ISMS Copilot
Sécurité

Aperçu de la sécurité et de la protection des données - Mis à jour

Aperçu

ISMS Copilot met en œuvre des mesures de sécurité de classe entreprise pour protéger vos données de conformité sensibles. Cet article explique comment vos données sont sécurisées, où elles sont stockées et quels contrôles sont en place pour garantir la confidentialité et la vie privée.

À qui s'adresse cet article

Cet article s'adresse aux :

  • Équipes de sécurité évaluant ISMS Copilot

  • Professionnels de la conformité manipulant des données clients sensibles

  • Administrateurs responsables des décisions de protection des données

  • Utilisateurs ayant besoin de comprendre comment leurs données sont protégées

Principes de sécurité clés

L'architecture de sécurité d'ISMS Copilot suit ces principes fondamentaux :

  • Aucun entraînement sur les données utilisateur - Vos conversations, documents et informations clients ne sont jamais utilisés pour entraîner des modèles d'IA

  • Résidence des données dans l'UE - Toutes les données sont stockées sur des serveurs basés dans l'UE (Francfort, Allemagne)

  • Chiffrement de bout en bout - Les données sont chiffrées tant en transit qu'au repos

  • Rétention contrôlée par l'utilisateur - Vous décidez de la durée de conservation de vos données

  • Conformité RGPD - Conformité totale avec les réglementations européennes sur la protection des données

Chiffrement des données

Chiffrement en transit

Toutes les données transmises entre votre navigateur et les serveurs d'ISMS Copilot sont protégées par :

  • Chiffrement TLS 1.3 sur toutes les connexions HTTPS

  • Strict Transport Security (HSTS) appliqué pour une durée d'un an incluant les sous-domaines

  • Épinglage de certificat (Certificate pinning) pour prévenir les attaques de l'homme du milieu

  • Mise à niveau automatique vers HTTPS pour toutes les requêtes non sécurisées

Chaque connexion à ISMS Copilot utilise un chiffrement de niveau bancaire. Vos données ne peuvent être interceptées ou lues pendant la transmission.

Chiffrement au repos

Toutes les données stockées dans les bases de données d'ISMS Copilot sont protégées par :

  • Chiffrement AES-256 pour toutes les bases de données de production

  • Sauvegardes chiffrées avec les mêmes standards de chiffrement

  • Stockage de fichiers chiffré pour les documents téléchargés (PDF, DOCX, XLS)

  • Gestion sécurisée des clés avec des clés stockées séparément des données

Stockage et résidence des données

Où vos données sont stockées

Tout le stockage en base de données d'ISMS Copilot s'effectue à :

  • Emplacement : Serveurs basés dans l'UE (région AWS Francfort, Allemagne)

  • Prestataire : Supabase (construit sur l'infrastructure AWS)

  • Conformité : Centres de données conformes au RGPD avec garanties de résidence des données dans l'UE

Lieu de traitement de l'IA (Configurable par l'utilisateur) :

Bien que le stockage de votre base de données se trouve toujours dans l'UE, le lieu de traitement de l'IA dépend de votre paramètre Mode de Protection de Données Avancé :

  • Protection des Données Avancée DÉSACTIVÉE (Par défaut) : Le traitement de l'IA a lieu aux États-Unis (xAI/OpenAI) avec des Clauses Contractuelles Types et des mesures supplémentaires

  • Protection des Données Avancée ACTIVÉE : Le traitement de l'IA a lieu dans l'Union Européenne (Mistral AI), éliminant les transferts internationaux et les besoins d'Évaluation de l'Impact des Transferts

Les organisations ayant des exigences de résidence des données dans l'UE peuvent activer le Mode de Protection de Données Avancé pour éviter les Évaluations de l'Impact des Transferts sur le traitement de l'IA. Consultez notre Évaluation de l'Impact des Transferts pour plus de détails.

La base de données de l'historique de vos conversations reste toujours dans l'UE (Francfort). Le Mode de Protection de Données Avancé contrôle l'endroit où le traitement de l'IA se produit et la durée de rétention des données par les fournisseurs d'IA (30 jours contre zéro).

