Vault Community Edition (CE) couvre 90% des cas d’usage en gestion de secrets. Avant de considérer Enterprise, évaluez objectivement vos besoins réels : la plupart des équipes n’ont pas besoin des fonctionnalités avancées.
Cette page détaille les différences entre les éditions et vous aide à faire un choix éclairé.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- Les fonctionnalités incluses dans chaque édition
- Les vrais besoins Enterprise vs les besoins perçus
- L’option HCP Vault (Vault managé)
- Une grille de décision objective
Vue d’ensemble des éditions
Section intitulée « Vue d’ensemble des éditions »| Édition | Licence | Prix | Cas d’usage |
|---|---|---|---|
| Community (CE) | BSL 1.1 | Gratuit | La plupart des organisations |
| Enterprise | Commercial | $$$ | Multi-région, compliance stricte |
| HCP Vault | SaaS | $/heure | Vault managé par HashiCorp |
Tableau comparatif complet
Section intitulée « Tableau comparatif complet »Fonctionnalités de base
Section intitulée « Fonctionnalités de base »| Fonctionnalité | CE | Enterprise |
|---|---|---|
| Secrets Engines | ||
| KV (Key-Value) | ✅ | ✅ |
| Transit (chiffrement) | ✅ | ✅ |
| PKI (certificats) | ✅ | ✅ |
| Database (secrets dynamiques) | ✅ | ✅ |
| SSH (OTP, CA) | ✅ | ✅ |
| AWS, Azure, GCP secrets | ✅ | ✅ |
| KMIP | ❌ | ✅ |
| Transform (tokenisation) | ❌ | ✅ |
| Auth Methods | ||
| AppRole, UserPass | ✅ | ✅ |
| Kubernetes, LDAP | ✅ | ✅ |
| OIDC, JWT, SAML | ✅ | ✅ |
| AWS, Azure, GCP auth | ✅ | ✅ |
| MFA intégrée | ❌ | ✅ |
Fonctionnalités opérationnelles
Section intitulée « Fonctionnalités opérationnelles »| Fonctionnalité | CE | Enterprise |
|---|---|---|
| Stockage | ||
| Integrated Storage (Raft) | ✅ | ✅ |
| Consul, etcd, etc. | ✅ | ✅ |
| Haute disponibilité | ||
| Cluster HA (single site) | ✅ | ✅ |
| Replication DR | ❌ | ✅ |
| Replication Performance | ❌ | ✅ |
| Autopilot | ✅ (basique) | ✅ (avancé) |
| Unseal | ||
| Shamir | ✅ | ✅ |
| Auto-unseal (KMS, Transit) | ✅ | ✅ |
| HSM PKCS#11 | ❌ | ✅ |
| Seal Wrap | ❌ | ✅ |
Fonctionnalités de gouvernance
Section intitulée « Fonctionnalités de gouvernance »| Fonctionnalité | CE | Enterprise |
|---|---|---|
| Multi-tenancy | ||
| Namespaces | ❌ | ✅ |
| Policies avancées | ||
| ACL Policies | ✅ | ✅ |
| Sentinel (policy-as-code) | ❌ | ✅ |
| Control Groups | ❌ | ✅ |
| Audit | ||
| Audit logs | ✅ | ✅ |
| Entropy augmentation | ❌ | ✅ |
Analyse des fonctionnalités Enterprise
Section intitulée « Analyse des fonctionnalités Enterprise »Replication DR et Performance
Section intitulée « Replication DR et Performance »Ce que c’est :
- DR Replication : cluster secondaire en standby pour reprise après sinistre
- Performance Replication : clusters secondaires actifs pour distribuer la charge
Qui en a vraiment besoin :
- Organisations avec SLA très stricts (99.99%+)
- Infrastructures multi-régions avec latence critique
- Exigences réglementaires de DR géographique
Alternatives CE :
- Snapshots Raft réguliers + procédure de restore testée
- Cluster HA single-site (déjà très résilient)
- Architecture multi-cluster indépendants
Namespaces
Section intitulée « Namespaces »Ce que c’est : Isolation complète de tenants au sein d’un même cluster. Chaque namespace a ses propres secrets, auth methods, policies.
Qui en a vraiment besoin :
- Fournisseurs de services managés
- Grandes organisations avec équipes autonomes
- Environnements multi-clients
Alternatives CE :
- Clusters séparés par équipe/environnement
- Préfixes de paths stricts avec policies ACL
- OpenBao : namespaces inclus gratuitement
MFA intégrée
Section intitulée « MFA intégrée »Ce que c’est : Second facteur d’authentification natif dans Vault (TOTP, Duo, Okta, PingID).
Qui en a vraiment besoin :
- Environnements à très haute sécurité
- Exigences réglementaires MFA strictes
- Protection des opérations sensibles (unseal, root token)
Alternatives CE :
- MFA au niveau de l’IdP (avant d’atteindre Vault)
- Authentification OIDC avec MFA obligatoire côté IdP
- Procédures organisationnelles (dual control)
Sentinel (Policy-as-Code)
Section intitulée « Sentinel (Policy-as-Code) »Ce que c’est : Langage de policy avancé permettant des règles complexes basées sur l’identité, le temps, les propriétés des requêtes.
Qui en a vraiment besoin :
- Organisations avec compliance stricte
- Besoins de policies contextuelles complexes
- Audit de conformité automatisé
Alternatives CE :
- ACL Policies (couvrent 95% des besoins)
- Validation dans les applications
- Processus d’approbation manuels
Control Groups
Section intitulée « Control Groups »Ce que c’est : Requiert plusieurs approbations pour certaines opérations sensibles.
