DuoKey logotype

HashiCorp Vault et BSL 1.1 : ce que cela change et quoi faire

DuoKey14 April 2026
HashiCorp Vault et BSL 1.1 : ce que cela change et quoi faire

HashiCorp Vault et BSL 1.1 : ce que cela change et quoi faire

Table des matières

  1. Ce qui a changé avec la licence HashiCorp
  2. Ce que cela signifie pour les utilisateurs de Vault Enterprise
  3. OpenBao : l'alternative open-source
  4. DuoKey SD-HSM : sécurité enterprise sans le matériel
  5. Le chemin de migration
  6. Bénéfices attendus

En août 2023, HashiCorp a annoncé qu'il relicenciait Vault - ainsi que ses autres produits - sous la Business Source Licence 1.1 (BSL 1.1). Le changement a été présenté comme une mesure contre les grands fournisseurs cloud qui monétisent les produits HashiCorp sans contribuer en retour. Pour les utilisateurs enterprise de Vault, les implications sont plus larges.

Ce qui a changé avec la licence HashiCorp

Avant août 2023, HashiCorp Vault était distribué sous la Mozilla Public Licence 2.0 (MPL 2.0) - une véritable licence open-source approuvée par l'Open Source Initiative. Toute organisation pouvait utiliser, étudier, modifier et distribuer Vault sans restriction.

La BSL 1.1 n'est pas une licence open-source. Elle interdit l'utilisation du logiciel dans un « produit ou service concurrent ». La définition de « concurrent » est fixée unilatéralement par HashiCorp et peut changer sans préavis. Au bout de quatre ans, le code BSL se convertit en une licence open-source spécifiée - mais d'ici là, la version suivante est déjà sous BSL.

En pratique : Vault est désormais un logiciel propriétaire. Vous êtes un client de HashiCorp, et non plus un participant d'un écosystème ouvert.

Ce que cela signifie pour les utilisateurs de Vault Enterprise

Si vous utilisez HashiCorp Vault Enterprise, le changement de licence aggrave une structure de coûts déjà significative :

  • Tarification par client token : Vault Enterprise facture environ 500 EUR par client token et par an. Une organisation avec 200 tokens paie 100 000 EUR par an en licences seules - avant l'infrastructure, les opérations ou les coûts d'auto-unseal.
  • Augmentations annuelles : HashiCorp augmente régulièrement les prix de Vault Enterprise de 10 à 15 % par an. Combiné à la croissance des tokens à mesure que l'infrastructure évolue, les coûts peuvent doubler tous les deux à trois ans.
  • Dépendance à l'auto-unseal : Un auto-unseal de niveau production nécessite soit des services cloud KMS coûteux, soit un HSM physique - les deux impliquant des coûts supplémentaires et un enfermement propriétaire.
  • Dépendance fournisseur : Avec la BSL en place, votre position de négociation au renouvellement est faible. Il n'existe pas de fork communautaire crédible sous l'ancienne licence - jusqu'à maintenant.

Le résultat est une spirale de coûts croissants avec une dépendance fournisseur accrue et aucune échappatoire naturelle sous l'ancien modèle.

OpenBao : l'alternative open-source

OpenBao est un fork de HashiCorp Vault maintenu par la communauté, créé en réponse au changement de licence BSL et désormais gouverné par la Linux Foundation. Il est distribué sous MPL 2.0 - une véritable licence open-source.

Faits essentiels sur OpenBao :

  • Compatibilité API à 100 % avec HashiCorp Vault : chaque méthode d'authentification, moteur de secrets et politique fonctionne de manière identique. Les applications ne nécessitent aucune modification de code.
  • Gouverné par le Comité de pilotage technique de la Linux Foundation : aucune entreprise ne contrôle seule la feuille de route. Le projet ne peut pas être relicencié sans consensus de la communauté.
  • Zéro licence par token : OpenBao est gratuit à n'importe quelle échelle. Pas de frais par token, pas de négociation de renouvellement, pas d'augmentation de prix surprise.
  • Développement actif : OpenBao est maintenu par des organisations qui l'utilisent en production, dont le partenaire européen certifié de DuoKey - un co-mainteneur d'OpenBao et membre du TSC de la Linux Foundation.

Pour les organisations utilisant Vault aujourd'hui, OpenBao représente une cible de migration directe. L'API est identique, les outils sont compatibles et le chemin de migration est bien établi.

DuoKey SD-HSM : sécurité enterprise sans le matériel

OpenBao résout le problème de licence. Mais les déploiements enterprise ont toujours besoin d'un auto-unseal fiable, d'un seal wrap et d'opérations managées 24h/24. C'est là qu'interviennent DuoKey SD-HSM et DuoKey SD HSM.

