Comment nous protégeons vos données les plus sensibles

Nous prenons la sécurité au sérieux. Voici comment nous procédons.

Cette page s'adresse à ceux qui ont besoin de plus que de simples assurances. Vous y trouverez les décisions architecturales, les certifications et les normes opérationnelles qui sous-tendent tout ce que nous construisons – documentés, vérifiables et disponibles sur demande.

Conformité datacenter

La conformité de notre centre de données garantit les normes de sécurité et de protection des données les plus élevées : de la souveraineté suisse et de l'architecture Tier III aux contrôles conformes PCI et à la certification ISO 27001:2022 – pour la meilleure protection possible de vos données critiques.

Hébergement suisse – par conception, pas par défaut

Nos centres de données sont situés exclusivement en Suisse et opèrent dans l'un des cadres de protection des données les plus rigoureux au monde. La longue tradition suisse en matière de confidentialité et de stabilité juridique fait partie intégrante de notre modèle d'hébergement.

PCI DSS v4.0 – des contrôles qui résistent à l'examen

Nos contrôles de sécurité intègrent des pratiques sélectionnées cohérentes avec PCI DSS v4.0, notamment le chiffrement en transit, le durcissement des systèmes, les contrôles d'accès et la surveillance continue. Ces pratiques renforcent la sécurité opérationnelle des environnements sensibles.

ISO/IEC 27001:2022 – certifié indépendamment, maintenu en continu

Nous détenons la certification ISO/IEC 27001:2022, le standard international actuel pour le management de la sécurité de l'information. Pour nous, la certification n'est pas un événement ponctuel : elle est maintenue par des audits réguliers, une gouvernance documentée et une amélioration continue.

Sécurité et disponibilité intégrées

La sécurité et la disponibilité ne sont pas des options pour nous, mais font partie intégrante de notre ADN. Grâce à une architecture "security first", des stratégies de défense en profondeur, des procédures de chiffrement certifiées, des tests d'intrusion continus et des sauvegardes géoredondantes en Suisse, nous garantissons que vos données restent protégées et accessibles à tout moment.

Stockage des identifiants – comment les données d'accès sont protégées au repos

Nous protégeons les identifiants de connexion dès la conception. Le hachage, le chiffrement et les contrôles à quatre yeux ne sont pas des ajouts : ils font partie du socle de sécurité.

Mots de passe hachés avec des algorithmes actuels ; secrets protégés par chiffrement ; accès administratifs soumis à des contrôles stricts ; processus sensibles encadrés par le principe des quatre yeux.

Disponibilité – objectifs de conception et approche de basculement

Nous concevons nos systèmes pour une haute disponibilité, avec redondance active, basculement rapide et communication transparente sur le statut. Notre tableau de statut public vous donne de la visibilité à tout moment.

Atténuation DDoS – en couches, continue, en amont

La protection fonctionne en continu au niveau réseau et applicatif, avec une surveillance 24/7 et des procédures de réponse définies. Nous ne dépendons pas d'un seul point de mitigation.

Contrôle d'accès – moindre privilège, basé sur des politiques, sensible au contexte

L'accès est régi par les principes du moindre privilège, avec des contrôles qui s'adaptent au contexte et au niveau de sensibilité.

Contrôle d'accès basé sur les rôles (RBAC) avec privilèges minimaux ; séparation des tâches ; politiques d'accès documentées ; revues régulières des autorisations.

Reprise après sinistre – objectifs définis, scénarios testés

Nous concevons nos systèmes pour assurer la continuité des opérations et les validons au moyen d'une surveillance synthétique, d'un basculement automatique et de scénarios de reprise testés. Les objectifs de reprise ne sont pas de simples intentions : ils sont documentés et vérifiés.

Journaux d'audit – résistants à l'altération, longue conservation, compatibles SIEM

Les pistes d'audit sont protégées en intégrité et conçues pour un usage réel, pas seulement pour la conformité. Les clients Enterprise peuvent les intégrer directement à leurs environnements SIEM existants.

Sauvegardes – automatisées, géoredondantes, régulièrement testées

Les sauvegardes s'exécutent automatiquement, sont répliquées sur des sites géographiquement distribués en Suisse et sont testées régulièrement, car la récupérabilité n'a de valeur que si elle est vérifiée.

