Home | Blog | Guide

Sécurité Sugarbug : vos données restent les vôtres

Sécurité Sugarbug : scraping en espace utilisateur, niveau médical, sans lock-in, sans entraînement de modèles. Pour les entreprises et la santé.

By Ellis Keane · 2026-04-17

Il existe une plaisanterie qui circule dans notre secteur : la meilleure façon d'obtenir de l'IA gratuite, c'est de devenir soi-même les données d'entraînement. Chaque génération de plateforme a trouvé comment monétiser votre travail un peu plus vite – et un peu plus discrètement – que la précédente, et quelque part en chemin, nous avons tous accepté d'appeler ça « le futur ». (On me dit que ça s'appelle aussi le progrès.) Sugarbug est construit sur le principe inverse, et cet article est le tour en français simple de la sécurité Sugarbug : ce que nous promettons, ce qui est déjà dans le code, ce qui arrive au lancement en production, et pourquoi nous nous imposons un standard plus élevé que tout ce qu'un régulateur exigerait.

Nous nous trouvons au cœur des flux de travail les plus sensibles de votre entreprise. Les fils Slack que votre équipe pensait que personne ne relirait jamais. Les débats en PR où quelqu'un a perdu un argument en 2023 et n'a toujours pas pardonné au relecteur. Les commentaires Figma et les revues de design, les tickets Linear, les invitations de calendrier, les transcriptions de réunions – tout ça. La seule barre honnête pour gérer ce type de données est un standard de niveau médical : aussi stricts avec nous-mêmes qu'un hôpital l'est avec les dossiers patients, et plus exigeants dans notre propre ingénierie que n'importe quelle réglementation ne le demande. Tout ce qui est moins strict est un pari que personne ne vérifiera jamais – et parier contre le fait d'être contrôlé est un très mauvais plan à long terme.

Ce que Sugarbug peut voir (et ce qu'il ne peut pas)

Sugarbug opère en espace utilisateur. Il scrape avec vos permissions, lit depuis vos comptes et voit exactement ce que vous voyez – rien de plus, rien de moins. Cette unique propriété architecturale (qui semble ennuyeuse la première fois qu'on l'entend, et dangereusement fondamentale la deuxième) a des conséquences véritablement profondes sur la façon dont vos données sont traitées.

Les administrateurs ne peuvent pas lire vos messages privés. Dans la plupart des produits de travail, quand vous quittez une entreprise, votre ancien compte devient l'archive de l'employeur. Il peut rouvrir votre boîte de réception, faire défiler les DMs Slack que vous pensiez privés et lire des e-mails que vous avez envoyés il y a des années. Sugarbug ferme cette porte avant qu'elle ne s'ouvre. Un administrateur d'organisation ne peut voir que ce que l'organisation peut déjà voir sans Sugarbug – les canaux publics, les documents partagés, les calendriers de groupe. Vos connecteurs privés vous appartiennent exclusivement, un point c'est tout.

Rejoindre une organisation est instantané. Les nouveaux membres reçoivent une unique source agrégée prétraitée qui rassemble tout ce qu'un membre verrait normalement – canaux Slack publics, notes de réunions de groupe, documents Notion partagés, tickets Linear, modifications Figma, PRs publiques – dédupliqué et déjà indexé par le graphe de connaissances composé de l'organisation. Vous rejoignez et avez immédiatement le contexte commun de l'équipe, sans payer le coût de réingérer ce que vos collègues ont déjà traité.

Quitter une organisation est propre. Quand vous vous déconnectez, vous perdez l'accès à la source agrégée de l'organisation et à ses signaux – rien de plus. Vos connecteurs privés vous restent. Votre historique, vos notes et votre graphe de connaissances personnel vous suivent au prochain endroit.

Le scraping en espace utilisateur est la décision fondamentale. C'est ce qui rend les messages privés véritablement privés, ce qui maintient le graphe portable, et ce qui transforme « vos données vous appartiennent » d'un slogan marketing en une propriété du système.

