Documentation officielle
Cybelia Cloud
Security — Portail de supervision
Détection, conformité, réponse. Tout ce qui se passe sur votre parc, vu, qualifié et traité depuis un seul portail.
👤 DSI & Responsables IT
📋 Dirigeants & DPO
🔍 Auditeurs & RSSI
Cybelia Cloud Security est un portail web multi-organisations qui centralise la supervision sécurité de votre parc : alertes en temps réel, vulnérabilités CVE, scores de conformité, playbooks de réponse automatisée, assistant IA et rapports PDF mensuels. Chaque organisation a son espace cloisonné, ses propres rapports, ses propres règles. Hébergé en France, RGPD natif.
Sommaire
24/7
Supervision continue
< 60 s
Délai de détection
10+
Référentiels conformité
100 %
Isolement multi-org.
ℹ️
Comment lire cette documentation ?
Chaque section présente deux colonnes : Ce que vous faites (actions utilisateur) et Ce que le système fait (traitement automatique). Les encadrés Pour le dirigeant reformulent l'essentiel sans jargon technique. Adressée en priorité au DSI / Responsable IT et au Dirigeant / DPO.
Chaque section présente deux colonnes : Ce que vous faites (actions utilisateur) et Ce que le système fait (traitement automatique). Les encadrés Pour le dirigeant reformulent l'essentiel sans jargon technique. Adressée en priorité au DSI / Responsable IT et au Dirigeant / DPO.
01 — Périphériques supervisés
Visibilité complète sur chaque équipement de votre parc
Postes, serveurs, équipements réseau : chaque machine où l'agent Cybelia est installé remonte en temps réel dans le portail. Vue unifiée multi-sites, multi-OS.
Ce que vous faites
- Accédez à la liste depuis le menu Périphériques
- Filtrez par statut, OS, société ou site
- Cliquez sur un équipement pour son détail complet
- Lancez un scan SCA depuis la fiche d'un équipement
- Consultez les alertes associées à cet équipement
Ce que le système fait
- Synchronise l'état de chaque agent en temps réel (actif / déconnecté / hors ligne)
- Collecte les métadonnées : OS, version, IP, hostname, dernière vue
- Géolocalise les équipements à IP publique sur la carte interactive
- Alerte si un agent ne répond plus après N minutes (paramétrable)
- Cloisonne par société et par tenant — aucune fuite inter-organisations
🖥️Exemple — liste des périphériques
SRV-PROD-01ActifUbuntu 22.04 · 192.168.1.10 · Vu il y a 2 min
PC-RH-DUPONTActifWindows 11 · 192.168.1.45 · Vu il y a 5 min
LAPTOP-MARTINDéconnectémacOS 14 · Hors connexion depuis 4h12
SRV-BACKUP-03Hors ligneNon vu depuis 7 jours
💡
Pour le dirigeant : vous savez à tout moment combien d'équipements sont opérationnels et lesquels ont décroché. Un équipement non supervisé est un angle mort. Le portail élimine ces angles morts.
02 — Alertes & Incidents
Détecter, qualifier, traiter — dans cet ordre
Le portail centralise toutes les alertes du moteur de détection. Chaque alerte est classée par criticité, peut être marquée comme faux positif (l'IA propage la règle), et peut déclencher un playbook.
Ce que vous faites
- Consultez le tableau depuis le menu Alertes
- Filtrez par criticité, équipement, période, type d'attaque
- Marquez une alerte comme faux positif — la règle est propagée et l'IA met à jour ses recommandations
- Déclenchez un playbook depuis la fiche
- Assignez ou commentez pour suivi équipe
Ce que le système fait
- Classe : Critique Élevé Moyen Faible
- Corrèle les événements multi-équipements (campagnes d'attaque)
- Déclenche les playbooks configurés en réponse
- Notifie par e-mail et/ou Telegram selon la criticité
- Sur faux positif : auto-résolution des recommandations IA en attente qui correspondent à la même règle
- Historique horodaté complet pour audit
🔔Exemple — flux d'alertes du jour
CritiqueBrute force SSH — 47 tentatives en 90 secondesSRV-PROD-01 · 14:32
ÉlevéModification de /etc/passwd détectée (FIM)SRV-SQL-02 · 13:18
ÉlevéÉlévation de droits non autoriséePC-RH-DUPONT · 11:05
MoyenPort scan depuis 185.220.101.x (TOR exit node)FW-BORDEAUX · 09:44
FaibleCompte utilisateur inactif depuis 90 joursAD · 08:00
🔍
Types détectés : brute force (SSH/RDP), élévation de privilèges, FIM (modifs fichiers critiques), lateral movement, code malveillant, exfiltration, scans de ports, exploitation de CVE, comportements anormaux.
03 — Vulnérabilités CVE
Identifier les failles avant qu'elles soient exploitées
Inventaire continu des logiciels installés, croisé avec NVD / OVAL / OSV. Score CVSS, correctif et priorité (exploit public connu) sur chaque CVE.
