS2 Art. 21(2)(h) | Sprint 52 P1 (livré, off par défaut) | encryption.fr.md — pgcrypto + volume SeaweedFS + stockage froid d'audit |
Comment vérifier votre déploiement¶
# 1. Politique de rétention active
kubectl -n akko get cm akko-vlogs-retention -o yaml
# 2. Chiffrement au repos vérifié
kubectl -n akko get pvc -o wide | awk '{print $NF}' | sort -u
# 3. La piste d'audit remonte bien
kubectl -n akko exec svc/akko-cockpit -- \
curl -sf "http://akko-vlogs:9428/select/logsql/query?query=audit_type:*" | head
# 4. Aucun composant AGPL / GPL / SSPL
bash scripts/check-licenses.sh
Contact¶
Pour un accompagnement commercial sur un programme de conformité,
contacter compliance@akko-ai.com (une fois établi).