Le modèle journal

Imaginez comment quelqu'un pourrait tenir un carnet privé tout au long de sa carrière. Année après année, il se remplit des personnes qu'il rencontre, de ce qu'il pense, de la façon dont un moment l'a touché, de ce qu'il a appris d'une semaine difficile. Ce journal appartient à la personne qui l'a écrit. C'est aussi ce qui en fait un collègue plus avisé, plus réfléchi et plus précieux.

Sugarbug, c'est ce journal développé en un graphe de connaissances de travail complet : votre contexte privé (DMs, notes, entretiens individuels) et le contexte partagé de l'organisation (fils Slack dans les canaux publics, tickets Linear, documents partagés) assemblés dans un système personnel sans brouiller les frontières entre eux. Privé pour l'individu, utile pour l'équipe quand l'individu choisit de partager, et portable quand la personne part.

Parce que le privé et le public sont indexés ensemble, plutôt que de se trouver dans des outils séparés, travailler en public devient la façon la plus efficace d'opérer (une affirmation plus importante qu'elle n'y paraît, pour quiconque a passé une semaine sur des mises à jour de statut). Vous faites le travail, le contexte partagé se met à jour tout seul, et le modèle de journal privé reste privé.

Sugarbug, c'est ce journal développé en un graphe de connaissances de travail complet, sans brouiller la frontière entre ce qui est à vous et ce qui est partagé.

Ce qui est disponible aujourd'hui

Ce ne sont pas des éléments de feuille de route. Ce sont les éléments de la sécurité Sugarbug qui sont déjà dans le code, qui tournent en CI et qui se trouvent derrière chaque commit qui est publié.

Connexion sans mot de passe. L'authentification est uniquement OAuth sur cinq fournisseurs d'identité. Il n'y a pas de mots de passe à hameçonner, à divulguer ou à réutiliser.
Chiffrement partout. Les charges utiles sensibles au repos utilisent AES-256-GCM authentifié ; les connexions utilisent TLS 1.3 avec préchargement HSTS sur chaque point de terminaison public.
Isolation des locataires à chaque couche. Chaque requête et chaque recherche vectorielle est limitée à l'appelant, et les fuites entre locataires sont sondées par des tests automatisés à chaque exécution de CI.
Les actions administratives sont visibles. Les journaux d'audit inviolables couvrent l'usurpation d'identité, les modifications de compte et les suppressions de données. Si un ingénieur Sugarbug doit un jour accéder à votre compte pour une demande d'assistance, le journal indique exactement qui, quand et pourquoi.
La sécurité fait partie du pipeline de build. Des automatisations personnalisées analysent chaque commit à la recherche de secrets divulgués, de dépendances vulnérables et de régressions de qualité de code. Un changement qui échoue à ces vérifications n'est jamais publié.
Des déploiements sécurisés. Les déploiements bleu-vert avec vérification de l'état se réinitialisent automatiquement si quelque chose tourne mal, avant que vos utilisateurs ne le remarquent.
Des canaux authentifiés partout. Le client de bureau, l'agent local qui s'exécute à côté, et nos serveurs communiquent via des canaux authentifiés et chiffrés. Jamais de trafic en clair.

Ce qu'apporte le lancement

La liste « ce qui est disponible aujourd'hui » est la base. Le lancement en production est là où nous ajoutons les contrôles que les grands acheteurs appellent « prérequis minimaux » après les avoir demandés dans un tableur de 14 onglets, et que nous, personnellement, voulons en place avant que quoi que ce soit de vraiment sensible ne passe derrière l'API. Lisez tout ce qui suit comme un engagement ferme de lancement pour chaque utilisateur – pas une liste de souhaits ni quelque chose réservé à un accord entreprise.

