Sécurité

Engagements opérationnels et roadmap certifications — mai 2026

ResilienceCore est utilisée pour piloter des données sensibles (incidents critiques, plans de continuité, informations réglementées DORA / NIS2). À ce titre, la sécurité de la plateforme est un sujet permanent — pas un onglet marketing.

Cette page liste nos engagements opérationnels actuels et notre trajectoire de certifications. Les formulations restent volontairement conditionnelles tant que les certifications externes ne sont pas finalisées : nous ne promettons rien que nous ne tenions déjà ou que nous ne soyons en mesure de tenir dans un délai documenté.

Chiffrement

Chiffrement complet des données, en transit et au repos. Notre objectif est de rendre toute exfiltration matérielle non exploitable.

  • AES-256-GCM au repos sur PostgreSQL, MinIO et sauvegardes
  • TLS 1.3 en transit (HSTS preload, OCSP stapling)
  • Gestion des clés via KMS dédié pour les plans Enterprise
  • Rotation périodique des clés de chiffrement applicatives

Authentification

Plusieurs couches de défense sur les accès, alignées sur les recommandations ANSSI / NIST.

  • SAML 2.0 et OpenID Connect pour le SSO entreprise
  • MFA optionnel par TOTP (Google Authenticator, Authy, 1Password)
  • Mots de passe hashés bcrypt / argon2id, politique de complexité
  • Détection des tentatives d'intrusion et rate-limiting global

Isolation multi-tenant

Chaque organisation dispose de son propre tenant, isolé au niveau base, applicatif et logs.

  • Toutes les requêtes filtrées par tenantId, garde côté backend obligatoire
  • Tests automatisés OWASP Top 10 et T1 (cross-tenant) en CI
  • Pas de table partagée entre tenants, audit-trail isolé
  • Suppression d'un tenant = suppression effective des données

Audit-trail cryptographique

Chaque action métier est journalisée et chaînée cryptographiquement. La vérification est ouverte aux auditeurs externes.

  • Chaque entrée hashée SHA-256 et chaînée à la précédente
  • Vérification de chaîne disponible en un clic depuis l'UI admin
  • Export structuré pour auditeurs (JSON + signatures)
  • Rétention longue durée (5 ans) pour la conformité DORA Art. 28

Sauvegardes et continuité

Notre objectif : aucune perte de données opérationnelles, RTO inférieur à 4h sur incident majeur.

  • Snapshots PostgreSQL quotidiens chiffrés
  • Sauvegardes répliquées sur datacenter secondaire
  • Tests de restauration trimestriels documentés
  • Plan de continuité interne aligné ISO 22301

Tests offensifs

La sécurité d'une plateforme ne se déclare pas, elle se prouve. Nos contrôles sont audités annuellement.

  • Pen-test annuel par un cabinet indépendant
  • Programme de bug bounty privé en cours de cadrage
  • Revue de code de sécurité interne sur chaque pull request majeure
  • Audit SHA-256 et tests d'intégrité automatisés en CI

Roadmap certifications

Nous suivons une trajectoire de certifications structurées pour répondre aux exigences des régulateurs et clients enterprise.

  • ISO 22301 — couverture native, certification en cours de cadrage
  • SOC 2 Type II — audit Type I prévu pour 2026, Type II en 2027
  • HDS (Hébergement Données de Santé) — étude d'opportunité ouverte
  • Conformité DORA Article 30 (RegTech) — opérationnelle dès maintenant

Documents associés

Pour le détail de la conformité réglementaire, voir nos pages dédiées :

  • ISO 22301 — Business Continuity Management, couverture clauses 4 à 10.
  • SOC 2 Type II — Trust Services Criteria, roadmap d'audit.
  • DORA — Mapping détaillé Articles 5 à 30.
  • DPA — Mesures techniques et organisationnelles contractuelles.
  • Sous-traitants — Liste publique des prestataires.

Signalement d'une vulnérabilité

Vous avez identifié une vulnérabilité ? Notre programme de divulgation responsable est ouvert. Contactez-nous à security@resiliencecore.fr avec une description technique. Notre objectif est d'accuser réception sous 48h ouvrées et de proposer un plan de correction sous 7 jours.

Retour aux documents légauxContacter notre équipe sécurité