Politique de Sécurité
Dernière mise à jour : 1er décembre 2024
LA SÉCURITÉ D'ABORD : Whispie met en œuvre des mesures de sécurité de pointe pour protéger les données sensibles des bébés et des familles. Notre programme de sécurité est conçu pour respecter ou dépasser les normes de sécurité mondiales.
1. Philosophie de sécurité
Chez Whispie, la sécurité est fondamentale dans notre mission de protection des informations les plus sensibles des familles. Nous mettons en œuvre une stratégie de défense en profondeur avec plusieurs couches de contrôles de sécurité pour assurer une protection complète de toutes les données qui nous sont confiées.
Notre philosophie de sécurité est construite sur trois principes fondamentaux :
- Protection de la vie privée dès la conception : Les considérations de sécurité et de confidentialité sont intégrées à chaque étape du développement
- Architecture Zéro Confiance : Vérifier explicitement, utiliser l'accès à moindre privilège et supposer les violations
- Amélioration continue : Évaluations régulières de la sécurité et surveillance proactive des menaces
2. Certifications et conformité en matière de sécurité
2.1 Cadres de conformité
Whispie s'aligne sur de multiples normes et cadres de sécurité internationaux :
| Cadre | Statut | Portée |
| SOC 2 Type II | En cours | Sécurité, Disponibilité, Confidentialité |
| ISO 27001 | Prévu 2025 | Gestion de la sécurité de l'information |
| RGPD | Conforme | Protection des données et confidentialité |
| CCPA/CPRA | Conforme | Confidentialité en Californie |
| KVKK | Conforme | Protection des données en Turquie |
| HIPAA | Directives suivies | Confidentialité des informations de santé |
2.2 Conformité régionale
Whispie maintient la conformité aux réglementations de protection des données dans toutes les régions opérationnelles :
- Union Européenne : Conformité RGPD avec Représentant UE
- Royaume-Uni : Conformité UK-RGPD
- États-Unis : Lois sur la vie privée spécifiques aux États incluant CCPA, CPA, VCDPA
- Turquie : Conformité KVKK avec enregistrement VERBIS
- Moyen-Orient : Conformité PDPL (KSA), Loi sur les données des EAU
- Asie-Pacifique : Conformité PDPA (Singapour), APPI (Japon)
3. Contrôles de sécurité techniques
3.1 Sécurité de l'infrastructure
| Zone de contrôle | Mise en œuvre | Fournisseur |
| Infrastructure cloud | Architecture cloud sécurisée et évolutive avec redondance multi-zones | AWS, Supabase |
| Sécurité réseau | VPC, groupes de sécurité, WAF, protection DDoS | Cloudflare, AWS |
| Chiffrement | TLS 1.3 en transit, AES-256 au repos | Supabase, AWS |
| Sauvegarde et récupération | Sauvegardes quotidiennes automatisées, conservation 30 jours | Supabase, AWS |
3.2 Sécurité des applications
Cycle de développement sécurisé (CDS) :
- Modélisation des menaces en phase de conception
- Analyse de code statique et dynamique
- Analyse des dépendances tierces
- Exigences de révision du code sécurisé
- Tests de pénétration biannuels
Authentification et autorisation :
- Application de l'authentification multifacteur (MFA)
- Contrôle d'accès basé sur les rôles (RBAC)
- Principe du moindre privilège
- Gestion des sessions avec délai d'expiration sécurisé
- Application de la politique de mots de passe
3.3 Sécurité des données
Classification des données :
| Classification | Exemples | Niveau de protection |
| Très sensible | Données de santé, dossiers de vaccination | Chiffrement maximum, contrôles d'accès stricts |
| Sensible | Informations personnelles, coordonnées | Chiffrement fort, accès basé sur les rôles |
| Interne | Journaux d'application, données analytiques | Chiffrement, journalisation des accès |
Chiffrement des données :
- En transit : TLS 1.2+ pour toutes les transmissions de données
- Au repos : Chiffrement AES-256 pour les bases de données et le stockage
- Gestion des clés : AWS KMS avec rotation régulière des clés
- Chiffrement de bout en bout : Pour le partage sécurisé des données de santé
4. Sécurité organisationnelle
4.1 Sécurité des employés
- Vérifications des antécédents : Vérification préalable à l'emploi pour tous les employés
- Formation à la sécurité : Formation annuelle de sensibilisation à la sécurité
- Accords de confidentialité : Signés par tous les employés et sous-traitants
- Révisions d'accès : Révisions trimestrielles des droits d'accès
- Formation à la réponse aux incidents : Exercices réguliers de simulation
4.2 Politiques de sécurité
- Politique d'utilisation acceptable : Directives pour l'utilisation appropriée des systèmes
- Politique de traitement des données : Procédures de classification et de protection des données
- Plan de réponse aux incidents : Procédures documentées pour les incidents de sécurité
- Plan de continuité des activités : Procédures de reprise après sinistre et de continuité
- Politique de sécurité des fournisseurs : Exigences pour les fournisseurs tiers
5. Sécurité des tiers
5.1 Évaluation de la sécurité des fournisseurs
Tous les fournisseurs tiers font l'objet d'une évaluation de sécurité avant intégration :
| Fournisseur | Service | Certifications de sécurité | Traitement des données |
| Supabase | Base de données et Auth | SOC 2, RGPD | Sous-traitant |
| Stripe | Paiements | PCI DSS Niveau 1, SOC 2 | Processeur de paiement |
| Twilio | SMS | SOC 2, ISO 27001 | Sous-traitant |
| Cloudflare | Sécurité et DNS | SOC 2, ISO 27001 | Infrastructure |
| Sentry | Suivi des erreurs | SOC 2, RGPD | Sous-traitant |
5.2 Gestion des sous-traitants
Nous maintenons des Avenants de Traitement des Données (ATD) avec tous les sous-traitants et révisons régulièrement leur posture de sécurité.