Clés de chiffrement gérées par le client. Votre système de gestion de clés détient les clés. Les opérateurs Sugarbug ne peuvent pas déchiffrer vos données, même avec un accès serveur complet – la chose la plus proche du zero-knowledge qu'un produit d'intelligence des flux de travail puisse honnêtement atteindre.
Apportez votre propre LLM. Acheminez l'enrichissement via votre fournisseur préféré – OpenAI, Anthropic, Google, ou un modèle open source auto-hébergé. Votre choix, votre facture, votre relation de traitement de données. Pour les équipes qui en ont besoin, l'enrichissement peut s'exécuter entièrement sur un modèle auto-hébergé, de bout en bout.
Données personnelles supprimées avant chaque appel au LLM. Quel que soit le modèle vers lequel vous acheminez – le nôtre, le vôtre, cloud, hybride, entièrement local – chaque charge utile d'enrichissement a ses noms, e-mails, numéros de téléphone, adresses, clés et identifiants remplacés par des jetons réversibles avant d'atteindre le modèle. Le LLM voit la forme de vos données, jamais les personnes qu'elles contiennent. Sugarbug résout les jetons à la réception pour que la sortie arrive avec le bon contexte attaché.
Stockage de credentials sécurisé par Keychain sur le client de bureau. Vos tokens d'intégration vivent là où seul votre système d'exploitation peut les atteindre.
Binaires d'application signés et notariés avec des mises à jour automatiques vérifiées par signature. Vous pouvez vérifier que le Sugarbug que vous exécutez est bien le Sugarbug que nous avons livré.
Journalisation structurée de niveau conformité avec des fenêtres de rétention définies pour chaque classe d'événement.
Redondance multi-région avec récupération automatique à un point dans le temps.

Vers où nous allons

Le lancement en production n'est pas l'état final. Notre horizon au-delà est un Sugarbug que n'importe quel utilisateur – pas seulement les entreprises avec une infrastructure dédiée – peut faire tourner entièrement sur sa propre machine. Votre modèle, votre stockage, votre graphe de connaissances, synchronisant seulement ce qu'il doit. L'intelligence des flux de travail sous votre propre toit, sans rien sur nos serveurs à moins que vous ne choisissiez d'y mettre quelque chose – vous pouvez faire des allers-retours à votre gré. L'architecture est construite avec cette destination en vue, et chaque décision que nous prenons entre maintenant et le lancement est vérifiée par rapport à elle.

(Si cela semble ambitieux, tant mieux. Une industrie qui a discrètement envoyé vos données vers des ensembles d'entraînement pendant une décennie mérite une contre-proposition commerciale ambitieuse.)

La rétention vous appartient à contrôler

Sugarbug reflète la politique de rétention de votre système source. Si votre Slack conserve les messages pendant 90 jours, la copie de Sugarbug disparaît selon le même calendrier – sur chaque surface, y compris les tâches, les résumés de personnes, la préparation des réunions et la recherche vectorielle. Vous définissez la fenêtre une fois ; nous la respectons partout.

Quand vous supprimez votre compte, nous supprimons tout, y compris les embeddings vectoriels.

Pas de verrous sur la porte

Nous ne voulons pas vous retenir. Nous voulons que vous restiez parce que Sugarbug est véritablement la meilleure expérience et rend vous et votre équipe plus efficaces que toute alternative – pas parce que partir est difficile. C'est pourquoi vous pouvez extraire vos données à tout moment, sans conversations avec les commerciaux et sans équipe de rétention entre vous et le bouton d'exportation. Chaque tâche, chaque personne, chaque réunion est livrée dans un format portable, prêt à être intégré à ce qui vient ensuite.

Essayez d'autres options. Défiez-nous. Cette pression fait partie de notre façon de nous améliorer, et rendre votre vie professionnelle plus facile est tout l'objectif.

Surdimensionné pour les entreprises

Les grandes organisations réglementées ont des examens d'approvisionnement qui durent des mois et des listes de vérification de centaines de questions. (Si vous avez jamais répondu à un SIG Lite à 23h la veille de la clôture d'un accord, je vous dois un verre.) L'histoire de sécurité de Sugarbug est conçue pour les passer du premier coup. Si vous avez jamais essayé de traverser l'un de ceux-ci à minuit, à moitié caféiné, en négociant silencieusement avec l'univers pour un tableur plus petit, vous connaissez déjà cette section par cœur – le produit est construit pour que vous n'ayez pas à improviser sur quoi que ce soit.

