Politique de Sécurité

1. Introduction

Chez NextSellin, la sécurité des données de nos utilisateurs est notre priorité absolue. Cette Politique de Sécurité détaille les mesures techniques et organisationnelles que nous mettons en œuvre pour protéger votre compte et vos données.

2. Chiffrement des Données

2.1 Chiffrement en Transit

• Protocole : TLS 1.3 (Transport Layer Security) pour toutes les communications
• Certificats : Certificats SSL/TLS délivrés par Let's Encrypt (renouvellement automatique)
• HTTPS obligatoire : Redirection automatique HTTP → HTTPS
• HSTS activé : Header Strict-Transport-Security (max-age=31536000)
• Pas de TLS 1.0/1.1 : Protocoles obsolètes désactivés

2.2 Chiffrement au Repos

• Base de données : Chiffrement AES-256 des volumes disques (PostgreSQL encrypted at rest)
• Tokens OAuth : Chiffrés AES-256 avant stockage (clés gérées par AWS KMS / Azure Key Vault)
• Données financières : Chiffrement au niveau colonne pour les données sensibles
• Sauvegardes : Chiffrées AES-256, stockées dans des datacenters européens distincts

2.3 Gestion des Clés de Chiffrement

• Rotation automatique des clés tous les 90 jours
• Clés stockées dans des HSM (Hardware Security Modules) conformes FIPS 140-2
• Séparation des clés de chiffrement et des données (principe du double coffre)
• Accès aux clés limité aux seuls administrateurs autorisés (principe du moindre privilège)

3. Contrôle d'Accès et Authentification

3.1 Authentification des Utilisateurs

• Mots de passe : Hashage bcrypt (12 rounds minimum) avec salage unique
• Politique de mots de passe : Minimum 12 caractères, lettres + chiffres + symboles
• 2FA disponible : Authentification à deux facteurs via TOTP (Google Authenticator, Authy)
• Détection de fuites : Vérification automatique des mots de passe compromis (API Have I Been Pwned)
• Limitation des tentatives : Blocage temporaire après 5 échecs (15 minutes)

3.2 Contrôle d'Accès Interne (Équipe Bynevo Labs)

• Principe du moindre privilège : Chaque membre a uniquement les accès nécessaires
• Authentification MFA obligatoire : Pour tous les accès administrateurs
• Accès VPN : Connexion sécurisée via VPN avec certificats clients
• Revue mensuelle : Audit des permissions et révocation des accès inutiles
• Journalisation : Tous les accès admin sont enregistrés et auditables

3.3 Sessions Utilisateur

• Cookies de session sécurisés (httpOnly, Secure, SameSite=Strict)
• Expiration automatique après 24 heures d'inactivité
• Révocation de session lors du changement de mot de passe
• Possibilité de déconnecter tous les appareils depuis les paramètres

4. Infrastructure Sécurisée

4.1 Hébergement

4.2 Sécurité Réseau

• Environnements isolés : Développement et production séparés
• Base de données sécurisée : Accessible uniquement depuis les services autorisés
• Firewall applicatif : Protection avancée contre les attaques web (OWASP Top 10)
• Certificats SSL/TLS : Chiffrement de toutes les communications

4.3 Protection DDoS et Attaques

• Protection DDoS multi-couches
• Rate limiting : Protection contre les abus (API et authentification)
• Blocage automatique des IPs malveillantes
• CAPTCHA lors de comportements suspects

5. Surveillance et Détection

5.1 Surveillance Continue

• Surveillance temps réel : Monitoring automatisé des systèmes
• Alertes automatiques : Notification en cas d'anomalie
• Métriques surveillées : Performance, disponibilité, sécurité
• Réactivité : Équipe disponible en cas d'incident critique

5.2 Détection des Menaces

• Détection d'intrusion : Surveillance active des tentatives d'accès non autorisées
• Blocage automatique : IPs malveillantes bloquées instantanément
• Analyse comportementale : Détection des activités suspectes
• Mises à jour sécurité : Application rapide des correctifs

