Sécurité & Confiance

Notre plateforme fonctionne entièrement sur une infrastructure européenne avec une isolation stricte et des contrôles d'accès.

• Hébergement sur les datacenters OVH en France, garantissant la souveraineté des données européennes
• Conteneurs Docker exécutés en tant qu'utilisateurs non-root avec des privilèges minimaux
• PostgreSQL 15 avec contrôle d'accès basé sur les rôles et pool de connexions
• Isolation réseau entre les services via les réseaux internes Docker
• Aucune donnée ne quitte l'Union européenne

Une authentification multicouche protège chaque point d'entrée de la plateforme.

• Tokens JWT stockés dans des cookies httpOnly (pas dans localStorage), empêchant le vol de tokens par XSS
• Système RBAC multi-rôles : super_admin, company_admin et user avec des limites de permissions strictes
• Limitation de débit SlowAPI sur tous les endpoints pour prévenir les attaques par force brute
• Vérification de signature HMAC sur tous les webhooks entrants (Stalwart, Stripe)
• Intégration Google OAuth avec échange de tokens sécurisé
• Authentification sans mot de passe par lien magique avec tokens expirant après 15 minutes

Les données sont chiffrées en transit et au repos à l'aide d'algorithmes standards de l'industrie.

• Chiffrement TLS 1.3 pour toutes les données en transit
• Chiffrement AES-256 Fernet pour le coffre-fort d'identifiants (clés API, mots de passe stockés par les utilisateurs)
• Hachage des mots de passe par bcrypt avec génération automatique de sel
• Stockage chiffré des identifiants API pour les intégrations de la plateforme
• URLs pré-signées avec expiration pour les téléchargements d'archives S3

Les agents IA (Junyrs) sont conçus avec des garde-fous qui empêchent les fuites de données et les hallucinations.

• Le filtre d'injection de prompt détecte et bloque les entrées adverses avant qu'elles n'atteignent le LLM
• La désensibilisation des DCP masque les données sensibles (NIR, IBAN, SIRET) avant l'envoi aux fournisseurs d'IA
• Score de confiance (0-100) sur chaque réponse IA, pour que les utilisateurs sachent quand faire confiance ou vérifier
• Service de contexte anti-hallucination garantissant que les réponses sont fondées sur des données réelles de la base de connaissances
• Niveaux de sensibilité configurables par entreprise (faible, moyen, élevé, critique)
• Suivi de la consommation de tokens et application des quotas (40 heures de travail/mois par agent)

Nous respectons le Règlement Général sur la Protection des Données de l'UE et la loi française sur la protection des données (CNIL).

• Traitement des données conforme à la CNIL avec des bases légales documentées
• Accord de Traitement des Données (DPA) disponible sur demande pour tous les clients professionnels
• Suppression du compte et des données sous 30 jours sur demande
• Conservation des documents de facturation pendant 10 ans conformément au droit commercial français
• Portabilité des données : exportez vos données dans des formats standards (PDF, CSV, JSON)
• Droit d'accès, de rectification et de suppression de vos données personnelles à tout moment

La surveillance et la journalisation continues garantissent que les anomalies sont détectées et traitées rapidement.

• Journalisation d'audit de sécurité pour toutes les opérations sensibles (accès aux identifiants, changements de rôles, usurpation d'identité)
• Surveillance des tâches en arrière-plan avec historique d'exécution et alertes en cas d'échec
• Limitation de débit d'emails sortants à deux niveaux pour prévenir le spam et protéger la réputation du domaine
• File d'attente de relance des webhooks avec backoff exponentiel et file de lettres mortes pour les livraisons échouées
• Système de progression de préchauffage de domaine pour les nouveaux domaines email (5 étapes)
• Nettoyage automatisé des workflows obsolètes et collecte des fichiers d'export expirés