Sécurité d'entreprise à prix PME

Pratiques de sécurité transparentes, de l'infrastructure à l'application. Conforme RGPD/CCPA, isolation multi-tenant, chiffrement au repos et en transit.

Consulter nos pratiques de sécurité

Sécurité et conformité vérifiées

Notre socle de sécurité

Heroku

Hébergé sur la plateforme Heroku (société Salesforce)

AWS

Infrastructure alimentée par AWS

RGPD

Politique de confidentialité conforme (droits des utilisateurs implémentés)

CCPA

Droits à la vie privée de Californie conformes

Iubenda

Génération de politique de confidentialité certifiée

Ce que nous ne prétendons pas (honnêteté en matière de sécurité)

Certifié SOC 2

Pas encore — SOC 2 Type II est sur notre feuille de route, en fonction de la demande des clients grands comptes. Nous héritons d'une infrastructure certifiée SOC 2 (Heroku/AWS), mais nous ne disposons pas de notre propre audit organisationnel.

Certification organisationnelle ISO 27001

Nous héritons de la certification des centres de données de Heroku/AWS, mais nous ne disposons pas de notre propre certification organisationnelle ISO 27001.

Tests d'intrusion réalisés

Pas encore — les tests d'intrusion professionnels par des tiers sont sur notre feuille de route, en fonction de la demande des clients grands comptes.

Pourquoi cette transparence ?

De nombreux concurrents revendiquent une « sécurité de niveau entreprise » sans précisions. Nous pensons que la transparence renforce la confiance mieux que des affirmations vagues. Nous sommes honnêtes sur ce que nous proposons aujourd'hui et sur ce qui est prévu.

Construit sur une infrastructure d'entreprise (Heroku/AWS)

Notre infrastructure tire parti de la sécurité de niveau entreprise via Heroku (Salesforce) et AWS

Certifications de l'infrastructure

  • Hébergement : Plateforme Heroku (société Salesforce)
  • Centres de données : Certifiés ISO 27001 (certification héritée de l'infrastructure Heroku)
  • Sécurité physique : Normes de conformité AWS (SOC 2, ISO 27001 pour les centres de données)
  • Redondance géographique : Déploiement AWS multi-AZ pour une haute disponibilité

Chiffrement et protection

  • Chiffrement au repos : PostgreSQL avec AES-256
  • Chiffrement en transit : TLS 1.3 pour toutes les connexions
  • Protection DDoS : Pare-feux réseau AWS et CloudFront

Important : Nous héritons des certifications d'infrastructure de Heroku/AWS. Nous ne revendiquons pas de certification organisationnelle ISO 27001 ou SOC 2 (celles-ci sont sur notre feuille de route en fonction de la demande grands comptes).

En savoir plus : Sécurité Heroku | Conformité AWS

Pratiques de sécurité applicative

Notre application met en œuvre des contrôles de sécurité conformes aux normes du secteur

1. Isolation des données multi-tenant

  • Ce que cela signifie pour vous : Les données de votre organisation sont complètement séparées de celles des autres clients
  • Comment nous l'assurons : Chaque accès aux données est automatiquement filtré à votre organisation et votre espace de travail
  • Pourquoi c'est important : Aucun risque de voir les actifs ou les données de maintenance d'une autre entreprise
  • Vérification continue : Des tests de sécurité automatisés valident l'isolation à chaque modification du code

2. Contrôle d'accès basé sur les rôles

  • Permissions flexibles : Assignez les membres de l'équipe en tant qu'Administrateurs (accès complet) ou Membres (permissions restreintes)
  • Contrôle à deux niveaux : Gérez les permissions au niveau de l'organisation et au niveau de chaque espace de travail
  • Application automatique : Les permissions sont vérifiées à chaque action pour prévenir les accès non autorisés
  • Sécurité testée : Des tests automatisés complets garantissent le bon fonctionnement des règles de permission

3. Authentification

  • Authentification conforme aux normes du secteur : Système de connexion sécurisé utilisé par des milliers d'applications
  • Option Google OAuth2 : Connectez-vous avec Google pour un accès sans mot de passe
  • Stockage sécurisé des mots de passe : Les mots de passe sont chiffrés avec un hachage conforme aux meilleures pratiques du secteur (jamais stockés en clair)
  • Déconnexion automatique : Les sessions expirent après inactivité pour protéger votre compte

