Hyperviseur HCI durci
pour l'Union Européenne

98,08 % de conformité OpenSCAP vérifiable publiquement.
Basée sur SUSE Virtualization et le projet Harvester.
Alignée RGPD, NIS2, RGS.

98,08%
OpenSCAP ajusté
153/156 règles applicables
Télécharger Documentation technique

Résultats

153
règles CIS/STIG
validées (PASS)
3
FAILs résiduels
tous liés à macros RPM (WIP)
30
exceptions
justifiées (tailoring)
65+
contrôles STIG
appliqués au build

Méthodologie — les deux chiffres du rapport

Le rapport OpenSCAP joint affiche 92,17 % en haut de page. Notre communication met en avant 98,08 %. Ce n'est pas une contradiction — c'est le choix du dénominateur.

ScoreFormuleValeur
Score OpenSCAP brut (affiché dans le rapport) PASS / (PASS + FAIL + NOTCHECKED)
153 / (153 + 3 + 10) = 153 / 166		 92,17 %
Score ajusté (règles applicables uniquement) PASS / (PASS + FAIL)
153 / (153 + 3) = 153 / 156		 98,08 %

Pourquoi exclure les 10 règles « notchecked » ? Ce sont des règles dont OpenSCAP ne peut pas évaluer le statut parce qu'un prérequis technique manque sur notre plateforme (exemples : package Postfix absent sur HCI headless, outils pam_lastlog2 non packagés dans SL Micro 6.2, audit-audispd-plugins hors dépôts). Ces règles sortent du périmètre technique évaluable — elles ne mesurent ni un succès ni un échec. La méthodologie d'audit (DISA, CIS, ANSSI) exclut traditionnellement ce type de règles du dénominateur dans les rapports de conformité.

Les 30 règles « notselected » sont des exclusions de tailoring documentées dans reports/stig-exceptions.md (FIPS non-disponible, smartcard N/A en HCI headless, partitions figées par Elemental, etc.). Elles sont légitimement hors périmètre et, par convention, ne comptent ni dans le numérateur ni dans le dénominateur.

Transparence totale : le rapport brut est publié ci-dessous. Chacun peut refaire le calcul.

Positionnement vs. concurrence

Produit Score Rapport de scan publié Contexte MAC / SELinux
Hardpipe 98,08 % ✅ HTML public, rejouable avec oscap UE (RGPD / NIS2 / RGS) SELinux permissive (policies chargées, audit complet)
VMware vSphere (STIG) 95 % ❌ référentiel STIG public, rapport vendor non publié US / DoD Hyperviseur propriétaire, pas de SELinux
Nutanix AHV 90 % ❌ référentiel STIG public, rapport vendor non publié US / Gov Cloud Base Rocky Linux 8 (community RHEL rebuild, AOS ≥ 6.8) / CentOS 7 legacy, SELinux permissive par défaut
Proxmox VE ❌ aucune compliance revendiquée UE (AT, communauté) Base Debian, AppArmor optionnel

Précision méthodologique : les référentiels STIG DISA pour Nutanix Acropolis (NCP #1325, 03/2026) et VMware vSphere sont publics. Ce sont les listes de règles. En revanche, ni Nutanix ni VMware ne publient leur rapport de scan contre ce STIG : leurs scores marketing (90 %, 95 %) ne sont pas auditables. Hardpipe publie son rapport HTML OpenSCAP complet — règle par règle, rejouable avec oscap.

Note SELinux : comme VMware (pas de SELinux) et Nutanix AHV (permissive par défaut), Hardpipe tourne avec SELinux permissive. Policies chargées, toutes les violations sont auditées dans /var/log/audit. L'objectif enforcing complet sur la stack KubeVirt/Longhorn est un travail pionnier upstream en cours (aucun éditeur ne le propose aujourd'hui).

OS sous-jacent : enterprise vs community. Selon le KB officiel Nutanix (KB-16977), AOS et Prism Central avant la version 6.8 reposent sur CentOS 7 (EOL le 30 juin 2024) ; AOS 6.8+, AOS 6.10 LTS et PC 2024.1+ migrent vers Rocky Linux 8. Les deux sont des community rebuilds de RHEL — aucun contrat de support éditeur sur l'OS lui-même. Hardpipe repose au contraire sur SL Micro 6.2, distribution enterprise SUSE (éditeur européen) avec support commercial disponible.

Stack technique

Workloads (VMs KubeVirt + conteneurs)
KubeVirt · Longhorn · CDI · Multus
RKE2 (K8s) — profil cis
containerd · runc · SELinux enforcing
SL Micro 6.2 durci + OpenSCAP slmicro6_hardened + AIDE + auditd

Pourquoi Hardpipe

🇪🇺 Contexte UE natif

Zero référence US DoD. Bannières, documentation et mapping réglementaire alignés RGPD, NIS2, RGS. Pas de dépendance à un éditeur non-européen pour le durcissement.

🔍 Vérifiable, pas annoncé

Nos 98,08 % sont reproductibles par n'importe quel auditeur avec oscap. Le rapport HTML complet est disponible pour inspection — pas de « trust us ». Les STIG DISA des concurrents (Nutanix, VMware) sont publics côté référentiel, mais aucun rapport de scan vendor n'est rendu public pour ces produits.

🔧 Reproductible, pas opaque

Build via Dapper (upstream Harvester), durcissement via layer hardening/files/. Code de hardening open-source, pas de blob binaire propriétaire.

📜 Documenté, pas magique

Chaque exception de tailoring est justifiée (stig-exceptions.md). Chaque FAIL résiduel est analysé. Aucune règle n'est désactivée sans raison technique.

Preuve d'audit

Le rapport OpenSCAP complet, généré par oscap upstream, est consultable en ligne :

📊
Rapport OpenSCAP
HTML interactif · 2 Mo
💿
ISO Hardpipe v1.7.1
8,4 Go · accès authentifié · SHA512 fourni

L'accès à l'image ISO d'évaluation est fourni sur demande : contact@rgeu.eu.

Documentation

Résumé exécutif

Vue 1 page — chiffres clés, positionnement, cible.

FAQ

Pourquoi pas VMware ? Pourquoi Harvester ? Comment qualifier pour ANSSI ? Comment contribuer upstream ?

Cible