Sécurité de la plateforme

Mesures techniques et organisationnelles conformes à l'article 32 du RGPD — Dernière mise à jour : 15 avril 2026

1. Hébergement et localisation

  • Nom de domaine enregistré chez OVHcloud (France) ;
  • Frontend servi par Vercel (régions UE) ;
  • Bases Firestore, Storage et Authentication hébergées en région multi-régionale eur3 (Europe — Belgique / Pays-Bas) ;
  • Aucune donnée n'est stockée durablement hors Union européenne.

2. Chiffrement

  • Chiffrement des communications en TLS 1.3 (note A+ SSL Labs) ;
  • Chiffrement au repos AES-256 (géré par Google Cloud) ;
  • Secrets stockés dans un gestionnaire dédié, jamais dans le code source.

3. Authentification

  • Authentification forte multi-facteurs (MFA) obligatoire pour les comptes élus et agents ;
  • Politique de mots de passe conforme aux recommandations ANSSI (12 caractères minimum, complexité) ;
  • Verrouillage temporaire après 5 tentatives échouées ;
  • Sessions expirant après inactivité prolongée.

4. Contrôle d'accès

  • Cloisonnement strict par commune via règles Firestore et Storage ;
  • Principe du moindre privilège (RBAC) ;
  • Journalisation horodatée des accès administrateurs.

5. Sauvegardes et continuité

  • Sauvegardes automatisées chiffrées, rétention 30 jours ;
  • Tests de restauration trimestriels ;
  • Objectifs : RPO ≤ 24 h, RTO ≤ 8 h.

6. Supervision

  • Monitoring 24/7 de la disponibilité et des erreurs ;
  • Alertes automatiques sur comportements anormaux ;
  • Journaux applicatifs et sécurité conservés 6 mois.

7. Cycle de développement sécurisé

  • Revue de code obligatoire avant mise en production ;
  • Analyse statique (SAST) et détection de dépendances vulnérables (SCA) ;
  • Tests de pénétration annuels (ou avant toute évolution majeure) ;
  • Gestion des vulnérabilités avec SLA de correction : Critique 48 h, Élevée 7 j, Modérée 30 j.

8. Gestion des incidents

En cas de violation de données, Citoyance applique sa procédure de réponse aux incidents : qualification, confinement, notification de la commune responsable sous 48 h, notification à la CNIL sous 72 h, notification aux personnes concernées en cas de risque élevé.

9. Signaler une vulnérabilité

Les chercheurs en sécurité sont invités à signaler toute vulnérabilité à contact.zuhdme+security@gmail.com. Nous nous engageons à un accusé de réception sous 48 h et à ne pas engager de poursuites contre les chercheurs agissant de bonne foi.

10. Feuille de route

  • Souscription d'assurances RC Professionnelle et Cyber avant toute mise en production pour une collectivité ;
  • Déclaration du DPO auprès de la CNIL ;
  • Audit de sécurité externe planifié avant le 31 décembre 2026 ;
  • Évaluation d'une migration vers un hébergeur qualifié SecNumCloud à partir de 2027 ;
  • Migration des adresses de contact vers un domaine propre @citoyance.fr (en cours).