4. Protection contre les vulnérabilités courantes

  • Protection CSRF : Protège contre les soumissions de formulaires non autorisées provenant de sites malveillants
  • Prévention des injections SQL : Les requêtes de base de données sont automatiquement assainies pour empêcher le code malveillant
  • Prévention XSS : Les entrées utilisateur sont automatiquement nettoyées pour empêcher les scripts malveillants
  • Politique de sécurité du contenu : Les règles de sécurité du navigateur empêchent l'exécution de scripts non autorisés

5. Sécurité des sessions

  • Cookies sécurisés : Les données de votre session sont protégées contre l'accès JavaScript et transmises de manière sécurisée
  • Expiration automatique : Les sessions expirent après inactivité pour protéger votre compte si vous oubliez de vous déconnecter
  • Configuration chiffrée : Les paramètres sensibles de l'application sont chiffrés et jamais exposés dans le code

6. Analyse de sécurité automatisée

  • Analyse de sécurité du code : Une analyse automatisée vérifie chaque modification du code pour détecter les vulnérabilités potentielles avant le déploiement
  • Surveillance des dépendances : Analyse continue des bibliothèques tierces pour les problèmes de sécurité connus
  • Validation continue : Les vérifications de sécurité s'exécutent automatiquement à chaque mise à jour pour détecter les problèmes rapidement

Conformité aux réglementations sur la vie privée

Nous mettons en œuvre la protection de la vie privée dès la conception

Conforme au RGPD

Règlement général sur la protection des données (Union européenne)

  • Politique de confidentialité : Politique de confidentialité complète publiée et régulièrement mise à jour (certifiée Iubenda)
  • Droits des utilisateurs : Vous pouvez accéder à vos données, les supprimer, les exporter et les corriger à tout moment
  • Traitement légal : Nous traitons les données pour fournir notre service (exécution du contrat) et avec votre consentement
  • Protection des données : Des pratiques de sécurité de niveau entreprise protègent vos informations personnelles

Conforme au CCPA

California Consumer Privacy Act

  • Droits à la vie privée pour les résidents californiens : accès, suppression, opposition
  • La politique de confidentialité couvre les exigences du CCPA
  • Export des données disponible à tout moment (sans verrouillage fournisseur)

Politique en matière de cookies

  • Divulgation transparente des cookies (Iubenda)
  • Cookies essentiels uniquement (authentification, gestion des sessions)
  • Aucun cookie de suivi tiers

Conservation des données

  • Forfait Gratuit : 30 jours d'historique d'activité
  • Forfait Premium : 5 ans d'historique d'activité

Export et portabilité des données

  • Export CSV à tout moment (Actifs, Tâches de maintenance, Journaux d'activité)
  • Aucun verrouillage fournisseur — emportez vos données avec vous
  • L'API REST pour l'accès programmatique est sur notre feuille de route, en fonction de la demande des clients. Aujourd'hui, l'export complet des données est disponible via CSV et l'API MCP.

Améliorations de sécurité planifiées

Nous planifions les fonctionnalités de sécurité suivantes (les délais sont des estimations, susceptibles d'être modifiées en fonction de la demande des clients)

Authentification à deux facteurs (2FA)

Sur la feuille de route (en fonction de la demande des clients)

  • Approche d'implémentation conforme aux normes du secteur
  • Options SMS et application d'authentification (Google Authenticator, Authy)

Certification SOC 2 Type II

Sur la feuille de route (en fonction de la demande des clients grands comptes)

  • Processus de certification de 6 à 9 mois
  • Audit professionnel par un tiers
  • Remarque : Il s'agit d'un plan, pas d'un engagement. Le calendrier dépend de la demande du marché grands comptes et des priorités commerciales.

