Zero-trust par défaut
Chaque appel API est vérifié, filtré et journalisé. Rien ne passe sans correspondre à une politique. Refuser par défaut, autoriser par règle.
Microsoft Graph API est l'épine dorsale de la productivité d'entreprise moderne. C'est aussi l'une des surfaces d'attaque les plus puissantes - et les moins gouvernées - de votre locataire. GraphWarden existe pour combler cette brèche : contrôle granulaire, secrets zero-knowledge et une piste d'audit complète pour chaque appel API.
Microsoft Graph API est remarquable. Un seul endpoint qui donne accès aux utilisateurs, calendriers, courriels, fichiers, Teams et données de sécurité à travers un locataire Microsoft 365 entier. Pour les développeurs, c'est un cadeau. Pour les équipes de sécurité, c'est un risque.
Le problème est structurel. Les permissions Graph sont horizontales : accorder à une application User.Read.All signifie qu'elle peut lire chaque utilisateur, chaque propriété, sans moyen natif de restreindre la portée. Les secrets finissent codés en dur dans des scripts PowerShell que personne n'ose toucher. La rotation est un projet de plusieurs jours. Et quand l'auditeur demande qui accède à quelles données, la réponse honnête est « nous ne savons pas ».
Nous avons construit GraphWarden parce que nous avons vu entreprise après entreprise se débattre avec les mêmes défis - et parce que Microsoft n'offre pas de solution. Chaque appel Graph API devrait être gouverné, audité et contrôlé. Cette conviction ne devrait pas nécessiter de réécrire vos applications, de reformer vos équipes ou d'espérer qu'une future mise à jour de Microsoft comble éventuellement la brèche. Elle nécessite un proxy dédié qui se place entre vos applications et Graph, applique vos politiques et vous donne la visibilité dont vous avez besoin - dès aujourd'hui.
Quatre principes qui guident chaque ligne de code et chaque décision architecturale.
Chaque appel API est vérifié, filtré et journalisé. Rien ne passe sans correspondre à une politique. Refuser par défaut, autoriser par règle.
Nous ne voyons ni ne stockons jamais vos identifiants, jetons ou données de locataire. Les vrais secrets vivent dans votre Azure Key Vault. Le proxy ne persiste jamais rien sur disque.
Conçu pour l'échelle, la conformité et la complexité du monde réel. Architecture multi-locataires, accès basé sur les rôles, journaux d'audit immuables et options de déploiement sur site.
Moins de 60 minutes jusqu'à la production. Aucune modification de code. Aucune friction pour les développeurs. Vos applications changent une URL - tout le reste reste identique.
Le marché de la gouvernance Graph API est immense, urgent et non adressé.
Chaque organisation utilisant Microsoft 365 dépend de Graph API - souvent sans réaliser combien d'applications, de scripts et d'intégrations effectuent des appels contre leur locataire. Le modèle de permissions est tout-ou-rien. La piste d'audit est fragmentée. Et la pression réglementaire ne fait que croître.
Le RGPD, SOC 2, HIPAA et la Loi 25 exigent tous que les organisations démontrent le contrôle de l'accès aux données personnelles. Graph API - là où ces données résident - n'a pas de solution native pour la gouvernance granulaire au niveau applicatif. Les politiques d'accès conditionnel Microsoft s'arrêtent à la couche d'identité. Elles n'adressent pas quelles propriétés une application peut lire, quels objets elle peut voir, ni ce qui arrive aux données après qu'elles quittent Graph.
Ce n'est pas un problème de niche. C'est une brèche horizontale qui affecte chaque entreprise dans chaque industrie réglementée. GraphWarden est conçu spécifiquement pour la combler - et nous sommes les premiers à le faire.
Des signaux de confiance qui comptent quand la sécurité est le produit.
Gérez des centaines d'organisations depuis un seul plan de contrôle. Chaque locataire exécute son propre agent proxy avec des politiques isolées.
Permissions granulaires du tableau de bord. Les administrateurs définissent les règles, les opérateurs surveillent, les auditeurs révisent - chacun avec l'accès dont il a besoin.
Chaque appel journalisé avec le contexte complet : identité de l'application, endpoint, règle correspondante, objets retournés versus filtrés. Prêt à l'export pour la conformité.
Les vrais identifiants Graph vivent dans Key Vault. Les applications s'authentifient avec des identifiants proxy révocables. Les secrets ne sont jamais exposés ni codés en dur.
Chaque requête proxy est signée cryptographiquement. Pas de jetons bearer en transit. Les attaques par rejeu sont bloquées par conception.
L'agent proxy s'exécute dans votre environnement en tant que service Windows. Vos données ne quittent jamais votre réseau. Zéro dépendance externe.
Rendre Microsoft Graph gouvernable à l'exécution — et non après coup. Chaque entreprise qui dépend de M365 dépend de Graph. Très peu peuvent vous dire quelle application a lu quelle propriété hier. Nous construisons la couche de politique d'exécution qui comble ce vide, sans vous demander de réécrire vos applications ni de confier les identifiants de votre locataire à un fournisseur.
GraphWarden est bâti par une petite équipe concentrée, riche d'une expérience approfondie en Microsoft 365 et en sécurité d'entreprise. Nous sommes basés à Montréal, au Canada, et nous recrutons avec discernement.
GraphWarden est dans un programme partenaires de conception. Nous travaillons directement avec un petit nombre d'organisations pour valider les jeux de règles, les flux d'audit et les schémas de déploiement face à de vrais locataires M365. Si vous avez un problème concret de gouvernance Graph, nous voulons en entendre parler.
Rejoindre le programme partenaires de conceptionNous travaillons avec un groupe sélectionné de partenaires de conception pour façonner l'avenir de la gouvernance Graph API. Si votre organisation gère Microsoft 365 à grande échelle, nous voulons vous entendre.
Bêta · Partenaires acceptésOu consultez la documentation pour en savoir plus.