Notre approche sécurité
Nous appliquons les principes d'ingénierie sécurité tout au long du cycle de mise en œuvre, pas comme une liste à cocher, mais comme une compétence fondamentale.
Sécurité by design
Les décisions de sécurité sont prises au stade de l'architecture, pas après. La modélisation des menaces, la conception de l'authentification et des autorisations, la classification des données et les périmètres de contrôle d'accès sont définis avant qu'une ligne de code soit écrite.
Confidentialité des données & RGPD
Tous les systèmes que nous construisons respectent les réglementations applicables en matière de protection des données. Nous implémentons par défaut la minimisation des données, la limitation des finalités, les politiques de rétention et les procédures de demandes d'accès pour tout système traitant des données personnelles.
Pratiques de code sécurisé
Nos équipes d'ingénierie suivent les directives de codage sécurisé OWASP. L'analyse des dépendances, la détection de secrets et l'analyse statique sont intégrées dans nos pipelines CI/CD. Nous corrigeons les vulnérabilités avant qu'elles n'atteignent la production.
Sécurité spécifique à l'IA
Les systèmes IA introduisent des risques spécifiques : injection de prompts, fuite de données d'entraînement, empoisonnement de modèles et entrées adversariales. Nous concevons les systèmes IA en tenant compte de ces vecteurs de menace dès la conception.
Sécurité de l'infrastructure
Segmentation réseau, stockage chiffré, gestion sécurisée des secrets, permissions minimales et images de conteneurs durcies sont standards dans nos configurations infrastructure. Les environnements de production appliquent le principe du moindre privilège à toutes les couches.
Réponse aux incidents
Chaque système de production que nous exploitons dispose d'un playbook de réponse aux incidents documenté. Nous définissons les niveaux de gravité, les chemins d'escalade, les protocoles de communication et les processus de revue post-incident avant tout déploiement.
Cadres de conformité avec lesquels nous travaillons
Nous aidons nos clients à naviguer dans les exigences de conformité des secteurs réglementés.
RGPD
Protection des données by design et by default. Nous réalisons des AIPD pour les traitements à risque élevé, la cartographie des données, la gestion du consentement et les procédures de notification de violation pour tout système traitant des données personnelles de l'UE.
Alignement ISO 27001
Nos pratiques de sécurité s'alignent sur les principes de management de la sécurité de l'information ISO 27001. Nous accompagnons les clients dans leur démarche de certification en construisant des systèmes et processus conformes à la norme.
Préparation SOC 2
Pour les plateformes SaaS et les systèmes de traitement de données, nous concevons en tenant compte des critères SOC 2 Type II : sécurité, disponibilité, intégrité du traitement, confidentialité et contrôles de protection de la vie privée.
Sensibilisation NIS2
Pour les clients dans les secteurs couverts par la directive NIS2 (infrastructure critique, services numériques, santé), nous construisons des systèmes en tenant compte des exigences de déclaration d'incidents et de résilience de la NIS2.
Services financiers (DORA)
Pour les clients fintech et services financiers, nous concevons des systèmes conformes aux exigences de résilience opérationnelle DORA : gestion des risques TIC, classification des incidents et gouvernance des risques tiers.
Santé & RGPD santé
Pour les clients en santé traitant des informations de santé protégées, nous mettons en œuvre des mesures de protection techniques et administratives alignées sur la réglementation applicable, incluant les pistes d'audit et la journalisation des accès.
Vous avez une exigence de conformité spécifique ?
Contactez-nous. Nous vous expliquerons comment nous pouvons aider et ce que nous mettrions en œuvre pour votre contexte.