ISMS Copilot
Sécurité

Aperçu de la Sécurité et de la Protection des Données

Présentation

ISMS Copilot met en œuvre des mesures de sécurité de classe entreprise pour protéger vos données de conformité sensibles. Cet article explique comment vos données sont sécurisées, où elles sont stockées et quels contrôles sont en place pour garantir la confidentialité et la vie privée.

À qui s'adresse cet article

Cet article s'adresse aux :

  • Équipes de sécurité évaluant ISMS Copilot

  • Professionnels de la conformité manipulant des données clients sensibles

  • Administrateurs responsables des décisions de protection des données

  • Utilisateurs ayant besoin de comprendre comment leurs données sont protégées

Principes clés de sécurité

L'architecture de sécurité de ISMS Copilot suit ces principes fondamentaux :

  • Zéro entraînement sur les données utilisateur - Vos conversations, documents et informations clients ne sont jamais utilisés pour entraîner des modèles d'IA

  • Résidence des données dans l'UE - Toutes les données sont stockées sur des serveurs basés dans l'UE (Francfort, Allemagne)

  • Chiffrement de bout en bout - Les données sont chiffrées aussi bien en transit qu'au repos

  • Rétention contrôlée par l'utilisateur - Vous décidez de la durée de conservation de vos données

  • Conformité RGPD - Pleine conformité avec les réglementations européennes sur la protection des données

Chiffrement des données

Chiffrement en transit

Toutes les données transmises entre votre navigateur et les serveurs d'ISMS Copilot sont protégées par :

  • Chiffrement TLS 1.3 sur toutes les connexions HTTPS

  • Strict Transport Security (HSTS) appliqué pendant 1 an avec inclusion des sous-domaines

  • Épinglage de certificat (Certificate pinning) pour prévenir les attaques de type homme du milieu

  • Mise à niveau automatique vers HTTPS pour toutes les requêtes non sécurisées

Chaque connexion à ISMS Copilot utilise un chiffrement de niveau bancaire. Vos données ne peuvent pas être interceptées ou lues pendant la transmission.

Chiffrement au repos

Toutes les données stockées dans les bases de données d'ISMS Copilot sont protégées par :

  • Chiffrement AES-256 pour toutes les bases de données de production

  • Sauvegardes chiffrées avec les mêmes standards de chiffrement

  • Stockage de fichiers chiffré pour les documents téléchargés (PDF, DOCX, XLS)

  • Gestion sécurisée des clés avec des clés stockées séparément des données

Stockage et résidence des données

Où vos données sont-elles stockées ?

Tout le stockage en base de données d'ISMS Copilot s'effectue dans :

  • Lieu : Serveurs basés dans l'UE (région AWS Francfort, Allemagne)

  • Fournisseur : Supabase (construit sur l'infrastructure AWS)

  • Conformité : Centres de données conformes au RGPD avec garanties de résidence des données dans l'UE

Emplacement du traitement de l'IA (configurable par l'utilisateur) :

Alors que le stockage de votre base de données est toujours dans l'UE, l'emplacement du traitement de l'IA dépend de votre paramètre Mode de Protection des Données Avancé :

  • Protection des Données Avancée DÉSACTIVÉE (Par défaut) : Le traitement de l'IA a lieu aux États-Unis (xAI, OpenAI, Anthropic) avec des Clauses Contractuelles Types et des mesures supplémentaires

  • Protection des Données Avancée ACTIVÉE : Le traitement de l'IA a lieu dans l'Union Européenne (Mistral AI), éliminant les transferts internationaux et les exigences d'Évaluation de l'Impact des Transferts

Les organisations ayant des exigences de résidence des données dans l'UE peuvent activer le Mode de Protection des Données Avancé pour éviter les Évaluations de l'Impact des Transferts sur le traitement de l'IA. Consultez notre Évaluation de l'Impact des Transferts pour plus de détails.

