Aller au contenu principal
🔒 Posture sécurité

Sécurité de la plateforme

Cette page documente publiquement les mesures techniques et organisationnelles en place sur MonRhumato.fr. Elle est destinée aux médecins, aux chercheurs en sécurité, aux investisseurs tech-due-diligent et aux auditeurs externes (RGPD, HDS, ISO 27001 future).

🛡️ security.txt (RFC 9116) ↗Divulgation responsable🏆 Hall of FameÉtat des services

Transport

  • TLS 1.3 sur toutes les routes

    Aucun trafic HTTP en clair (Vercel impose TLS sur *.monrhumato.fr). HSTS activé avec max-age 2 ans, includeSubDomains et directive preload présente dans le header. Soumission à hsts.preload.org prévue mais pas encore effectuée.

  • Headers de sécurité stricts

    X-Frame-Options: SAMEORIGIN, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, Permissions-Policy verrouillée (caméra, micro, paiement bloqués).

  • Content Security Policy en observation

    CSP en mode Report-Only en cours de stabilisation. Passage en enforce prévu après 30 jours sans violation observée.

Auth

  • PKCE flow Supabase

    Authentification OAuth2 PKCE (RFC 7636), tokens JWT signés, sessions cookies HttpOnly + Secure + SameSite=Lax.

  • Mots de passe hashés bcrypt

    Géré par Supabase Auth — bcrypt avec salt unique par utilisateur. Aucun mot de passe en clair dans la base ou les logs.

  • Anti-bot signup

    Honeypot CSS-hidden + check délai humain (formulaire submit < 2s = bot probable). Réponse fake-success pour ne pas révéler la détection.

Données

  • Row Level Security Supabase

    RLS activé sur toutes les tables sensibles. Lecture du profil opt-in publique uniquement quand has_public_profile = true. Écriture restreinte à l'utilisateur authentifié.

  • Chiffrement au repos

    Chiffrement disque assuré par Vercel (CDN/edge) et Supabase (eu-west-1, Irlande) selon leurs SLA respectifs. Backups Supabase Pro : journaliers, conservation 7 j. La région DB Supabase est encore eu-west-1 — migration vers fra1 (Paris) envisagée.

  • Logs applicatifs minimaux

    MonRhumato.fr ne logge pas d'IP ni de PII au niveau applicatif. Pour les compteurs de likes anonymes, on utilise un fingerprint sha256(IP + User-Agent) irréversible avec rate-limit 30/5min/IP. Les logs d'accès au-delà sont gérés par Vercel selon ses propres durées de rétention (typiquement 24 h sur Pro).

Périmètre

  • Aucune donnée de santé identifiable

    Architecture pensée pour ne PAS collecter de PII médicale. Préférences en localStorage navigateur. Si une fonctionnalité future en nécessitait, bascule vers hébergeur HDS niveau 2 (art. L. 1111-8 CSP) avant déploiement.

  • Sous-traitants triés

    Vercel (CDN), Supabase Irlande (auth+DB), Groq Cloud (LLM avec clause no-training), Gemini API enterprise. Tous SCC + DPA. Détail complet dans /registre-traitements.

Surveillance

  • Healthcheck monitoring continu

    /api/health teste la disponibilité Supabase à chaque check. Page /status publique en temps réel. Endpoints prêts pour UptimeRobot / BetterStack.

  • security.txt RFC 9116

    Coordonnées sécurité publiques, scope explicite, SLA documenté, Hall of Fame. Voir /.well-known/security.txt.

  • Discovery agents (Link headers RFC 8288)

    Tous les .well-known sont déclarés en headers Link. Permet aux scanners de conformité, aux agents IA et aux outils de DD tech de découvrir automatiquement la posture.

Conformité réglementaire

  • RGPD (UE 2016/679) — registre des traitements public, DPO joignable, droits Art. 15-22 automatisés via /parametres.
  • AI Act (UE 2024/1689) — modules IA identifiés en Art. 50 (transparence), pas de système haut risque (Annexe III).
  • RFC 9116 — security.txt complet (scope, SLA, Hall of Fame).
  • 🟡 HDS niveau 2— pas applicable aujourd'hui (aucune donnée de santé identifiable). Bascule prévue dès qu'une fonctionnalité patient à donnée santé sera lancée.
  • 🟡 ISO 27001— visé pour la phase Series A (audit prévu une fois l'équipe à 10 personnes).
  • 🟡 SOC 2 Type II — visé en parallèle ISO 27001 si demande client B2B avérée (CHU, mutuelles).

Audit indépendant

Aucun pentest externe n'a encore été commandité (la plateforme reste en phase pré-traction). Les engagements pour la suite :

  • Pentest annuel par cabinet certifié PASSI dès Series A — résultats publics anonymisés.
  • Bug bounty publié sur YesWeHack ou HackerOne quand le volume de signalements le justifiera.
  • Programme « Coordinated Vulnerability Disclosure » dès maintenant — voir la policy.

Vous avez détecté une faille ?

Merci ! Suivez la procédure de divulgation responsable ou écrivez à security@monrhumato.fr (à défaut dpo@monrhumato.fr). Accusé de réception sous 72 h ouvrées.