Certyo/v1
Démarrer un piloteSe connecter
Retour au blog
Risque et Stratégie28 avril 2026 · 8 min de lecture

Ce que la fermeture d'AWS QLDB nous a appris sur le risque de concentration de la couche de preuve

La leçon de QLDB n'est pas "AWS a tué un produit". C'est que toute couche de preuve s'exécutant chez un seul hyperscaler crée un risque de concentration pour la fonction d'audit elle-même. Quand le fournisseur disparaît, vos preuves historiques disparaissent avec lui. Voici comment y penser.

AWS a fermé QLDB le 31 juillet 2025. La plupart de la couverture l'a cadré comme un problème de migration — quoi utiliser à la place, comment déplacer les données, qui s'est fait piéger. La leçon plus inconfortable est structurelle. Une couche de preuve n'est pas le même type de dépendance qu'une base de données ou un cache. Quand le fournisseur de votre couche de preuve disparaît, vous perdez plus qu'un service : vous perdez la capacité de défendre des enregistrements que vous avez déjà produits. Cet article s'adresse aux responsables sécurité et audit qui construisent des stratégies de preuve pluriannuelles et qui doivent réfléchir au risque fournisseur dans la couche de preuve elle-même.

01

Pourquoi les couches de preuve diffèrent des autres dépendances

Si votre base de données d'application disparaît, vous restaurez depuis une sauvegarde et vous continuez. Si votre cache disparaît, vous subissez un bref impact de performance. Si votre runner CI disparaît, vous relancez les pipelines sur un nouveau. Aucune de ces pannes ne remet en question des enregistrements que vous avez déjà produits ou des affirmations que vous avez déjà faites.

Une couche de preuve est différente. Son travail est de faire une affirmation défendable sur quelque chose qui s'est passé dans le passé. Si le fournisseur disparaît, l'affirmation disparaît avec lui — non pas parce que les enregistrements ont disparu, mais parce que la chaîne cryptographique de confiance n'est plus accessible. Vous pouvez montrer un enregistrement à l'auditeur. Vous ne pouvez pas montrer à l'auditeur un moyen de le vérifier. Cette asymétrie est le problème structurel.

02

À quoi ressemble le risque de concentration dans cette catégorie

Il y a trois modes de défaillance concrets qui se cumulent quand la couche de preuve vit chez un seul hyperscaler :

  • Sunset fournisseur — le service est discontinué. AWS QLDB le 31 juillet 2025 est l'exemple canonique. Vos preuves passées sont techniquement encore calculables pendant une fenêtre de migration, mais l'API de vérification disparaît. Tout ce que vous avez ancré est maintenant une affirmation auto-signée, pas vérifiable par un tiers.
  • Restriction fournisseur — sanctions, contrôles à l'export ou litiges contractuels restreignent votre accès. La couche de preuve est encore opérationnelle pour quelqu'un d'autre ; pour vous, elle a le même effet qu'un sunset. Ce n'est pas hypothétique pour les opérations financières transfrontalières.
  • Compromission du compte fournisseur — votre tenant hyperscaler est verrouillé ou compromis. Le journal d'audit de la couche de preuve est colocalisé avec le reste de votre compte. Vous ne pouvez pas utiliser la couche de preuve pour réfuter une altération d'elle-même.
03

Ce qui survit à la disparition d'un fournisseur

La propriété architecturale qui compte ici est de savoir si le chemin de vérification nécessite que le fournisseur d'origine soit en vie. Avec QLDB et Azure Confidential Ledger, oui. Avec l'ancrage on-chain public, non. Le contrat Polygon mainnet qui enregistre une racine Merkle n'appartient pas à Certyo. Si Certyo disparaît demain, les ancrages on-chain persistent, les mathématiques de vérification ne changent pas, et n'importe quel tiers avec l'enregistrement original peut encore prouver qu'il a été ancré à l'horodatage original.