Tests d'intrusion

Sur la feuille de route (en fonction de la demande des clients grands comptes)

  • Test d'intrusion professionnel par un tiers
  • Correction des vulnérabilités et résumé de rapport public

Journaux d'audit améliorés

Sur la feuille de route (en fonction de la demande des clients)

  • Étendre le suivi des activités à davantage de types de données (actuellement limité aux Actifs)
  • Piste d'audit complète pour toutes les modifications

SSO (SAML)

Prévu pour une version future

  • Authentification unique d'entreprise pour les grandes organisations
  • Intégrations avec Okta, Azure AD, Google Workspace

Avis importants

  • Les éléments de la feuille de route sont susceptibles d'être modifiés en fonction des besoins des clients et des priorités commerciales
  • Les délais sont des estimations, pas des garanties
  • La certification SOC 2 est conditionnelle à la demande du marché grands comptes (vos retours sont les bienvenus : [email protected])

Signalement des vulnérabilités de sécurité

Nous encourageons la recherche responsable en matière de sécurité

Comment signaler

  • Contact sécurité : [email protected]
  • Délai de réponse : Accusé de réception sous 48 heures, objectif de résolution sous 30 jours (engagement réaliste)
  • Périmètre : Sécurité applicative, problèmes d'infrastructure, questions de confidentialité des données
  • Reconnaissance : Hall of fame des chercheurs en sécurité (prévu pour le futur)
  • Demande : Veuillez ne pas divulguer publiquement les vulnérabilités avant que nous ayons eu le temps de les corriger

Que signaler

Dans le périmètre :

  • Injections SQL, XSS, vulnérabilités CSRF
  • Contournement d'authentification ou élévation de privilèges
  • Fuite de données multi-tenant
  • Références directes à des objets non sécurisées

Hors périmètre :

  • Attaques d'ingénierie sociale
  • Sécurité physique de nos bureaux (nous travaillons à distance)
  • Vulnérabilités tierces (Heroku, AWS — signalez-les directement à eux)

Pourquoi c'est important : Nous nous engageons en faveur d'une culture axée sur la sécurité. Votre divulgation responsable nous aide à protéger tous nos clients.

FAQ sur la sécurité et la conformité

Comment A4B gère l'isolation des données, la conformité en matière de confidentialité et les certifications — avec des réponses honnêtes sur ce qui est disponible et ce qui est prévu.

A4B est-il certifié SOC 2 ?
Pas encore. La certification SOC 2 Type II est sur notre feuille de route, en fonction de la demande des clients entreprise. Nous nous appuyons actuellement sur une infrastructure certifiée SOC 2 (Heroku, AWS), mais nous n'avons pas encore notre propre audit SOC 2 organisationnel. Si SOC 2 est essentiel pour votre organisation, envoyez un e-mail à [email protected] pour exprimer votre intérêt (la demande nous aide à prioriser).
Les données de mon organisation sont-elles isolées des autres locataires ?
Oui. A4B utilise une architecture multi-locataire stricte où chaque requête de base de données est limitée à votre organisation. Les membres d'un espace de travail ne peuvent accéder qu'aux données des espaces de travail auxquels ils sont affectés. Cette isolation est appliquée au niveau de la base de données et validée par des tests de sécurité automatisés complets à chaque modification du code.
A4B est-il conforme au RGPD et au CCPA ?
Oui. A4B est conforme au RGPD et au CCPA. Les données sont hébergées sur l'infrastructure Heroku. Les e-mails transactionnels sont traités via Brevo (basé en UE). Les événements analytiques utilisent RudderStack avec une gestion du consentement conforme au RGPD — aucune donnée analytique n'est collectée sans le consentement explicite de l'utilisateur. Vous pouvez demander l'export ou la suppression de vos données à tout moment.
Puis-je exporter mes données à tout moment ?
Oui. L'export CSV est disponible pour les Actifs, les Tâches de maintenance et les Journaux d'activité — sans verrouillage fournisseur. Exportez depuis le Tableau de bord ou les vues en liste des Actifs/Maintenances.
Dans quelle région géographique mes données sont-elles stockées ?
Centres de données AWS via l'infrastructure Heroku. Région géographique : US Est (Virginie) par défaut. Les centres de données AWS sont certifiés ISO 27001 et conformes SOC 2. Redondance multi-AZ pour une haute disponibilité.
Prenez-vous en charge l'authentification à deux facteurs ?
Pas encore. L'authentification à deux facteurs est sur notre feuille de route, en fonction de la demande des clients. Actuellement, nous prenons en charge Google OAuth2 (authentification sans mot de passe) comme alternative sécurisée aux mots de passe traditionnels. Si l'authentification à deux facteurs est essentielle pour votre organisation, envoyez un e-mail à [email protected] pour exprimer votre intérêt.

Prêt à déployer A4B dans votre organisation ?

Commencer votre forfait gratuit