Hyperviseur HCI durci
pour l'Union Européenne

Plus de 95 % de conformité OpenSCAP vérifiable publiquement.
Basée sur SUSE Virtualization (Harvester v1.8).
Alignée RGPD, NIS2, RGS.

95.76%
OpenSCAP ajusté
158/165 règles applicables
Télécharger Documentation technique

Résultats

158
règles CIS/STIG
validées (PASS)
7
FAILs résiduels
tous documentés
30
exceptions
justifiées (tailoring)
60+
contrôles STIG
appliqués au build

Méthodologie — les deux chiffres du rapport

Le rapport OpenSCAP joint affiche 90.29 % en haut de page. Notre communication met en avant 95.76 %. Ce n'est pas une contradiction — c'est le choix du dénominateur.

ScoreFormuleValeur
Score OpenSCAP brut (affiché dans le rapport) PASS / (PASS + FAIL + NOTCHECKED)
158 / (158 + 7 + 10) = 158 / 175		 90.29 %
Score ajusté (règles applicables uniquement) PASS / (PASS + FAIL)
158 / (158 + 7) = 158 / 165		 95.76 %

Pourquoi exclure les 10 règles "notchecked" ? Ce sont des règles dont OpenSCAP ne peut pas évaluer le statut parce qu'un prérequis technique manque sur notre plateforme (exemples : package Postfix absent sur HCI headless, outils pam_lastlog2 non packagés dans SL Micro 6.2, audit-audispd-plugins hors dépôts). Ces règles sortent du périmètre technique évaluable — elles ne mesurent ni un succès ni un échec. La méthodologie d'audit (DISA, CIS, ANSSI) exclut traditionnellement ce type de rules du dénominateur dans les rapports de conformité.

Les 30 règles "notselected" sont des exclusions de tailoring documentées dans reports/stig-exceptions.md (FIPS non-disponible, smartcard N/A en HCI headless, partitions figées par Elemental, etc.). Elles sont légitimement hors périmètre et, par convention, ne comptent ni dans le numérateur ni dans le dénominateur.

Transparence totale : le rapport brut est publié ci-dessous. Chacun peut refaire le calcul.

Positionnement vs. concurrence

Produit Score annoncé Vérifiable publiquement Contexte
Hardpipe v23 95.76 % ✅ scan oscap reproductible UE (RGPD / NIS2 / RGS)
VMware vSphere (STIG) 95 % ❌ non publié US / DoD
Nutanix AHV 90 % ❌ non publié US / Gov Cloud

+0.76 pts sur VMware avec une preuve auditeur-prête (rapport HTML OpenSCAP généré par oscap upstream).

Stack technique

Workloads (VMs KubeVirt + containers)
KubeVirt · Longhorn · CDI · Multus
RKE2 (K8s) — profile cis
containerd · runc · SELinux enforcing
SL Micro 6.2 durci + OpenSCAP slmicro6_hardened + AIDE + auditd

Pourquoi Hardpipe

🇪🇺 Contexte UE natif

Zero référence US DoD. Bannières, documentation et mapping réglementaire alignés RGPD, NIS2, RGS. Pas de dépendance à un éditeur non-européen pour le durcissement.

🔍 Vérifiable, pas annoncé

Nos 95.76 % sont reproductibles par n'importe quel auditeur avec oscap. Le rapport HTML complet est disponible pour inspection — pas de « trust us ».

🔧 Reproductible, pas opaque

Build via Dapper (upstream Harvester), hardening via layer hardening/files/. Code hardening open-source, pas de binaire blob propriétaire.

📜 Documenté, pas magique

Chaque exception de tailoring est justifiée (stig-exceptions.md). Chaque FAIL résiduel est analysé. Aucune règle n'est désactivée sans raison technique.

Preuve d'audit

Le rapport OpenSCAP v23 complet, généré par oscap upstream, est consultable en ligne :

📊
Rapport OpenSCAP v23
HTML interactif · 2 MB

Documentation

Résumé exécutif

Vue 1 page — chiffres clés, positionnement, cible.

FAQ

Pourquoi pas VMware ? Pourquoi Harvester ? Comment qualifier pour ANSSI ? Comment contribuer upstream ?

Cible