Auto-unseal et seal wrap via MPC

DuoKey SD-HSM remplace le cloud KMS et les HSM physiques par le calcul multipartite (MPC). Au lieu qu'une seule limite matérielle détienne la clé d'unseal, le MPC distribue le matériel de clé entre plusieurs parties indépendantes. La clé n'existe jamais en clair - ni en transit, ni en mémoire, ni sur disque.

Ce n'est pas un contournement du matériel HSM manquant. C'est architecturalement plus solide. Un HSM physique est un point de défaillance unique : compromettez l'appareil et vous compromettez la clé. Avec le MPC, un attaquant doit simultanément compromettre plusieurs nœuds séparés géographiquement et organisationnellement pour obtenir quoi que ce soit d'utile.

Pour une comparaison détaillée, consultez MPC vs HSM : quelle approche de gestion des clés sécurise votre entreprise ?

DuoKey SD HSM

DuoKey propose un déploiement entièrement managé, assuré par la même équipe qui co-maintient le projet :

  • Surveillance, alertes et réponse aux incidents 24h/24, 7j/7
  • Mises à jour automatisées et correctifs de sécurité
  • Configuration haute disponibilité dès le premier jour
  • Hébergement en UE, pleine souveraineté des données
  • Tarification forfaitaire - les coûts n'augmentent pas avec votre nombre de tokens

Cela supprime la charge opérationnelle qui rend Vault ou OpenBao autogéré difficile à grande échelle. Votre équipe se concentre sur l'utilisation des secrets, pas sur la gestion de l'infrastructure qui les protège.

Le chemin de migration

Une migration typique de HashiCorp Vault Enterprise vers DuoKey SD HSM prend deux à quatre semaines sans interruption des applications et sans modification de code.

Semaine 1 - Évaluation : DuoKey inventorie votre déploiement Vault - namespaces, politiques, moteurs de secrets, méthodes d'authentification et intégrations. Un plan de migration avec calendrier et gestion des risques est arrêté.

Semaines 1 à 2 - Déploiement : DuoKey déploie OpenBao managé en configuration haute disponibilité. DuoKey SD-HSM MPC est configuré pour l'auto-unseal et le seal wrap. L'infrastructure est validée.

Semaines 2 à 3 - Migration des données : les secrets, politiques et configurations sont migrés à l'aide d'outils éprouvés. Toutes les intégrations client sont testées sur le nouveau cluster.

Semaines 3 à 4 - Basculement : les applications sont redirigées vers OpenBao en mettant à jour VAULT_ADDR. La surveillance des performances et des erreurs confirme la migration. Vault Enterprise est désactivé.

Une migration progressive - en faisant fonctionner Vault et OpenBao en parallèle pendant la transition - est pleinement prise en charge.

Bénéfices attendus

Les organisations qui ont effectué cette migration constatent systématiquement les résultats suivants :

Réduction de 60 à 80 % du TCO en gestion des secrets. L'élimination des licences par token et le remplacement du HSM physique ou du cloud KMS par DuoKey SD-HSM MPC suppriment les deux principaux postes de coûts. Pour un déploiement de 200 tokens payant auparavant 100 000 EUR par an en licences Vault seules, les économies sont immédiates et substantielles.

Aucune modification de code requise. La compatibilité API à 100 % entre OpenBao et Vault signifie que vos applications continuent de fonctionner sans modification. Pas de refactorisation, pas de tests de régression, pas de re-formation.

Posture de sécurité renforcée. L'auto-unseal basé sur MPC élimine les points de défaillance uniques inhérents au cloud KMS et à l'auto-unseal HSM physique. Les clés n'existent jamais en clair nulle part dans le système.

Coûts prévisibles et fixes. DuoKey SD HSM est à tarif forfaitaire. L'ajout de nouveaux services n'augmente pas votre facture de licence. La croissance de l'infrastructure n'est plus un événement de coût.

Stabilité de licence à long terme. OpenBao, sous la gouvernance de la Linux Foundation, ne peut pas être relicencié par décision d'un seul fournisseur. Ce qui est gratuit aujourd'hui le reste.

Si vous planifiez un renouvellement Vault ou évaluez vos options avant une revue des coûts, la migration vers OpenBao avec DuoKey SD-HSM mérite un examen approfondi. La compatibilité API supprime le risque habituel lié au changement de plateforme de gestion des secrets, et l'économie est simple.

En savoir plus sur la solution DuoKey pour OpenBao ou réserver un appel avec notre équipe pour discuter de votre déploiement spécifique.

Références

Ressources associées

Approfondir la gestion des clés

MPC vs HSM : quelle approche de gestion des clés sécurise votre entreprise ?

MPC vs HSM : quelle approche de gestion des clés sécurise votre entreprise ?

Read more