Ce que vous faites
- Menu Vulnérabilités
- Filtrez par équipement, CVSS, logiciel, statut
- Détail : description, impact, version corrigée, vecteur
- Exportez la liste pour votre équipe ou prestataire
Ce que le système fait
- Inventorie tous les paquets et versions installés
- Croise en continu avec NVD, OVAL, OSV
- Attribue le score CVSS 3.x (0-10)
- Identifie la version corrigée disponible
- Priorise les CVE avec exploit public connu actif
- Met à jour le statut dès installation du correctif
⚠️
Score CVSS : 0 à 10. ≥ 9.0 = Critique (exploitation possible sans authentification). 7.0-8.9 = Élevé. Le portail priorise par exploit public actif, pas seulement par score.
💡
Pour le dirigeant : une CVE est une faille publiée dans un logiciel. Sans correctif, un attaquant peut prendre le contrôle d'un équipement. Le portail vous dit précisément quels postes et quelle mise à jour appliquer — sans expert à chaque fois.
04 — Conformité & SCA
10+ référentiels, un score par référentiel
Le module SCA (Security Configuration Assessment) audite la configuration de sécurité de chaque équipement. Score en %, écart par écart, guide de correction inclus.
Ce que vous faites
- Menu Conformité
- Sélectionnez un référentiel pour le détail check par check
- Lancez un scan manuel sur un équipement ou toute la flotte
- Exportez les résultats pour audit ou assurance
Ce que le système fait
- Lance des scans automatiques chaque nuit, échelonnés sur 4h pour répartir la charge — pas de pic à minuit même à 5000 agents
- Mappe sur CIS, RGPD, NIS2, ISO 27001, PCI DSS, HIPAA, NIST, SOC 2, CMMC
- Calcule le score en % par référentiel et par équipement
- Agrège pour une vue globale de la flotte
- Fournit la mesure corrective pour chaque écart
Référentiels détectés automatiquement
ℹ️
Les scores sont calculés à partir des tags de conformité natifs du moteur d'analyse. Seuls les référentiels présents dans les données des agents sont affichés — les autres sont masqués.
| Référentiel | Cible | Périmètre | Obligation France |
|---|---|---|---|
| CIS Benchmarks | DSI / RSSI | Durcissement OS — Windows, Linux, macOS | Référence sectorielle |
| RGPD / GDPR | DPO / Dirigeant | Mesures techniques — données personnelles | Oui — amendes jusqu'à 4 % du CA (CNIL) |
| PCI DSS v3.2.1 / v4.0 | DSI | Sécurité des environnements carte bancaire | Contractuel si traitement CB |
| HIPAA | DSI | Données de santé (US et international) | Si partenaires US/santé |
| NIST SP 800-53 | RSSI | Contrôles de sécurité — référence internationale | Base de nombreux référentiels |
| ISO 27001:2013 | RSSI / Auditeur | Système de management SI | Certification volontaire UE |
| CMMC v2.0 | DSI | Sous-traitants US DoD | Si contrats défense US |
| SOC 2 / TSC | DSI / Auditeur | Sécurité, dispo, confidentialité SaaS | Certification volontaire |
| GPG 13 | RSSI | Supervision — UK NCSC | Référence UK / MSP |
💡
Pour le dirigeant : un score RGPD à 60 % signifie que 40 % des mesures techniques exigées ne sont pas en place. En contrôle CNIL ou en cas de fuite, ce rapport est une preuve de diligence.
05 — Playbooks automatisés
Des scénarios qui s'exécutent seuls, 24h/24
Un playbook = un déclencheur + une série d'actions. Configuré une fois, appliqué chaque fois que la condition est remplie.
Ce que vous faites
- Créez un playbook depuis le menu Playbooks
- Choisissez le déclencheur : type d'alerte, criticité, équipement, règle
- Enchaînez les actions : isolation, notification, blocage IP, ticket
- Testez en mode simulation avant activation
- Consultez l'historique d'exécution étape par étape
Ce que le système fait
- Évalue les déclencheurs sur chaque alerte entrante
- Exécute la chaîne d'actions de manière transactionnelle
- Réessaye les actions ayant échoué (retry exponentiel)
- Trace chaque exécution dans le journal d'audit
- Stoppe et notifie en cas d'échec critique
Bibliothèque de playbooks pré-configurés (MITRE ATT&CK)
📚
Au démarrage du portail, une bibliothèque de playbooks alignés MITRE ATT&CK est créée automatiquement (idempotent — relance sans doublon). Vous pouvez les utiliser tels quels ou comme base de personnalisation.
06 — Assistant IA & Tâches autonomes
Cybèle — votre analyste de sécurité augmenté
Posez une question en langage naturel : Cybèle analyse les alertes, lit les logs, propose un plan de correction. Ou lancez-la en tâche autonome — elle travaille seule sur votre incident.