31 juil 2025
Date de fermeture d'AWS QLDB
0
Clients QLDB pouvant vérifier indépendamment un ancrage de 2024 aujourd'hui
Indéfinie
Durée de vie d'un ancrage Merkle Polygon

Ce n'est pas une affirmation sur la longévité de Certyo. C'est une affirmation sur la contrainte de conception. Une couche de preuve qui peut être fermée par son propre fournisseur est structurellement une moins bonne couche de preuve qu'une qui ne le peut pas — indépendamment de la qualité du fournisseur. La fonction d'audit mérite une dépendance qui survit à une seule décision d'entreprise.

04

Comment évaluer votre risque de concentration actuel sur la couche de preuve

Si vous exploitez aujourd'hui un service de piste d'audit ou de preuve de conformité, la question de concentration trouve sa réponse en parcourant cinq points de contrôle. À chacun, la question est la même : qu'arrive-t-il aux preuves passées si cette dépendance disparaît ?

Fournisseur encore en vie
Compte fournisseur accessible
API de vérification accessible
Format d'ancrage lisible
Tiers peut re-vérifier

Si votre architecture actuelle perd la vérifiabilité à l'un des quatre premiers points de contrôle, vous avez un risque de concentration. Si la vérification ne fonctionne que tant que le fournisseur est en vie et que vous avez un compte en règle, la preuve dépend de la continuité de la relation fournisseur — ce qui n'est pas la même chose qu'une preuve durable. Le cinquième point de contrôle est la vraie barre : un régulateur, un avocat adverse ou un assureur peut-il vérifier votre affirmation sans votre aide et sans la coopération du fournisseur ?

05

Trois profils d'acheteur où cela compte le plus

Le risque de concentration n'est pas également important pour chaque équipe. Il se cumule dans des contextes institutionnels spécifiques :

  • Conservation pluri-décennale réglementéeSanté, gouvernement et certains enregistrements financiers ont des fenêtres de conservation de 7 à 30 ans. La probabilité qu'un seul fournisseur reste opérationnel et accessible sur cet horizon n'est pas de 100 pour cent. Une stratégie de preuve pluri-décennale qui dépend d'un seul fournisseur est une stratégie avec un point faible connu.
  • Opérations transfrontalièresLes sanctions, le droit de la résidence des données et les restrictions commerciales peuvent changer du jour au lendemain la posture d'accès à un service hébergé chez un hyperscaler. Une preuve qui était vérifiable hier peut nécessiter une action en justice pour être vérifiée aujourd'hui. L'ancrage on-chain public n'est pas soumis à cette classe de perturbation.
  • Litiges et assurancesQuand un enregistrement est contesté, la question est de savoir si un tiers — tribunal, régulateur, expert — peut le vérifier indépendamment. Si la vérification nécessite la coopération d'un fournisseur spécifique, le litige a une dépendance supplémentaire que l'avocat adverse exploitera. La vérifiabilité indépendante est la barre.
06

Ce que cela signifie pour les décisions d'architecture de couche de preuve

La fermeture de QLDB se lit mieux comme une seule instance d'une classe de risque intrinsèque aux couches de preuve hébergées par fournisseur. La réponse stratégique n'est pas de choisir un fournisseur peu susceptible d'être fermé. C'est de choisir une architecture où la vérification ne dépend pas d'un seul fournisseur en vie. Les ancrages de Certyo vivent sur Polygon ; le chemin de vérification ne nécessite pas que Certyo opère la chaîne. Ce découplage est tout l'enjeu. Pour les topologies de déploiement qui préservent cette garantie, voir /fr/about. Pour la primitive de vérification en détail, voir /fr/blog/blockchain-without-crypto.

Une couche de preuve qui peut être fermée par son propre fournisseur est structurellement une moins bonne couche de preuve qu'une qui ne le peut pas. La fonction d'audit mérite une dépendance qui survit à une seule décision d'entreprise.
Retour au blog28 avril 2026 · 8 min de lecture

Prêt à voir tout cela en action ?

Demandez une démo et vérifiez votre premier enregistrement en quelques minutes.

Demander une démo → Voir comment ça marche