Se connecter Commencer
Lexa IA Gamification Fonctionnalités Recrutement Tarifs Contact
Se connecter Commencer
Sécurité

Sécurité de la plateforme

Dernière mise à jour : 27 avril 2026

La sécurité des données qui nous sont confiées est une priorité absolue. Cette page détaille nos engagements, les mesures techniques et organisationnelles mises en œuvre, et la procédure pour signaler une vulnérabilité.

1. Hébergement et infrastructure

  • Hébergement Hetzner Online GmbH en Allemagne (Union européenne), datacenters certifiés ISO 27001 et ISO 9001.
  • Stockage objet sur Cloudflare R2 en région EU pour les médias et sauvegardes.
  • CDN et protection anti-DDoS via Cloudflare avec WAF et règles de sécurité personnalisées.
  • Aucune donnée n'est stockée hors Union européenne sans Clauses Contractuelles Types et information transparente du Client.

2. Chiffrement

  • En transit : TLS 1.3 sur l'ensemble des communications, certificats actifs sur tous les sous-domaines.
  • HSTS activé pour forcer l'utilisation de HTTPS sur l'ensemble du domaine.
  • Au repos : chiffrement des sauvegardes et du stockage objet.
  • Mots de passe : hachés avec bcrypt et un salt unique par utilisateur. Jamais stockés en clair, jamais transmis en clair.
  • Secrets et clés API : stockés dans des variables d'environnement isolées, rotation périodique.

3. Authentification et contrôle d'accès

  • Authentification basée sur Laravel Sanctum avec session sécurisée (cookies HttpOnly, SameSite=Lax, Secure).
  • Politique de mots de passe : minimum 8 caractères, mélange recommandé. Pas de mot de passe par défaut.
  • Limitation des tentatives de connexion (rate limiting) pour prévenir les attaques par force brute.
  • Réinitialisation de mot de passe par lien à usage unique et durée limitée.
  • Gestion fine des rôles et permissions, principe du moindre privilège.
  • Cloisonnement multi-tenant strict : chaque souscripteur dispose d'un espace logiquement isolé.

4. Sauvegardes et continuité

  • Sauvegardes quotidiennes chiffrées de la base de données et du stockage, conservées en Europe.
  • Sauvegardes incrémentales par souscripteur sur Cloudflare R2 (région EU).
  • Tests de restauration réalisés régulièrement.
  • Plan de reprise documenté en cas d'incident majeur.

5. Surveillance et journalisation

  • Audit log sur les actions sensibles (authentification, modifications critiques, accès aux données personnelles).
  • Logs conservés 12 mois, immuables après écriture.
  • Surveillance applicative en temps réel pour détection d'anomalies.
  • Procédure de réponse à incident documentée, notification client sous 72 heures en cas de violation.

6. Sécurité applicative

  • Headers de sécurité HTTP : Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
  • Protection CSRF native sur tous les formulaires.
  • Protection XSS via échappement systématique des sorties (Blade).
  • Requêtes SQL paramétrées via Eloquent ORM.
  • Mises à jour de sécurité Laravel et dépendances appliquées en continu.
  • Revue de code systématique avant déploiement.

7. Sous-traitants et conformité

  • Tous nos sous-traitants sont engagés contractuellement à respecter le RGPD.
  • Stripe (paiements) : certifié PCI-DSS niveau 1. Aucun numéro de carte n'est stocké sur nos serveurs.
  • Hetzner : ISO 27001, ISO 9001, ISO 14001, ISO 50001.
  • Microsoft (Clarity) : certifié EU-US Data Privacy Framework.
  • Anthropic et OpenAI (IA) : engagement contractuel no-training (les données ne servent pas à entraîner les modèles).
  • Liste détaillée disponible dans notre politique de confidentialité et notre DPA.

8. Signaler une vulnérabilité

Nous prenons les rapports de sécurité au sérieux et nous nous engageons à répondre dans les meilleurs délais. Si vous découvrez une vulnérabilité, merci de nous la signaler de façon responsable :

Nous vous demandons de :

  • ne pas exploiter la vulnérabilité au-delà du nécessaire pour la démontrer ;
  • ne pas divulguer la vulnérabilité publiquement avant correction et accord ;
  • ne pas accéder à des données personnelles d'utilisateurs sans leur consentement ;
  • nous laisser un délai raisonnable de correction (90 jours en général).

Nous ne poursuivons pas les chercheurs en sécurité agissant de bonne foi dans le respect de ces règles.

9. Engagements en matière de continuité

  • SLA de disponibilité mensuelle : 99,5 % (voir CGV/CGU article 5).
  • Maintenances planifiées annoncées 48h à l'avance et réalisées hors heures ouvrées.
  • Procédure de réversibilité : export complet des données possible à tout moment, et jusqu'à 30 jours après résiliation.
  • Suppression sécurisée à l'issue de la période de réversibilité.

10. Mises à jour

Cette page est mise à jour à chaque évolution substantielle de nos mesures de sécurité. Pour toute question :