MTC Skopos dispose-t-il d'une certification SOC 2 ou ISO 27001 ?

Non, et pour un outil bureau hors ligne ces référentiels auditent la mauvaise couche. SOC 2 atteste des contrôles d'un prestataire sur les données client qu'il héberge, or MTC Skopos n'héberge aucune de vos données. ISO 27001 certifie le système de management de la sécurité interne d'un éditeur, dans lequel vos données n'entrent jamais. MTC Skopos s'exécute entièrement sur votre poste : l'assurance pertinente porte donc sur l'intégrité du binaire et la transparence des flux de données, à savoir un binaire signé, un SBOM embarqué, des scans de dépendances reproductibles et un livre blanc d'architecture.

MTC Skopos envoie-t-il mes données SAP à MTC ?

Non. Toute l'analyse s'exécute localement sur votre poste, et aucune donnée métier client, identité d'utilisateur, rôle, autorisation, attribut RH, statistique d'utilisation ou résultat de risque n'est jamais transmis à MTC. La seule connexion qui atteint MTC est une vérification de licence qui échange des métadonnées d'habilitation, pas vos données.

MTC Skopos peut-il fonctionner en environnement isolé (air-gap) ou à réseau restreint ?

Oui. L'analyse à partir de fichiers ne nécessite aucune connectivité. La vérification de licence échoue gracieusement : l'application continue de fonctionner pendant une période de tolérance d'environ trois jours si le service de licence est bloqué, ce qui rend l'usage en réseau restreint ou isolé tout à fait praticable.

Comment vérifier que le binaire MTC Skopos est authentique ?

L'exécutable Windows est signé avec un certificat Authenticode émis par DigiCert : vous pouvez confirmer l'éditeur et l'absence d'altération via la boîte de dialogue de signature Windows ou Get-AuthenticodeSignature. Une empreinte SHA-256 est publiée pour le téléchargement, et le binaire embarque une nomenclature logicielle (SBOM) que vous pouvez auditer avec cargo audit bin mtc-skopos.exe face à la base d'avis RustSec.

L'assistant IA envoie-t-il mes données à MTC ?

Non. L'assistant IA optionnel envoie ses requêtes uniquement au fournisseur d'IA que vous configurez, par exemple votre propre compte Anthropic, OpenAI, Azure OpenAI ou une passerelle auto-hébergée. Les entités sensibles sont anonymisées localement par défaut avant tout envoi, et aucun trafic IA ne va vers MTC.

Sécurité et architecture de MTC Skopos : traitement hors ligne, aucune fuite de données

MTC Skopos est une application bureau hors ligne : elle s'exécute entièrement sur votre poste et n'envoie jamais vos données ERP à MTC. L'ingestion, l'analyse, la remédiation et le reporting se font localement. La seule connexion qui nous parvient est une vérification de licence qui transporte des métadonnées d'habilitation, jamais vos données. Comme MTC n'exploite aucun service hébergeant vos données, l'assurance qui compte pour un outil hors ligne porte sur l'intégrité du binaire et la transparence des flux de données, et non sur des certifications de type SaaS.

La plupart des outils d'analyse des risques d'accès et de GRC sont des services hébergés : vous envoyez une copie de vos données d'autorisation SAP à un éditeur et vous faites confiance à ses contrôles. MTC Skopos fait l'inverse. L'analyse s'exécute là où vos données se trouvent déjà, si bien que la question « qu'advient-il de nos données chez l'éditeur » a une réponse courte : rien n'en sort.

Hors ligne par conception

MTC Skopos est une application bureau autonome. Il n'y a aucun serveur hébergé par MTC, aucun tenant cloud et aucun service d'arrière-plan qui continuerait après la fermeture. Les données que vous chargez sont lues, analysées et restituées entièrement sur votre poste, et chaque sortie est écrite uniquement à l'emplacement local ou réseau que vous choisissez. L'analyse à partir de fichiers ne nécessite aucune connectivité, si bien que le produit fonctionne en environnement à réseau restreint ou isolé.

C'est le même argument de propriété des données que celui du piège SaaS : le moyen le plus fiable de garder des données d'accès sensibles confidentielles est de ne jamais les envoyer ailleurs.

Les trois seules connexions réseau

MTC Skopos n'ouvre de connexions sortantes que dans trois situations, et aucune n'envoie vos données ERP à MTC.

Connexion	Destination	Contrôlée par	Transporte vos données ERP ?
Vérification de licence et de version	Service de licence MTC (`licence.mtcskopos.com`)	MTC	Non, métadonnées d'habilitation uniquement
Assistant IA optionnel	Le fournisseur d'IA que vous configurez (Anthropic, OpenAI, Azure OpenAI, auto-hébergé)	Vous	Seulement si vous l'activez ; anonymisé par défaut, envoyé à votre fournisseur, jamais à MTC
Extraction SAP en direct (optionnelle)	Votre propre système SAP	Vous	Lu depuis votre système, stocké localement, jamais transféré

La seule connexion vers MTC est le service de licence. Il échange une habilitation signée, une empreinte machine pour le décompte des sièges et une requête de version. Il ne reçoit aucune donnée métier et n'a accès à rien de ce que vous analysez. S'il est injoignable, l'application continue de fonctionner avec sa licence locale pendant une période de tolérance d'environ trois jours.

Ce qui est manifestement absent

Le produit ne contient aucune télémétrie, aucune analyse d'usage, aucun rapport de plantage ou d'erreur, aucun téléchargement automatique de mise à jour et aucun point de collecte de données MTC. Les identifiants SAP ou IA ne sont conservés qu'en mémoire le temps de la session et ne sont jamais écrits sur le disque.

SOC 2, ISO 27001 et tests d'intrusion : la bonne assurance pour un outil hors ligne

Les équipes sécurité demandent légitimement SOC 2, ISO 27001 ou un test d'intrusion tiers. Pour MTC Skopos, ces référentiels auditent une couche qui n'est pas dans le chemin de vos données :

SOC 2 atteste des contrôles d'un prestataire sur les données client hébergées dans son environnement. MTC n'exploite aucun service et n'héberge aucune de vos données : un rapport SOC 2 décrirait des contrôles qui n'existent pas dans la manière dont Skopos traite vos informations.
ISO 27001 certifie le système de management de la sécurité interne de MTC, pas le produit. Pour un outil hors ligne, la sécurité de vos données ne dépend pas de l'ISMS interne de MTC, puisque vos données n'y entrent jamais.
Le test d'intrusion (VAPT) sollicite un système en fonctionnement et exposé au réseau. Avec Skopos déployé hors ligne, il n'y a aucun service exposé ni point d'entrée réseau à tester. La vraie question, celle de savoir si le binaire local est authentique et se comporte correctement, relève des contrôles de chaîne d'approvisionnement logicielle plutôt que d'un pentest réseau.

Plutôt que des certifications qui auditent la mauvaise couche, nous fournissons une assurance adaptée aux risques qui s'appliquent réellement à un binaire hors ligne.

L'assurance que nous fournissons

Binaire de version signé et empreinte publiée. L'exécutable Windows est signé avec un certificat Authenticode DigiCert : vous confirmez l'éditeur et l'absence d'altération via la boîte de dialogue de signature Windows ou Get-AuthenticodeSignature. Une empreinte SHA-256 est publiée pour chaque version. Voir le processus de vérification par version.
Nomenclature logicielle (SBOM) embarquée. Les versions sont compilées avec cargo auditable, qui embarque l'inventaire complet des dépendances dans le binaire signé. Son intégrité découle de la signature du code : aucun fichier SBOM séparé dont vous auriez à vérifier la provenance.
Audit de dépendances reproductible. Vous ne dépendez d'aucun rapport de scan fourni par nous. Lancez cargo audit bin mtc-skopos.exe sur le binaire reçu pour produire votre propre résultat faisant autorité, face à la base d'avis RustSec.
Livre blanc d'architecture et de flux de données. Un document pour vos équipes sécurité, protection des données et audit, qui inventorie chaque connexion réseau, confirme l'absence de fuite de données métier vers MTC et liste les vérifications d'exécution que votre équipe peut mener sur son propre réseau. Télécharger le livre blanc (en anglais).

L'assistant IA garde vos données de votre côté

Les fonctions d'IA sont optionnelles, et le produit fonctionne pleinement IA désactivée, y compris en environnement isolé. Lorsqu'elles sont activées, les requêtes vont uniquement au fournisseur d'IA que vous configurez (votre propre Anthropic, OpenAI, Azure OpenAI ou passerelle auto-hébergée), jamais à un point d'accès MTC. Les entités sensibles telles que les identifiants d'utilisateur, les noms de rôles, les noms de systèmes et les attributs RH sont remplacées localement par des marqueurs non réversibles avant tout envoi, puis restaurées localement à la réponse. MTC n'intermédie ni ne reçoit jamais ce trafic. Pour des sorties infalsifiables, Skopos peut aussi signer ses rapports avec des clés que vous maîtrisez : voir BYOK et non-répudiation.

L'entreprise derrière MTC Skopos

MTC Skopos est développé par Meylan Technologies & Consulting Sàrl, société enregistrée à Genève, en Suisse. Le contrat d'abonnement est régi par le droit suisse, canton de Genève. Consultez l'intégralité des conditions pour les engagements de licence, de garantie et de protection des données. Vous pouvez télécharger le livre blanc d'architecture ; pour demander le dossier d'assurance complet ou organiser une présentation avec votre équipe sécurité, contactez-nous.

Signaler un problème de sécurité

Si vous pensez avoir découvert une vulnérabilité dans MTC Skopos ou sur mtcskopos.com, dites-le-nous. Notre politique de divulgation responsable précise le périmètre, nos délais de réponse et la protection accordée à la recherche de bonne foi.

Sécurité et confiance