Dernière mise à jour : décembre 2025 — Version 1.0
Quostra s'engage à protéger vos données et votre vie privée en mettant en œuvre les meilleures pratiques de sécurité de l'industrie. Cette politique détaille les mesures techniques et organisationnelles que nous avons mises en place.
Nos principes de sécurité : Confidentialité (protection des données contre tout accès non autorisé), Intégrité (garantie que les données ne sont pas altérées ou corrompues), Disponibilité (assurance d'un accès continu au service — objectif 99% mensuel), Traçabilité (journalisation de toutes les actions critiques), Résilience (capacité à résister et à se remettre d'incidents de sécurité).
Approche de sécurité : Security by Design (la sécurité est intégrée dès la conception de chaque fonctionnalité), Defense in Depth (multiples couches de sécurité pour protéger les données), Least Privilege (accès minimal nécessaire pour chaque utilisateur et système), Zero Trust (vérification systématique, aucune confiance implicite).
Serveurs applicatifs (Hostinger) : Datacenters sécurisés avec protection DDoS, pare-feu et mises à jour de sécurité automatiques, certificats SSL/TLS inclus. Site web : https://www.hostinger.fr
Base de données (Supabase) : Infrastructure basée sur PostgreSQL et AWS, chiffrement au repos et en transit, sauvegardes automatiques quotidiennes, réplication multi-zones pour la haute disponibilité. Site web : https://supabase.com
Code source (GitHub) : Repositories privés avec contrôle d'accès strict, authentification à deux facteurs (2FA) obligatoire, scan automatique des vulnérabilités (Dependabot, CodeQL), revue de code obligatoire avant merge. Site web : https://github.com
Réseau et infrastructure : HTTPS/TLS 1.3 obligatoire pour toutes les communications, certificats SSL/TLS avec renouvellement automatique, protection DDoS intégrée, pare-feu et sécurité réseau.
Chiffrement en transit : HTTPS/TLS 1.3 pour toutes les communications client-serveur, certificats SSL/TLS valides et à jour, HSTS (HTTP Strict Transport Security) activé, Perfect Forward Secrecy (PFS).
Chiffrement au repos : Chiffrement AES-256 pour les données sensibles en base de données, chiffrement des sauvegardes, clés de chiffrement stockées dans un gestionnaire de secrets sécurisé, rotation régulière des clés de chiffrement.
Classification des données : Publiques (informations accessibles à tous — pages vitrine, documentation), Internes (données métier non sensibles — projets, livrables), Confidentielles (données personnelles, identifiants, tokens), Critiques (mots de passe, clés API, secrets).
Minimisation des données : Collecte uniquement des données strictement nécessaires, anonymisation des données pour les analytics, suppression automatique des données obsolètes, pas de stockage des coordonnées bancaires (délégué à Stripe).
Mots de passe : Longueur minimale : 8 caractères, complexité requise (majuscules, minuscules, chiffres, caractères spéciaux), hachage sécurisé géré par Supabase (bcrypt ou Argon2), protection contre les attaques par force brute (rate limiting).
Authentification multi-facteurs (2FA) : Recommandée pour tous les utilisateurs, obligatoire pour les comptes administrateurs, support TOTP (Google Authenticator, Authy), codes de récupération en cas de perte de l'appareil.
Sessions : Tokens de session sécurisés (JWT), expiration automatique après 24h d'inactivité, révocation possible à tout moment, protection CSRF et XSS.
Contrôle d'accès : Modèle RBAC (Role-Based Access Control), principe du moindre privilège, séparation des environnements (production, staging, dev), audit trail de tous les accès aux données sensibles.
Transport (HTTPS/TLS) : TLS 1.3 (protocole le plus récent et sécurisé), suites de chiffrement modernes uniquement (AES-GCM, ChaCha20-Poly1305), désactivation des protocoles obsolètes (SSL, TLS 1.0, TLS 1.1), Perfect Forward Secrecy (PFS).
Stockage (AES-256) : Chiffrement symétrique AES-256-GCM pour les données au repos, chiffrement des sauvegardes, chiffrement des logs contenant des données sensibles.
Gestion des clés : Stockage sécurisé dans un gestionnaire de secrets, rotation régulière des clés (tous les 90 jours), séparation des clés par environnement, pas de clés en dur dans le code source.
Quostra s'appuie sur les politiques de sauvegarde automatique fournies par ses prestataires d'infrastructure :
Supabase (Base de données) : Sauvegardes automatiques quotidiennes, Point-in-time recovery (PITR) disponible, réplication multi-zones pour la haute disponibilité, chiffrement des sauvegardes (AES-256).
Hostinger (Serveur applicatif) : Sauvegardes automatiques hebdomadaires, rétention : 30 jours, restauration en un clic depuis le panneau de contrôle.
Plan de continuité d'activité (PCA) : RTO (Recovery Time Objective) : 24 heures, RPO (Recovery Point Objective) : 24 heures, procédures de basculement documentées, équipe d'intervention disponible 24/7.
Logs et journalisation : Journalisation de toutes les actions critiques, logs applicatifs stockés dans Supabase, rétention des logs : 12 mois (conformité RGPD), protection des logs contre la modification.
Détection d'intrusion : Surveillance en temps réel du trafic réseau, détection des comportements anormaux, alertes automatiques en cas d'activité suspecte, blocage automatique des adresses IP malveillantes.
Analyse des vulnérabilités : Scans de sécurité automatiques hebdomadaires, tests d'intrusion (pentests) annuels par des experts externes, veille sur les CVE (Common Vulnerabilities and Exposures).
1. Détection et classification : Identification de l'incident (automatique ou manuelle), classification par gravité : Critique, Élevée, Moyenne, Faible, notification immédiate de l'équipe de sécurité.
2. Confinement : Isolation des systèmes compromis, blocage des accès non autorisés, préservation des preuves pour analyse forensique.
3. Éradication et récupération : Identification de la cause racine, suppression de la menace, restauration des systèmes à partir de sauvegardes saines, remise en service progressive.
Notification en cas de violation de données : Notification à la CNIL dans les 72 heures (conformité RGPD), information des utilisateurs concernés si risque élevé, rapport détaillé de l'incident et des mesures prises, mise à disposition d'un support dédié.
Pratiques de développement : Revue de code obligatoire (peer review), tests de sécurité automatisés (SAST, DAST), analyse statique du code (SonarQube, ESLint), dépendances à jour (Dependabot, Renovate).
Protection contre les vulnérabilités OWASP Top 10 : Injection : requêtes paramétrées, ORM, validation des entrées. Broken Authentication : 2FA, sessions sécurisées, rate limiting. Sensitive Data Exposure : chiffrement, HTTPS. Broken Access Control : RBAC, vérification des permissions. XSS : échappement des sorties, Content Security Policy. Known Vulnerabilities : mises à jour régulières, scans de dépendances.
RGPD (Règlement Général sur la Protection des Données) : Registre des traitements de données, analyse d'impact (DPIA) pour les traitements à risque, respect des droits des utilisateurs.
LCEN (Loi pour la Confiance dans l'Économie Numérique) : Mentions légales complètes, identification de l'éditeur et de l'hébergeur.
Directive ePrivacy (cookies) : Consentement préalable pour les cookies non essentiels, information claire sur les cookies utilisés.
Audits de sécurité : Audits internes trimestriels, audits externes annuels par des cabinets spécialisés, tests d'intrusion (pentests) annuels, revue de la politique de sécurité semestrielle.
Protection de votre compte : Choisir un mot de passe fort et unique, activer l'authentification à deux facteurs (2FA), ne jamais partager vos identifiants, se déconnecter après chaque session, vérifier régulièrement l'activité de votre compte.
Vigilance face aux menaces : Méfiez-vous des emails de phishing, vérifiez l'URL du site avant de saisir vos identifiants (https://quostra.com/), ne cliquez pas sur des liens suspects, signalez toute activité suspecte à contact@quostra.com.
Sécurité de votre appareil : Maintenez votre système d'exploitation et vos logiciels à jour, utilisez un antivirus et un pare-feu, évitez les réseaux Wi-Fi publics non sécurisés, chiffrez votre disque dur.
Divulgation responsable (Responsible Disclosure) : Quostra encourage les chercheurs en sécurité et les utilisateurs à signaler toute vulnérabilité découverte de manière responsable.
Procédure de signalement : Envoyez un email à contact@quostra.com (objet : « Signalement de vulnérabilité »). Incluez : description détaillée, étapes pour reproduire, impact potentiel, preuve de concept.
Nos engagements : Accusé de réception sous 48 heures, analyse et validation sous 7 jours, correction selon gravité : Critique (48h), Élevée (7j), Moyenne (30j), Faible (90j), communication transparente sur l'avancement, crédit public si vous le souhaitez (Hall of Fame).
Ce que nous demandons : Ne pas exploiter la vulnérabilité au-delà de la démonstration, ne pas accéder, modifier ou supprimer des données d'autres utilisateurs, ne pas divulguer publiquement avant correction, agir de bonne foi et dans le respect de la loi.