Évaluez votre exposition au CLOUD Act et aux législations extraterritoriales. Identifiez vos dépendances critiques et reprenez le contrôle de vos données.
Exemple de résultat d'audit - Score moyen des entreprises suisses
8
Pays couverts
CH, FR, DE, IT, GB, EU, US, CA
4
Piliers d'audit
50+
Pages de rapport
CLI
Déploiement
Docker + K8s
nLPD
Conformité
+ RGPD, FINMA
De l'installation au rapport, notre approche hybride combine analyse passive du réseau et génération automatique de recommandations.
1 container Docker sur votre réseau (routeur, switch ou VM). Installation en 2 minutes.
Analyse DNS, TLS SNI et connexions TCP pendant 5 à 60 minutes. Aucune modification du trafic.
PDF généré avec score de souveraineté, cartographie des services et recommandations concrètes.
Optionnel : monitoring permanent avec alertes en cas de nouveau service non souverain détecté.
Une appliance virtuelle, un container Docker/Podman ou une VM pré-configurée pour une installation rapide et sécurisée dans votre infrastructure.
Pour les environnements les plus sensibles, notre agent peut fonctionner en mode totalement déconnecté.
Déployez l'agent de souveraineté dans vos pipelines CI/CD et infrastructures containerisées.
Image Docker légère pour un déploiement en 30 secondes sur n'importe quelle infrastructure.
docker pull adlibo/sovereignty-agentChart Helm officiel pour un déploiement automatisé avec gestion des secrets.
helm install adlibo/sovereigntyEndpoints HTTP pour l'intégration avec vos outils de monitoring existants.
Export natif des métriques au format Prometheus pour vos dashboards Grafana.
Intégration native avec Vault pour la gestion sécurisée des credentials d'API.
Un rapport PDF professionnel de plus de 50 pages, traduit dans 6 langues, avec visualisations et recommandations détaillées.
Rapport généré automatiquement dans la langue de votre choix.
Rapport conforme aux standards des cabinets d'audit internationaux.
Graphiques et diagrammes pour une compréhension immédiate.
Analyse détaillée de votre exposition aux lois extraterritoriales américaines avec scoring par fournisseur.
Notre monitor est conçu selon le principe de minimisation des données. Voici exactement ce qu'il fait et ne fait pas.
Le container de monitoring est durci selon les meilleures pratiques de sécurité. Aucun accès privilégié n'est requis.
Système de fichiers en lecture seule, aucune écriture possible sur le host.
Pas de --privileged, pas de capabilities additionnelles, pas de root.
Toutes les analyses restent sur votre infrastructure, rien n'est envoyé sans consentement.
L'envoi des résultats vers notre plateforme est explicitement activé par vous.
Le code du monitor est disponible pour audit sur demande ou via notre dépôt Git.
Notre méthodologie couvre l'ensemble des dimensions de la souveraineté numérique, avec une pondération adaptée aux enjeux réels des entreprises.
Évaluation de l'exposition aux législations extraterritoriales (CLOUD Act, FISA 702, PATRIOT Act) et conformité RGPD.
Analyse du contrôle réel sur vos données : chiffrement, gestion des clés, accès privilégiés, et audit trails.
Localisation physique des données, résilience, et indépendance vis-à-vis des hyperscalers.
Évaluation du lock-in, réversibilité, et capacité à changer de fournisseur sans perte de service.
Nous auditons votre souveraineté numérique. Il est normal que vous connaissiez la nôtre. Voici notre propre score de souveraineté : 10/10.
Score calculé selon notre méthodologie à 4 piliers : Juridique (siège CH, pas de filiale US), Technique (chiffrement E2E, BYOK), Infrastructure (Infomaniak Genève, ISO 27001), Économique (pas de lock-in, formats ouverts). 100% infrastructure suisse.