Identité et accès. SSO SAML 2.0 avec Okta, Azure AD, Ping, Google Workspace et JumpCloud. Provisionnement et déprovisionnement SCIM 2.0 pour le départ automatique au moment où votre HRIS marque un employé comme terminé. Politique MFA appliquée par l'organisation, délais d'expiration de session configurables, et liste blanche d'IP au niveau de l'organisation.

Des frontières de données que vous pouvez vérifier.

Vos données n'entraînent pas de modèles. Ni les nôtres, ni ceux de nos fournisseurs, ni ceux de qui que ce soit. C'est un engagement architectural, pas une ligne dans un contrat – nous sécurisons la rétention zéro des données avec chaque fournisseur de LLM par lequel nous acheminons des signaux, et les clients qui ont besoin d'une garantie plus forte peuvent opter pour l'enrichissement local où aucune donnée brute ne quitte leur périmètre.
Résidence régionale des données aux États-Unis, dans l'UE et au Royaume-Uni. Vos données restent physiquement dans la région que vous choisissez. Pas de copies transfrontalières, pas de « elles restent principalement là-bas ».
Liste de sous-traitants publiée avec des notifications préalables quand elle change et une fenêtre pour vous permettre de vous opposer avant que le changement ne prenne effet.
DPA pré-signé avec des Clauses Contractuelles Types pour les transferts transfrontaliers, et une Évaluation d'Impact sur les Transferts prête pour votre équipe juridique.

Réseau et opérations.

Réseau privé via AWS PrivateLink, Azure Private Endpoints et GCP Private Service Connect. Pour les clients qui le nécessitent, le trafic entre votre réseau et Sugarbug ne touche jamais l'internet public.
Streaming de journaux d'audit dans Splunk, Datadog, Microsoft Sentinel ou Chronicle. Votre SOC voit les mêmes événements que nous.
Prise en charge de la conservation légale et de l'eDiscovery pour les données sous litige, y compris la suspension de rétention et l'exportation à portée limitée.
Infrastructure dédiée à locataire unique disponible pour les déploiements les plus sensibles.
Notification contractuelle de violation dans les 24 heures – bien en deçà du seuil de 72 heures du RGPD.
Objectifs RTO et RPO publiés soutenus par un plan de reprise après sinistre documenté et des sauvegardes inter-régions.
Personnel avec vérification des antécédents disposant d'un accès en production, d'une formation annuelle à la sécurité et de révisions d'accès trimestrielles.

Vérification selon vos conditions.

Test de pénétration annuel par un tiers réalisé par un cabinet reconnu. Le résumé exécutif est public ; le rapport complet est disponible sous NDA.
Programme public de bug bounty.
Centre de confiance à une URL : rapport SOC 2, certificat ISO/IEC 27001, résumé du test de pénétration, liste des sous-traitants, modèle de DPA, page de statut de sécurité et la dernière lettre de pont d'audit.
Réponses pré-remplies SIG Lite, CAIQ et VSA-Full prêtes pour votre équipe d'approvisionnement.

Surdimensionné pour la santé

Les hôpitaux et les systèmes de santé portent un type de risque différent de l'entreprise moyenne. Dans le SaaS ordinaire, une violation est un incident ; dans les environnements cliniques, une violation peut finir quelque part entre un problème de prestation de soins et une enquête fédérale, et l'écart entre ces deux résultats n'est pas quelque chose dans lequel nous voulons nous trouver. Sugarbug est construit en tenant compte de cette différence. Les engagements ci-dessous ne sont pas réservés au niveau de tarification le plus élevé, car « BAA uniquement en entreprise » a toujours été un geste discrètement cynique dans cette industrie.

