Politique de Sécurité

Nos principes de sécurité :

• Confidentialité : Protection des données contre tout accès non autorisé
• Intégrité : Garantie que les données ne sont pas altérées ou corrompues
• Disponibilité : Assurance d'un accès continu au service (objectif 99% mensuel)
• Traçabilité : Journalisation de toutes les actions critiques
• Résilience : Capacité à résister et à se remettre d'incidents de sécurité

Approche de sécurité :

• Security by Design : La sécurité est intégrée dès la conception de chaque fonctionnalité
• Defense in Depth : Multiples couches de sécurité pour protéger les données
• Least Privilege : Accès minimal nécessaire pour chaque utilisateur et système
• Zero Trust : Vérification systématique, aucune confiance implicite

Réseau et infrastructure :

• HTTPS/TLS 1.3 obligatoire pour toutes les communications
• Certificats SSL/TLS avec renouvellement automatique
• Protection DDoS intégrée
• Pare-feu et sécurité réseau

En transit :

• HTTPS/TLS 1.3 pour toutes les communications client-serveur
• Certificats SSL/TLS valides et à jour
• HSTS (HTTP Strict Transport Security) activé
• Perfect Forward Secrecy (PFS)

Au repos :

• Chiffrement AES-256 pour les données sensibles en base de données
• Chiffrement des sauvegardes
• Clés de chiffrement stockées dans un gestionnaire de secrets sécurisé
• Rotation régulière des clés de chiffrement

Classification des données :

• Publiques : Informations accessibles à tous (pages vitrine, documentation)
• Internes : Données métier non sensibles (projets, livrables)
• Confidentielles : Données personnelles, identifiants, tokens
• Critiques : Mots de passe, clés API, secrets

Minimisation des données :

• Collecte uniquement des données strictement nécessaires
• Anonymisation des données pour les analytics
• Suppression automatique des données obsolètes
• Pas de stockage des coordonnées bancaires (délégué à LemonSqueezy)

Mots de passe :

• Longueur minimale : 8 caractères
• Complexité requise : majuscules, minuscules, chiffres, caractères spéciaux
• Hachage sécurisé géré par Supabase (bcrypt ou Argon2)
• Protection contre les attaques par force brute (rate limiting)

Authentification multi-facteurs (2FA) :

• Recommandée pour tous les utilisateurs
• Obligatoire pour les comptes administrateurs
• Support TOTP (Google Authenticator, Authy)
• Codes de récupération en cas de perte de l'appareil

Sessions :

• Tokens de session sécurisés (JWT)
• Expiration automatique après 24h d'inactivité
• Révocation possible à tout moment
• Protection CSRF et XSS

Contrôle d'accès :

• Modèle RBAC (Role-Based Access Control)
• Principe du moindre privilège
• Séparation des environnements (production, staging, dev)
• Audit trail de tous les accès aux données sensibles

Transport (HTTPS/TLS) :

• TLS 1.3 (protocole le plus récent et sécurisé)
• Suites de chiffrement modernes uniquement (AES-GCM, ChaCha20-Poly1305)
• Désactivation des protocoles obsolètes (SSL, TLS 1.0, TLS 1.1)
• Perfect Forward Secrecy (PFS)

Stockage (AES-256) :

• Chiffrement symétrique AES-256-GCM pour les données au repos
• Chiffrement des sauvegardes
• Chiffrement des logs contenant des données sensibles

Gestion des clés :

• Stockage sécurisé dans un gestionnaire de secrets
• Rotation régulière des clés (tous les 90 jours)
• Séparation des clés par environnement
• Pas de clés en dur dans le code source

Plan de continuité d'activité (PCA) :

• RTO (Recovery Time Objective) : 24 heures
• RPO (Recovery Point Objective) : 24 heures
• Procédures de basculement documentées
• Équipe d'intervention disponible 24/7

Logs et journalisation :

• Journalisation de toutes les actions critiques
• Logs applicatifs stockés dans Supabase
• Rétention des logs : 12 mois (conformité RGPD)
• Protection des logs contre la modification

Détection d'intrusion :

• Surveillance en temps réel du trafic réseau
• Détection des comportements anormaux
• Alertes automatiques en cas d'activité suspecte
• Blocage automatique des adresses IP malveillantes

Analyse des vulnérabilités :

• Scans de sécurité automatiques hebdomadaires
• Tests d'intrusion (pentests) annuels par des experts externes
• Veille sur les CVE (Common Vulnerabilities and Exposures)

1. Détection et classification :

• Identification de l'incident (automatique ou manuelle)
• Classification par gravité : Critique, Élevée, Moyenne, Faible
• Notification immédiate de l'équipe de sécurité

2. Confinement :

• Isolation des systèmes compromis
• Blocage des accès non autorisés
• Préservation des preuves pour analyse forensique

3. Éradication et récupération :

• Identification de la cause racine
• Suppression de la menace
• Restauration des systèmes à partir de sauvegardes saines
• Remise en service progressive

Notification en cas de violation de données :

• Notification à la CNIL dans les 72 heures (conformité RGPD)
• Information des utilisateurs concernés si risque élevé
• Rapport détaillé de l'incident et des mesures prises
• Mise à disposition d'un support dédié

Pratiques de développement :

• Revue de code obligatoire (peer review)
• Tests de sécurité automatisés (SAST, DAST)
• Analyse statique du code (SonarQube, ESLint)
• Dépendances à jour (Dependabot, Renovate)

Protection contre les vulnérabilités OWASP Top 10 :

• Injection : Requêtes paramétrées, ORM, validation des entrées
• Broken Authentication : 2FA, sessions sécurisées, rate limiting
• Sensitive Data Exposure : Chiffrement, HTTPS
• Broken Access Control : RBAC, vérification des permissions
• XSS : Échappement des sorties, Content Security Policy
• Known Vulnerabilities : Mises à jour régulières, scans de dépendances

RGPD (Règlement Général sur la Protection des Données) :

• Registre des traitements de données
• Analyse d'impact (DPIA) pour les traitements à risque
• Respect des droits des utilisateurs

LCEN (Loi pour la Confiance dans l'Économie Numérique) :

• Mentions légales complètes
• Identification de l'éditeur et de l'hébergeur

Directive ePrivacy (cookies) :

• Consentement préalable pour les cookies non essentiels
• Information claire sur les cookies utilisés

Audits de sécurité :

• Audits internes trimestriels
• Audits externes annuels par des cabinets spécialisés
• Tests d'intrusion (pentests) annuels
• Revue de la politique de sécurité semestrielle

Protection de votre compte :

• Choisir un mot de passe fort et unique
• Activer l'authentification à deux facteurs (2FA)
• Ne jamais partager vos identifiants
• Se déconnecter après chaque session
• Vérifier régulièrement l'activité de votre compte

Vigilance face aux menaces :

• Méfiez-vous des emails de phishing
• Vérifiez l'URL du site avant de saisir vos identifiants (https://quostra.com/)
• Ne cliquez pas sur des liens suspects
• Signalez toute activité suspecte à contact@quostra.com

Sécurité de votre appareil :

• Maintenez votre système d'exploitation et vos logiciels à jour
• Utilisez un antivirus et un pare-feu
• Évitez les réseaux Wi-Fi publics non sécurisés
• Chiffrez votre disque dur