De la transparence, pas un badge

Sécurité

Vous consignez chez nous vos processus, vos risques et vos contrôles. Vous êtes donc en droit de savoir comment nous traitons nous-mêmes la sécurité. La plupart des fournisseurs affichent un logo. Nous montrons nos devoirs — y compris ce qui reste ouvert.

Évalué au regard d'OWASP ASVS 5.0 Level 2

ASVS est la norme de sécurité applicative d'OWASP. Le Level 2 est le niveau destiné aux applications qui traitent des données sensibles. Nous avons passé en revue une à une les 253 exigences des Level 1 et 2, et consigné pour chacune où nous en sommes — et pourquoi.

Il s'agit d'une auto-évaluation, pas d'une certification

Aucun auditeur externe n'est passé dessus. C'est pourquoi nous ne nous disons pas conformes ASVS, certifiés ASVS ni « ASVS ready » : cela laisserait entendre que quelqu'un d'autre l'a vérifié. Ce que vous voyez ici est notre propre évaluation, justifiée ligne par ligne, avec les points ouverts affichés tels quels.

Où nous en sommes

142
satisfaites
80
non applicable, avec justification
21
partielles
10
ouvertes

222 sur 253 sont réglées ou non applicables, avec justification. Les 31 restantes figurent nommément dans notre registre — motif compris.

Ces chiffres sont dérivés du registre et vérifiés à chaque release. Ils ne peuvent donc pas se périmer en silence pendant que le registre évolue.

Ce que cela signifie concrètement

Une norme est abstraite. Voici ce qu'elle recouvre en pratique :

  • Cloisonnement entre organisations

    Les requêtes portant sur les processus, les risques et les données de référence passent toutes par une frontière de tenant qui impose l'organisation et se referme si le contexte manque — une frontière oubliée produit une erreur, jamais en silence les données d'autrui. Un utilisateur d'une organisation ne peut pas consulter les données d'une autre, même avec un id deviné.

  • Rôles et droits côté serveur

    Qui a le droit de faire quoi est déterminé sur le serveur, pas dans le navigateur. Un lecteur ne peut rien modifier au contenu, même en faisant réapparaître un bouton.

  • Vérification en deux étapes

    Disponible via une application d'authentification, avec des codes de secours. Nous la proposons sans l'imposer ; cet arbitrage est justifié dans le registre.

  • Les mots de passe compromis sont refusés

    Lors de la définition d'un mot de passe, nous le confrontons à la base de données de Have I Been Pwned. S'il y figure, il est refusé.

  • Chemins de connexion limités

    Les chemins par lesquels transitent des identifiants sont soumis à une limitation — et cette limite réside dans la base de données, pas dans la mémoire d'un seul processus, si bien qu'un redémarrage ou un second conteneur ne la réinitialise pas.

  • Content-Security-Policy stricte

    Avec un nonce par page, afin qu'un script injecté ne s'exécute pas.

  • Sessions

    Le cookie de session est HttpOnly, Secure et SameSite. Une durée maximale absolue s'applique, et les actions sensibles redemandent votre mot de passe.

  • Piste d'audit et journalisation de sécurité

    Les modifications apportées à vos processus, rôles, risques et contrôles sont consignées avec qui, quoi et quand. Une autorisation refusée est journalisée à part — un échec de connexion, c'est du bruit, mais quelqu'un qui tente, avec une session valide, ce qui ne lui est pas permis, c'est un signal.

  • Chaîne d'approvisionnement

    Nous tenons à jour une SBOM des dépendances que nous exécutons en production, et le pipeline analyse automatiquement chaque modification à la recherche de secrets commités par inadvertance.

Par chapitre

Les 17 chapitres de la norme, avec l'état par chapitre. Les titres de chapitre sont les intitulés de la norme elle-même et nous les laissons non traduits — ils restent ainsi retrouvables.

ChapitreExigencesSatisfaitesS.O.PartiellesOuvertes
V1 Encoding and Sanitization27121500
V2 Validation and Business Logic117130
V3 Web Frontend Security1918001
V4 API and Web Service102620
V5 File Handling94410
V6 Authentication3526621
V7 Session Management1815300
V8 Authorization77000
V9 Self-contained Tokens70700
V10 OAuth and OIDC2902900
V11 Cryptography1412110
V12 Secure Communication93123
V13 Configuration136043
V14 Data Protection97020
V15 Secure Coding and Architecture1310030
V16 Security Logging and Error Handling1613012
V17 WebRTC70700

Ce qui reste ouvert

Nous publions aussi ce qui n'est pas terminé — sinon la transparence n'est qu'un mot de marketing. À ce jour, 10 exigences sont ouvertes et 21 partielles. Le gros du volume tient à des exigences d'infrastructure que nous avons sciemment acceptées sur la base de notre modèle de menaces, auxquelles s'ajoutent quelques choix de politique qui appellent encore une décision, une divergence qui se situe dans une bibliothèque externe, et un reste de durcissement qu'il nous revient de terminer nous-mêmes. Chaque point figure dans le registre, avec son motif — y compris les points que nous voulons refermer en premier.

Pourquoi ne pas simplement tout cocher ?

Parce que toutes les exigences ne pèsent pas d'un même poids dans cette application. Pour chacune, nous avons fait un arbitrage conscient et nous l'avons écrit — y compris pour les exigences que nous ne satisfaisons pas (encore) et les raisons pour lesquelles nous jugeons ce risque acceptable. Sur ces points, cela ne nous rend pas conformes ASVS ; cela rend le choix vérifiable. Une lacune passée sous silence ne le serait pas.

Et NIS2 ?

Si votre organisation relève de NIS2, vous devez démontrer votre maîtrise de vos processus, de vos risques et de votre chaîne. C'est précisément pour consigner cela que Proceshuis a été construit : processus, rôles via RASCI, risques et contrôles dans un seul système, avec un historique des versions et une piste d'audit portant sur ce contenu, qui montre qui a modifié quoi et quand.

Ce que nous ne prétendons pas ici

Proceshuis ne rend pas votre organisation conforme à NIS2, et nous ne nous disons pas conformes NIS2. NIS2 est une directive organisationnelle : gestion des risques, notification des incidents, responsabilité de la chaîne, responsabilité des dirigeants. Un logiciel n'en couvre qu'une partie. Nous soutenons vos obligations ; nous ne les reprenons pas à notre compte.

Le registre complet

Les 253 exigences avec la justification ligne par ligne, y compris les points ouverts et la raison pour laquelle ils le restent. Nous le partageons sur demande : il contient des détails d'implémentation qui n'ont pas leur place sur une page publique.

Demander le registre

En savoir plus

Mettez en place votre référentiel de processus dès aujourd'hui.

Découvrez l'environnement de démonstration rempli ou réservez une démo sur mesure — et voyez comment RASCI, risk & control et le benchmark APQC se rattachent tous à une seule étape de processus.

Sécurité — comment nous construisons et évaluons Proceshuis