Shaggal SA, Prilly - Aucune filiale US, aucun investisseur US, aucun lien juridique US
Datacenters à Genève, certifiés ISO 27001 - Hors CLOUD Act, FISA, EO 12333
Réduction significative du risque extraterritorial - Pas de présence sur sol américain
Litiges régis par le droit suisse, juridiction vaudoise - Pas de souveraineté américaine
Clés gérées en Suisse, AES-256-GCM, pas de backdoor possible
Notre propre score de souveraineté: 10/10 - Nous pratiquons ce que nous prêchons
| Critère | Adlibo | Fournisseur US |
|---|---|---|
| Siège social | Suisse (Vaud) | USA |
| CLOUD Act | Hors périmètre | Dans le périmètre |
| FISA 702 | Hors périmètre | Dans le périmètre |
| EO 12333 | Hors périmètre | Dans le périmètre |
| NSL (gag orders) | Non applicable | Applicable |
| Infrastructure | Infomaniak CH | AWS/Azure/GCP |
| Droit applicable | Suisse | USA + pays client |
Selon Eurostat (2023), plus de 80% des entreprises européennes utilisent des services cloud, dont la majorité provient de fournisseurs soumis au CLOUD Act américain. Même avec des datacenters en Europe, vos données peuvent être accessibles aux autorités US.
| Fournisseur | Usage | Juridiction | Risque | Sévérité |
|---|---|---|---|---|
| SAP (S/4HANA, SuccessFactors) | ERP, RH, Finance, Supply Chain | DE (siège) / USA (filiale NS2, coté NYSE) | CLOUD Act + CALEA (via filiale US NS2) | Élevé |
| Microsoft 365 | Email, Documents | USA | CLOUD Act | Élevé |
| AWS | Infrastructure | USA | CLOUD Act + FISA 702 | Critique |
| Salesforce | CRM | USA | CLOUD Act | Élevé |
| Google Workspace | Collaboration | USA | CLOUD Act | Élevé |
Le DOJ américain a exigé l'accès aux emails stockés en Irlande. Malgré la localisation UE, Microsoft était soumis au CLOUD Act.
Impact: Les données européennes hébergées par des fournisseurs US ne sont pas protégées par leur localisation.
Après l'invalidation du Privacy Shield (2020), le Data Privacy Framework (2023) offre un nouveau cadre, mais ne résout pas le risque CLOUD Act.
Impact: Le DPF facilite les transferts UE-USA mais n'empêche pas l'accès des autorités US aux données via FISA 702 et CLOUD Act.
Cette loi permet à la NSA de collecter des données de non-Américains stockées chez des fournisseurs US, sans mandat.
Impact: Tout fournisseur US peut être contraint de fournir un accès secret aux données de ses clients non-US.
Comprendre les mécanismes juridiques qui permettent aux autorités américaines d'accéder à vos données, même en dehors des USA.
Toutes les entreprises US ou opérant aux USA
Permet aux autorités US d'exiger l'accès aux données stockées à l'étranger par des entreprises US.
Hébergement 100% suisse (Infomaniak, Exoscale) + sécurité IA souveraine (Adlibo)
Surveillance de masse des non-Américains
Autorise la NSA à collecter les communications de non-Américains via les fournisseurs US, sans mandat individuel.
Services cloud suisses hors juridiction US (voir nos partenaires)
Renseignement étranger sans restriction
Décret présidentiel autorisant la collecte de renseignements sur les étrangers à l'étranger, sans aucune supervision judiciaire.
Hébergement suisse + chiffrement E2E + fournisseurs IA souverains
Demandes secrètes sans juge
Le FBI peut exiger des données d'entreprises US avec interdiction de révéler l'existence de la demande (gag order).
Sociétés suisses sans présence US = Non applicable
Portes dérobées obligatoires dans les équipements réseau
Impose aux équipementiers américains d'intégrer des capacités d'interception dans leurs produits. Chaque routeur Cisco, firewall Palo Alto, système de commutation contient OBLIGATOIREMENT des backdoors légalement mandatées.
Équipements réseau européens (Stormshield, Zyxel) ou open source auditable
Ces 5 lois se combinent. Un fournisseur US comme AWS ou Microsoft est soumis simultanément au CLOUD Act (accès aux données à l'étranger), à FISA 702 (surveillance de masse), aux NSL (demandes secrètes), à EO 12333 (collecte sans limite), et au CALEA (backdoors matérielles). La localisation de vos données en Europe ne vous protège pas, et vos équipements réseau américains sont compromis par conception.
