Sécurité des Données

Comment nous protégeons vos données : chiffrement, contrôles d'accès, divulgation des vulnérabilités et réponse aux incidents.

Sécurité chez CRA Evidence

CRA Evidence fonctionne sur l'infrastructure AWS dans l'UE (Dublin, Irlande). Toutes les données clients sont chiffrées en transit et au repos. Nous appliquons une isolation stricte des locataires — les données de votre organisation ne sont jamais accessibles aux autres clients. Nous sommes une entreprise dirigée par son fondateur en phase bêta et nous sommes transparents sur notre posture de sécurité actuelle et notre feuille de route.

Infrastructure

Détail Valeur
Fournisseur Cloud Amazon Web Services (AWS)
Région eu-west-1 (Dublin, Irlande)
Résidence des Données Toutes les données clients stockées exclusivement dans l'UE
Réseau VPC avec sous-réseaux privés, NAT Gateway, pas d'IPs publiques sur les conteneurs d'application
Accès Administratif VPN zero-trust avec authentification basée sur les appareils et contrôles d'accès au moindre privilège
Trafic Interne VPC endpoints pour S3 et SES (le trafic ne traverse jamais l'internet public)
Protection DDoS AWS Shield Standard
Audit Infrastructure AWS CloudTrail pour les opérations du plan de gestion
Audit Application Journal d'audit immuable de toutes les actions utilisateur (165+ types d'événements, vérifié par séquence)

Chiffrement

Couche Méthode
En Transit TLS 1.2 ou supérieur sur toutes les connexions (HTTPS imposé)
Au Repos AES-256 via AWS (RDS, S3, volumes EBS)
Gestion des Clés AWS KMS (les clés ne quittent jamais le périmètre KMS)
Mots de Passe Hachage Argon2id (résistant aux attaques GPU/ASIC)
Clés API Hachées en SHA-256 avant stockage (le texte en clair n'est jamais conservé)

Authentification et Contrôle d'Accès

  • Connexion : Email/mot de passe avec Argon2id, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA : Authentification multifacteur basée sur TOTP avec codes de secours ; les organisations peuvent imposer le MFA à tous les membres
  • Sessions : Tokens d'accès JWT (courte durée) avec tokens de rafraîchissement rotatifs
  • Protection anti-bot : Cloudflare Turnstile sur les endpoints d'authentification
  • CSRF : Protection par token sur toutes les opérations modifiant l'état
  • RBAC : Quatre rôles par organisation — Propriétaire, Administrateur, Membre, Lecteur — selon le principe du moindre privilège
  • Clés API : Permissions définies, hachées en SHA-256, révocables individuellement
  • Imposition du SSO : Les organisations peuvent exiger le SAML SSO pour tous les membres

Isolation des Locataires

CRA Evidence est une plateforme multi-locataires. Chaque requête de base de données filtre par organisation_id au niveau du service :

  • Les organisations ne peuvent pas accéder, interroger ou référencer les données d'une autre organisation
  • Les données SBOM, les données de vulnérabilités, les produits et les documents de conformité sont limités à l'organisation propriétaire
  • Les chemins de stockage sont séparés par ID d'organisation
  • La journalisation d'audit suit tous les accès aux données par organisation

Gestion des Vulnérabilités

  • Scan de SBOM : Scanner Trivy auto-hébergé pour la détection continue de vulnérabilités dans les SBOMs
  • Surveillance des Dépendances : Vérifications automatisées des dépendances de l'application
  • Gestion des Correctifs : Mises à jour régulières des composants d'application et d'infrastructure
  • Test de Pénétration : Test de pénétration indépendant planifié (voir Feuille de Route)

Continuité d'Activité et Reprise après Sinistre

Détail Valeur
Sauvegardes BD Snapshots RDS quotidiens automatisés et chiffrés
Stockage SBOM S3 avec 99,999999999% de durabilité (11 neuf)
Engagement de Disponibilité 99,5% (selon accord de service)
RPO 24 heures (sauvegardes quotidiennes)
RTO Objectif de 4 heures
Déploiement Région unique (eu-west-1) — multi-AZ planifié
Réponse aux Incidents Surveillance et réponse dirigées par le fondateur pendant la phase bêta