Ce que vous faites
- Ouvrez l'assistant depuis le menu IA
- Posez votre question — ex. « Pourquoi tant de tentatives SSH sur SRV-PROD-01 ? »
- Lancez une tâche — Cybèle continue en arrière-plan, vous recevez le compte-rendu une fois fini
- Consultez l'historique des sessions et tâches
- Validez ou rejetez les recommandations proposées
Ce que le système fait
- Interroge le moteur LLM (Anthropic Claude, Mistral, OpenAI ou local)
- Donne à l'IA accès en lecture aux alertes, agents, CVE et logs du tenant
- Pour les tâches : exécute jusqu'à plusieurs centaines d'actions (jusqu'à résolution ou plafond)
- Skip les recommandations qui matchent un faux positif déjà acté
- Trace chaque appel LLM, chaque action, chaque recommandation
🔒
Cloisonnement strict : Cybèle ne voit que les données du tenant courant. Les recommandations sont stockées par tenant ; un faux positif acté dans un tenant n'affecte aucun autre.
07 — Rapports PDF
Un rapport mensuel, prêt à présenter
Le 1er de chaque mois, un PDF est généré automatiquement par tenant : posture sécurité, alertes du mois, scores conformité, top 10 CVE, actions menées. Format identifiable, charte Cybelia.
Ce que vous faites
- Téléchargez depuis le menu Rapports
- Filtrez par mois, par société
- Demandez une génération à la volée pour une période personnalisée
- Transmettez à votre direction, prestataire ou auditeur
Ce que le système fait
- Génère le PDF en arrière-plan le 1er du mois (cron)
- Agrège : alertes par criticité, top CVE, scores conformité, agents actifs/inactifs, MTTR moyen
- Stocke les fichiers chiffrés sur disque, cloisonnés par tenant
- Notifie par e-mail quand prêt
08 — Sécurité du portail
Le portail est lui-même un produit de sécurité
2FA, vérification d'e-mail, verrouillage après tentatives échouées, JWT RS256, isolation tenant en base : la sécurité du portail est traitée comme la sécurité d'un système de production.
Authentification & comptes utilisateurs
- Mots de passe : bcrypt (hash + sel), jamais stockés en clair
- JWT RS256 : tokens signés par clé privée RSA, vérifiés par clé publique. Aucun risque de manipulation.
- Vérification e-mail obligatoire à l'inscription : code 6 chiffres + 3 relances (J+7, J+14, J+21). Sans validation : compte suspendu.
- 2FA TOTP obligatoire avant le premier agent distant : QR code + 10 codes de backup. Compatible Google Authenticator, Authy, 1Password.
- Verrouillage 5 essais : au 5e échec, le compte est bloqué et l'e-mail doit être re-vérifié pour le déverrouiller.
- Rate limiting : 200 req/min par IP par défaut, plus stricte sur
/auth/*.
Isolation des données
- tenant_id extrait du JWT signé — ne peut être falsifié.
- Toutes les requêtes SQL filtrent par tenant_id côté backend (jamais côté frontend).
- Les agents Wazuh, alertes TheHive, jobs Cortex sont taggés
tenant:<id>et filtrés systématiquement. - Les rapports PDF, exports CSV, e-mails sont strictement scopés tenant.
Réseau & transport
- HTTPS uniquement via Traefik + Let's Encrypt — TLS 1.2+ avec ciphers modernes.
- CORS strict :
https://security.cybelia-cloud.fruniquement. - Le frontend ne parle jamais directement aux moteurs Wazuh / TheHive / Cortex — tout passe par le backend, qui détient les secrets.
- Webhook agent : connexion sortante WebSocket Wss seulement. L'agent ne reçoit aucune connexion entrante.
🛡️
Pour le DPO : hébergement France, RGPD natif, isolation par tenant_id signé cryptographiquement, journalisation complète des accès et actions, droit à l'effacement supporté en CLI.
09 — Multi-organisations
Architecture multi-tenant native
Un superadmin gère N tenants. Chaque tenant peut gérer N sociétés (entités du groupe). Cloisonnement strict en base, pas par convention.
🏢
Cas d'usage : un MSP supervise 50 PME — chacune voit son espace, ses alertes, ses rapports, ne sait rien des 49 autres. Le MSP voit tout en mode superadmin.
Distributeurs et facturation
- Mode distributeur : un revendeur peut être attribué à plusieurs tenants pour mutualisation commerciale.
- Crédits agents : chaque distributeur dispose d'un quota d'agents Cybelia gratuits, vendus ou en démonstration.
- Commissions : tracées automatiquement dans la table
distributor_commissions. - Facturation Stripe / PayPal : intégration native, factures Odoo synchronisées.
10 — Déploiement de l'agent
Un installeur unifié — Linux, macOS, Windows
Un seul script. Détection d'OS, installation des dépendances, configuration du service, validation de connectivité au portail. Mode GUI si écran disponible, sinon menu CLI.