5.3 Journalisation (Logs)

• Logs sécurisés : Enregistrement centralisé des événements
• Conservation : 12 mois (conformité RGPD)
• Logs chiffrés : Accès restreint aux administrateurs autorisés
• Types de logs : Connexions, actions utilisateur, erreurs système, accès base de données

6. Gestion des Vulnérabilités

6.1 Mises à Jour et Patches

• Mises à jour régulières : Application rapide des correctifs de sécurité
• Surveillance des vulnérabilités : Scan automatisé des dépendances
• Vulnérabilités critiques : Traitement prioritaire et correction rapide
• Procédure d'urgence : Déploiement accéléré en cas de faille critique

6.2 Tests de Sécurité

• Scans automatisés : Tests de sécurité réguliers de l'application
• Analyse de code : Détection automatique des failles potentielles
• Tests de vulnérabilités : Vérification continue des composants
• Protection des secrets : Aucune clé ou mot de passe en clair dans le code

6.3 Audits de Sécurité

• Audits réguliers : Évaluations périodiques de la sécurité
• Tests approfondis : Application web, API, infrastructure
• Corrections prioritaires : Traitement rapide des vulnérabilités découvertes
• Amélioration continue : Renforcement constant des mesures de sécurité

7. Sécurité des Endpoints

7.1 Sécurité des Administrateurs

• Protection antivirus : Logiciels de sécurité à jour
• Chiffrement des disques : Protection des données locales
• Verrouillage automatique : Sessions sécurisées en cas d'absence
• Bonnes pratiques : Formation continue à la cybersécurité
• Accès sécurisés : Connexions chiffrées aux systèmes de production

7.2 Gestion des Accès Tiers

• Tous les sous-traitants signent un DPA (Data Processing Agreement) conforme RGPD
• Accès limités dans le temps (révocation automatique après 90 jours)
• Audits annuels des sous-traitants (certification ISO 27001 requise)

8. Réponse aux Incidents

8.1 Procédure de Gestion d'Incident

8.2 Contact Sécurité

8.3 Historique des Incidents

NextSellin n'a subi aucune violation de données déclarée depuis sa création (novembre 2025).

9. Conformité et Certifications

9.1 Normes et Réglementations

• RGPD (Règlement Général sur la Protection des Données) : Conformité totale
• Directive NIS2 (Network and Information Security) : En préparation
• ISO 27001 (Sécurité de l'information) : Certification en cours (2026)
• OWASP Top 10 : Protection contre les 10 vulnérabilités les plus critiques
• PCI-DSS (si paiement CB) : Utilisation de Stripe (certifié PCI Level 1)

9.2 Audits Externes

• Audits de sécurité trimestriels par un cabinet indépendant
• Tests de pénétration annuels (ANSSI certified)
• Revue de conformité RGPD annuelle

10. Sécurité Physique

• Datacenters : Accès contrôlé par badge biométrique + caméras 24/7
• Redondance électrique : Générateurs de secours + UPS (Uninterruptible Power Supply)
• Protection incendie : Systèmes de détection et extinction automatiques
• Sauvegardes géographiques : Copies stockées dans 2 datacenters distants (France + Allemagne)

11. Sensibilisation et Formation

• Formation annuelle : Tous les employés suivent une formation cybersécurité
• Tests de phishing : Campagnes de simulation trimestrielles
• Documentation interne : Procédures sécurité accessibles à tous (wiki interne)
• Culture de la sécurité : Signalement encouragé, pas de punition en cas d'erreur (blameless culture)

12. Mises à Jour de la Politique

Cette Politique de Sécurité est revue et mise à jour au minimum tous les 6 mois ou en cas de changement majeur (nouvelle menace, évolution réglementaire, incident).

Dernière révision : 29 novembre 2025

13. Contact