Qui en a vraiment besoin :
- Exigences réglementaires “four eyes principle”
- Opérations financières à haut risque
- Environnements très réglementés (PCI-DSS, SOC2 strict)
Alternatives CE :
- Procédures manuelles documentées
- Workflow d’approbation externe (tickets, chat)
- Root token fragmenté (Shamir) = contrôle multi-personnes
HSM et Seal Wrap
Section intitulée « HSM et Seal Wrap »Ce que c’est :
- HSM Seal : clé master stockée dans un HSM matériel
- Seal Wrap : chiffrement additionnel des données sensibles par HSM
Qui en a vraiment besoin :
- Exigences FIPS 140-2/140-3 Level 3+
- Secteurs très réglementés (défense, finance critique)
- Protection contre les menaces internes avancées
Alternatives CE :
- Auto-unseal KMS (AWS KMS, GCP KMS, Azure Key Vault)
- Transit seal (autre cluster Vault/OpenBao)
- Shamir avec procédures strictes
Besoins réels vs besoins perçus
Section intitulée « Besoins réels vs besoins perçus »| Besoin perçu | Réalité |
|---|---|
| ”On a besoin de DR” | Un cluster HA + snapshots automatisés + procédure testée suffit pour 95% des cas |
| ”On veut la MFA” | L’IdP gère souvent déjà la MFA, pas besoin de la dupliquer dans Vault |
| ”Il nous faut les namespaces” | Des paths séparés avec policies strictes ou OpenBao peuvent suffire |
| ”Enterprise = plus sécurisé” | CE est tout aussi sécurisé, Enterprise ajoute des features opérationnelles |
| Besoin validé | Pourquoi Enterprise |
|---|---|
| Multi-région avec latence critique | Replication Performance réduit la latence |
| SLA 99.99%+ avec DR automatique | DR Replication avec failover automatique |
| Multi-tenant commercial | Namespaces isolent complètement les clients |
| Compliance FIPS 140-2 Level 3 | HSM Seal obligatoire |
| Four-eyes principle réglementaire | Control Groups natifs |
L’option HCP Vault
Section intitulée « L’option HCP Vault »HCP Vault (HashiCorp Cloud Platform) est Vault managé par HashiCorp.
Avantages
Section intitulée « Avantages »- Pas d’infrastructure à gérer
- Mises à jour automatiques
- Backups intégrés
- Disponible en minutes
- Certaines features Enterprise incluses
Inconvénients
Section intitulée « Inconvénients »- Coût récurrent (facturation à l’heure)
- Latence réseau (pas on-premise)
- Dépendance cloud HashiCorp
- Moins de contrôle sur la configuration
Quand considérer HCP Vault
Section intitulée « Quand considérer HCP Vault »| Situation | HCP Vault pertinent ? |
|---|---|
| Startup sans équipe infra | ✅ Oui |
| POC/prototype rapide | ✅ Oui |
| Infrastructure critique on-premise | ❌ Non |
| Équipe ops expérimentée | ⚠️ À évaluer (coût vs temps) |
| Contraintes de souveraineté | ❌ Non |
Grille de décision finale
Section intitulée « Grille de décision finale »Commencez par CE si…
Section intitulée « Commencez par CE si… »- C’est votre premier Vault
- Vous êtes une équipe de moins de 50 personnes
- Vous n’avez pas d’exigences réglementaires strictes
- Votre infrastructure est mono-région
- Vous pouvez tolérer 15-30 min de downtime en cas de sinistre
Considérez Enterprise si…
Section intitulée « Considérez Enterprise si… »- Multi-région avec SLA 99.99%+
- Compliance FIPS, PCI-DSS strict, SOC2 Type II
- Business multi-tenant (namespaces obligatoires)
- Four-eyes principle réglementaire
- Budget IT conséquent
Considérez OpenBao si…
Section intitulée « Considérez OpenBao si… »- Besoin de namespaces sans budget Enterprise
- Politique open source OSI stricte
- Indépendance vis-à-vis d’HashiCorp/IBM
Considérez HCP Vault si…
Section intitulée « Considérez HCP Vault si… »- Pas d’équipe ops dédiée
- POC rapide nécessaire
- Startup early-stage
- Budget temps limité
Estimation des coûts
Section intitulée « Estimation des coûts »| Solution | Coût infrastructure | Coût licence | Coût humain |
|---|---|---|---|
| Vault CE | Serveurs/cloud | 0 € | Ops interne |
| Vault Enterprise | Serveurs/cloud | $$$ (contact commercial) | Ops interne |
| HCP Vault | 0 € | ~$0.50-1.50/h (selon tier) | Minimal |
| OpenBao | Serveurs/cloud | 0 € | Ops interne |
Parcours de migration CE → Enterprise
Section intitulée « Parcours de migration CE → Enterprise »Si vous démarrez avec CE et évoluez vers Enterprise plus tard :
- Même base de code : pas de migration technique
- Ajout de licence : activer les features Enterprise
- Configuration additionnelle : namespaces, replication, etc.
Le chemin de migration est naturel et sans risque.
À retenir
Section intitulée « À retenir »- CE couvre 90% des besoins : ne présumez pas que vous avez besoin d’Enterprise
- Namespaces : le besoin le plus courant, disponible dans OpenBao gratuitement
- Replication : évaluez honnêtement votre SLA réel
- MFA : souvent déjà gérée par l’IdP
- HSM : uniquement pour compliance FIPS stricte
- HCP Vault : option pragmatique pour débuter sans ops
Prochaines étapes
Section intitulée « Prochaines étapes » Installation Vault CE Installer et configurer Vault Community Edition
Vault vs OpenBao Comparer Vault avec le fork open source
Licence BSL expliquée Comprendre les implications de la licence
Auto-unseal et Recovery Keys Comprendre les mécanismes de scellement