La gestion des accès dans l'écosystème Veasy Global repose sur trois piliers : les niveaux d'habilitation qui contrôlent quelles données peuvent être consultées, les scopes API qui définissent les actions autorisées programmatiquement, et les contrôles de session qui sécurisent les connexions actives. Ce guide s'adresse aux administrateurs de compte et aux intégrateurs techniques.
Access management in the Veasy Global ecosystem rests on three pillars: clearance levels that control which data can be accessed, API scopes that define programmatically permitted actions, and session controls that secure active connections. This guide is intended for account administrators and technical integrators.
1. Niveaux d'habilitation dans Veasy G2
1. Clearance levels in Veasy G2
Veasy G2 implémente un modèle de contrôle d'accès basé sur la sensibilité opérationnelle. Chaque utilisateur, mission et ressource est étiqueté avec un niveau. L'accès est refusé si le niveau d'habilitation de l'utilisateur est inférieur au niveau de classification de la ressource cible.
Veasy G2 implements an access control model based on operational sensitivity. Each user, mission, and resource is labelled with a level. Access is denied if the user's clearance level is below the classification level of the target resource.
VERT
Non classifié
Unclassified
Accès aux données générales, rapports publics et tableaux de bord agrégés. Aucune restriction géographique.
Access to general data, public reports and aggregated dashboards. No geographic restriction.
JAUNE
Sensible
Sensitive
Accès aux missions actives, flux OSINT en temps réel et analyses de risque Apex. MFA obligatoire.
Access to active missions, real-time OSINT feeds, and Apex risk analysis. MFA required.
ORANGE
Restreint
Restricted
Accès aux missions classifiées, données d'ordre de bataille et renseignements SIGINT. mTLS obligatoire.
Access to classified missions, order of battle data, and SIGINT intelligence. mTLS mandatory.
ROUGE
Secret
Secret
Accès aux opérations critiques et capacités avancées. Émission individuelle par le CISO Veasy Global. Réseau isolé requis.
Access to critical operations and advanced capabilities. Individually issued by the Veasy Global CISO. Isolated network required.
2. Demander une habilitation
2. Requesting a clearance
Les demandes d'habilitation sont traitées hors-ligne par l'équipe sécurité Veasy Global, en coordination avec votre TAM. Le processus suit ces étapes :
Clearance requests are processed offline by the Veasy Global security team, in coordination with your TAM. The process follows these steps:
01
Soumission de la demande
Submitting the request
Ouvrez un ticket de type Demande d'habilitation dans le portail support, en précisant : nom de l'utilisateur, identifiant user_id, niveau souhaité, justification opérationnelle.
Open a Clearance Request ticket in the support portal, specifying: username, user_id, requested level, and operational justification.
02
Validation par le responsable de compte
Account manager validation
Votre Account Manager interne (côté client) doit co-signer la demande via email signé S/MIME ou via le portail. Les demandes de niveau ROUGE nécessitent également la signature du RSSI client.
Your internal Account Manager (client-side) must co-sign the request via S/MIME-signed email or through the portal. RED-level requests additionally require the client CISO's signature.
03
Émission et activation
Issuance and activation
Délai : 5 jours ouvrés pour les niveaux VERT/JAUNE, 10 jours pour ORANGE/ROUGE. L'activation est notifiée par email sécurisé à l'administrateur du compte.
Lead time: 5 business days for GREEN/YELLOW levels, 10 days for ORANGE/RED. Activation is notified via secure email to the account administrator.
3. Logs d'audit et traçabilité
3. Audit logs and traceability
Toutes les actions effectuées par les utilisateurs et via l'API sont journalisées dans le système d'audit Veasy Global. Les logs sont immuables, signés cryptographiquement et conservés pendant 7 ans conformément aux exigences réglementaires européennes.
All actions taken by users and via the API are logged in the Veasy Global audit system. Logs are immutable, cryptographically signed, and retained for 7 years in compliance with European regulatory requirements.
Les champs capturés pour chaque événement incluent :
Fields captured for each event include:
event_id, timestamp (UTC ISO 8601)
user_id et org_id de l'entité à l'origine de l'action
user_id and org_id of the acting entity
action (ex. mission.create, portfolio.delete)
resource_id et resource_type de la ressource affectée
resource_id and resource_type of the affected resource
ip_address, user_agent, tls_fingerprint
result : success | denied | error
Accès aux logs :
Log access:
Les administrateurs de compte peuvent exporter les logs d'audit via GET /v1/audit/events avec les filtres start_date, end_date, user_id, action. L'export SIEM (format CEF/Syslog) est disponible sur demande.
Account administrators can export audit logs via GET /v1/audit/events with start_date, end_date, user_id, action filters. SIEM export (CEF/Syslog format) is available on request.
4. Gestion des sessions et MFA
4. Session management and MFA
Les sessions utilisateur dans le portail Veasy Global ont une durée de vie maximale de 8 heures avec renouvellement automatique lors d'activité. En cas d'inactivité de 30 minutes, la session est déconnectée automatiquement pour les niveaux JAUNE et au-dessus.
User sessions in the Veasy Global portal have a maximum lifetime of 8 hours, with automatic renewal during activity. After 30 minutes of inactivity, the session is automatically terminated for YELLOW level and above.
Le MFA (authentification multifacteur) est obligatoire pour :
MFA (multi-factor authentication) is mandatory for:
- Tous les comptes de niveau JAUNE et supérieur
- All accounts at YELLOW level and above
- Toute connexion depuis un réseau non reconnu (première utilisation d'un nouvel IP range)
- Any login from an unrecognised network (first use of a new IP range)
- La modification des scopes d'une clé API
- Any modification of API key scopes
- L'accès aux logs d'audit et aux exports de données sensibles
- Access to audit logs and sensitive data exports
Les méthodes MFA supportées sont : TOTP (Google Authenticator, Authy), clé de sécurité FIDO2/WebAuthn, et SMS de secours (déconseillé pour les niveaux ORANGE/ROUGE).
Supported MFA methods: TOTP (Google Authenticator, Authy), FIDO2/WebAuthn security key, and backup SMS (not recommended for ORANGE/RED levels).
Important :
Important:
Les comptes de niveau ROUGE ne peuvent pas utiliser le MFA par SMS. Seules les clés FIDO2/WebAuthn sont acceptées à ce niveau de classification.
RED-level accounts cannot use SMS-based MFA. Only FIDO2/WebAuthn hardware keys are accepted at this classification level.