6. Réponse aux incidents
6.1 Plan de réponse aux incidents
Notre plan de réponse aux incidents suit le cadre NIST :
- Préparation : Procédures documentées et équipe formée
- Détection et analyse : Systèmes de surveillance et d'alerte
- Confinement : Action immédiate pour limiter l'impact
- Éradication : Suppression des causes de la menace
- Récupération : Restauration des systèmes et services
- Activité post-incident : Leçons apprises et améliorations
6.2 Notification de violation
En cas de violation de données, Whispie :
- Notifiera les utilisateurs affectés dans les 72 heures suivant la découverte
- Coopérera avec les autorités réglementaires selon les exigences
- Fournira des informations claires sur la violation et les mesures prises
- Offrira des services de surveillance du crédit si approprié
7. Surveillance et tests de sécurité
7.1 Surveillance continue
- SIEM : Gestion des informations et des événements de sécurité
- IDS/IPS : Systèmes de détection et de prévention des intrusions
- Analyse des vulnérabilités : Analyse automatisée régulière
- Analyse des journaux : Journalisation et analyse centralisées
- Renseignement sur les menaces : Surveillance proactive des menaces
7.2 Tests de sécurité
- Tests de pénétration : Tests de pénétration externes annuels
- Programme de bug bounty : Programme de divulgation responsable
- Révision du code : Tout le code fait l'objet d'une révision de sécurité
- Analyse des dépendances : Analyse automatisée des vulnérabilités
- Audits de sécurité : Audits internes et externes réguliers
8. Sécurité physique et environnementale
8.1 Sécurité des centres de données
Whispie utilise des centres de données de niveau entreprise avec :
- Sécurité physique et surveillance 24/7
- Contrôles d'accès biométriques
- Systèmes d'alimentation et de refroidissement redondants
- Systèmes de détection et de suppression d'incendie
- Surveillance environnementale
8.2 Sécurité des bureaux
Nos bureaux d'entreprise mettent en œuvre :
- Systèmes de contrôle d'accès
- Procédures de gestion des visiteurs
- Élimination sécurisée des documents
- Politique de bureau propre
- Exigences de chiffrement des appareils
9. Continuité des activités et reprise après sinistre
9.1 Plan de continuité des activités
- RTO (Objectif de temps de récupération) : 4 heures pour les systèmes critiques
- RPO (Objectif de point de récupération) : 1 heure pour les données critiques
- Stratégie de sauvegarde : Sauvegardes quotidiennes automatisées avec géo-redondance
- Reprise après sinistre : Procédures DR documentées et tests réguliers
9.2 Haute disponibilité
Whispie maintient une disponibilité de 99,9% via :
- Équilibrage de charge et auto-scaling
- Déploiement multi-zones
- Réplication et basculement de bases de données
- CDN pour la diffusion de contenu statique
10. Formation à la sensibilisation à la sécurité
10.1 Formation des employés
Tous les employés suivent une formation complète à la sécurité couvrant :
- Principes de protection des données et de confidentialité
- Sensibilisation au phishing et à l'ingénierie sociale
- Sécurité des mots de passe et MFA
- Procédures de signalement des incidents
- Pratiques de développement sécurisé
10.2 Formation continue
- Mises à jour trimestrielles de sensibilisation à la sécurité
- Exercices de simulation de phishing
- Newsletter et bulletins de sécurité
- Exigences annuelles de certification en sécurité
11. Gouvernance de la politique
11.1 Révision de la politique
Cette Politique de Sécurité est révisée et mise à jour :
- Annuellement dans le cadre de notre révision du programme de sécurité
- Suite à des incidents de sécurité significatifs
- Lors de l'introduction de nouvelles réglementations ou normes
- Après des changements majeurs de systèmes ou d'infrastructure
11.2 Surveillance de la conformité
Nous surveillons continuellement la conformité via :
- Outils automatisés de vérification de la conformité
- Audits internes réguliers
- Évaluations de sécurité externes
- Surveillance des changements réglementaires
12. Contact et signalement
12.1 Contacts de sécurité
Pour les demandes liées à la sécurité ou pour signaler des préoccupations de sécurité :
Équipe de sécurité : [email protected]
Équipe de confidentialité : [email protected]
Signalement d'abus : [email protected]
12.2 Signalement de vulnérabilités
Nous accueillons favorablement les divulgations responsables de vulnérabilités. Veuillez signaler les vulnérabilités de sécurité à [email protected] avec :
- Description détaillée de la vulnérabilité
- Étapes pour reproduire
- Évaluation de l'impact potentiel
- Vos coordonnées
ENGAGEMENT EN MATIÈRE DE SÉCURITÉ : Whispie s'engage à maintenir les plus hauts standards de sécurité pour protéger les informations sensibles de nos utilisateurs. Nous investissons continuellement dans les mesures de sécurité et mettons régulièrement à jour nos pratiques pour faire face aux menaces en évolution.