Chiffrement applicatif (Field-Level Encryption)
AES-256-GCM · Envelope encryption · DEK par tenant · Clés séparées des données
🔑 Clé de chiffrement active (DEK v3)
Algorithme
AES-256-GCM
IV (nonce)
96 bits (aléatoire/opération)
Auth tag
128 bits (intégrité garantie)
Expire dans
-15 jours
Source Master Key
⚠ Non configuré
Format stocké
ENC1: (versioned)
Champs chiffrés
23
Entités couvertes
9
Architecture d'enveloppe
🔐
Master Key
KMS / env (jamais en BD)
→ chiffre →
🗝
DEK par tenant
Stocké chiffré en BD
→ chiffre →
📄
Champ sensible
IV+AuthTag+Ciphertext en BD
Garantie de sécurité : Si la base de données est volée, les DEKs chiffrés sont inutilisables sans le Master Key. Si le serveur applicatif est compromis, la rotation du Master Key invalide toute compromission. La combinaison des deux est nécessaire pour déchiffrer les données.
Catalogue des champs chiffrés (23 champs)
| Entité | Champ | Tier | Chiffré | Masqué logs | Masqué UI | Export | Base légale |
|---|---|---|---|---|---|---|---|
| Client | nom | T1 Interne | – | – | – | ✓ | Relation contractuelle |
| Client | T2 Confidentiel | ✓ | ✓ | – | ✓ | Relation contractuelle | |
| Client | telephone | T2 Confidentiel | ✓ | ✓ | – | ✓ | Relation contractuelle |
| Client | adresse | T2 Confidentiel | ✓ | ✓ | – | ✓ | Livraison de service |
| Client | nas | T3 Secret | ✓ | ✓ | ✓ | ✗ | Obligation légale |
| Client | dateNaissance | T2 Confidentiel | ✓ | ✓ | – | ✗ | Relation contractuelle |
| Client | permisConduire | T3 Secret | ✓ | ✓ | ✓ | ✗ | Vérification identité |
| Client | notesInternes | T2 Confidentiel | ✓ | ✓ | – | ✗ | Gestion relation client |
| Paiement | paymentToken | T3 Secret | ✓ | ✓ | ✓ | ✗ | Traitement paiement |
| Paiement | derniers4 | T1 Interne | – | – | – | ✗ | Référence paiement |
| Paiement | montant | T2 Confidentiel | – | – | – | ✓ | Transaction commerciale |
| Employe | nom | T1 Interne | – | – | – | ✓ | Relation d'emploi |
| Employe | T2 Confidentiel | ✓ | ✓ | – | ✗ | Relation d'emploi | |
| Employe | nas | T3 Secret | ✓ | ✓ | ✓ | ✗ | Obligations fiscales |
| Employe | salaire | T3 Secret | ✓ | ✓ | ✓ | ✗ | Relation d'emploi |
| Employe | coordBancaires | T3 Secret | ✓ | ✓ | ✓ | ✗ | Paie directe |
| Employe | evaluations | T2 Confidentiel | ✓ | ✓ | – | ✗ | Gestion des ressources humaines |
| Employe | dossierDiscipl | T3 Secret | ✓ | ✓ | – | ✗ | Gestion des ressources humaines |
| Employe | infoMedicales | T3 Secret | ✓ | ✓ | ✓ | ✗ | Relation d'emploi (adaptation) |
| Facture | total | T2 Confidentiel | – | – | – | ✓ | Transaction commerciale |
| Facture | notesInternes | T2 Confidentiel | ✓ | ✓ | – | ✗ | Gestion comptable |
| Depense | fournisseur | T1 Interne | – | – | – | ✓ | Gestion comptable |
| Banque | transit | T3 Secret | ✓ | ✓ | ✓ | ✗ | Rapprochement bancaire |
| Banque | noCompte | T3 Secret | ✓ | ✓ | ✓ | ✗ | Rapprochement bancaire |
| Litige | details | T3 Secret | ✓ | ✓ | – | ✗ | Obligation légale |
| Litige | montantReclame | T3 Secret | ✓ | ✓ | – | ✗ | Obligation légale |
| Contrat | clausesSpeciales | T2 Confidentiel | ✓ | ✓ | – | ✗ | Relation contractuelle |
| ApiKey | valeur | T4 Top Secret | ✓ | ✓ | ✓ | ✗ | Intégration technique |
| Webhook | secret | T4 Top Secret | ✓ | ✓ | ✓ | ✗ | Intégration technique |