Configurer votre organisation dans la Console Opérateur

Ce que vous allez configurer dans les 30 prochaines minutes

La Console Opérateur, à l'adresse app.zeuslock.ai, est l'endroit où vous transformez un tenant Zeuslock vierge en plateforme DLP prête pour la production. Connectez-vous avec l'adresse e-mail utilisée à l'inscription : votre compte initial est provisionné en rôle Propriétaire. Ce guide accompagne un opérateur dans l'enchaînement canonique : créer l'organisation, inviter l'équipe, brancher le SSO, choisir les détections actives, router les alertes, livrer une politique à un groupe pilote, puis seulement ouvrir l'accès à toute l'entreprise.

Suivez les étapes dans l'ordre. Chacune est courte, mais sauter une étape — en particulier le groupe pilote — provoque presque toujours des vagues de faux positifs qui érodent la confiance dans la plateforme.

La séquence de configuration

1. Créez l'organisation. Allez dans Paramètres → Organisation → Nouvelle. Saisissez la raison sociale (elle apparaît sur les exports d'incidents et les DPA), choisissez la région principale — eu-west-3 (Paris) est la valeur par défaut et le bon choix pour toute charge de travail résidant dans l'UE — et définissez la langue par défaut de l'interface et des notifications utilisateurs. La région ne peut plus être modifiée une fois des incidents enregistrés ; la langue, si.
2. Invitez l'équipe sécurité. Allez dans Paramètres → Membres → Inviter. Zeuslock propose quatre rôles, calés sur le principe du moindre privilège :
   • Propriétaire — facturation, suppression du tenant, attribution des rôles. Limitez-le à deux personnes au maximum.
   • Administrateur — politiques, intégrations, SSO, détecteurs personnalisés. Le rôle opérationnel du quotidien.
   • Opérateur — revue des incidents, triage, commentaires, escalade. Aucune édition de politique.
   • Auditeur — lecture seule sur l'ensemble, y compris les journaux d'audit et l'export CSV. Conçu pour la conformité et l'audit interne, notamment vis-à-vis de la CNIL.
3. Connectez le SSO. Ouvrez Paramètres → Authentification → Authentification unique et choisissez votre fournisseur d'identité. Les sous-étapes figurent plus bas.
4. Configurez le profil de détection par défaut. Dans Politiques → Profil de détection → Par défaut, activez les quatre familles qui produisent du signal dès le premier jour : credentials (api_key, password, private_key, JWT, jetons Bearer), PII (e-mail, téléphone, NIR, passeport, IP), financial (credit_card, IBAN, crypto_wallet, connection_string) et source_code. Laissez behavioral désactivé tant que vous n'avez pas au moins deux semaines de trafic de référence — il s'appuie sur des normes par utilisateur qu'il faut d'abord apprendre.
5. Définissez les canaux d'alerte. Dans Intégrations → Alertes : connectez Slack via le bouton OAuth (choisissez le canal que l'équipe d'astreinte lit réellement), ajoutez une URL de webhook entrant Microsoft Teams, collez un point d'accès HTTPS générique pour votre SIEM (Splunk HEC, Microsoft Sentinel, ou tout système acceptant du JSON signé HMAC), et activez le digest e-mail à la cadence qui correspond à votre rythme opérationnel — quotidien pour les équipes sécurité actives, hebdomadaire pour les structures plus petites.
6. Créez votre premier groupe. Allez dans Paramètres → Groupes → Nouveau et créez un groupe nommé pilote-securite. Ajoutez-y l'équipe sécurité elle-même. Ce groupe recevra chaque nouvelle politique en premier, pour repérer les surprises sur votre propre équipe avant qu'elles n'atteignent un commercial à 16 h un vendredi.
7. Générez le jeton d'appairage des postes. Dans Paramètres → Postes → Jeton d'appairage, cliquez sur Générer. Copiez le jeton dans votre outil de gestion de flotte (Intune, Jamf, GPO ou politique ChromeOS de Workspace) comme valeur de la variable d'environnement ZEUSLOCK_PAIRING_TOKEN. L'extension navigateur et l'agent de bureau se déclareront automatiquement au premier démarrage, sans aucune intervention de l'utilisateur.
8. Optionnel : configurez la résidence des données. Si votre contrat impose un traitement exclusivement français, ouvrez Paramètres → Résidence des données et fixez la liaison régionale à fr-only avant qu'aucun incident ne soit enregistré. Cela enferme chaque octet de contexte de détection, de trafic de confirmation ML et de journal d'audit dans une infrastructure française. La liaison est définitive dès que le premier incident touche le tenant — aucun retour en arrière n'est possible.