Quelles données sont stockées

ISMS Copilot stocke les informations suivantes :

  • Informations de compte : Adresse e-mail, identifiants d'authentification (mots de passe hachés)

  • Historique des conversations : Vos questions et les réponses de l'IA au sein de chaque espace de travail

  • Documents téléchargés : Fichiers que vous téléchargez pour analyse (PDF, DOCX, XLS)

  • Données de l'espace de travail : Noms des espaces de travail, instructions personnalisées et organisation du projet

  • Métadonnées d'utilisation : Horodatage, nombre de messages et utilisation des fonctionnalités pour la facturation et l'amélioration du service

Authentification et contrôle d'accès

Méthodes d'authentification prises en charge

ISMS Copilot prend en charge plusieurs options d'authentification sécurisées :

E-mail et mot de passe

  • Exigences de mot de passe fort (minimum 8 caractères avec majuscules, minuscules, chiffres et caractères spéciaux)

  • Mots de passe hachés à l'aide de l'algorithme bcrypt, standard de l'industrie

  • Vérification obligatoire des e-mails : Vous devez cliquer sur le lien de confirmation envoyé par e-mail avant de pouvoir vous connecter. Cela garantit la propriété du compte et empêche les accès non autorisés

  • Réinitialisation sécurisée du mot de passe via vérification par e-mail

Google OAuth

  • Authentification unique (SSO) utilisant votre compte Google

  • Aucun mot de passe stocké dans ISMS Copilot

  • Jetons d'authentification gérés par Google

Microsoft/Azure OAuth

  • Authentification unique (SSO) utilisant votre compte Microsoft ou Azure

  • Prêt pour l'entreprise pour les organisations utilisant Microsoft 365

  • Jetons d'authentification gérés par Microsoft

Pour une sécurité maximale, utilisez les fournisseurs OAuth (Google ou Microsoft) combinés à leurs fonctionnalités intégrées d'authentification multi-facteurs. Cela ajoute une couche de protection supplémentaire à votre compte ISMS Copilot.

Gestion des sessions

Les sessions utilisateur sont gérées via :

  • Jetons JWT avec expiration automatique

  • Stockage de session sécurisé qui n'est pas conservé après la fermeture du navigateur

  • Déconnexion automatique à l'expiration des jetons

  • Déconnexion manuelle disponible via le menu utilisateur

Sécurité au niveau des lignes (RLS)

ISMS Copilot implémente des contrôles d'accès au niveau de la base de données :

  • Les utilisateurs ne peuvent accéder qu'à leurs propres conversations, espaces de travail et fichiers téléchargés

  • Toute tentative d'accès aux données d'un autre utilisateur renvoie des résultats vides (pas de messages d'erreur)

  • Toutes les requêtes de base de données sont automatiquement filtrées par l'ID de l'utilisateur authentifié

  • L'accès administrateur nécessite une authentification et une autorisation distinctes

Rétention et suppression des données

Rétention contrôlée par l'utilisateur

Vous avez un contrôle total sur la durée de conservation de vos données :

  1. Cliquez sur l'icône du menu utilisateur (coin supérieur droit)

  2. Sélectionnez Paramètres

  3. Dans le champ Période de rétention des données, saisissez votre période de rétention préférée :

    • Minimum : 1 jour

    • Maximum : 7 ans

    • Ou cliquez sur Conserver indéfiniment pour une rétention illimitée

  4. Cliquez sur Enregistrer les paramètres

Résultat attendu : La fenêtre des paramètres se ferme et votre préférence de rétention est enregistrée.

Les données plus anciennes que votre période de rétention sont automatiquement et définitivement supprimées. Ce processus s'exécute quotidiennement et est irréversible. Assurez-vous d'exporter toutes les données dont vous avez besoin avant leur expiration.

Suppression automatique des données

ISMS Copilot supprime automatiquement les données expirées :

  • La tâche de suppression s'exécute quotidiennement pour supprimer les données plus anciennes que votre période de rétention

  • Les données supprimées incluent l'historique des conversations, les fichiers téléchargés et le contenu de l'espace de travail

  • La suppression est permanente et les données ne peuvent pas être récupérées

  • Les informations de compte (e-mail, paramètres) sont conservées jusqu'à la suppression du compte

Suppression du compte

Pour supprimer votre compte et toutes les données associées :

  1. Contactez le support ISMS Copilot via le Centre d'aide

  2. Demandez la suppression complète du compte

  3. Le support confirmera votre identité et traitera la suppression

  4. Toutes les données sont définitivement supprimées sous 30 jours

Confidentialité et conformité

Conformité RGPD

ISMS Copilot est entièrement conforme au Règlement Général sur la Protection des Données (RGPD) :

  • Minimisation des données : Seules les données essentielles sont collectées

  • Limitation des finalités : Les données ne sont utilisées que pour fournir le service

  • Limitation de la conservation : Périodes de rétention contrôlées par l'utilisateur

  • Droit d'accès : Les utilisateurs peuvent exporter leurs données

  • Droit à l'effacement : Les utilisateurs peuvent demander la suppression complète des données

  • Droit à la portabilité : Les données peuvent être exportées dans des formats standards

  • Protection des données dès la conception : Sécurité intégrée à chaque fonctionnalité

Entraînement de l'IA et vos données

ISMS Copilot garantit :

  • Pas d'entraînement sur les données utilisateur : Vos conversations, documents et informations clients ne sont jamais utilisés pour entraîner des modèles d'IA

  • Traitement isolé : Chaque conversation est traitée indépendamment

  • Pas de partage de données entre clients : Vos données ne sont jamais visibles pour les autres utilisateurs

  • Isolation de l'espace de travail : Les différents espaces de travail maintiennent des frontières de données distinctes

Contrairement aux outils d'IA grand public comme ChatGPT, ISMS Copilot n'utilise jamais vos données de conformité sensibles pour améliorer le modèle d'IA. Les informations de vos clients restent totalement confidentielles.

