← Retour à l'accueil · Page technique — pour les équipes IT / sécurité
ILYGO Centralized Backup
Se connecter Demander une démo
Souveraineté Suisse · Hébergé on-premise

Backups chiffrés de bout en bout.
La plateforme ne voit jamais vos données.

ILYGO Centralized Backup centralise vos sauvegardes d'entreprise avec un chiffrement zero-knowledge côté client (AES-256-GCM + Argon2id), une rotation GFS automatique, et une API REST first-class consommable par toutes vos apps internes.

Réserver une démo Voir comment ça marche
  • Vos clés restent chez vous — perte de passphrase = perte de données (mathématiquement)
  • Multi-tenant strict (Postgres RLS + middleware)
  • Audit log immuable, scellé Ed25519
Conçu pour les exigences entreprise
RGPD · Souveraineté CH · Audit immuable Ed25519 · OWASP Top 10 · WCAG AA · Self-hosted
Produit

Six garanties qui changent tout

Pensé pour remplacer les scripts cron éparpillés sans introduire d'un seul coup une dépendance critique sur un fournisseur tiers.

Zero-knowledge

Vos données sont chiffrées sur la machine source. La plateforme ne stocke que du ciphertext et un manifest chiffré. Sans votre passphrase, personne ne peut lire — ni un admin, ni un attaquant, ni un État.

Multi-tenant strict

Isolation béton : Row-Level Security Postgres + middleware FastAPI + tests cross-tenant en CI. Chaque clé API est liée à une seule source, le blast radius en cas de fuite est minimal.

Rotation GFS auto

Grandfather-Father-Son : 7 daily + 4 weekly + 12 monthly + 3 yearly par défaut. Configurable par tenant et par source. Plus aucun script de purge à maintenir.

API REST first-class

Chaque endpoint est documenté en OpenAPI. SDK Python et TypeScript fournis. Vos applications maison déposent leurs sauvegardes en 3 appels HTTP — sans dépendance CLI, sans agent à packager.

Audit log immuable

Chaîne de hashs SHA-256 + scellement Ed25519 nocturne exporté hors plateforme. Toute tentative de modification rétro-active est détectable et bloquée par trigger Postgres. Conforme RGPD et auditable.

Restore prouvée

Test de restauration automatique chaque dimanche : un backup aléatoire par tenant est téléchargé et vérifié byte-à-byte. Le tenant passe en degraded dès la moindre incohérence détectée.

Comment ça marche

De zéro à premier backup en 15 minutes

1

Provisionner

Le superadmin crée le tenant, le tenant-admin déclare ses sources et émet une clé API par source. Quotas posables au niveau tenant (superadmin) ou source (tenant-admin).

2

Pousser

L'agent CLI (Python, binaire portable Linux) ou votre app parent (via SDK) chiffre en local puis envoie par chunks de 16 MiB. Reprise sur erreur native. Streaming de pg_dump, mysqldump, mongodump ou de fichiers.

3

Restaurer

Depuis l'UI web, l'admin autorisé sélectionne un backup, saisit la passphrase ; le déchiffrement se fait dans le navigateur (WebCrypto + libsodium). Aucune clé n'est jamais transmise au serveur.

Architecture

Conçue pour ne pas faire confiance à elle-même

Le stockage objet n'est jamais exposé directement. Tout transite par l'API qui ré-authentifie chaque requête et applique le scope source pour les clés API.

01

MinIO n'est jamais accessible publiquement : tout chunk transite par l'API qui applique l'autorisation + le scope source de la clé.

02

Les clés JWT et de scellement audit sont générées localement et stockées chiffrées par un MASTER_SECRET. Rotation possible sans casser l'historique.

03

La plateforme se sauvegarde elle-même via pg_dump hors-bande (jamais via sa propre API) pour éviter la boucle de dépendance fatale.

MCP

Serveur MCP officiel pour vos assistants IA

ILYGO Centralized Backup expose un serveur Model Context Protocol que vos équipes peuvent brancher dans Claude Desktop, Claude Code, Cursor ou tout autre client compatible. L'assistant lit ce dont il a besoin — sans jamais voir vos passphrases ni vos données.

Triage assisté

« Pourquoi le backup de la prod a échoué cette nuit ? » — l'assistant interroge l'audit log, retrouve l'événement, identifie la source, et propose un plan d'action. Tu vérifies, tu valides.