La remédiation : Combiner un hébergement 100% suisse (Infomaniak, Exoscale, Safe Swiss Cloud) avec des services de sécurité IA souverains (Adlibo). Nos services Prompt Guard, DataShield et Hallucination Guard sont hébergés à Genève sur infrastructure Infomaniak. Voir nos partenaires souverains ci-dessous.
Au-delà des services cloud, des composants web apparemment anodins transmettent silencieusement les données de navigation de vos utilisateurs vers des juridictions étrangères. Ces ressources externes agissent comme des vecteurs de surveillance passifs.
Chaque page chargeant Google Fonts effectue une requête vers fonts.googleapis.com et fonts.gstatic.com. Google collecte l'adresse IP, le User-Agent et le Referer de chaque visiteur. En 2022, un tribunal de Munich (LG München I, Az. 3 O 17493/20) a jugé que l'intégration de Google Fonts constitue une violation du RGPD car elle transmet l'adresse IP sans consentement.
Auto-hébergement des polices (self-hosting) ou polices système
Google Analytics collecte l'intégralité du parcours utilisateur : pages visitées, durée, clics, conversions. Les données transitent par les serveurs Google aux USA. La CNIL (France), l'APD (Autriche) et le Garante (Italie) ont déclaré Google Analytics non conforme au RGPD.
Matomo (auto-hébergé), Plausible (UE), ou Infomaniak Analytics
Les balises de vérification Bing et Microsoft Clarity transmettent des données de session vers les serveurs Microsoft aux USA. Clarity enregistre les sessions utilisateur (mouvements souris, clics, scrolls) - un niveau de surveillance comportementale invasif.
Suppression des balises Bing ou hébergement proxy UE
Yandex Metrica collecte des données analytiques transmises vers des serveurs en Russie. Suite à l'invasion de l'Ukraine (2022), l'utilisation de services Yandex expose aux risques de sanctions UE/CH et aux lois russes sur les données (Loi fédérale n° 242-FZ) qui imposent la localisation des données en Russie.
Suppression complète - aucune alternative souveraine basée en Russie
Notre audit de souveraineté détecte automatiquement ces traceurs dans votre infrastructure web et recommande des alternatives conformes à votre juridiction.
Les codes de validation et de suivi Google (Analytics, Search Console, Fonts, Tag Manager, reCAPTCHA, Maps, Sign-In) sont communément considérés comme des outils techniques inoffensifs. En réalité, ils constituent un vecteur de dépendance juridictionnelle américaine qui passe sous le radar des audits de sécurité traditionnels.
Chaque site intégrant un script Google ouvre un canal de données vers une entité soumise au droit américain, indépendamment du lieu d'hébergement du site.
Oblige Google à fournir aux autorités américaines toute donnée stockée ou transitant par ses services, y compris les métadonnées de navigation collectées via Analytics ou Tag Manager, même si les données concernent des citoyens européens ou suisses.
Autorise la surveillance sans mandat des personnes non-américaines. Les données collectées par les scripts Google sur les visiteurs d'un site européen sont accessibles aux agences de renseignement américaines sans contrôle judiciaire européen.
Permet la collecte en masse de données de communication par la NSA sans aucun mandat. Les flux de données entre un navigateur et les serveurs Google (fonts.googleapis.com, www.google-analytics.com) sont potentiellement interceptés.
Autorise l'accès aux données sans notification préalable au propriétaire du site ni à ses visiteurs.
Permettent au FBI d'exiger des données de Google avec interdiction de divulgation (gag order). Le propriétaire du site ne saura jamais que les données de ses visiteurs ont été transmises.
Un hôpital suisse qui utilise Google Analytics sur son portail patient expose potentiellement les habitudes de navigation de ses patients aux autorités américaines, en violation de la LPD et du secret médical.
Un cabinet d'avocats utilisant Google Fonts depuis le CDN Google transmet l'adresse IP de chaque visiteur à Google, créant un profil de fréquentation exploitable.
Une banque utilisant Google Tag Manager sur son portail e-banking expose les parcours de navigation de ses clients aux services de renseignement américains via FISA 702, en violation du secret bancaire suisse.
Un site combinant Google Analytics, Google Fonts et GTM peut perdre jusqu'à 15-20 points sur une échelle de 100, reflétant le risque réel de souveraineté.
