Sécurité chez invico

1. Notre approche

invico applique le principe de défense en profondeur : plusieurs couches de sécurité indépendantes protègent vos données, sans qu'une faille unique ne puisse compromettre l'ensemble.

Nous suivons les recommandations de l'ANSSI, du NIST, et nous engageons une démarche d'alignement avec la norme ISO 27001.

2. Hébergement et infrastructure

• Hébergement principal en Europe (Paris & Francfort)
• CDN sur Vercel pour les ressources statiques uniquement
• Infrastructure entièrement managée, mises à jour de sécurité automatiques
• Isolation réseau : bases de données non exposées sur l'internet public

3. Chiffrement

• En transit : TLS 1.2+ obligatoire pour toutes les connexions, HSTS activé
• Au repos : chiffrement AES-256 sur les bases de données et le stockage objet
• Clés gérées par un coffre-fort dédié, rotation régulière
• Mots de passe stockés avec bcrypt (facteur de coût élevé)

4. Authentification et accès

• Authentification multi-facteurs (MFA) disponible sur tous les comptes
• Politique de mot de passe robuste (longueur minimale, blocage après échecs)
• Tokens de session à durée limitée, révocables à tout moment
• Authentification SSO disponible sur le plan Business
• Accès employés au système strictement contrôlé (principe du moindre privilège, audit log)

5. Sauvegardes et continuité

• Sauvegardes automatiques chiffrées toutes les heures
• Conservation 30 jours en rolling, puis snapshots mensuels
• Restauration testée mensuellement
• RPO (point de reprise) cible : 1 heure / RTO (temps de reprise) cible : 4 heures

6. Surveillance et journalisation

• Journalisation centralisée des accès, modifications et événements de sécurité
• Détection d'anomalies (taux d'erreur, tentatives d'accès suspectes, patterns inhabituels)
• Alertes 24/7 vers l'équipe d'astreinte
• Logs conservés 12 mois

7. Pratiques de développement

• Revue de code obligatoire avant chaque mise en production
• Tests automatisés (unitaires, intégration, end-to-end)
• Analyse statique (SAST) et analyse de composition (SCA) sur chaque commit
• Mises à jour des dépendances surveillées en continu (Dependabot, Snyk)
• Environnements séparés (dev / staging / production), sans données de production en dev

8. Divulgation responsable

Vous avez identifié une faille de sécurité ? Merci ! Écrivez-nous à security@invico.pro avec :

• Une description précise de la faille
• Les étapes pour la reproduire
• L'impact potentiel selon vous

Nous nous engageons à :

• Accuser réception sous 48 heures
• Vous tenir informé du traitement
• Ne pas vous poursuivre en justice si vous respectez les règles de bonne foi (pas d'exfiltration de données, pas de divulgation publique avant correction)
• Vous remercier publiquement (avec votre accord) dans nos notes de version

9. Notification d'incidents

En cas de violation de données affectant vos informations personnelles, nous nous engageons à :

• Notifier la CNIL dans les 72 heures
• Vous informer sans délai si la violation présente un risque élevé pour vos droits et libertés
• Publier un post-mortem public sur les incidents majeurs

10. Sécurité des sous-traitants

Nous évaluons la sécurité de chacun de nos sous-traitants (hébergeur, prestataire de paiement, fournisseurs IA) avant signature. Tous sont soumis à des engagements contractuels conformes à l'article 28 du RGPD.

La liste à jour est disponible sur la page Confidentialité.