Authentification – adaptative, basée sur les standards, imposable par politique

L'authentification s'adapte au niveau de risque, prend en charge les standards SSO d'entreprise et peut être imposée par politique au niveau de l'organisation.

MFA disponible par défaut ; compatibilité avec les standards d'entreprise ; politiques d'accès configurables ; contrôles adaptés au contexte.

Chiffrement – en transit, au repos, cycle de vie des clés maîtrisé

Le chiffrement est appliqué de manière cohérente au stockage et à la transmission, avec des standards actuels et une gestion active du cycle de vie des clés.

Chiffrement côté serveur pour le contenu ; transport sécurisé ; gestion stricte des clés ; contrôles opérationnels encadrant les opérations de déchiffrement.

Tests d'intrusion – indépendants, récurrents, avec suivi des remédiations

Nous mandatons régulièrement des experts en sécurité indépendants pour tester nos systèmes. Les résultats sont suivis jusqu'à leur remédiation, et les synthèses exécutives peuvent être mises à disposition dans le cadre des évaluations Enterprise.

Modèle de chiffrement – déchiffrement contrôlé, sans accès non documenté

Nous utilisons un chiffrement côté serveur avec des algorithmes standards de l'industrie et une gestion stricte des clés. Le déchiffrement intervient uniquement dans un environnement sécurisé, surveillé et documenté. Aucun accès non documenté n'est prévu dans le modèle.

Security by design – pas une fonctionnalité, mais un principe d'architecture

La sécurité n'est pas quelque chose que nous ajoutons au produit après coup. Chaque composant a été construit selon un principe security-first, avec défense en profondeur, contrôles documentés et exigences opérationnelles intégrées dès la conception.

Sécurité applicative

Nous mettons en œuvre plusieurs couches de sécurité pour protéger les données, aussi bien en transit qu'au repos. Nous utilisons TLS 1.3 avec Perfect Forward Secrecy pour le transport et un chiffrement fort (par exemple AES-256) pour le contenu stocké et chiffré côté client. L'accès aux applications est sécurisé par l'authentification multi-facteurs (MFA) et le contrôle d'accès basé sur les rôles.

Séparation des environnements – développement, staging et production strictement séparés

Nous maintenons une séparation stricte entre les environnements de développement, de staging et de production. Ce n'est pas seulement une politique : elle est appliquée par des systèmes séparés, des contrôles d'accès et des processus de déploiement dédiés.

Assurance qualité – couverture automatisée, revue de sécurité indépendante

Chaque release passe par des contrôles qualité en plusieurs couches. La couverture de tests automatisés fonctionne en parallèle avec des tests d'intrusion indépendants, des analyses de vulnérabilités et des revues de sécurité.

Revue de code – principe des quatre yeux, commits signés, analyse automatisée

Chaque modification de code fait l'objet d'une revue obligatoire par les pairs avant le déploiement. L'analyse de sécurité automatisée s'exécute en parallèle, non comme une formalité après coup, afin d'identifier les risques le plus tôt possible.

Cycle de développement sécurisé – sécurité intégrée de la conception à l'exploitation

Des points de contrôle de sécurité existent à chaque phase de notre processus de développement, de la modélisation des menaces lors de la conception à la génération de SBOM et à la signature des artefacts lors du déploiement.

Sécurité opérationnelle

Nous suivons des procédures opérationnelles strictes pour garantir que nos activités quotidiennes respectent des normes de sécurité reconnues et auditées de manière indépendante.

Culture de sécurité – une formation continue, pas une case annuelle à cocher

Nous investissons dans la sensibilisation à la sécurité dans l'ensemble de l'organisation. La formation est spécifique aux rôles et continue, et non un exercice annuel isolé.

Cadre de politiques – fondé sur les risques, régulièrement revu, audité indépendamment

Notre cadre de gouvernance est structuré selon ISO/IEC 27001:2022 et couvre tout, de la réponse aux incidents à la classification des données. Les politiques sont revues régulièrement et intégrées à nos processus opérationnels.

Contrôles de confidentialité – structurels, pas seulement contractuels

Nous avons intégré la confidentialité dans notre manière de travailler, et pas seulement dans les contrats que nous signons. L'accès aux informations sensibles est contrôlé au niveau structurel, avec restrictions, journalisation et responsabilités documentées.