Remplacer systématiquement tous les services Google par des alternatives souveraines (Matomo, fonts auto-hébergées, Turnstile/hCaptcha, OpenStreetMap) est une mesure de souveraineté à impact immédiat et coût quasi-nul.
Pour une souveraineté complète, combinez Adlibo (sécurité IA) avec ces fournisseurs d'hébergement suisses. Tous sont hors CLOUD Act, FISA et EO 12333.
Datacenters à Genève, 100% suisse, certifié ISO 27001
Infrastructure cloud suisse, datacenters CH-DE-AT
Email et drive chiffrés E2E, siège à Genève
Partage de fichiers chiffré E2E, conformité GDPR/FINMA
Colocation et cloud privé en Suisse
IaaS/PaaS 100% suisse, certifié ISO 27001
Un processus structuré de 9 jours ouvrables pour une évaluation complète de votre posture de souveraineté numérique.
Cartographie exhaustive de vos assets IT, services cloud, et flux de données. Identification des dépendances et des points critiques.
Évaluation des expositions réglementaires (CLOUD Act, FISA, RGPD). Analyse des CGU et contrats fournisseurs.
Audit de la sécurité technique : chiffrement, localisation des données, portabilité, réversibilité.
Synthèse des résultats avec plan de remédiation priorisé. Session de restitution avec votre équipe.
1h de restitution avec un expert souveraineté pour passer en revue les résultats et définir les priorités.
Chaque audit inclut des fichiers prêts à l'emploi pour votre équipe IT et direction.
RGPD, LPD suisse, NIS2... Les régulateurs exigent la maîtrise de vos données.
Vos clients vous confient leurs données. Assurez-leur qu'elles sont protégées.
La souveraineté devient un critère d'achat pour les appels d'offres B2B.
Réduisez les risques de blocage par des sanctions ou décisions unilatérales.
Notre agent de scan d'infrastructure est entièrement publié et auditable. Vous pouvez vérifier exactement ce qu'il collecte et comment il sécurise vos données.
L'agent est un script shell simple et lisible. Aucun binaire compilé, aucune dépendance cachée. Votre équipe sécurité peut l'auditer avant exécution.
Les données collectées sont chiffrées de bout en bout avant tout transfert. Même Adlibo ne peut pas les lire en transit.
Client → ECDH → Shared Secret → AES-256-GCM → AdliboL'agent collecte uniquement les métadonnées nécessaires à l'évaluation. Aucun contenu de fichier, aucun secret, aucune donnée personnelle.
Garantie: Vous pouvez exécuter l'agent en mode "dry-run" pour voir exactement ce qui serait envoyé avant toute transmission. --dry-run
Notre outil d'auto-évaluation vous permet d'obtenir un premier score de souveraineté en 10 minutes. Sans inscription.
Lancer l'auto-évaluationObtenez une vision claire de votre exposition et un plan d'action concret.
Questions ? Contactez-nous à sovereignty@adlibo.com
Des tarifs transparents, sans surprise. Commencez gratuitement et evoluez selon vos besoins.
| Plan | Prix | Fonctionnalites | Action |
|---|---|---|---|
Démo | Gratuit |
| Essayer la demo |
StandardPopulaire | CHF 8’290 (unique) |
| Réserver un audit |
Enterprise | Sur devis |
| Contacter les ventes |
TVA non incluse | Facturation en CHF
Besoin d'un plan personnalise ? Contactez-nous
Les Responsables de la Sécurité des Systèmes d'Information (RSSI, CISO, DPO) peuvent examiner le code source de notre agent de découverte de souveraineté avant déploiement. Après signature d'un NDA réciproque sous droit suisse (Tribunal de Genève), vous accédez au code complet et à la documentation technique.
Tout ce que vous devez savoir sur l'audit de souveraineté.