Votre base de données d'historique de conversation reste toujours dans l'UE (Francfort). Le Mode de Protection des Données Avancé contrôle où le traitement de l'IA se produit et combien de temps les fournisseurs d'IA conservent les données (30 jours contre zéro).

Quelles données sont stockées ?

ISMS Copilot stocke les informations suivantes :

  • Informations de compte : Adresse e-mail, identifiants d'authentification (mots de passe hachés)

  • Historique des conversations : Vos questions et les réponses de l'IA au sein de chaque espace de travail

  • Documents téléchargés : Fichiers que vous téléchargez pour analyse (PDF, DOCX, XLS)

  • Données de l'espace de travail : Noms des espaces de travail, instructions personnalisées et organisation des projets

  • Métadonnées d'utilisation : Horodatages, nombre de messages et utilisation des fonctionnalités pour la facturation et l'amélioration du service

Authentification et contrôle d'accès

Méthodes d'authentification prises en charge

ISMS Copilot prend en charge plusieurs options d'authentification sécurisées :

E-mail et mot de passe

  • Exigences de mots de passe forts (minimum 8 caractères avec majuscules, minuscules, chiffres et caractères spéciaux)

  • Mots de passe hachés à l'aide de l'algorithme standard bcrypt

  • Vérification obligatoire de l'e-mail : Vous devez cliquer sur le lien de confirmation envoyé par e-mail avant de pouvoir vous connecter. Cela garantit la propriété du compte et empêche les accès non autorisés

  • Réinitialisation sécurisée du mot de passe via vérification par e-mail

Google OAuth

  • Connexion unique à l'aide de votre compte Google

  • Aucun mot de passe stocké dans ISMS Copilot

  • Jetons d'authentification gérés par Google

Microsoft/Azure OAuth

  • Connexion unique à l'aide de votre compte Microsoft ou Azure

  • Prêt pour l'entreprise pour les organisations utilisant Microsoft 365

  • Jetons d'authentification gérés par Microsoft

Pour une sécurité maximale, utilisez les fournisseurs OAuth (Google ou Microsoft) combinés à leurs fonctionnalités d'authentification multi-facteurs intégrées. Cela ajoute une couche de protection supplémentaire à votre compte ISMS Copilot.

Gestion de session

Les sessions utilisateur sont gérées à l'aide de :

  • Jetons JWT avec expiration automatique

  • Stockage de session sécurisé qui ne persiste pas après la fermeture du navigateur

  • Déconnexion automatique à l'expiration des jetons

  • Déconnexion manuelle disponible via le menu utilisateur

Sécurité au niveau des lignes (RLS)

ISMS Copilot implémente des contrôles d'accès au niveau de la base de données :

  • Les utilisateurs ne peuvent accéder qu'à leurs propres conversations, espaces de travail et fichiers téléchargés

  • Tenter d'accéder aux données d'un autre utilisateur renvoie des résultats vides (pas de messages d'erreur)

  • Toutes les requêtes de base de données filtrent automatiquement par l'ID de l'utilisateur authentifié

  • L'accès administrateur nécessite une authentification et une autorisation distinctes

Rétention et suppression des données

Rétention contrôlée par l'utilisateur

Vous avez un contrôle complet sur la durée de conservation de vos données :

  1. Cliquez sur l'icône du menu utilisateur (coin supérieur droit)

  2. Sélectionnez Paramètres

  3. Dans le champ Période de rétention des données, saisissez votre période de rétention préférée :

    • Minimum : 1 jour

    • Maximum : 7 ans

    • Ou cliquez sur Conserver indéfiniment pour une rétention illimitée

  4. Cliquez sur Enregistrer les paramètres

Résultat attendu : La boîte de dialogue des paramètres se ferme et votre préférence de rétention est enregistrée.

Les données plus anciennes que votre période de rétention sont automatiquement et définitivement supprimées. Ce processus s'exécute quotidiennement et ne peut être annulé. Assurez-vous d'exporter toutes les données dont vous avez besoin avant leur expiration.

