Sécurité

1. Gouvernance de la sécurité

La responsabilité de la sécurité de l'information est portée par le gérant de Salama Forever SRL. Les décisions structurantes (architecture, fournisseurs, accès production, traitement d'incident majeur) sont formellement validées.

Une revue annuelle documentée passe en revue : périmètre des traitements, cartographie des sous-traitants, registre des activités, plan de continuité, journal des incidents et plan d'action correctif.

2. Infrastructure et hébergement

L'application est déployée sur des fournisseurs cloud disposant de certifications de sécurité reconnues (ISO 27001, SOC 2) :

— Vercel pour le front-end Next.js, en région européenne ; — Supabase pour la base PostgreSQL et l'authentification, en région AWS Europe (Frankfurt, eu-central-1).

Les flux d'orchestration (n8n) sont hébergés sur infrastructure européenne sous responsabilité directe de Prosio.

3. Chiffrement au repos

Toutes les données stockées (base PostgreSQL, fichiers importés, sauvegardes) sont chiffrées au repos en AES-256, par le fournisseur d'infrastructure.

Les jetons OAuth Microsoft Graph stockés dans la table outlook_connections sont chiffrés au niveau applicatif en AES-256-GCM avant insertion, à l'aide d'une clé maître stockée séparément, hors de la base de données.

4. Chiffrement en transit

Toutes les communications sont chiffrées en TLS 1.3 minimum. Les versions antérieures (TLS 1.0, 1.1, 1.2 sans cipher PFS) sont désactivées.

HSTS preload est activé sur prosio.be. Les en-têtes Content-Security-Policy, X-Frame-Options DENY, Referrer-Policy, Permissions-Policy sont configurés strictement.

5. Isolation par tenant

L'isolation entre clients est garantie au niveau de la base de données par Row Level Security (RLS) de Supabase. Chaque requête est exécutée dans le contexte d'un utilisateur authentifié, et les politiques RLS filtrent automatiquement les lignes selon le client_id du tenant.

Les opérations d'administration côté serveur utilisent une clé service-role distincte, dont l'usage est limité aux Server Actions explicitement justifiées et auditées.

6. Sauvegardes

Sauvegardes complètes quotidiennes de la base PostgreSQL, chiffrées au repos, avec rétention 30 jours minimum. Point-in-time recovery activé sur fenêtre glissante.

Les sauvegardes sont stockées dans la même région cloud, jamais répliquées hors UE. Des tests de restauration sont effectués périodiquement.

7. Authentification utilisateur

Authentification par email et mot de passe avec hashing Argon2id (paramètres conformes aux recommandations OWASP : t=3, m=12 MiB, p=1 minimum).

Politique de mots de passe : longueur minimale de 12 caractères, vérification contre les listes de mots de passe compromis lors de l'inscription et du changement de mot de passe.

Sessions à expiration automatique avec révocation possible. Détection des connexions inhabituelles (nouvelle géographie, nouvel appareil) avec journalisation.

8. Authentification multi-facteur

L'authentification multi-facteur (MFA) est obligatoire pour tous les comptes du personnel Prosio disposant d'un accès à des données en production.

La MFA est proposée et recommandée aux Utilisateurs clients. Elle est imposée lorsque le Client le configure dans son fournisseur d'identité (Azure AD).

9. Connexion SSO Microsoft

Les concessions et groupes automobiles disposant d'un tenant Microsoft Azure AD peuvent imposer l'authentification SSO Azure pour leurs Utilisateurs Prosio. Cette intégration repose sur OpenID Connect / OAuth 2.0.

Prosio ne stocke jamais le mot de passe Microsoft. Les contrôles d'identité (MFA, accès conditionnel, géofencing) restent sous la responsabilité du tenant Azure du Client.

10. Gestion des secrets

Aucun secret, clé d'API ou jeton n'est exposé au navigateur. Les secrets sont injectés via variables d'environnement chiffrées au niveau du fournisseur d'hébergement, accessibles uniquement aux processus serveur autorisés.

Rotation périodique des clés critiques (au moins tous les 90 jours sur les services payants, ad hoc en cas de suspicion de compromission). Suppression immédiate des secrets en cas de départ d'un membre du personnel.

11. Accès interne et moindre privilège

L'accès à la production est limité à un cercle restreint et nommément identifié, sur la base du principe du moindre privilège. Les accès sont individuels, journalisés, et révoqués sans délai en cas de départ ou de changement de fonction.

Les opérations sensibles (lecture de données client en production) requièrent une justification écrite (ticket support, demande client, incident). Aucune opération en masse n'est effectuée sans validation explicite.

12. Journalisation

Les événements de sécurité (authentifications, échecs, élévations de privilèges, accès administratifs) sont journalisés de manière centralisée, horodatés, et conservés au minimum 12 mois.

Les logs d'envoi via Microsoft Graph sont conservés au minimum 90 jours, conformément aux exigences Microsoft. Les logs sont protégés en intégrité (ajout uniquement) et restreints en lecture aux personnes habilitées.

13. Surveillance

Surveillance continue de la disponibilité, de la latence et des erreurs applicatives. Alerting automatisé en cas d'anomalie sur les indicateurs de sécurité (pic de tentatives d'authentification, comportement anormal d'un compte, indisponibilité d'un sous-traitant critique).

14. Réponse aux incidents

Procédure formalisée de gestion d'incident de sécurité, en quatre phases : détection et qualification, contention, éradication et rétablissement, retour d'expérience documenté.

En cas de violation de données à caractère personnel affectant les données d'un Client, notification au Client dans un délai maximal de 24 heures suivant la prise de connaissance. Notification à l'Autorité de protection des données belge dans les 72 heures lorsque Prosio agit en qualité de responsable, ou assistance au Client pour sa propre notification lorsque Prosio agit en qualité de sous-traitant.

15. Gestion des vulnérabilités

Surveillance automatisée des dépendances logicielles (npm, GitHub Dependabot, advisories CVE). Mise à jour mensuelle minimale des dépendances. Application des correctifs de sécurité critiques dans un délai maximal de sept (7) jours.

Revue de code obligatoire avant tout déploiement en production. Tests automatisés (typage strict TypeScript, linting, tests unitaires et d'intégration sur les chemins sensibles).

16. Tests d'intrusion et audit

Tests d'intrusion externes annuels par un prestataire indépendant, portant sur l'application et l'infrastructure d'exposition. Les rapports synthétiques sont communiqués aux clients sur demande motivée et sous engagement de confidentialité.

La conformité RGPD est documentée en interne (registre des activités, cartographie des sous-traitants, AIPD lorsque requises). Une démarche de certification ISO 27001 ou SOC 2 sera engagée en fonction de l'évolution de la base clients.

17. Signaler une vulnérabilité

Toute vulnérabilité de sécurité peut être signalée de manière confidentielle à : security@prosio.be.

Prosio accuse réception dans un délai de 24 heures ouvrées et s'engage à traiter les vulnérabilités critiques sous sept (7) jours. Les signalements faits de bonne foi, sans exfiltration ni atteinte au service, ne donneront lieu à aucune poursuite. Un programme de divulgation responsable formalisé est disponible sur demande.