Les banques, services financiers et fintechs réglementées exercent leur métier sous le regard cumulé de l'ACPR, de la BCE, de la CNIL et bientôt de l'autorité européenne désignée pour DORA. Un gestionnaire de secrets qui s'inscrit dans ce périmètre doit fournir trois garanties techniques non négociables : chiffrement bout en bout réellement opaque à l'éditeur, traçabilité opposable aux régulateurs et localisation des données hors de portée des juridictions extra-européennes. Aegirex est construit autour de ces trois garanties.
Statut bêta privée fermée · ouverture commerciale Q3 2026 · early-adopters sélectionnés
Le secteur bancaire ne peut pas choisir entre conformité, traçabilité, souveraineté et confidentialité : il doit tenir les quatre simultanément. Les outils grand public manquent en général d'au moins une de ces dimensions.
Le règlement européen DORA exige des entités financières qu'elles maîtrisent la chaîne complète de leurs prestataires critiques, qu'elles testent leur capacité de résistance et qu'elles produisent des registres opposables. Le gestionnaire de secrets est typiquement un prestataire critique au sens DORA dès qu'il porte les accès aux systèmes de paiement.
Les exigences de contrôle interne issues de Bâle III imposent une séparation stricte des fonctions, une traçabilité des actions critiques et la capacité à reconstituer l'historique des accès lors d'un contrôle ACPR. Les accès KYC, AML et aux systèmes de notation interne entrent dans ce périmètre.
Les coordonnées clients, données de patrimoine, justificatifs de revenus et informations issues du LCB-FT sont protégées par un cumul d'obligations légales. Un éditeur capable de lire ces secrets ne peut pas répondre à une réquisition étrangère sans rompre le secret professionnel français.
Le CLOUD Act américain et FISA 702 permettent à des autorités extra-européennes d'exiger la production de données détenues par un acteur américain, y compris quand celles-ci sont hébergées en Europe. Aucune banque française ne devrait placer son coffre de secrets dans ce périmètre.
Chaque contrainte du secteur trouve une réponse fonctionnelle précise dans l'architecture Aegirex, et non un argument commercial. La preuve est dans le code source ouvert et dans la documentation technique publique.
Chaque événement (création, lecture, partage, révocation) est scellé par HMAC-SHA-256 et chaîné au précédent. Toute tentative de falsification rétroactive est détectable par un vérificateur indépendant. C'est une preuve d'intégrité opposable à un contrôle ACPR ou à un audit DORA.
La clé privée OpenPGP n'est jamais stockée côté serveur, même chiffrée. Les métadonnées (noms, types, URI) sont elles aussi chiffrées. Un dump complet de la base reste inutilisable sans les clés des destinataires, ce qui neutralise la valeur d'une réquisition étrangère.
L'éditeur ARDNTECH EI est immatriculé en France, le contrat est soumis au droit français, l'hébergement physique est assuré chez un opérateur français. Aucun sous-traitant américain sur le chemin critique, conformément au principe de souveraineté DORA.
Le code source est intégralement publié sous AGPL-3.0, y compris les fonctionnalités payantes. Vos équipes pentest internes, vos auditeurs PASSI ou un cabinet mandaté peuvent auditer la totalité du chemin cryptographique. Un déploiement en propre reste possible sans engagement commercial.
SSO SAML 2.0 et OIDC inclus dès le plan Free, SCIM 2.0 dès Team, multi-organisation natif pour cloisonner les filiales ou les lignes métier. La sécurité n'est jamais derrière un paywall, contrairement à la pratique du marché américain grand public.
Synthèse des textes applicables au secteur bancaire et de la posture Aegirex à l'égard de chacun. Aucune certification n'est revendiquée tant qu'elle n'est pas effectivement obtenue.
Application complète au 17 janvier 2025. Aegirex fournit la traçabilité (audit chain), le registre des événements de sécurité et la documentation contractuelle d'un prestataire critique potentiel. Trajectoire visée sur les exigences testabilité TLPT.
Séparation des fonctions via RBAC, traçabilité des accès critiques, intégrité du journal d'audit. Compatible avec une revue d'auditeur ou d'inspection générale interne.
Chiffrement de bout en bout, minimisation, droit à l'effacement implémenté, registre des traitements documenté. DPA disponible, juridiction française.
Les entités financières figurent parmi les entités essentielles NIS2. Aegirex fournit la traçabilité et le reporting compatibles avec les obligations sectorielles transposées.
Trajectoire visée sur la certification ISO 27001 post ouverture commerciale. Les contrôles ISO 27002 servent déjà de grille de référence interne pour l'éditeur.
Trajectoire visée sur l'hébergeur partenaire, audit ANSSI prévu post-launch. Le code AGPL-3.0 reste déployable chez un opérateur SecNumCloud tiers déjà qualifié.
Voici trois situations dans lesquelles Aegirex apporte une valeur immédiate à une banque ou à une fintech réglementée, au-delà du simple stockage chiffré.
Un conseiller en gestion de patrimoine partage avec son responsable régional l'accès à un dossier client volumineux (justificatifs fiscaux, notarial, signature électronique). Le partage est réalisé via une organisation Aegirex dédiée au client, chiffré bout en bout, et tracé dans l'audit chain. À la fin du mandat, la révocation est instantanée et journalisée.
Les jetons d'API de la plateforme de paiement, les clés de signature des messages SWIFT et les credentials des passerelles interbancaires sont stockés dans un coffre d'équipe DSI. Une rotation déclenche un événement scellé dans l'audit chain : qui a fait quoi, à quelle heure, avec quelle valeur précédente invalidée. La preuve d'intégrité est opposable à un contrôle ACPR.
Un groupe bancaire avec une banque de détail, une filiale d'assurance et une fintech d'investissement utilise une organisation Aegirex par entité. Chaque RSSI filiale gère sa politique d'accès, sans aucune visibilité croisée. Le holding maintient une organisation transverse pour les accès consolidés au reporting groupe.
Trois ressources pour approfondir la lecture technique avant un POC ou un échange avec votre RSSI.
OpenPGP.js v6, Argon2id, AES-256-GCM, HMAC-SHA-256, zero-knowledge strict. Whitepaper technique public.
Lire la page sécuritéLa preuve d'intégrité opposable aux régulateurs, expliquée pas à pas. Reproduisible par un vérificateur indépendant.
Voir la page audit chainPourquoi une banque française ne devrait pas dépendre d'un acteur soumis au CLOUD Act, analyse juridique factuelle.
Lire la page juridiqueÉchangeons sur votre périmètre : nombre de filiales, cadre DORA, exigences ACPR, calendrier de revue. Aegirex est en bêta privée fermée, les places d'early-adopters sont sélectionnées avec soin pour garantir un suivi technique rapproché.