Accord de partenariat commercial disponible sur chaque niveau payant, signé avant que toute information de santé protégée ne passe par votre compte. Pas de réservation exclusive au niveau entreprise.
Contrôles d'accès au minimum nécessaire, avec journalisation d'audit sensible aux PHI conservée pendant six ans pour répondre aux exigences HIPAA et HITECH.
Notification de violation alignée sur HITECH avec un calendrier défini et un flux de travail documenté.
Infrastructure dédiée à locataire unique disponible pour les déploiements où l'hébergement multi-locataires partagé ne répond pas à vos normes internes.

Trajectoire de conformité

Les audits ne sont pas amusants. Pas plus que de découvrir que le fournisseur « sécurisé par défaut » que vous avez acheté l'année dernière voulait dire « sécurisé dans le deck de vente ». Au lancement en production, Sugarbug vise :

SOC 2 Type II – sécurité, disponibilité et confidentialité.
ISO/IEC 27001 – gestion internationale de la sécurité de l'information.
HIPAA pour les clients avec des Accords de Partenariat Commercial.
RGPD – portabilité des données, droit à l'effacement et base légale tout au long du processus.

Les décisions d'architecture que nous avons déjà prises se relient directement aux contrôles que ces cadres exigent : isolation des locataires à chaque couche, journalisation d'audit de bout en bout, chiffrement prêt pour les enveloppes, sémantique de suppression vérifiable et un modèle de scraping en espace utilisateur qui maintient les administrateurs hors des données privées par conception. La sécurité Sugarbug n'est pas un chapitre que nous ajoutons à la fin ; c'est la forme du produit. Le chemin honnête le plus court pour réussir un audit est de construire le produit de la façon dont l'auditeur souhaiterait que tout le monde le fasse, et nous essayons de le faire dès le premier essai.

Si vous voulez une couche d'intelligence des flux de travail qui traite vos données comme des dossiers patients plutôt que comme du matériel d'entraînement, c'est ce que nous construisons. Essayez Sugarbug sur sugarbug.ai.

Foire aux questions

Les questions qui reviennent le plus souvent sur la sécurité Sugarbug, avec des réponses simples.

Sugarbug entraîne-t-il des modèles d'IA sur mes données ?

Non, et il ne le fera jamais. C'est une décision architecturale, pas contractuelle. Au lancement en production, la rétention zéro des données est en place avec chaque fournisseur de LLM par lequel nous acheminons les requêtes, et les clients qui souhaitent plus de rigueur peuvent opter pour l'enrichissement local.

Mon employeur peut-il lire mes DMs privés Slack via Sugarbug ?

Non. Sugarbug scrape uniquement avec vos permissions. Un administrateur d'organisation ne voit rien que l'organisation ne pourrait déjà voir sans Sugarbug – canaux publics, documents partagés, calendriers de groupe. Vos connecteurs privés vous appartiennent exclusivement.

Que se passe-t-il avec mes données Sugarbug quand je quitte mon entreprise ?

Vous conservez votre graphe de connaissances privé et repartez avec. Quitter une organisation supprime votre accès à la source agrégée de cette organisation et à ses signaux, supprimant leur historique au fur et à mesure que votre accès aux outils connectés est retiré. Votre historique personnel et vos notes vous suivent.

Comment Sugarbug empêche-t-il les données personnelles d'entrer dans les prompts d'IA ?

Au lancement en production, les données personnelles sont supprimées de chaque charge utile d'enrichissement avant que le modèle ne les voie – qu'il s'agisse de notre modèle, du vôtre, d'un fournisseur cloud ou d'un modèle entièrement local. Le LLM voit la forme de votre problème, jamais les personnes ou les données qu'il contient.

Sugarbug est-il conforme SOC 2 et HIPAA ?

Au lancement en production, Sugarbug vise SOC 2, ISO/IEC 27001, HIPAA (avec BAAs) et RGPD. Les BAAs sont disponibles sur chaque niveau payant, sans être réservés aux prix entreprise.