Conservation des Données

  • Données de compte actif : Conservées tant que l'abonnement est actif
  • Comptes supprimés : Données supprimées dans les 30 jours suivant la demande
  • Journaux d'audit : Conservés pendant 10 ans conformément aux exigences de l'Article 13(14) du CRA
  • Sauvegardes : Snapshots quotidiens automatisés chiffrés

RGPD et Vie Privée

  • Accord de Traitement des Données (DPA) : Disponible sur demande (privacy@craevidence.com)
  • Registre des Activités de Traitement (ROPA) : Maintenu conformément à l'article 30 du RGPD
  • Sous-traitants : Liste publiée avec notification de changement de 30 jours
  • Portabilité des Données : Export SBOM en formats standard (CycloneDX, SPDX)
  • Suppression des Données : Compte et toutes les données associées supprimés dans les 30 jours suivant la demande
  • Politique de Confidentialité : Lire notre politique de confidentialité

Conformité

Notre Conformité

  • Conforme au RGPD (UE 2016/679) — ROPA, DPA, liste de sous-traitants, politique de confidentialité
  • Résidence des données dans l'UE — toutes les données dans AWS eu-west-1 (Dublin, Irlande)
  • RFC 9116 — security.txt publié
  • Aligné ISO 29147/30111 — Processus de Divulgation Coordonnée de Vulnérabilités

Certifications du Fournisseur d'Infrastructure

AWS maintient les certifications suivantes pour eu-west-1 : SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5 (BSI allemand).

Feuille de Route

  • Test de pénétration indépendant — planifié
  • SOC 2 Type II — planifié
  • ISO 27001 — en évaluation

Nous construisons notre posture de conformité en parallèle de notre produit. Cette page reflète où nous en sommes aujourd'hui.

Divulgation de Vulnérabilités

Nous accueillons la recherche en sécurité responsable. Si vous découvrez une vulnérabilité dans notre plateforme, veuillez la signaler.

Comment Signaler

  • Email : security@craevidence.com
  • Réponse : Accusé de réception sous 24 heures, évaluation initiale sous 7 jours ouvrés

Périmètre

  • Dans le périmètre : *.craevidence.com, l'API CRA Evidence, le CLI CRA Evidence
  • Hors périmètre : Services tiers, ingénierie sociale, attaques par déni de service

Safe Harbor

Nous ne poursuivrons pas en justice les chercheurs en sécurité qui :

  • Agissent de bonne foi
  • Évitent les violations de vie privée, la destruction de données ou l'interruption de service
  • Signalent leurs découvertes rapidement et accordent un délai raisonnable pour la remédiation

Politique de CVD

Nous suivons les standards ISO 29147/30111 pour la Divulgation Coordonnée de Vulnérabilités.

Contact

Dernière mise à jour : Février 2026.

Contact sécurité
Équipe de sécurité
security@craevidence.com
Demandes générales
Formulaire de contact
Conformité

Notre conformité

  • Conforme au GDPR (UE 2016/679)
  • Résidence des données dans l'UE (eu-west-1)
  • RFC 9116 (security.txt)
  • ISO 29147/30111 aligned (CVD)

Fournisseur d'infrastructure

AWS eu-west-1: SOC 1/2/3, ISO 27001/27017/27018, C5

Feuille de route

  • Tests de pénétration indépendants
  • SOC 2 Type II
  • ISO 27001
Pages associées
Politique de confidentialité Conditions de service Politique des cookies security.txt

Des questions sur nos pratiques de sécurité ?

Nous sommes engagés pour la transparence. Contactez-nous si vous avez des questions liées à la sécurité.

Contacter l’équipe sécurité Contact général