🐧Linux
Service systemd · binaires Ubuntu / Debian / RHEL.
Config :
Logs :
Config :
/etc/cybelia-agent/Logs :
journalctl -u cybelia-agent -f
🍎macOS
Daemon launchd · Intel et Apple Silicon.
Config :
Logs :
Config :
/Library/Application Support/Cybelia/Logs :
/var/log/cybelia-agent.log
🪟Windows
Service Windows via NSSM · Windows 10/11/Server.
Config :
Logs : Event Viewer +
Config :
C:\ProgramData\CybeliaAgent\Logs : Event Viewer +
agent.log
Ce que vous faites
- Téléchargez l'installeur correspondant à votre OS depuis le portail
- Lancez-le — la GUI s'ouvre (ou menu CLI sur serveur sans écran)
- Cliquez sur Installer, collez le token d'enrôlement
- Le test de connectivité est automatique en fin d'installation
- Pour désinstaller : même installeur, bouton Désinstaller (purge)
Ce que le système fait
- Détecte l'OS, installe les dépendances Python si besoin
- Copie le runtime, écrit la configuration avec ACL restreintes
- Crée et démarre le service système (systemd / launchd / Windows Service)
- Test : DNS + TCP + TLS + handshake WebSocket avec le token
- En désinstallation : purge complète (service, fichiers, logs, config)
⚙️Mode non-interactif (déploiement de masse)
# Installation silencieuse
./cybelia-agent-installer --install --token AGENT_TOKEN --portal https://security.cybelia-cloud.fr
# Désinstallation purge
sudo ./cybelia-agent-installer --uninstall
# Test de connectivité seulement
./cybelia-agent-installer --validate --portal https://security.cybelia-cloud.fr
✓
Allowlist de commandes : seules les commandes des familles
shell, sysinfo, services, logs, ping, resize sont acceptées. Toute autre commande est rejetée. Timeout 30 s par commande.
11 — Cluster & scalabilité
Du POC au déploiement 5000+ agents
Le portail démarre sur un nœud unique et passe en mode cluster master/worker dès que la charge l'exige. Indicateur en temps réel pour le superadmin, ajout de worker en une commande.
Ce que le superadmin fait
- Surveille l'onglet Cluster dans Admin
- Quand le score composite dépasse 90 %, fournit l'IP d'une nouvelle VM Ubuntu
- Lance
./deploy_wazuh_worker.sh <ip> <name> - Le worker apparaît dans la liste des nœuds dans les 60 secondes
Ce que le système fait
- Calcule un score composite = max(CPU %, RAM %, file analysisd %, disque %)
- Niveaux : OK < 70 % Attention 70-90 % Critique ≥ 90 %
- Polling 15 s côté frontend, métriques calculées à la demande côté backend
- Les scans SCA nocturnes sont échelonnés sur 4 h via assignation déterministique par hash(agent_id) — pas de pic à minuit
- Le script de déploiement worker installe Wazuh, configure le cluster, vérifie via
cluster_control -l
📈
Capacité testée : 1 master Ubuntu 22.04, 8 vCPU, 16 Go RAM = ~2500 agents actifs. Au-delà, ajout d'un worker. Capacité linéaire avec le nombre de workers.
12 — Rôles & Droits
4 niveaux d'accès, vérifiés en backend
Les restrictions sont appliquées côté serveur, pas seulement visuelles. Le tenant_id du JWT signé conditionne chaque requête SQL.
| Fonctionnalité | Viewer | Admin tenant | Admin société | Superadmin |
|---|---|---|---|---|
| Tableau de bord, alertes, agents | ✓ | ✓ | ✓ | ✓ |
| Télécharger rapports PDF | ✓ | ✓ | ✓ | ✓ |
| Utiliser l'assistant IA & tâches | ✓ | ✓ | ✓ | ✓ |
| Marquer alerte en faux positif | ✗ | ✓ | ✓ | ✓ |
| Déclencher un playbook | ✗ | ✓ | Limité | ✓ |
| Créer / modifier des playbooks | ✗ | ✓ | ✗ | ✓ |
| Gérer les utilisateurs du tenant | ✗ | ✓ | ✗ | ✓ |
| Configurer les notifications | ✗ | ✓ | ✓ | ✓ |
| Activer la 2FA TOTP | ✓ | ✓ | ✓ | ✓ |
| Accès onglet Cluster | ✗ | ✗ | ✗ | ✓ |
| Gérer tous les tenants | ✗ | ✗ | ✗ | ✓ |
| Configuration SMTP & système globale | ✗ | ✗ | ✗ | ✓ |
🔐
Garantie d'isolation : le
tenant_id est extrait du token JWT signé RS256. Il est impossible, même en manipulant les paramètres d'URL ou les en-têtes HTTP, d'accéder aux données d'une autre organisation avec un token valide d'un autre tenant.
