Sécurité

1. Notre approche de la sécurité

La sécurité de Resilis repose sur une approche de défense en profondeur avec plusieurs couches de protection à chaque niveau : infrastructure, application et données.

Principes fondamentaux :

• Défense en profondeur : plusieurs couches de sécurité à chaque niveau
• Principe du moindre privilège : chaque utilisateur n'a accès qu'aux données strictement nécessaires
• Isolation stricte : séparation complète des données entre clients (architecture multi-tenant)
• Transparence : logging et audit de toutes les opérations sensibles
• Mise à jour continue : maintenance régulière des composants de sécurité

2. Architecture de sécurité

Notre infrastructure de sécurité est organisée en plusieurs niveaux de protection :

• Infrastructure : Chiffrement HTTPS/TLS, protection DDoS, firewall et règles réseau
• Application : Headers de sécurité HTTP, protection CSRF/XSS, Content Security Policy stricte
• Authentification : Authentification forte, protection contre les attaques par force brute, gestion des sessions sécurisées
• Contrôle d'accès : Rôles et permissions granulaires, isolation multi-tenant, audit des accès

Nous suivons les standards de sécurité de l'industrie et les recommandations OWASP pour garantir un niveau de protection optimal.

3. Authentification et autorisation

Authentification :

• Authentification par email et mot de passe sécurisée
• Vérification d'email obligatoire avant activation du compte
• Sessions sécurisées avec cookies HTTPOnly et Secure
• Protection contre les attaques par force brute avec limitation automatique des tentatives

Contrôle d'accès :

• Système de rôles hiérarchique pour un contrôle granulaire des accès
• Isolation stricte des données entre clients (multi-tenant)
• Vérification systématique des permissions à chaque requête
• Logging de tous les accès aux données et tentatives d'accès non autorisées

4. Protection des données

Chiffrement :

• Toutes les communications utilisent HTTPS/TLS avec certificats valides et à jour
• HTTP Strict Transport Security (HSTS) activé
• Chiffrement des données au repos pour les bases de données et fichiers
• Gestion sécurisée des secrets et identifiants via variables d'environnement

Sauvegardes :

• Sauvegardes automatiques quotidiennes des bases de données
• Sauvegardes complètes régulières avec rétention à long terme
• Tests réguliers de restauration pour garantir l'intégrité des sauvegardes
• Stockage des sauvegardes sur infrastructure sécurisée dans l'Union Européenne

Validation des fichiers :

• Validation stricte des extensions de fichiers (liste blanche)
• Contrôles de taille selon le type de fichier
• Validation du type MIME par détection des magic bytes
• Protection contre les traversées de répertoires

5. Conformité et certifications

Notre infrastructure d'hébergement bénéficie des certifications suivantes :

Ces certifications garantissent que l'infrastructure respecte les standards les plus élevés de sécurité de l'information.

Conformité RGPD :

• Respect du Règlement Général sur la Protection des Données (RGPD)
• Registre des traitements maintenu à jour
• Analyse d'impact réalisée pour les traitements à risque
• Procédures d'exercice des droits des personnes

Pour plus d'informations sur le traitement de vos données personnelles, consultez notre Politique de confidentialité et notre page Sous-traitants.

6. Monitoring et surveillance

Nous surveillons en permanence notre infrastructure et notre application pour détecter et prévenir les incidents de sécurité :

• Monitoring 24/7 de l'infrastructure et de l'application
• Détection automatique des anomalies et des tentatives d'intrusion
• Alertes en temps réel sur les incidents de sécurité
• Logging centralisé de tous les événements de sécurité
• Protection active contre les attaques par force brute
• Protection DDoS activée au niveau infrastructure

7. Infrastructure et souveraineté

Hébergement :

• Infrastructure cloud sécurisée hébergée dans l'Union Européenne
• Datacenters certifiés avec contrôles d'accès physique et surveillance continue
• Aucun transfert de données sensibles hors EEE sans instruction explicite du client
• Conformité avec les exigences du RGPD et principes de souveraineté numérique

Pour plus de détails sur notre infrastructure d'hébergement, consultez notre page Sous-traitants.

8. Contact sécurité

Pour toute question concernant la sécurité de Resilis ou pour signaler un incident de sécurité :

E-mail : h.lajoie@resilis.com (DPO)

Urgences : j.puaux@resilis.com