Politique
de sécurité
Notre politique de sécurité vise à protéger les données sensibles de l'entreprise et de nos clients, prévenir les accès non autorisés, assurer la traçabilité des actions et garantir la conformité réglementaire, notamment aux exigences canadiennes. C’est un document vivant et évolutif.
Dans la mesure du possible, nous favorisons un hébergement de l'information dans un centre de données situé au Canada. Les données identifiées comme sensibles par nos clients sont toujours stockées et traitées exclusivement au Canada.
Principes fondamentaux
Principe du moindre privilège : Chaque utilisateur n'accède qu'aux ressources nécessaires à ses tâches
Authentification multifactorielle (2FA) obligatoire sur tous les services où disponible (en cours)
Utilisation exclusive de comptes nominatifs (interdiction des comptes partagés, sauf exceptions approuvées)
Séparation stricte des environnements (développement, staging, production)
Principes généraux
Analyse statique de code pour détecter les risques de sécurité et vulnérabilités des dépendances
Scan automatique des dépôts pour détecter les fuites de secrets
Intelligence artificielle
Utilisation de LLM privés dès que possible (instances dédiées GPT, Claude dans Azure ou AWS)
Éviter l'exposition de données sensibles aux services IA publics
Chiffrement des données
Communications HTTPS obligatoires pour tous les services web avec certificats SSL valides
Cloudflare comme solution de sécurité réputée pour la protection et l'optimisation des services web
Chiffrement obligatoire des données au repos et en transit
Gestion des secrets
Interdiction stricte de stocker des secrets dans le code source ou sur les postes de travail
Utilisation d'outils de gestion de secrets réputés (GitHub Secrets, 1Password, services cloud dédiés)
VPN sécurisé
Restriction des périphériques de stockage externes
Cycle de vie des accès
Onboarding
Procédure documentée d'attribution des accès
Formation obligatoire sur la politique de sécurité avec signature
Maintenance
Audit régulier de tous les accès
Vérification de la pertinence des accès selon les rôles actuels
Offboarding
Révocation immédiate des accès lors des départs
Liste de contrôle de désactivation suivie par l'équipe IT