Documentation officielle
Cybelia Cloud
Security — Portail de supervision
Détection, conformité, réponse. Tout ce qui se passe sur votre parc, vu, qualifié et traité depuis un seul portail.
👤 DSI & Responsables IT
📋 Dirigeants & DPO
🔍 Auditeurs & RSSI
Cybelia Cloud Security est un portail web multi-organisations qui centralise la supervision sécurité de votre parc : alertes en temps réel, vulnérabilités CVE, scores de conformité, playbooks de réponse automatisée, assistant IA et rapports PDF mensuels. Chaque organisation a son espace cloisonné, ses propres rapports, ses propres règles. Hébergé en France, RGPD natif.
Sommaire
24/7
Supervision continue
< 60 s
Délai de détection
10+
Référentiels conformité
100 %
Isolement multi-org.
ℹ️
Comment lire cette documentation ?
Chaque section présente deux colonnes : Ce que vous faites (actions utilisateur) et Ce que le système fait (traitement automatique). Les encadrés Pour le dirigeant reformulent l'essentiel sans jargon technique. Adressée en priorité au DSI / Responsable IT et au Dirigeant / DPO.
Chaque section présente deux colonnes : Ce que vous faites (actions utilisateur) et Ce que le système fait (traitement automatique). Les encadrés Pour le dirigeant reformulent l'essentiel sans jargon technique. Adressée en priorité au DSI / Responsable IT et au Dirigeant / DPO.
01 — Périphériques supervisés
Visibilité complète sur chaque équipement de votre parc
Postes, serveurs, équipements réseau : chaque machine où l'agent Cybelia est installé remonte en temps réel dans le portail. Vue unifiée multi-sites, multi-OS.
Ce que vous faites
- Accédez à la liste depuis le menu Périphériques
- Filtrez par statut, OS, société ou site
- Cliquez sur un équipement pour son détail complet
- Lancez un scan SCA depuis la fiche d'un équipement
- Consultez les alertes associées à cet équipement
Ce que le système fait
- Synchronise l'état de chaque agent en temps réel (actif / déconnecté / hors ligne)
- Collecte les métadonnées : OS, version, IP, hostname, dernière vue
- Géolocalise les équipements à IP publique sur la carte interactive
- Alerte si un agent ne répond plus après N minutes (paramétrable)
- Cloisonne par société et par tenant — aucune fuite inter-organisations
🖥️Exemple — liste des périphériques
SRV-PROD-01ActifUbuntu 22.04 · 192.168.1.10 · Vu il y a 2 min
PC-RH-DUPONTActifWindows 11 · 192.168.1.45 · Vu il y a 5 min
LAPTOP-MARTINDéconnectémacOS 14 · Hors connexion depuis 4h12
SRV-BACKUP-03Hors ligneNon vu depuis 7 jours
💡
Pour le dirigeant : vous savez à tout moment combien d'équipements sont opérationnels et lesquels ont décroché. Un équipement non supervisé est un angle mort. Le portail élimine ces angles morts.
02 — Alertes & Incidents
Détecter, qualifier, traiter — dans cet ordre
Le portail centralise toutes les alertes du moteur de détection. Chaque alerte est classée par criticité, peut être marquée comme faux positif (l'IA propage la règle), et peut déclencher un playbook.
Ce que vous faites
- Consultez le tableau depuis le menu Alertes
- Filtrez par criticité, équipement, période, type d'attaque
- Marquez une alerte comme faux positif — la règle est propagée et l'IA met à jour ses recommandations
- Déclenchez un playbook depuis la fiche
- Assignez ou commentez pour suivi équipe
Ce que le système fait
- Classe : Critique Élevé Moyen Faible
- Corrèle les événements multi-équipements (campagnes d'attaque)
- Déclenche les playbooks configurés en réponse
- Notifie par e-mail et/ou Telegram selon la criticité
- Sur faux positif : auto-résolution des recommandations IA en attente qui correspondent à la même règle
- Historique horodaté complet pour audit
🔔Exemple — flux d'alertes du jour
CritiqueBrute force SSH — 47 tentatives en 90 secondesSRV-PROD-01 · 14:32
ÉlevéModification de /etc/passwd détectée (FIM)SRV-SQL-02 · 13:18
ÉlevéÉlévation de droits non autoriséePC-RH-DUPONT · 11:05
MoyenPort scan depuis 185.220.101.x (TOR exit node)FW-BORDEAUX · 09:44
FaibleCompte utilisateur inactif depuis 90 joursAD · 08:00
🔍
Types détectés : brute force (SSH/RDP), élévation de privilèges, FIM (modifs fichiers critiques), lateral movement, code malveillant, exfiltration, scans de ports, exploitation de CVE, comportements anormaux.
03 — Vulnérabilités CVE
Identifier les failles avant qu'elles soient exploitées
Inventaire continu des logiciels installés, croisé avec NVD / OVAL / OSV. Score CVSS, correctif et priorité (exploit public connu) sur chaque CVE.