Options de traitement par le fournisseur d'IA :

Vous pouvez choisir entre deux modes de traitement de l'IA via le Mode de Protection de Données Avancé :

  • Mode par défaut (DÉSACTIVÉ) : Traitement basé aux États-Unis (xAI/OpenAI) avec une rétention temporaire de 30 jours

  • Protection des Données Avancée (ACTIVÉE) : Traitement basé dans l'UE (Mistral AI) avec zéro rétention

Quel que soit le mode choisi, vos données ne sont JAMAIS utilisées pour l'entraînement de l'IA.

Sécurité de l'application

Protection contre les attaques courantes

ISMS Copilot implémente plusieurs en-têtes et politiques de sécurité :

Protection contre le Clickjacking

  • X-Frame-Options: DENY empêche l'intégration dans des iframes

  • La directive frame-ancestors de la Content Security Policy bloque l'encadrement

Politique de sécurité du contenu (CSP)

  • Limite l'exécution des scripts aux sources approuvées uniquement

  • Bloque les scripts en ligne sauf en cas de nécessité explicite

  • Prévient les attaques object-src et base-uri

  • Met automatiquement à niveau les requêtes HTTP non sécurisées vers HTTPS

Protection du type MIME

  • X-Content-Type-Options: nosniff empêche les attaques de confusion de type MIME

Politique de référent (Referrer Policy)

  • strict-origin-when-cross-origin limite les fuites d'informations lors des requêtes intersites

Politique de permissions

ISMS Copilot désactive les fonctionnalités inutiles du navigateur pour réduire la surface d'attaque :

  • Caméra : Désactivée

  • Microphone : Désactivé

  • Géolocalisation : Désactivée

  • Interest Cohort (suivi FLoC) : Bloqué

Services tiers

Services de traitement d'IA

ISMS Copilot vous donne le contrôle sur le fournisseur d'IA qui traite vos conversations.

Fournisseurs d'IA disponibles (Configurables par l'utilisateur via le Mode de Protection de Données Avancé) :

  • xAI (Grok) et OpenAI :

    • Lieu : États-Unis

    • Rétention : 30 jours (cache temporaire)

    • Entraînement : Les données API ne sont PAS utilisées pour l'entraînement du modèle

    • Actif quand : La Protection de Données Avancée est DÉSACTIVÉE (par défaut)

  • Mistral AI :

    • Lieu : Union Européenne

    • Rétention : Zéro (aucune rétention)

    • Entraînement : Les données ne sont PAS utilisées pour l'entraînement du modèle

    • Actif quand : La Protection de Données Avancée est ACTIVÉE

Les organisations ayant des exigences de résidence des données dans l'UE doivent activer le Mode de Protection de Données Avancé pour garantir un traitement 100 % au sein de l'UE avec zéro rétention par le fournisseur d'IA. Cela offre les garanties de confidentialité les plus fortes disponibles.

Analyses et surveillance

ISMS Copilot utilise les services tiers suivants :

PostHog (Analyses)

  • Objectif : Analyses de produit anonymes et suivi de l'utilisation des fonctionnalités

  • Données partagées : Utilisation des fonctionnalités, pages vues, identifiants d'utilisateurs anonymisés

  • Non partagé : Contenu des conversations, documents téléchargés, informations personnelles

Sentry (Surveillance des erreurs)

  • Objectif : Suivi des erreurs et surveillance des performances

  • Données partagées : Messages d'erreur, traces de pile, informations sur le navigateur, identifiants utilisateur (UUID uniquement, en production)

  • Non partagé : Contenu des conversations, documents téléchargés, adresses e-mail, noms

Traitement des paiements

Stripe

  • Objectif : Traitement sécurisé des paiements et gestion des abonnements

  • Processeur de paiement certifié PCI DSS Niveau 1

  • ISMS Copilot ne stocke jamais les informations de carte de crédit

  • Toutes les données de paiement sont traitées exclusivement par Stripe

Les utilisateurs Premium peuvent gérer leur abonnement et leurs méthodes de paiement en toute sécurité via le Portail Client Stripe en cliquant sur « Gérer l'abonnement » dans le menu utilisateur.

Limitations et considérations

Ce que ISMS Copilot n'offre PAS actuellement

  • Options MFA supplémentaires : La connexion par e-mail inclut une vérification obligatoire (une forme de MFA). Pour une protection accrue, vous pouvez utiliser des fournisseurs OAuth (Google/Microsoft) avec leur propre MFA activé. Le support TOTP/application d'authentification n'est pas encore disponible.

