SecuAAS Docs
ConformVault

Coffre-fort de secrets

Stocker mots de passe, clés API et notes sensibles dans ConformVault — partage par lien à usage unique avec OTP courriel ou SMS

Coffre-fort de secrets

Le coffre-fort de secrets est une zone dédiée pour stocker des éléments confidentiels qui ne sont pas des fichiers : mots de passe, clés d'API, certificats, notes confidentielles. Chaque secret peut être partagé par un lien à usage unique avec authentification OTP par courriel ou SMS.

Accès

Menu latéral → Coffre-fort de secrets.

Disponible pour les rôles superadmin, msp, client_admin, client_principal. Le rôle client_user ne voit pas cette section dans son menu (V1).

Créer un secret

  1. Cliquez sur Nouveau secret.
  2. Renseignez :
    • Titre : nom court (ex. "Identifiants Stripe production")
    • Description (optionnel) : contexte
    • Type : Mot de passe / Clé API / Certificat / Note
    • Valeur : le secret lui-même (champ masqué)
  3. Cliquez sur Créer.

Le secret est immédiatement chiffré (AES-256-GCM) avec votre clé d'organisation. La valeur en clair n'est plus affichée à l'écran après la création — vous devrez le révéler explicitement pour le voir à nouveau.

Lister et révéler

La page principale affiche tous vos secrets avec :

  • Titre, type, date de création, dernier accès
  • Bouton Copier (copie la valeur dans le presse-papiers sans l'afficher)
  • Bouton Révéler (affiche temporairement la valeur — à utiliser avec précaution si quelqu'un peut voir votre écran)
  • Bouton Supprimer

Chaque accès est tracé dans le journal d'audit.

Partager un secret par lien à usage unique

ConformVault propose un mécanisme de partage temporaire de secret avec authentification renforcée :

  1. Cliquez sur Partager sur un secret.
  2. Configurez :
    • Méthode de vérification : courriel ou SMS
    • Destinataire : adresse courriel ou numéro de téléphone (format international, ex. +15145551234)
    • Date d'expiration : le lien sera désactivé après cette date (max recommandé : 24h)
    • Nombre maximal de consultations : généralement 1 (à usage unique)
  3. Cliquez sur Générer le lien.

Une URL au format https://conformvault.com/vault/<token> est créée et copiée. Vous communiquez ce lien hors-bande au destinataire (par courriel séparé, par messagerie, etc.).

Côté destinataire

  1. Le destinataire ouvre le lien /vault/<token>.
  2. Il voit la page : Vous avez reçu un secret de [votre organisation].
  3. Il clique sur Recevoir le code de vérification.
  4. Selon la méthode :
    • Email : un code à 6 chiffres est envoyé à l'adresse configurée.
    • SMS : un code est envoyé via Telnyx au numéro configuré.
  5. Il saisit le code dans la page.
  6. Le secret est révélé. La valeur en clair s'affiche temporairement.
  7. Une fois consulté, le lien est immédiatement invalidé. Toute tentative ultérieure renvoie une erreur.

Pourquoi cette double protection

  • Le lien seul ne suffit pas : il faut aussi avoir accès à l'email ou au téléphone du destinataire.
  • Le code OTP seul ne suffit pas : il faut aussi avoir le lien.
  • Lien à usage unique : si quelqu'un l'intercepte après usage, le secret n'est plus révélable.
  • Audit trail : qui a consulté, à quelle IP, quand.

SMS via Telnyx

Le partage par SMS utilise le fournisseur Telnyx. Pour que le SMS fonctionne, votre organisation doit avoir configuré son intégration Telnyx (depuis Paramètres → Notifications côté admin). Si Telnyx n'est pas configuré, seule la méthode email est disponible.

Format des numéros : E.164 international, ex. +15145551234. Les numéros nord-américains avec le préfixe +1 sont supportés. Les SMS internationaux dépendent de la couverture Telnyx de votre compte.

Supprimer un secret

Cliquez sur Supprimer dans la liste. Confirmation requise. La suppression est immédiate et définitive — la valeur chiffrée est purgée de la base. Les liens de partage actifs sont également invalidés.

Sécurité

MécanismeProtection
AES-256-GCMChiffrement des valeurs en base
Clé organisation RSA-4096La clé AES est protégée par RSA
KMS OVHLa clé privée RSA est protégée par KMS
Lien à usage uniqueInvalidé après consultation
OTP email ou SMSDouble facteur d'authentification
Rate limitingMaximum 3 demandes de code par minute par IP, 5 vérifications par minute
Audit trailCréation, consultation, partage, suppression tous tracés
Pas de valeur exposée à l'utilisateur finalLe destinataire voit le secret une seule fois ; il doit le sauvegarder ailleurs (gestionnaire de mots de passe)

Cas d'usage typiques

  • Transmettre un mot de passe à un nouveau collaborateur sans l'envoyer en clair par email
  • Partager une clé API avec un client pour une intégration ponctuelle
  • Envoyer le mot de passe d'un fichier ZIP chiffré indépendamment du fichier
  • Communiquer un code d'activation pour un service tiers

Limites V1

  • Pas de hiérarchie / dossier de secrets — liste plate (V2)
  • Pas d'expiration automatique des secrets eux-mêmes (juste des liens de partage)
  • Pas d'historique de versions des valeurs
  • Le rôle client_user n'a pas accès au coffre (V1)

Bonnes pratiques

  • Utilisez le SMS pour les destinataires qui ne disposent pas d'un email sécurisé.
  • Limitez l'expiration à 24 heures maximum.
  • Communiquez le lien et le destinataire OTP par canaux séparés (lien par email d'entreprise, OTP par SMS personnel par exemple).
  • Vérifiez le journal d'audit après chaque partage pour confirmer que la consultation a bien été faite par la personne attendue (IP, user-agent).
  • Stockez les secrets longue durée dans un gestionnaire dédié (1Password, Bitwarden) — le coffre ConformVault est optimisé pour le partage occasionnel, pas comme gestionnaire principal.

Espaces client (portail invité)

Portails dédiés pour vos clients externes — accès par OTP courriel, dossier lié, dépôt, téléchargement, métadonnées enrichies

Signatures électroniques

Envoyer un document à signer, gérer les signataires multiples, suivre les statuts et télécharger les documents signés

On this page

Coffre-fort de secretsAccèsCréer un secretLister et révélerPartager un secret par lien à usage uniqueCôté destinatairePourquoi cette double protectionSMS via TelnyxSupprimer un secretSécuritéCas d'usage typiquesLimites V1Bonnes pratiques