Vue d'ensemble
Sécurité & conformité
Paiements, coffre-fort, données personnelles — le niveau bancaire exigé.
La sécurité n'est pas une couche que l'on ajoute à la fin. Chez nous, elle est posée dans l'architecture elle-même : l'entrée unique par la passerelle, le cloisonnement des rôles, l'inaltérabilité du journal ne sont pas des options — ce sont des propriétés du système.
Défense en profondeur
Un attaquant qui franchit une barrière en trouve une autre derrière. Chaque niveau est indépendant des autres.
| Niveau | Mesure | Ce qu'elle arrête |
|---|---|---|
| Transport | TLS 1.3, en-têtes durcis (HSTS, CSP) | Interception, injection de contenu |
| Accès | Double authentification (2FA) sur les rôles étendus | Vol de mot de passe |
| Autorisation | 7 rôles cloisonnés, droits paramétrables par votre administrateur | Élévation de privilèges, fuite entre projets |
| Application | Validation stricte des entrées, requêtes paramétrées | Injection SQL, XSS |
| Données | Chiffrement au repos, secrets isolés | Vol de sauvegarde ou de disque |
| Traçabilité | Journal d'audit inaltérable des actions sensibles | Contestation, effacement de traces |
Le coffre-fort numérique
C'est la pièce où vous rangez les titres fonciers, les contrats et les plans. Son cahier des charges est celui d'un coffre, pas d'un dossier partagé :
- Chiffrement AES-256 par fichier — une clé distincte par document
- Horodatage certifié de chaque dépôt : la date d'entrée d'un document est prouvable
- Suppression à double confirmation, journalisée — rien ne disparaît en silence
- Accès PIN / biométrie sur mobile, indépendant de la session applicative
Continuité : survivre à l'incident
- Sauvegardes quotidiennes chiffrées, rétention 90 jours, réplication sur 3 emplacements géographiques
- Point de reprise (RPO) et délai de reprise (RTO) définis avec vous et contractualisés
- Exercice de restauration réellement joué avant la mise en production — rapport à l'appui. Une sauvegarde qu'on n'a jamais restaurée n'est pas une sauvegarde, c'est un espoir.
Ce que nous prouvons avant le lancement
Exigences de votre cahier des charges — chapitres 8 et 9.
- Tests d'intrusion (référentiel OWASP) menés avant la mise en production — rapport remis, corrections vérifiées
- Tests de charge à 2 000+ utilisateurs simultanés — rapport remis, point de rupture identifié et documenté
- Conformité RGPD (vos clients de la diaspora européenne) et loi sénégalaise n° 2008-12 sur la protection des données personnelles
- Politique de confidentialité et CGU intégrées au parcours d'inscription