45+ pays couverts nativement avec profils complets. Europe : Suisse (CH), France (FR), Allemagne (DE), Italie (IT), Royaume-Uni (GB), + 20 pays UE/EEA. Asie-Pacifique : Japon (JP), Corée du Sud (KR), Chine (CN), Inde (IN), Singapour (SG), Hong Kong (HK), Taïwan (TW), Malaisie (MY), Philippines (PH), Vietnam (VN), Thaïlande (TH), Indonésie (ID). Amériques : États-Unis (US), Canada (CA), Brésil (BR), Mexique (MX). Chaque pays dispose de son propre profil de risque couvrant les 4 piliers (juridique, technique, infrastructure, économique).
L'audit analyse chaque service utilisé par votre organisation et vérifie : (1) la juridiction du fournisseur (US = CLOUD Act), (2) la localisation des données (datacenter), (3) les sous-traitants et leur juridiction, (4) les mécanismes de chiffrement. Le score de risque CLOUD Act est un indicateur composite 0-10.
Oui. L'appliance OVA (Open Virtual Appliance) est un container read-only qui tourne sur votre infrastructure. Aucun accès réseau sortant n'est requis pour l'analyse. Les résultats restent locaux. L'upload vers notre plateforme est opt-in et transitera par Infomaniak CH uniquement.
Oui. Le rapport est disponible en 6 langues : français, anglais, allemand, italien, espagnol et portugais. La langue est choisie à la commande.
Oui. L'analyse inclut les sous-traitants de vos fournisseurs (subprocessors). C'est souvent là que se cachent les risques : un hébergeur suisse peut utiliser des composants AWS ou Azure en backend, exposant vos données au CLOUD Act malgré les apparences.
Suisse : nLPD, FINMA. EU : RGPD, NIS2, DORA, EU AI Act. France : CNIL, SecNumCloud. Allemagne : BSI C5, TISAX. UK : UK GDPR, ICO. US : CCPA, HIPAA, SOC 2. Asie-Pacifique : APPI (Japon), PIPA (Corée), PIPL/CSL (Chine), DPDP Act (Inde), PDPA (Singapour/Malaisie), DPA (Philippines), PDPD (Vietnam). L'audit mappe vos obligations à chaque framework applicable selon votre juridiction et secteur.
Le rapport est 100% actionnable. Il contient un score global et par pilier, une matrice de risques priorisée, des recommandations concrètes avec effort estimé (jours/homme), un plan de remédiation chronologique, et un benchmark sectoriel pour vous positionner par rapport à vos pairs.
STANDARD : audit ponctuel, rapport 50+ pages, session expert, ... services analysés. ENTERPRISE : tout le STANDARD + monitoring continu 24/7, alertes en temps réel, dashboard dédié, SLA de réponse, mises à jour législatives automatiques, et support dédié.
Plan STANDARD : CHF 8'290 HT (audit ponctuel). Plan ENTERPRISE : CHF 9'990 HT (audit + monitoring continu). Facturation via Saferpay (paiement sécurisé suisse). Possibilité de facturation trimestrielle pour l'ENTERPRISE.
Le plan STANDARD inclut un audit ponctuel avec rapport et session expert. Le plan ENTERPRISE inclut en plus un container de monitoring continu déployé sur votre infrastructure, qui surveille en temps réel les changements de posture de souveraineté (nouveau fournisseur US, changement de politique cloud, etc.).
9 jours ouvrables. Phase 1 (J1-J3) : inventaire et questionnaire. Phase 2 (J4-J6) : scan et analyse automatisée via notre appliance OVA. Phase 3 (J7-J8) : rédaction du rapport 50+ pages. Phase 4 (J9) : session expert de restitution avec recommandations.
Trois options : (1) directement sur cette page via le bouton "Commander un audit", (2) par email à sovereignty@adlibo.com, (3) via votre revendeur ADLIBO. Le processus démarre dès réception du paiement avec l'envoi du questionnaire de cadrage.
Avertissement juridique : Les informations présentées sur cette page sont fournies à titre informatif et ne constituent pas un conseil juridique. La situation de chaque entreprise est unique et peut nécessiter une analyse spécifique. Nous recommandons de consulter un avocat spécialisé en droit du numérique et en protection des données pour évaluer votre situation particulière. Adlibo n'accepte pas de clients de nationalité américaine ou résidant fiscalement aux États-Unis en raison des contraintes réglementaires extraterritoriales (FATCA, CLOUD Act). Cette restriction est vérifiée lors de la création de compte.