Suppression automatique des données

ISMS Copilot supprime automatiquement les données expirées :

  • La tâche de suppression s'exécute quotidiennement pour supprimer les données plus anciennes que votre période de rétention

  • Les données supprimées incluent l'historique des conversations, les fichiers téléchargés et le contenu de l'espace de travail

  • La suppression est permanente et irrécupérable

  • Les informations de compte (e-mail, paramètres) sont conservées jusqu'à la suppression du compte

Suppression de compte

Pour supprimer votre compte et toutes les données associées :

  1. Contactez le support ISMS Copilot via le Centre d'aide

  2. Demandez la suppression complète du compte

  3. Le support confirmera votre identité et traitera la suppression

  4. Toutes les données sont définitivement supprimées sous 30 jours

Confidentialité et conformité

Conformité RGPD

ISMS Copilot est entièrement conforme au Règlement Général sur la Protection des Données (RGPD) :

  • Minimisation des données : Seules les données essentielles sont collectées

  • Limitation des finalités : Les données ne sont utilisées que pour fournir le service

  • Limitation de la conservation : Périodes de rétention contrôlées par l'utilisateur

  • Droit d'accès : Les utilisateurs peuvent exporter leurs données

  • Droit à l'effacement : Les utilisateurs peuvent demander la suppression complète des données

  • Droit à la portabilité : Les données peuvent être exportées dans des formats standards

  • Protection des données dès la conception : La sécurité est intégrée à chaque fonctionnalité

Entraînement de l'IA et vos données

ISMS Copilot garantit :

  • Pas d'entraînement sur les données utilisateur : Vos conversations, documents et informations clients ne sont jamais utilisés pour entraîner des modèles d'IA

  • Traitement isolé : Chaque conversation est traitée indépendamment

  • Pas de partage de données entre clients : Vos données ne sont jamais visibles par d'autres utilisateurs

  • Isolation des espaces de travail : Les différents espaces de travail maintiennent des frontières de données distinctes

Contrairement aux outils d'IA généraux comme ChatGPT, ISMS Copilot n'utilise jamais vos données de conformité sensibles pour améliorer le modèle d'IA. Les informations de vos clients restent totalement confidentielles.

Options de traitement par les fournisseurs d'IA :

Vous pouvez choisir entre deux modes de traitement de l'IA via le Mode de Protection des Données Avancé :

  • Mode par défaut (DÉSACTIVÉ) : Traitement basé aux États-Unis (xAI, OpenAI, Anthropic) avec rétention temporaire de 30 jours

  • Protection des Données Avancée (ACTIVÉE) : Traitement basé dans l'UE (Mistral AI) avec zéro rétention

Quel que soit le mode choisi, vos données ne sont JAMAIS utilisées pour l'entraînement de l'IA.

Sécurité de l'application

Protection contre les attaques courantes

ISMS Copilot implémente plusieurs en-têtes et politiques de sécurité :

Protection contre le Clickjacking

  • X-Frame-Options : DENY empêche l'intégration dans des iframes

  • La directive frame-ancestors de la Content Security Policy bloque l'encadrement

Content Security Policy (CSP)

  • Restreint l'exécution de scripts aux sources approuvées uniquement

  • Bloque les scripts en ligne sauf en cas de nécessité explicite

  • Prévient les attaques via object-src et base-uri

  • Met automatiquement à niveau les requêtes HTTP non sécurisées vers HTTPS

Protection du type MIME

  • X-Content-Type-Options : nosniff empêche les attaques par confusion de type MIME

Politique de Referrer

  • strict-origin-when-cross-origin limite les fuites d'informations lors de requêtes intersites

Politique de permissions

ISMS Copilot désactive les fonctionnalités facultatives du navigateur pour réduire la surface d'attaque :

  • Caméra : Désactivée

  • Microphone : Désactivé

  • Géolocalisation : Désactivée

  • Interest Cohort (suivi FLoC) : Bloqué

Services tiers

Services de traitement de l'IA

ISMS Copilot vous donne le contrôle sur le fournisseur d'IA qui traite vos conversations.

