# Protection Network — Réseau défensif inter-tenants pour agents IA | Mnemom Protection Network · L0-L5 # Le premier réseau défensif inter-tenants conçu spécifiquement pour les agents IA. Mnemom AEGIS — Adaptive Enforcement, Governance & Intelligence Substrate — est le réseau de sécurité runtime de Safe House. Il filtre chaque transaction d’agent à quatre checkpoints (front door, back door, inside.autonomy, inside.integrity) et relie le Safe House de chaque client en un substrat défensif unique. La détection d’un client devient la défense de tous les clients, signée et propagée à l’intérieur de la fenêtre SLO. [Ouvrir le threat thermometer](/dashboard/threats)[Récupérer le flux STIX 2.1](https://api.mnemom.ai/v1/trust/iocs)[Parler aux ventes](/contact) Architecture ## L0-L5 — un substrat, trois boucles de signal, quatre checkpoints Source de vérité : concept.md §Three loops, one substrate. Chaque couche est câblée dès la GA ; l’état opérationnel honnête est exposé en direct sur le threat thermometer et le IoC feed. Source-of-truth ASCII at concept.md §“Three loops, one substrate”. Every layer of the Protection Network is wired at GA; the visual aligns with the runtime architecture in ADR-AEGIS-01 and ADR-AEGIS-02. Signal ## Trois sources de signal. Un seul pipeline de promotion. Chaque recipe qu’AEGIS promeut est alimentée par l’une de trois boucles indépendantes, chacune estampillée d’un writer\_identity distinct (ADR-004). Le chemin de promotion est identique ; la posture de confiance diffère. ### Arène adversariale 15 personas canoniques sondent en continu chaque Safe House. La porte de mutation-phase (95 % de taux de détection par bucket, fenêtre glissante de 48h, hystérésis de 24h) bascule l’arène de la découverte à la mutation lorsqu’un bucket est bien couvert. writer\_identity = arena-bypass ### Rapports FN / FP clients Les rapports de faux négatifs et faux positifs remontent des tableaux de bord clients vers la file de candidats. La contribution de chaque tenant est reconnue ; seule la recipe résultante se propage aux autres tenants — jamais le rapport brut. writer\_identity = customer-fn-report ### Agrégateur inter-tenants `network_campaign_state` agrège les statistiques par axe sur l’ensemble des clients. Les motifs qu’aucun client seul ne peut voir — un substrat présentant des anomalies identiques entre organisations — émergent ici comme candidats. writer\_identity = internal-observation Couches ## Ce que fait chaque couche Cinq couches nommées et câblées au-dessus du plan de données des recipes. L’état opérationnel de chaque couche est observable sur le threat thermometer et la trust surface. L0 · Axis identity ### Chaque évaluation estampillée du substrate fingerprint à quatre axes Selon la migration 217, chaque évaluation de checkpoint porte un tuple dérivé `(substrate, vertical, pattern, source)`. Le substrate est provider × model × SDK@version avec un en-tête lockfile-hash optionnel fourni par le client. L’axis identity est la clé de jointure pour la corrélation inter-tenants et la colonne vertébrale de l’attribution supply-chain. [Lire la note supply-chain →](/supply-chain) L1 · Agrégateur inter-tenants ### Statistiques glissantes par bucket d’axe — la vision du réseau `network_campaign_state` maintient des fenêtres glissantes de taux de détection et de taux de contournement par bucket `(substrate × vertical × pattern × source)`. L’agrégateur est la couche qui capte les campagnes qu’aucun tenant individuel ne peut détecter — la déviation comportementale chez tous les clients tournant sur le même substrat, simultanément. L2 · Under-attack overlay ### Auto-élévation de la couche de composition, plafonnée par le seuil de l’organisation AEGIS adopte le modèle additive-ratcheting de Cloudflare. Deux molettes de posture par organisation : _posture normale_ et _plafond d’élévation_. Pendant une campagne, le mode effectif est `max(normal, min(threat_level, elevation_ceiling))`. Le plafond du client est respecté. Les protections supplémentaires côté intégrité (canaries déployés, émission d’identifiants gelée, preuves AIP complètes) opèrent sous le plafond car ce ne sont pas des changements de posture. **État opérationnel honnête :** l’overlay L2 sera livré en Phase 4 lorsque la primitive de composition des cards se stabilisera. D’ici là, une surcharge manuelle de l’opérateur sur le flag d’organisation couvre la même protection sans auto-élévation. L3 · Push Managed Rules ### Candidat de l’arène → revue → promotion signée → soak observe de 24h → enforce Chaque promotion est signée Ed25519 via `RECIPE_PROMOTION_SIGNING_KEY`. KV et R2 portent des chaînes de signature d’enveloppe indépendantes (`RECIPE_KV_SIGNING_KEY` / `RECIPE_R2_SIGNING_KEY`) — trois chemins de compromission indépendants sont nécessaires pour empoisonner le plan de règles. Les règles de tier-3 effectuent un soak observe de 24h avant l’escalade de mode ; un seuil de taux de FP déclenche un rollback automatique. **L’invariant de double contrôle :** les règles tier-1 et tier-2 — celles qui bloqueraient effectivement du trafic de production — ne peuvent jamais s’auto-promouvoir, quel que soit le mode du relecteur. La contrainte est structurelle (CHECK de schéma sur `promotion_quorum_met`), pas