Périmètre du SMSI
Ce document définit le périmètre du Système de Management de la Sécurité de l'Information (SMSI) pour ISMS Copilot, exploité par Better ISMS (France). Il identifie les limites et l'applicabilité du SMSI, en tenant compte de notre contexte organisationnel, des parties intéressées et des interfaces avec les services externes.
Ce document de périmètre suit la clause 4.3 de la norme ISO 27001:2022 et est révisé annuellement ou lors de changements significatifs affectant nos services, nos intégrations ou notre structure organisationnelle.
Organisation
Champ | Valeur |
|---|---|
Entité légale | Better ISMS |
Juridiction | France (UE) |
Produit | ISMS Copilot — Assistant de conformité propulsé par l'IA |
Modèle économique | SaaS B2B (basé sur l'abonnement) |
Utilisateurs | ~800 (principalement basés dans l'UE, disponible mondialement) |
Énoncé du périmètre du SMSI
Le SMSI s'applique au développement, à l'exploitation et à la gestion de la plateforme ISMS Copilot — une application SaaS hébergée dans le cloud et alimentée par l'IA qui aide les organisations à se conformer aux systèmes de management de la sécurité de l'information.
Applications et services concernés
Composant | Technologie | Hébergement |
|---|---|---|
Application web Frontend | React, TypeScript, Vite | Vercel (CDN mondial) |
Service de chat Backend | Deno, TypeScript | Fly.io (région CDG, Paris) |
Base de données et authentification | PostgreSQL, Supabase Auth | Supabase Cloud (UE — Francfort) |
Stockage de fichiers | Compatible S3 | Supabase Storage (UE — Francfort) |
Fonctions Edge | Deno | Supabase Edge |
Intégrations tierces incluses
Intégration | Objectif | Couverture du périmètre |
|---|---|---|
Anthropic (Claude) | Fournisseur de chat IA par défaut | Flux de données, gestion des clés, surveillance du fournisseur |
OpenAI (GPT-4.1) | Détection de documents | Flux de données, gestion des clés |
xAI (Grok) | Formatage de documents | Flux de données, gestion des clés |
Mistral AI | Mode Protection Avancée des Données | Flux de données, gestion des clés, vérification ZDR |
Google (Gemini) | Fournisseur de chat IA alternatif | Flux de données, gestion des clés |
Stripe | Traitement des paiements | Sécurité des webhooks, gestion des abonnements |
ConvertAPI | Conversion de fichiers (PDF, DOCX, XLSX) | Flux de données, manipulation de fichiers |
SendGrid | E-mails d'alerte de sécurité | Envoi des alertes |
Données concernées
Catégorie de données | Inclus |
|---|---|
Messages de chat des utilisateurs et réponses de l'IA | Oui |
Fichiers téléchargés et contenu extrait | Oui |
Données de compte utilisateur et d'authentification | Oui |
Métadonnées d'abonnement et de facturation | Oui |
Paramètres utilisateur et instructions de l'espace de travail | Oui |
Consommation de jetons et enregistrements d'utilisation | Oui |
Journaux d'application et rapports d'erreurs | Oui |
Processus inclus
Processus | Inclus |
|---|---|
Cycle de vie du développement logiciel (SDLC) | Oui |
Gestion des changements et déploiement | Oui |
Détection, réponse et récupération d'incidents | Oui |
Évaluation et traitement des risques | Oui |
Gestion et revue des accès | Oui |
Gestion des vulnérabilités | Oui |
Gestion des fournisseurs | Oui |
Protection des données et vie privée | Oui |
Continuité d'activité et reprise après sinistre | Oui |
Outils de surveillance et de développement inclus
Outil | Objectif | Couverture du périmètre |
|---|---|---|
Sentry | Suivi des erreurs (frontend + backend) | Nettoyage des PII, hygiène des journaux |
PostHog | Analyses produit | Minimisation des données |
BetterStack | Surveillance de la disponibilité, page d'état | Configuration des alertes |
GitHub | Code source, pipelines CI/CD | Contrôle d'accès, gestion des secrets, sécurité des pipelines |
Vercel CI/CD | Déploiement Frontend | Sécurité du déploiement |
Exclusions du périmètre
Exclusion | Justification |
|---|---|
Infrastructure physique des bureaux | L'équipe est entièrement en télétravail ; aucun bureau physique à sécuriser |
Appareils personnels des employés | Environnement BYOD ; les contrôles de sécurité sont au niveau de l'application et de la plateforme, pas du terminal |
Sécurité côté client | Les environnements, terminaux et réseaux internes des clients sont hors de contrôle d'ISMS Copilot |
Opérations internes des tiers | La sécurité interne des fournisseurs est régie par leurs propres certifications (SOC 2, ISO 27001) et notre politique de gestion des fournisseurs |
Site web marketing | Site marketing statique sur une infrastructure séparée ; aucun traitement de données utilisateur |
Diagramme des limites du SMSI
La limite du SMSI inclut la gestion des interfaces avec les entités externes :
Les utilisateurs finaux se connectent via des navigateurs au Frontend (Vercel), qui communique avec Supabase (DB/Auth/Stockage/Edge Functions) et le service de chat Fly.io
Le service de chat Fly.io s'interface avec les fournisseurs d'IA (Anthropic, OpenAI, xAI, Mistral, Gemini) et la base de données Supabase
Stripe et ConvertAPI sont accessibles via les fonctions Edge de Supabase
GitHub Actions gère le pipeline CI/CD
Sentry, PostHog et BetterStack assurent la surveillance et l'observabilité
Toutes les données au repos sont stockées au sein de l'infrastructure de l'UE (Francfort). Le service de chat backend s'exécute à Paris (CDG). Les appels d'API aux fournisseurs d'IA peuvent transiter vers des points de terminaison hors UE, ce qui est documenté dans notre évaluation de l'impact des transferts (TIA).
Normes et référentiels applicables
Norme | Champ d'application |
|---|---|
ISO/CEI 27001:2022 | SMSI complet — tous les articles et contrôles applicables de l'Annexe A |
ISO/CEI 42001:2023 | Système de gestion de l'IA — applicable aux composants d'IA |
RGPD | Toutes les activités de traitement de données à caractère personnel |
SOC 2 | Critères de services de confiance — Sécurité, Disponibilité, Confidentialité |
Loi Informatique et Libertés | Mise en œuvre nationale du RGPD en France |
Revue du périmètre
Ce document de périmètre est révisé annuellement, lorsque de nouveaux services ou intégrations sont ajoutés, lorsque la structure organisationnelle change, lors de l'entrée sur de nouveaux marchés ou juridictions, et suite aux conclusions de la revue de direction. Les modifications du périmètre du SMSI nécessitent l'approbation du PDG et déclenchent une révision de la Déclaration d'Applicabilité (DDA), de l'évaluation des risques et des politiques concernées.