Ce que vous faites
- Menu Vulnérabilités
- Filtrez par équipement, CVSS, logiciel, statut
- Détail : description, impact, version corrigée, vecteur
- Exportez la liste pour votre équipe ou prestataire
Ce que le système fait
- Inventorie tous les paquets et versions installés
- Croise en continu avec NVD, OVAL, OSV
- Attribue le score CVSS 3.x (0-10)
- Identifie la version corrigée disponible
- Priorise les CVE avec exploit public connu actif
- Met à jour le statut dès installation du correctif
⚠️
Score CVSS : 0 à 10. ≥ 9.0 = Critique (exploitation possible sans authentification). 7.0-8.9 = Élevé. Le portail priorise par exploit public actif, pas seulement par score.
💡
Pour le dirigeant : une CVE est une faille publiée dans un logiciel. Sans correctif, un attaquant peut prendre le contrôle d'un équipement. Le portail vous dit précisément quels postes et quelle mise à jour appliquer — sans expert à chaque fois.
04 — Conformité & SCA
10+ référentiels, un score par référentiel
Le module SCA (Security Configuration Assessment) audite la configuration de sécurité de chaque équipement. Score en %, écart par écart, guide de correction inclus.
Ce que vous faites
- Menu Conformité
- Sélectionnez un référentiel pour le détail check par check
- Lancez un scan manuel sur un équipement ou toute la flotte
- Exportez les résultats pour audit ou assurance
Ce que le système fait
- Lance des scans automatiques chaque nuit, échelonnés sur 4h pour répartir la charge — pas de pic à minuit même à 5000 agents
- Mappe sur CIS, RGPD, NIS2, ISO 27001, PCI DSS, HIPAA, NIST, SOC 2, CMMC
- Calcule le score en % par référentiel et par équipement
- Agrège pour une vue globale de la flotte
- Fournit la mesure corrective pour chaque écart
Référentiels détectés automatiquement
ℹ️
Les scores sont calculés à partir des tags de conformité natifs du moteur d'analyse. Seuls les référentiels présents dans les données des agents sont affichés — les autres sont masqués.
| Référentiel | Cible | Périmètre | Obligation France |
|---|---|---|---|
| CIS Benchmarks | DSI / RSSI | Durcissement OS — Windows, Linux, macOS | Référence sectorielle |
| RGPD / GDPR | DPO / Dirigeant | Mesures techniques — données personnelles | Oui — amendes jusqu'à 4 % du CA (CNIL) |
| PCI DSS v3.2.1 / v4.0 | DSI | Sécurité des environnements carte bancaire | Contractuel si traitement CB |
| HIPAA | DSI | Données de santé (US et international) | Si partenaires US/santé |
| NIST SP 800-53 | RSSI | Contrôles de sécurité — référence internationale | Base de nombreux référentiels |
| ISO 27001:2013 | RSSI / Auditeur | Système de management SI | Certification volontaire UE |
| CMMC v2.0 | DSI | Sous-traitants US DoD | Si contrats défense US |
| SOC 2 / TSC | DSI / Auditeur | Sécurité, dispo, confidentialité SaaS | Certification volontaire |
| GPG 13 | RSSI | Supervision — UK NCSC | Référence UK / MSP |
💡
Pour le dirigeant : un score RGPD à 60 % signifie que 40 % des mesures techniques exigées ne sont pas en place. En contrôle CNIL ou en cas de fuite, ce rapport est une preuve de diligence.
05 — Playbooks automatisés
Des scénarios qui s'exécutent seuls, 24h/24
Un playbook = un déclencheur + une série d'actions. Configuré une fois, appliqué chaque fois que la condition est remplie.
Ce que vous faites
- Créez un playbook depuis le menu Playbooks
- Choisissez le déclencheur : type d'alerte, criticité, équipement, règle
- Enchaînez les actions : isolation, notification, blocage IP, ticket
- Testez en mode simulation avant activation
- Consultez l'historique d'exécution étape par étape
Ce que le système fait
- Évalue les déclencheurs sur chaque alerte entrante
- Exécute la chaîne d'actions de manière transactionnelle
- Réessaye les actions ayant échoué (retry exponentiel)
- Trace chaque exécution dans le journal d'audit
- Stoppe et notifie en cas d'échec critique
Bibliothèque de playbooks pré-configurés (MITRE ATT&CK)
📚
Au démarrage du portail, une bibliothèque de playbooks alignés MITRE ATT&CK est créée automatiquement (idempotent — relance sans doublon). Vous pouvez les utiliser tels quels ou comme base de personnalisation.
06 — Assistant IA & Tâches autonomes
Cybèle — votre analyste de sécurité augmenté
Posez une question en langage naturel : Cybèle analyse les alertes, lit les logs, propose un plan de correction. Ou lancez-la en tâche autonome — elle travaille seule sur votre incident.