Étape 3 en détail : brancher votre fournisseur d'identité

Le SSO supprime le problème des mots de passe et débloque le provisionnement SCIM. Configurez un seul IdP par tenant. Les trois flux ci-dessous produisent le même état final : une fédération SAML 2.0 et, là où c'est pris en charge, une synchronisation SCIM 2.0 des utilisateurs et des groupes.

Okta (SAML 2.0 + SCIM)

Dans la Console Opérateur, copiez l'ACS URL et l'Entity ID depuis Paramètres → Authentification → SAML. Dans Okta, créez une application SAML 2.0 nommée Zeuslock, collez les deux valeurs, fixez le format NameID à EmailAddress et mappez les attributs email, firstName, lastName, groups. Téléchargez les métadonnées IdP au format XML et téléversez-les dans Zeuslock. Pour SCIM, activez Provisioning → To App, collez l'endpoint SCIM et le jeton Bearer affichés sous Authentification → SCIM, puis cochez Création / Mise à jour / Désactivation des utilisateurs.

Azure AD / Entra ID (SAML 2.0 + SCIM)

Dans Entra, créez une application d'entreprise depuis la galerie en recherchant Zeuslock, ou une application hors galerie portant le même nom. Configurez Authentification unique → SAML avec l'ACS URL et l'Entity ID de la console. Mappez la revendication user.mail au NameID. Pour SCIM, dans le panneau Provisionnement, choisissez le mode Automatique, collez l'endpoint SCIM et le jeton Bearer, et assignez le groupe de sécurité à synchroniser. Testez avec Provisionner à la demande avant d'activer le planning.

Google Workspace (SAML 2.0, SCIM non pris en charge)

Dans la console d'administration Google, ouvrez Applications → Applications Web et mobiles → Ajouter une application SAML personnalisée, nommez-la Zeuslock, téléchargez les métadonnées IdP Google et téléversez-les dans Paramètres → Authentification → SAML → Métadonnées IdP. Renseignez l'ACS URL et l'Entity ID côté Zeuslock. Workspace n'expose pas SCIM en externe : activez à la place le provisionnement Just-In-Time dans Authentification → SAML → JIT pour créer les utilisateurs lors de leur première connexion SSO.

Liste de vérification avant déploiement

N'invitez pas le reste de l'entreprise tant que les trois points suivants ne sont pas validés :

• Le SSO fonctionne pour 2 à 3 testeurs. Demandez à au moins trois membres de l'équipe sécurité de se déconnecter puis de se reconnecter via votre IdP. Confirmez que le mappage des rôles est correct et que SCIM (le cas échéant) a bien renseigné leurs appartenances de groupe.
• Au moins une alerte Slack reçue. Depuis Intégrations → Alertes → Slack, cliquez sur Envoyer une alerte de test. Vérifiez qu'elle arrive dans le bon canal et que la rotation d'astreinte la voit effectivement.
• Au moins une détection réelle depuis votre propre navigateur. Installez l'extension sur votre poste, collez le numéro de carte Visa de test documenté 4111 1111 1111 1111 dans ChatGPT. Vérifiez que l'incident apparaît dans Incidents → Live en moins de dix secondes, avec le bon détecteur, la bonne sévérité et la bonne attribution au groupe pilote.

Une fois la vérification passée, étendez le groupe pilote à un second département, puis à toute l'organisation. Le playbook de déploiement de politiques détaille la cadence recommandée.