Chez AVIR, nous considérons vos données et l'intégrité opérationnelle comme critiques pour notre mission. Notre plateforme est conçue pour une haute disponibilité, un basculement robuste, et une protection des données de bout en bout. La sécurité est intégrée à chaque couche de notre système, de l'infrastructure au code, de l'accès utilisateur à la journalisation, et au-delà.

🔧 Infrastructure & Hébergement

Fournisseur de Cloud Principal: Amazon Web Services (AWS)
Réplique Régionale: Supabase (utilisé pour la synchronisation en temps réel et les répliques de lecture)

• Déploiement Multi-Région: Les couches d'application et de base de données sont déployées dans plusieurs régions AWS avec un basculement automatisé.

• Sauvegardes Automatisées: Sauvegardes chiffrées quotidiennes de toutes les bases de données et systèmes de fichiers, conservées pendant un minimum de 30 jours.

• Infrastructure Immutable: Les modifications de l'infrastructure sont versionnées et déployées via des pipelines CI/CD.

• Isolation de l'Environnement:

  • Production est strictement isolée des environnements staging et sandbox.

  • Les identifiants d'accès, secrets et clés API sont gérés par environnement à l'aide de AWS Secrets Manager.

🔒 Protection des Données

• En Transit: TLS 1.2+ imposé sur tous les points de terminaison, avec HSTS et une parfaite confidentialité future.

• Au Repos:

  • Les instances PostgreSQL utilisent le chiffrement AES-256 pour toutes les données stockées.

  • Les buckets S3 stockent les actifs de fichiers avec chiffrement côté serveur (SSE-S3).

  • Les journaux et sauvegardes sont chiffrés et stockés avec protection d'intégrité.

• Contrôles d'Accès:

  • Contrôle d'Accès Basé sur les Rôles (RBAC) pour les rôles internes et orientés client.

  • Les actions administratives et sensibles sont enregistrées avec des journaux d'audit immuables.

  • Le principe du moindre privilège est appliqué à tous les systèmes.

👥 Authentification & Identité

• Sécurité des mots de passe:

  • Minimum 8 caractères, avec au moins un symbole et un chiffre.

  • Les mots de passe sont hachés en utilisant bcrypt avec sel.

• Gestion des Sessions:

  • Les sessions expirent automatiquement après 30 minutes d'inactivité.

  • Des cookies HTTP uniquement sécurisés sont utilisés avec protection via le même site.

• Options Avancées:

  • Authentification Multi-Factorielle (MFA): Optionnelle pour tous les utilisateurs; imposée pour le personnel interne. (Application généralisée prévue pour le T3 2025)

  • Authentification Unique (SSO): Disponible pour les clients d'entreprise via des intégrations SAML 2.0 ou OAuth2 (Google Workspace, Azure AD, Okta).

🛡 Gestion des Vulnérabilités

• Audits de Code: Tout le code de production subit une révision par les pairs avec une analyse de sécurité obligatoire avant déploiement.

• Analyse Automatisée:

  • Snyk + Dependabot surveillent en continu les dépendances tierces pour les vulnérabilités.

  • Le pipeline CI bloque les déploiements si des CVEs critiques sont présentes.

• Staging & Testing:

  • Les environnements de staging sont complètement isolés et n'utilisent pas de données de production.

  • Les clients de migration sont intégrés dans des environnements de test isolés avant leur mise en ligne.

• Tests de Pénétration:

  • Un test de pénétration indépendant est prévu pour le T3 2025, avec des résultats disponibles pour les clients d'entreprise sous NDA.

📢 Politique de Divulgation Responsable

Nous valorisons la communauté de recherche en sécurité et encourageons le reporting responsable de toute vulnérabilité ou faille de sécurité.

• Contact: security@avir.space

• Merci de ne pas divulguer publiquement les problèmes avant une résolution coordonnée.

• Nous offrons:

  • Reconnaissance publique (avec consentement)

  • Accès anticipé aux fonctionnalités bêta

  • Des produits dérivés AVIR ou d'autres récompenses au cas par cas

🔍 Surveillance, Journalisation & Réponse aux Incidents

• Surveillance de la Disponibilité: Surveillance active 24/7 via UptimeRobot et Sentry.

• Gestion des Journaux:

  • Tous les événements critiques d'application et d'infrastructure sont enregistrés en temps réel.

  • Les journaux sont stockés en toute sécurité et sont résistants à la falsification (à l'aide d'un stockage uniquement d'ajout).

• Alerte en Temps Réel:

  • Les alertes pour activité suspecte (par exemple, tentatives de connexion échouées excessives, élévation des privilèges) sont automatiquement routées vers notre équipe de réponse aux incidents.

• Procédures de Réponse aux Incidents:

  • Notre équipe suit un Plan de Réponse aux Incidents de Sécurité (SIRP) documenté.

  • Les incidents sont examinés et les post-mortems sont partagés en interne dans les 48 heures.

🧬 Feuille de Route de Conformité

AVIR s'engage à construire une plateforme conforme à l'échelle mondiale qui respecte les normes d'entreprise et réglementaires.

Actuellement en cours: