Politique de Sécurité

Certifications et Évaluations

Nous maintenons les certifications de sécurité suivantes et subissons des évaluations régulières :

• Certification SOC 2 Type II (en cours)
• Tests de pénétration annuels par des tiers
• Analyse continue des vulnérabilités
• Audits de sécurité réguliers par des cabinets indépendants

Des rapports de sécurité détaillés sont disponibles sur apilium.com/security

Flux de Données du Code

Lorsque vous utilisez Apilium Forge IDE, votre code passe par notre infrastructure sécurisée :

• Votre code est chiffré en transit à l'aide de TLS 1.3
• Les requêtes sont traitées via nos serveurs backend hébergés sur AWS
• Le traitement IA est effectué par nos fournisseurs de modèles avec des accords de rétention zéro
• Avec le Mode Confidentialité activé, aucun code en texte clair n'est stocké après la fin de la requête

Partenaires d'Infrastructure

Chiffrement

Données en Transit : Toutes les données transmises entre Apilium Forge et nos serveurs sont chiffrées à l'aide de TLS 1.3 avec des suites de chiffrement robustes

Données au Repos : Toutes les données stockées sont chiffrées à l'aide du chiffrement AES-256-GCM

Les clés de chiffrement sont gérées à l'aide d'AWS KMS avec rotation automatique tous les 90 jours

Pour les clients Entreprise, nous proposons un chiffrement de bout en bout où seul vous détenez les clés de déchiffrement

Contrôles d'Accès

• Authentification multi-facteurs (MFA) requise pour tous les comptes d'employés
• Clés de sécurité matérielles (FIDO2/WebAuthn) pour les accès privilégiés
• Contrôle d'accès basé sur les rôles (RBAC) avec principe du moindre privilège
• Provisionnement d'accès juste-à-temps pour les systèmes de production
• Révisions trimestrielles des accès et déprovisionnement immédiat pour les départs
• Liste blanche d'IP et exigences VPN pour l'accès administratif

Sécurité Réseau

• Pare-feu d'Application Web (WAF) avec règles personnalisées
• Atténuation DDoS de niveau entreprise (Cloudflare Magic Transit)
• Segmentation réseau avec sous-réseaux privés pour les services sensibles
• Systèmes de Détection/Prévention d'Intrusion (IDS/IPS)
• Surveillance continue du trafic réseau et détection d'anomalies
• Tests de pénétration externes et internes réguliers

Sécurité des Applications

• Cycle de Vie de Développement Logiciel Sécurisé (SSDLC) avec portes de sécurité
• Revues de code obligatoires avec liste de contrôle axée sur la sécurité
• Tests de Sécurité d'Application Statiques (SAST) dans le pipeline CI/CD
• Tests de Sécurité d'Application Dynamiques (DAST) pour les applications déployées
• Analyse de Composition Logicielle (SCA) pour les vulnérabilités des dépendances
• Formation régulière à la sécurité pour tous les développeurs
• Protection contre les vulnérabilités OWASP Top 10 et SANS Top 25

Sécurité du Client (IDE)

Apilium Forge IDE est conçu avec la sécurité à l'esprit :

• Binaires signés numériquement pour toutes les plateformes (Windows, macOS, Linux)
• Mises à jour de sécurité automatiques avec possibilité de retour en arrière
• Environnement d'exécution sandbox pour les extensions
• Chiffrement local des données et identifiants mis en cache
• Accès réseau configurable avec domaines en liste blanche
• Support de .apiliumignore pour exclure les fichiers sensibles du traitement IA

Formation à la Sécurité des Employés

Tous les employés d'Apilium suivent une formation complète à la sécurité :

• Formation de sensibilisation à la sécurité lors de l'intégration
• Mises à jour et évaluations trimestrielles de la formation à la sécurité
• Exercices mensuels de simulation de phishing
• Formation à la sécurité spécifique au rôle pour les ingénieurs
• Exercices annuels de simulation de réponse aux incidents

Politiques de Sécurité

Nous maintenons et appliquons des politiques de sécurité complètes :

• Politique et Normes de Sécurité de l'Information
• Politiques d'Utilisation Acceptable et de Contrôle d'Accès
• Plan de Réponse aux Incidents et de Communication
• Plan de Continuité d'Activité et de Reprise Après Sinistre
• Exigences d'Évaluation de la Sécurité des Fournisseurs
• Directives de Classification et de Traitement des Données
• Procédures de Gestion des Changements et des Versions

Vérification des Employés

Tous les employés ayant accès aux données clients subissent des vérifications d'antécédents appropriées à leur rôle et leur juridiction, et signent des accords de confidentialité.

Options de Confidentialité Entreprise

• Déploiement sur site pour une souveraineté totale des données
• Infrastructure dédiée isolée des autres clients
• Exigences de résidence des données personnalisées (UE uniquement, régions spécifiques)
• Chiffrement avec vos propres clés (BYOK)
• Connectivité réseau privée (AWS PrivateLink, VPN)

Classification des Données

Nous classifions toutes les données en fonction de leur niveau de sensibilité :

• Publique : Matériel marketing, documentation publique
• Interne : Processus internes, données commerciales non sensibles
• Confidentiel : Données de compte client, communications de support
• Restreint : Code client, identifiants, configurations de sécurité

Sauvegarde et Récupération

Nous maintenons des capacités robustes de sauvegarde et de reprise après sinistre :

• Sauvegardes chiffrées, géographiquement distribuées
• Récupération à un point dans le temps pour les bases de données (jusqu'à 35 jours)
• Objectif de Temps de Récupération (RTO) : 4 heures
• Objectif de Point de Récupération (RPO) : 1 heure
• Tests trimestriels de reprise après sinistre
• Capacité de basculement multi-régions

Processus de Réponse aux Incidents

Nous suivons un processus structuré de réponse aux incidents :

• Détection : Surveillance et alerte automatisées 24/7
• Triage : Évaluation par l'équipe de sécurité dans les 15 minutes
• Confinement : Isolation immédiate des systèmes affectés
• Investigation : Analyse des causes profondes et évaluation de l'impact
• Éradication : Suppression de la menace et renforcement des systèmes
• Récupération : Restauration contrôlée des services
• Post-mortem : Leçons apprises et améliorations des processus

Notification de Violation

En cas de violation de sécurité affectant vos données, nous nous engageons à :

• Notifier les utilisateurs affectés dans les 72 heures suivant la confirmation de la violation
• Fournir des détails clairs sur les données affectées
• Expliquer les actions que nous prenons pour résoudre l'incident
• Offrir des conseils sur les mesures que vous pouvez prendre pour vous protéger
• Notifier les autorités réglementaires compétentes comme requis par la loi
• Fournir des mises à jour régulières jusqu'à la résolution de l'incident

Dans le Périmètre

• Apilium Forge IDE (toutes plateformes)
• api.apilium.com et tous les sous-domaines
• portal.apilium.com (Portail Client)
• apilium.com (Site Web)

Comment Signaler

Si vous découvrez une vulnérabilité de sécurité :

• Envoyez un email à [email protected] avec des informations détaillées sur la vulnérabilité
• Incluez les étapes pour reproduire, l'impact potentiel et toute preuve de concept
• Pour les rapports sensibles, utilisez notre clé PGP (disponible sur notre page de sécurité)
• Accordez jusqu'à 90 jours pour la remédiation avant la divulgation publique

Notre Engagement

Nous nous engageons envers les chercheurs en sécurité :

• Accusé de réception dans les 24 heures
• Évaluation initiale dans les 5 jours ouvrables
• Vous tenir informé de la progression de la remédiation
• Vous créditer dans nos remerciements de sécurité (sauf si l'anonymat est préféré)
• Ne pas engager de poursuites judiciaires pour la recherche en sécurité de bonne foi

Nous offrons des primes pour les vulnérabilités qualifiées. Contactez-nous pour les détails du programme actuel.

Exigences de Sécurité des Fournisseurs

Tous les fournisseurs ayant accès aux données clients doivent répondre à nos exigences de sécurité :

• Questionnaire de sécurité et évaluation des risques complets
• Certification SOC 2 Type II ou équivalent
• Accord de Traitement des Données (DPA) avec clauses conformes au RGPD
• Révision et recertification annuelles de la sécurité
• Exigences de notification immédiate en cas de violation

Sous-traitants

Sous-traitants actuels ayant accès aux données clients :

• AWS (Infrastructure) - US/UE
• Anthropic, OpenAI (Modèles d'IA) - US avec rétention zéro
• Stripe (Traitement des Paiements) - US/UE
• Cloudflare (CDN/Sécurité) - Global
• MongoDB Atlas (Base de données) - UE
• SendGrid (Email) - US

Nous informons les clients 30 jours avant d'ajouter de nouveaux sous-traitants. Liste actuelle disponible sur apilium.com/compliance