  • Authentification unique (SSO/SAML) : L'intégration SSO d'entreprise n'est pas disponible actuellement

  • Clés de sécurité matérielles : L'authentification FIDO2/WebAuthn n'est pas prise en charge

  • Tableau de bord de gestion des sessions : Les utilisateurs ne peuvent pas voir ou gérer les sessions actives sur plusieurs appareils

  • Liste blanche d'IP : L'accès ne peut pas être restreint à des adresses IP spécifiques

Contraintes de rétention des données

  • Période de rétention minimale : 1 jour

  • Période de rétention maximale : 7 ans

  • Les utilisateurs gratuits disposent des mêmes contrôles de rétention que les utilisateurs premium

Réponse aux incidents de sécurité

Surveillance de la disponibilité et détection

ISMS Copilot maintient une surveillance en temps réel des systèmes de production pour garantir la disponibilité et une réponse rapide aux incidents :

  • Surveillance de disponibilité BetterStack : Surveillance continue en temps réel de chat.ismscopilot.com (application principale) pour les problèmes de disponibilité

  • Alertes automatisées : Notifications Slack instantanées sur le canal #incident lorsque des problèmes de disponibilité sont détectés

  • Classification des incidents : Évaluation par l'équipe pour déterminer si les problèmes constituent des événements ou des incidents nécessitant une escalade

  • Escalade multi-canaux : Alertes progressives par e-mail et SMS pour les incidents critiques

  • Page de statut publique : État du service en temps réel disponible sur https://status.ismscopilot.com/

Vous pouvez vérifier l'état actuel de tous les services ISMS Copilot à tout moment en visitant notre page de statut publique. Cela offre une transparence sur la disponibilité du système et tout incident en cours.

Surveillance de sécurité supplémentaire

Au-delà de la surveillance de la disponibilité, ISMS Copilot utilise :

  • Le suivi et l'alerte automatisés des erreurs via Sentry

  • Des journaux d'audit de base de données pour détecter des modèles d'accès suspects

  • Des révisions de sécurité régulières et des évaluations de vulnérabilité

Signalement de problèmes de sécurité

Si vous découvrez une vulnérabilité de sécurité :

  1. Contactez immédiatement le support ISMS Copilot via le Centre d'aide

  2. Fournissez des informations détaillées sur le problème (sans le divulguer publiquement)

  3. N'essayez pas d'exploiter la vulnérabilité

  4. Laissez à l'équipe de sécurité le temps d'enquêter et de résoudre le problème

Bonnes pratiques pour les utilisateurs

Sécurité du compte

  • Utilisez un mot de passe fort et unique (ou des fournisseurs OAuth avec MFA activé)

  • Ne partagez pas vos identifiants de connexion avec des tiers

  • Déconnectez-vous après avoir utilisé des ordinateurs partagés ou publics

  • Examinez régulièrement vos espaces de travail et conversations pour détecter toute activité non autorisée

Protection des données

  • Définissez des périodes de rétention des données appropriées selon vos exigences de conformité

  • Anonymisez les informations clients sensibles avant le téléchargement lorsque cela est possible

  • Utilisez des espaces de travail distincts pour différents clients afin d'éviter le mélange de données

  • Exportez régulièrement les données importantes avant leur expiration en fonction des paramètres de rétention

Créez un espace de travail dédié pour chaque client ou projet de conformité. Cela garantit que les données clients restent isolées et facilite la gestion des politiques de rétention et des contrôles d'accès.

Certifications de conformité

Statut actuel

ISMS Copilot maintient la conformité avec :

  • Le RGPD (Règlement Général sur la Protection des Données)

  • Les principes de la CCPA (California Consumer Privacy Act)

  • Les exigences de résidence des données dans l'UE

Certifications des fournisseurs d'infrastructure

Les fournisseurs d'infrastructure d'ISMS Copilot maintiennent les certifications suivantes :

  • AWS : ISO 27001, SOC 2 Type II, PCI DSS

  • Supabase : SOC 2 Type II, conformité RGPD

  • Stripe : PCI DSS Niveau 1, SOC 2 Type II

Étape suivante

Obtenir de l'aide

Si vous avez des questions sur la sécurité ou la confidentialité :

  • Consultez notre Collection Sécurité pour une documentation de sécurité détaillée

  • Contactez le support via le menu du Centre d'aide

  • Pour les vulnérabilités de sécurité, signalez-les immédiatement via les canaux de support

ISMS Copilot s'engage à la transparence sur ses pratiques de sécurité. Notre Collection Sécurité fournit des informations détaillées sur la manipulation des données, les mesures de sécurité et la conformité aux réglementations sur la vie privée.

Cela vous a-t-il été utile ?