Politique de sécurité

Notre politique de sécurité vise à protéger les données sensibles de l'entreprise et de nos clients, prévenir les accès non autorisés, assurer la traçabilité des actions et garantir la conformité réglementaire, notamment aux exigences canadiennes. C’est un document vivant et évolutif.

Dans la mesure du possible, nous favorisons un hébergement de l'information dans un centre de données situé au Canada. Les données identifiées comme sensibles par nos clients sont toujours stockées et traitées exclusivement au Canada.

Gestion des Accès et Authentification

Principes fondamentaux

Principe du moindre privilège : Chaque utilisateur n'accède qu'aux ressources nécessaires à ses tâches
Authentification multifactorielle (2FA) obligatoire sur tous les services où disponible (en cours)
Utilisation exclusive de comptes nominatifs (interdiction des comptes partagés, sauf exceptions approuvées)
Séparation stricte des environnements (développement, staging, production)

Sécurité des Communications et Infrastructure

Chiffrement des données

Communications HTTPS obligatoires pour tous les services web avec certificats SSL valides
Cloudflare comme solution de sécurité réputée pour la protection et l'optimisation des services web
Chiffrement obligatoire des données au repos et en transit

Gestion des secrets

Interdiction stricte de stocker des secrets dans le code source ou sur les postes de travail
Utilisation d'outils de gestion de secrets réputés (GitHub Secrets, 1Password, services cloud dédiés)

Développement et Code Source

Analyse statique de code pour détecter les risques de sécurité et vulnérabilités des dépendances
Scan automatique des dépôts pour détecter les fuites de secrets

Intelligence artificielle

Utilisation de LLM privés dès que possible (instances dédiées GPT, Claude dans Azure ou AWS)
Éviter l'exposition de données sensibles aux services IA publics