Ce que vous faites
- Ouvrez l'assistant depuis le menu IA
- Posez votre question — ex. « Pourquoi tant de tentatives SSH sur SRV-PROD-01 ? »
- Lancez une tâche — Cybèle continue en arrière-plan, vous recevez le compte-rendu une fois fini
- Consultez l'historique des sessions et tâches
- Validez ou rejetez les recommandations proposées
Ce que le système fait
- Interroge le moteur LLM (Anthropic Claude, Mistral, OpenAI ou local)
- Donne à l'IA accès en lecture aux alertes, agents, CVE et logs du tenant
- Pour les tâches : exécute jusqu'à plusieurs centaines d'actions (jusqu'à résolution ou plafond)
- Skip les recommandations qui matchent un faux positif déjà acté
- Trace chaque appel LLM, chaque action, chaque recommandation
🔒
Cloisonnement strict : Cybèle ne voit que les données du tenant courant. Les recommandations sont stockées par tenant ; un faux positif acté dans un tenant n'affecte aucun autre.
07 — Rapports PDF
Un rapport mensuel, prêt à présenter
Le 1er de chaque mois, un PDF est généré automatiquement par tenant : posture sécurité, alertes du mois, scores conformité, top 10 CVE, actions menées. Format identifiable, charte Cybelia.
Ce que vous faites
- Téléchargez depuis le menu Rapports
- Filtrez par mois, par société
- Demandez une génération à la volée pour une période personnalisée
- Transmettez à votre direction, prestataire ou auditeur
Ce que le système fait
- Génère le PDF en arrière-plan le 1er du mois (cron)
- Agrège : alertes par criticité, top CVE, scores conformité, agents actifs/inactifs, MTTR moyen
- Stocke les fichiers chiffrés sur disque, cloisonnés par tenant
- Notifie par e-mail quand prêt
08 — Sécurité du portail
Le portail est lui-même un produit de sécurité
2FA, vérification d'e-mail, verrouillage après tentatives échouées, JWT RS256, isolation tenant en base : la sécurité du portail est traitée comme la sécurité d'un système de production.
Authentification & comptes utilisateurs
- Mots de passe : bcrypt (hash + sel), jamais stockés en clair
- JWT RS256 : tokens signés par clé privée RSA, vérifiés par clé publique. Aucun risque de manipulation.
- Vérification e-mail obligatoire à l'inscription : code 6 chiffres + 3 relances (J+7, J+14, J+21). Sans validation : compte suspendu.
- 2FA TOTP obligatoire avant le premier agent distant : QR code + 10 codes de backup. Compatible Google Authenticator, Authy, 1Password.
- Verrouillage 5 essais : au 5e échec, le compte est bloqué et l'e-mail doit être re-vérifié pour le déverrouiller.
- Rate limiting : 200 req/min par IP par défaut, plus stricte sur
/auth/*.
Isolation des données
- tenant_id extrait du JWT signé — ne peut être falsifié.
- Toutes les requêtes SQL filtrent par tenant_id côté backend (jamais côté frontend).
- Les agents Wazuh, alertes TheHive, jobs Cortex sont taggés
tenant:<id>et filtrés systématiquement. - Les rapports PDF, exports CSV, e-mails sont strictement scopés tenant.
Réseau & transport
- HTTPS uniquement via Traefik + Let's Encrypt — TLS 1.2+ avec ciphers modernes.
- CORS strict :
https://security.cybelia-cloud.fruniquement. - Le frontend ne parle jamais directement aux moteurs Wazuh / TheHive / Cortex — tout passe par le backend, qui détient les secrets.
- Webhook agent : connexion sortante WebSocket Wss seulement. L'agent ne reçoit aucune connexion entrante.
🛡️
Pour le DPO : hébergement France, RGPD natif, isolation par tenant_id signé cryptographiquement, journalisation complète des accès et actions, droit à l'effacement supporté en CLI.
09 — Multi-organisations
Architecture multi-tenant native
Un superadmin gère N tenants. Chaque tenant peut gérer N sociétés (entités du groupe). Cloisonnement strict en base, pas par convention.
🏢
Cas d'usage : un MSP supervise 50 PME — chacune voit son espace, ses alertes, ses rapports, ne sait rien des 49 autres. Le MSP voit tout en mode superadmin.
Distributeurs et facturation
- Mode distributeur : un revendeur peut être attribué à plusieurs tenants pour mutualisation commerciale.
- Crédits agents : chaque distributeur dispose d'un quota d'agents Cybelia gratuits, vendus ou en démonstration.
- Commissions : tracées automatiquement dans la table
distributor_commissions. - Facturation Stripe / PayPal : intégration native, factures Odoo synchronisées.
10 — Déploiement de l'agent
Un installeur unifié — Linux, macOS, Windows
Un seul script. Détection d'OS, installation des dépendances, configuration du service, validation de connectivité au portail. Mode GUI si écran disponible, sinon menu CLI.