procédurale. **État opérationnel honnête :** le chemin tier-3 est pleinement en production dès la GA. L’application du double contrôle tier-1/-2 s’active le 01/06/2026 une fois le second platform-admin provisionné (la période intérimaire à opérateur unique est reconnue dans la chaîne d’audit). L4 · Threat thermometer ### État live par axe sur /dashboard/threats Tableau de bord côté client affichant l’état des campagnes par axe, les Managed Rules actives, et le mode d’enforcement effectif de l’organisation sous tout overlay courant. Si le réseau est calme à la GA, le thermometer affiche _calme_ — la page n’invente pas d’activité. [Ouvrir le thermometer →](/dashboard/threats) L5 · IoC feed + advisories ### Flux STIX 2.1 public et advisories post-incident signées Deux surfaces publiques. `/v1/trust/iocs` exporte un Bundle STIX 2.1 qui s’insère dans les pipelines de threat-intel existants. `/trust/advisories` publie des enregistrements post-incident signés avec des étiquettes explicites synthétique-versus-réel. À la GA, le flux peut être vide et la liste d’advisories n’affiche que la seule semence synthétique — c’est le système qui dit la vérité. [Inspecter le IoC feed →](/trust/iocs) Le calm-at-GA contract ## Si le réseau est véritablement calme, les surfaces le disent. Nous ne simulons pas d’activité. D’après `concept.md` : si à la GA le réseau est véritablement calme, le thermometer dit calme, la liste d’advisories affiche une unique semence synthétique post-mortem clairement étiquetée synthétique, et le IoC feed est vide. Ce n’est pas un stub — c’est le système qui dit la vérité. Tous les autres fournisseurs de cet espace habillent un flux vide d’une mise en scène. Mnemom ne le fait pas. [Voir la liste des advisories →](/trust/advisories)·[Inspecter le IoC feed →](/trust/iocs) Paysage ## Ce que tous les autres fournisseurs de sécurité d’agents font — et ne font pas. Le marché de la sécurité de l’IA agentique se fragmente en guardrails d’hyperscalers, plateformes d’entreprise réadaptées, mono-détecteurs AI-natifs et proxys d’inférence en périphérie. Aucun n’est un réseau inter-tenants intégré. Source : AEGIS-15 positioning brief §3. Capacité Mnemom AEGIS Cloudflare WAF AWS Shield Lakera Guard Cisco AI Defense Palo Alto Prisma AIRS Google Model Armor Réseau défensif inter-tenants pour agents IA Signal mutualisé entre clients ; push de Managed Rules signé vers chaque gateway. Substrate fingerprinting (provider · model · sdk@ver · lockfile-hash) Détecte la déviation comportementale chez tous les clients sur le même substrat. Arène adversariale avec mutation-phase gating 15 personas canoniques, par bucket 95 % / 48h / hystérésis 24h. BD de menaces curatée par le fournisseur Feedback FN / FP client dans pipeline de promotion signé IoC feed STIX 2.1 public Lisible par machine, enveloppe signée, sans auth requise. CMS d’advisories signées en append-only Étiquetage synthétique-versus-réel par le calm-at-GA contract. Invariant de double contrôle sur les promotions Tier-1 / Tier-2 Contrainte CHECK structurelle, pas procédurale. Revue par le fournisseur uniquement Revue par le fournisseur uniquement Revue par le fournisseur uniquement Revue par le fournisseur uniquement Revue par le fournisseur uniquement Revue par le fournisseur uniquement Runtime quatre checkpoints × quatre modes front door · back door · inside.autonomy · inside.integrity. Filtre inline unique Embedding au build Plateforme agrégée Filtre de contenu inline Conçu pour les agents IA (pas HTTP / pas humains) WAF couche HTTP DDoS réseau Pare-feu couche prompt Guardrails au build Agrégation de plateforme Filtre prompt + URL Neutre vis-à-vis du fournisseur (OpenAI · Anthropic · Gemini · auto-hébergé) n/a AWS uniquement Google uniquement Verrouillé sur hyperscaler Mnemom complète — ne remplace pas — les guardrails, WAFs et évaluations pré-déploiement. Les clients qui utilisent Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails ou Robust Intelligence peuvent faire tourner AEGIS en parallèle. AEGIS est la couche réseau inter-tenants ; les autres se situent ailleurs dans la pile. SLOs publics ## Ce à quoi nous nous engageons, chiffres à l’appui. Source : ADR-AEGIS-02 §5, publié sur /trust/slos. La première fenêtre de mesure de 30 jours est publiée 30 jours après la GA. Latence de propagation P95 ≤ 30s Promotion signée → gateway chargé Fraîcheur du jeu de règles P99 ≤ 5 min En fonctionnement normal Disponibilité du failover 99.99% KV + R2 + isolate last-known-good [Voir le tableau SLO complet →](/trust/slos) Démarrer ## Trois portes d’entrée. [ ### Tableau de bord client Le threat thermometer — état des campagnes par axe, Managed Rules actives, votre posture d’enforcement effective. /dashboard/threats →](/dashboard/threats)[ ### Flux lisible par machine curl https://api.mnemom.ai\\ /v1/trust/iocs Récupérer le bundle STIX 2.1 →](https://api.mnemom.ai/v1/trust/iocs)[ ### Parler aux ventes Parcourons ensemble l’architecture AEGIS, les engagements SLO, le mapping EU AI Act et ce que l’auto-hébergement signifie pour votre posture de conformité. Nous contacter →](/contact) --- _Source: /fr/protection-network/index.html · Generated by build-markdown-mirrors.mjs · For agent-readability commitment #4 see https://www.mnemom.ai/for-agents_