Centre de sécurité

Architecture Zero Trust · Defense in Depth · Secure by Design — OWASP ASVS · PCI DSS · Loi 25 Québec

Score Global

Bon

Score de sécurité

65/100

À améliorer

Alertes ouvertes

1 critiques

Secrets expirés

21 bientôt expirés

Règles actives

Détection d'anomalies

Alertes actives

1 Critique1 Attention

🔴

Export massif de données

Tentative d'export de 2847 enregistrements clients bloquée

il y a 2hACTION REQUISE

🟡

Accès hors heures aux données sensibles

L'utilisateur emp-042 a accédé aux dossiers RH le samedi à 23h14

il y a 8hACTION REQUISE

💳 PCI DSS — Paiements

✓Données de carte jamais stockées dans le CRM

✓Tokenisation PSP (Clover) — numéros de carte hors scope

✓Signature HMAC vérifiée sur tous les webhooks paiement

✓HTTPS/TLS 1.3 sur tous les endpoints

✓Montants recalculés côté serveur (non truqués côté client)

✓Logs de toutes les transactions paiement

✗Rotation des credentials Clover (90 jours)

🛡 OWASP Top 10

✓A01: Contrôle d'accès — RBAC + Zero Trust implémenté

✓A02: Défaillances cryptographiques — AES-256-GCM partout

✓A03: Injection — Validation des inputs + paramétrage

✗A07: Identification — MFA sur actions sensibles

✓A09: Monitoring — Détection d'anomalies + audit log

✗A10: SSRF — Validation stricte des URLs sortantes

Modules de sécurité

Journal d'audit

Accès, modifications, actions sensibles

Alertes & Incidents

Détection d'anomalies comportementales

Sessions actives

Connexions en cours, invalidation forcée

Gestion des secrets

Rotation des clés API et certificats

Chiffrement

Statut DEK, rotation des clés, couverture

Conformité

PCI DSS, OWASP ASVS, Loi 25 Québec

Architecture de sécurité

🔒 Chiffrement

• AES-256-GCM (field-level)

• Enveloppe : MK → DEK → données

• DEK par tenant, rotés 90j

• Audit log HMAC-SHA256 chaîné

🏗 Zero Trust

• Jamais confiance implicite

• Verify explicitly à chaque requête

• Least privilege par défaut

• Isolation tenant stricte (3 couches)

💳 PCI DSS

• Cartes jamais en base (tokenisation)

• Clover iframe — cartes hors scope

• Montants recalculés serveur-side

• Webhook signature HMAC vérifiée

🤖 Agents IA

• Zéro accès direct BD

• Proxy avec filtrage PII (7 patterns)

• Détection d'injection de prompt

• Budget tokens limité (100k/h)