🐧Linux
Service systemd · binaires Ubuntu / Debian / RHEL.
Config :
Logs :
Config :
/etc/cybelia-agent/Logs :
journalctl -u cybelia-agent -f
🍎macOS
Daemon launchd · Intel et Apple Silicon.
Config :
Logs :
Config :
/Library/Application Support/Cybelia/Logs :
/var/log/cybelia-agent.log
🪟Windows
Service Windows via NSSM · Windows 10/11/Server.
Config :
Logs : Event Viewer +
Config :
C:\ProgramData\CybeliaAgent\Logs : Event Viewer +
agent.log
Ce que vous faites
- Téléchargez l'installeur correspondant à votre OS depuis le portail
- Lancez-le — la GUI s'ouvre (ou menu CLI sur serveur sans écran)
- Cliquez sur Installer, collez le token d'enrôlement
- Le test de connectivité est automatique en fin d'installation
- Pour désinstaller : même installeur, bouton Désinstaller (purge)
Ce que le système fait
- Détecte l'OS, installe les dépendances Python si besoin
- Copie le runtime, écrit la configuration avec ACL restreintes
- Crée et démarre le service système (systemd / launchd / Windows Service)
- Test : DNS + TCP + TLS + handshake WebSocket avec le token
- En désinstallation : purge complète (service, fichiers, logs, config)
⚙️Mode non-interactif (déploiement de masse)
# Installation silencieuse
./cybelia-agent-installer --install --token AGENT_TOKEN --portal https://security.cybelia-cloud.fr
# Désinstallation purge
sudo ./cybelia-agent-installer --uninstall
# Test de connectivité seulement
./cybelia-agent-installer --validate --portal https://security.cybelia-cloud.fr
✓
Allowlist de commandes : seules les commandes des familles
shell, sysinfo, services, logs, ping, resize sont acceptées. Toute autre commande est rejetée. Timeout 30 s par commande.
11 — Cluster & scalabilité
Du POC au déploiement 5000+ agents
Le portail démarre sur un nœud unique et passe en mode cluster master/worker dès que la charge l'exige. Indicateur en temps réel pour le superadmin, ajout de worker en une commande.
Ce que le superadmin fait
- Surveille l'onglet Cluster dans Admin
- Quand le score composite dépasse 90 %, fournit l'IP d'une nouvelle VM Ubuntu
- Lance
./deploy_wazuh_worker.sh <ip> <name> - Le worker apparaît dans la liste des nœuds dans les 60 secondes
Ce que le système fait
- Calcule un score composite = max(CPU %, RAM %, file analysisd %, disque %)
- Niveaux : OK < 70 % Attention 70-90 % Critique ≥ 90 %
- Polling 15 s côté frontend, métriques calculées à la demande côté backend
- Les scans SCA nocturnes sont échelonnés sur 4 h via assignation déterministique par hash(agent_id) — pas de pic à minuit
- Le script de déploiement worker installe Wazuh, configure le cluster, vérifie via
cluster_control -l
📈
Capacité testée : 1 master Ubuntu 22.04, 8 vCPU, 16 Go RAM = ~2500 agents actifs. Au-delà, ajout d'un worker. Capacité linéaire avec le nombre de workers.
12 — Rôles & Droits
4 niveaux d'accès, vérifiés en backend
Les restrictions sont appliquées côté serveur, pas seulement visuelles. Le tenant_id du JWT signé conditionne chaque requête SQL.
| Fonctionnalité | Viewer | Admin tenant | Admin société | Superadmin |
|---|---|---|---|---|
| Tableau de bord, alertes, agents | ✓ | ✓ | ✓ | ✓ |
| Télécharger rapports PDF | ✓ | ✓ | ✓ | ✓ |
| Utiliser l'assistant IA & tâches | ✓ | ✓ | ✓ | ✓ |
| Marquer alerte en faux positif | ✗ | ✓ | ✓ | ✓ |
| Déclencher un playbook | ✗ | ✓ | Limité | ✓ |
| Créer / modifier des playbooks | ✗ | ✓ | ✗ | ✓ |
| Gérer les utilisateurs du tenant | ✗ | ✓ | ✗ | ✓ |
| Configurer les notifications | ✗ | ✓ | ✓ | ✓ |
| Activer la 2FA TOTP | ✓ | ✓ | ✓ | ✓ |
| Accès onglet Cluster | ✗ | ✗ | ✗ | ✓ |
| Gérer tous les tenants | ✗ | ✗ | ✗ | ✓ |
| Configuration SMTP & système globale | ✗ | ✗ | ✗ | ✓ |
🔐
Garantie d'isolation : le
tenant_id est extrait du token JWT signé RS256. Il est impossible, même en manipulant les paramètres d'URL ou les en-têtes HTTP, d'accéder aux données d'une autre organisation avec un token valide d'un autre tenant.