Capacité & quotas

« On approche du quota tenant — quelles sources consomment le plus ? » L'assistant interroge l'API quotas et présente un tableau actionnable, sans qu'on ouvre trois onglets.

Sécurité par défaut

Le serveur MCP tourne sur ton poste, en stdio. Les actions destructives (restore, pin) sont désactivées par défaut — il faut explicitement les activer. Le scope source d'une clé API est hérité automatiquement.

claude_desktop_config.json 
// macOS : ~/Library/Application Support/Claude/claude_desktop_config.json
{
  "mcpServers": {
    "ilygo-backup": {
      "command": "ilygo-mcp",
      "env": {
        "ILYGO_API_ENDPOINT": "https://backup.example/api/v1",
        "ILYGO_API_KEY": "ik_..."
      }
    }
  }
}

Outils exposés : whoami · list_sources · list_backups · get_backup · get_source_usage · get_tenant_usage · search_audit · health · ressource ilygo://overview.
Détails : mcp-server/README.md

0
bytes en clair côté serveur
1 clé
= 1 source. Blast radius minimal.
75%+
de couverture de tests backend
7/4/12/3
GFS par défaut (jours/semaines/mois/années)
Modèle

Self-hosted ou managé. Pas de SaaS public.

ILYGO Centralized Backup est un produit interne, conçu pour rester chez vous. Trois formules selon votre besoin d'opération.

Self-hosted

Gratuit / licence interne
  • Code source complet
  • Déploiement Docker Compose
  • Tous les workers (GFS, alertes, audit, restore-test)
  • Documentation ops (Deploy, DR, OPS)
  • Support : communautaire
Demander l'accès
Le plus courant

Pro

Sur devis / tenant
  • Tout du Self-hosted
  • SLA 99% heures ouvrées
  • Support email 24 h
  • Patches sécurité prioritaires
  • Mises à jour assistées
  • Onboarding 1 jour-ingénieur
Réserver un appel

Enterprise

Sur devis / multi-tenants
  • Tout du Pro
  • SLA 99.9% 24/7
  • Audit de sécurité externe annuel
  • Réplication multi-site (v2)
  • SSO entreprise (OIDC/SAML, v2)
  • Account manager dédié
Nous contacter
FAQ

Vos questions, nos réponses

Que se passe-t-il si je perds ma passphrase ?

Vous perdez l'accès à vos backups. C'est mathématique : sans la clé, AES-256-GCM est inversement irréalisable. Nous proposons un mécanisme optionnel de Shamir Secret Sharing 3-of-5 qui split la MasterKey en 5 parts (3 nécessaires pour reconstruire), à distribuer entre porteurs. La plateforme ne stocke jamais ces parts.

Pourquoi une clé API par source plutôt qu'une clé tenant ?

Pour limiter le blast radius : si une machine est compromise et sa clé fuit, l'attaquant n'a accès qu'à cette source, pas à toute votre infrastructure. C'est un principe de moindre privilège qui coûte zéro mais évite des incidents majeurs.

Hébergement obligatoirement en Suisse ?

Recommandé pour les clients soumis à des exigences de souveraineté. Le produit tourne partout où Docker Compose tourne — vous restez maître du choix géographique. Hébergeurs validés : Infomaniak, Exoscale, Swisscom, ou votre datacenter interne.

Compatible RGPD ?

Oui. Métadonnées identifiables (slug tenant, nom de source) tombent sous RGPD ; contenu des backups est chiffré côté client donc out-of-scope d'un point de vue exposition. Endpoint de purge sur demande disponible (article 17 — droit à l'oubli). Audit log fournit la preuve d'effacement.

Combien de temps dure un onboarding ?

15 minutes pour une stack de dev (Docker Compose + premier admin + premier backup). Une journée-ingénieur pour une mise en prod robuste (TLS, monitoring, runbook DR adapté, intégration vault interne). Voir QUICKSTART.md.

Quels formats de sources sont supportés ?

v1 : fichiers/dossiers, dumps PostgreSQL, MySQL, MongoDB (streamés via pg_dump, mysqldump, mongodump). VM/snapshot disque sont prévus en v2. Tout flux arbitraire reste possible via le SDK Python.

Prêt à virer vos cron jobs ?

On vous fait une démo de 20 minutes sur une stack de test, on regarde votre cas avec vous, et vous repartez avec un plan de migration sur 2 semaines.

contact@ilygo-backup.example Accéder à la console

Réponse sous 24 h ouvrées · entreprise basée en Suisse