Fournisseurs d'IA disponibles (configurables via le Mode de Protection des Données Avancé) :

  • xAI (Grok), OpenAI et Anthropic (Claude) :

    • Lieu : États-Unis

    • Rétention : 30 jours (cache temporaire)

    • Entraînement : Les données API ne sont PAS utilisées pour l'entraînement des modèles

    • Actif quand : La Protection des Données Avancée est DÉSACTIVÉE (par défaut)

  • Mistral AI :

    • Lieu : Union Européenne

    • Rétention : Zéro (pas de rétention)

    • Entraînement : NON utilisées pour l'entraînement des modèles

    • Actif quand : La Protection des Données Avancée est ACTIVÉE

Les organisations ayant des exigences de résidence des données dans l'UE devraient activer le Mode de Protection des Données Avancé pour garantir un traitement 100 % dans l'UE avec zéro rétention par le fournisseur d'IA. Cela offre les garanties de confidentialité les plus fortes disponibles.

Analyses et surveillance

ISMS Copilot utilise les services tiers suivants :

PostHog (Analytique)

  • Finalité : Analyse anonyme des produits et suivi de l'utilisation des fonctionnalités

  • Données partagées : Utilisation des fonctionnalités, pages vues, ID utilisateur anonymisés

  • Non partagé : Contenu des conversations, documents téléchargés, informations personnelles

Sentry (Surveillance des erreurs)

  • Finalité : Suivi des erreurs et surveillance des performances

  • Données partagées : Messages d'erreur, traces d'appels, informations du navigateur, ID utilisateur (UUID uniquement, en production)

  • Non partagé : Contenu des conversations, documents téléchargés, adresses e-mail, noms

Traitement des paiements

Stripe

  • Finalité : Traitement sécurisé des paiements et gestion des abonnements

  • Processeur de paiement certifié PCI DSS Niveau 1

  • ISMS Copilot ne stocke jamais les informations de carte de crédit

  • Toutes les données de paiement sont gérées exclusivement par Stripe

Les utilisateurs Premium peuvent gérer leur abonnement et leurs méthodes de paiement en toute sécurité via le Portail Client Stripe en cliquant sur "Gérer l'abonnement" dans le menu utilisateur.

Limitations et considérations

Ce que ISMS Copilot n'offre PAS actuellement

  • Options MFA supplémentaires : La connexion par e-mail inclut une vérification obligatoire de l'e-mail (une forme de MFA). Pour une protection accrue, vous pouvez utiliser des fournisseurs OAuth (Google/Microsoft) avec leur propre MFA activée. Le support de TOTP/application d'authentification n'est pas encore disponible.

  • Authentification unique (SSO/SAML) : L'intégration SSO d'entreprise n'est pas disponible pour l'instant

  • Clés de sécurité matérielles : L'authentification FIDO2/WebAuthn n'est pas prise en charge

  • Tableau de bord de gestion des sessions : Les utilisateurs ne peuvent pas voir ou gérer les sessions actives depuis plusieurs appareils

  • Liste blanche d'IP : L'accès ne peut pas être restreint à des adresses IP spécifiques

Contraintes de rétention des données

  • Période de rétention minimale : 1 jour

  • Période de rétention maximale : 7 ans

  • Les utilisateurs gratuits disposent des mêmes contrôles de rétention que les utilisateurs premium

Réponse aux incidents de sécurité

Surveillance de la disponibilité et détection

ISMS Copilot maintient une surveillance en temps réel des systèmes de production pour garantir la disponibilité et une réponse rapide aux incidents :

  • Surveillance de disponibilité BetterStack : Surveillance continue en temps réel de chat.ismscopilot.com (application principale) pour les problèmes de disponibilité

  • Alertes automatisées : Notifications Slack instantanées sur le canal #incident lorsque des problèmes de disponibilité sont détectés

  • Classification des incidents : Évaluation par l'équipe pour déterminer si les problèmes constituent des événements ou des incidents nécessitant une escalade

  • