1. Objet et portée
La présente Politique de Sécurité du Système d'Information (« PSSI ») définit les principes, mesures et procédures de sécurité mis en œuvre par MIBsoft pour garantir la confidentialité, l'intégrité, la disponibilité et la traçabilité (CIDT) des données et systèmes hébergeant le service.
Elle s'applique à l'ensemble des collaborateurs, prestataires, sous-traitants ayant accès au système d'information de MIBsoft, ainsi qu'à toute personne intervenant dans son cycle de vie.
2. Gouvernance
- Responsable sécurité :
[À COMPLÉTER : nom du RSSI ou mention « RSSI externalisé »]; - DPO : dpo@mibsoft.fr ;
- Revue annuelle de la PSSI par la direction ;
- Comité sécurité trimestriel (technique + direction).
3. Architecture et hébergement
3.1 Topologie
- Frontend : Vercel (edge network), site statique + Edge Functions ;
- Backend / DB : Supabase — PostgreSQL managé sur AWS eu-central-1 (Frankfurt) ;
- Authentification : Supabase Auth (GoTrue), JWT signés ;
- Stockage fichiers : Supabase Storage (S3-compatible) en région Frankfurt ;
- Emails : Resend ;
- Paiements : Stripe.
3.2 Localisation des données
4. Chiffrement
- En transit : TLS 1.3 obligatoire (HSTS activé, redirection HTTPS automatique, suite cryptographique modernes — A+ SSLLabs) ;
- Au repos : AES-256 pour la base PostgreSQL et le stockage S3 (chiffrement géré par AWS + Supabase) ;
- Mots de passe : hachés en bcrypt (cost ≥ 10) ou argon2id, jamais stockés en clair ;
- Secrets applicatifs : stockés dans le coffre Vercel + variables d'environnement chiffrées, jamais commitées dans Git ;
- Tokens JWT : signés HMAC-SHA256 avec rotation périodique des secrets.
5. Authentification et gestion des accès
5.1 Utilisateurs finaux
- Mot de passe avec exigence de complexité (longueur min. 10 caractères, mélange) ;
- Verrouillage automatique après 5 tentatives échouées (5 minutes) ;
- Réinitialisation de mot de passe par email avec lien à usage unique limité à 1 h ;
- MFA (authentification à deux facteurs) recommandée pour les administrateurs centre, obligatoire à partir du plan Entreprise.
5.2 Administrateurs MIB
- MFA obligatoire sur tous les comptes (Supabase, Vercel, Stripe, GitHub) ;
- Comptes nominatifs, pas de compte générique partagé ;
- Principe du moindre privilège ;
- Revue d'accès trimestrielle ;
- Révocation immédiate en cas de départ.
6. Cloisonnement multi-tenants (Row Level Security)
L'isolation entre centres de formation est garantie au niveau base de données par le mécanisme Row Level Security (RLS) de PostgreSQL.
- Chaque table sensible (stagiaires, formateurs, scores, sessions) porte une colonne
center_id; - Des policies RLS strictes filtrent automatiquement chaque requête en fonction du JWT de l'utilisateur connecté ;
- Les tests automatisés vérifient régulièrement que les fuites cross-tenant sont impossibles ;
- L'accès direct à la base de données est interdit en production, hors administrateur dûment habilité.
7. Sauvegardes et restauration
- PITR (Point-In-Time Recovery) Supabase activé — restauration à n'importe quel point dans les 7 derniers jours ;
- Backups quotidiens automatiques chiffrés, stockés en région distincte (résilience régionale) ;
- Tests de restauration trimestriels (objectif : RTO < 4 h, RPO < 24 h — voir PRA/PCA) ;
- Sauvegardes purgées au-delà de 90 jours pour respecter le principe de minimisation des données.
8. Journalisation et audit
- Logs d'authentification (succès et échecs) conservés 1 an ;
- Logs d'actions sensibles (création, modification, suppression utilisateur, paiement) conservés 1 an ;
- Logs requêtes SQL anonymisés via Supabase ;
- Logs Vercel (Edge / Functions) ;
- Alerting automatique sur événements suspects (échecs massifs, requêtes anormales, élévation de privilèges).
9. Mise à jour et gestion des vulnérabilités
- Suivi automatisé des CVE des dépendances (Dependabot, npm audit, GitHub Security Advisories) ;
- Application des patches critiques sous 48 h, des patches élevés sous 7 jours ;
- Mise à jour mineure mensuelle planifiée ;
- Veille sur les bulletins ANSSI / CERT-FR.
10. Sécurité du développement
- Revue de code obligatoire (Pull Request) sur les modifications critiques ;
- Tests automatisés (unitaires, intégration) sur chaque PR ;
- Tests dédiés aux policies RLS (cross-tenant) ;
- Pas de secret en clair dans le code (scans automatiques via GitHub) ;
- Environnements séparés : développement, staging, production ;
- Données réelles jamais utilisées en développement (datasets anonymisés).
11. Sécurité physique
L'infrastructure étant intégralement hébergée chez des prestataires cloud certifiés (Supabase / AWS Frankfurt — certifications ISO 27001, SOC 2 Type II ; Vercel — SOC 2), la sécurité physique est déléguée à ces opérateurs. MIBsoft ne dispose pas de salle serveur en propre.
Les locaux administratifs de MIBsoft disposent d'un contrôle d'accès et les postes de travail des collaborateurs sont :
- Chiffrés (FileVault macOS / BitLocker Windows / LUKS Linux) ;
- Protégés par mot de passe fort + verrouillage automatique ;
- Équipés d'antivirus / EDR ;
- Mis à jour automatiquement.
12. Sensibilisation et formation
- Sensibilisation RGPD et sécurité de tout nouveau collaborateur à l'arrivée ;
- Rappel annuel des bonnes pratiques (phishing, mot de passe, gestion des données) ;
- Engagement de confidentialité signé par tous les collaborateurs et prestataires.
13. Sous-traitants et chaîne de sécurité
MIBsoft sélectionne ses sous-traitants sur leurs garanties RGPD et sécurité (voir sous-traitants). Tous les sous-traitants principaux disposent de certifications reconnues (ISO 27001, SOC 2) et signent un DPA conforme.
14. Tests de pénétration et audits
- Pentest annuel par un prestataire externe spécialisé (à planifier — premier pentest prévu
[À COMPLÉTER : trimestre]) ; - Scope : application web, API, infra exposée, RLS ;
- Rapport sécurisé, anomalies corrigées selon criticité (critique : 48 h, élevée : 7 jours) ;
- Synthèse anonymisée disponible sur demande aux Clients sous NDA.
15. Conformité RGPD et réglementaire
La PSSI s'inscrit en cohérence avec :
- L'article 32 du RGPD (sécurité du traitement) ;
- Le référentiel guide CNIL de la sécurité des données personnelles ;
- Les recommandations ANSSI applicables aux PME numériques ;
- Les bonnes pratiques OWASP (Top 10).
16. Gestion des incidents
La gestion opérationnelle des incidents (cyber, fuites de données, attaques) est détaillée dans la Procédure de gestion des incidents.
17. Continuité d'activité
La continuité et la reprise d'activité sont décrites dans le PCA / PRA.
18. Révision
La présente PSSI fait l'objet d'une revue annuelle minimum, et de mises à jour à la suite de tout incident significatif ou évolution majeure de l'architecture. Toute modification est validée par le RSSI et la direction.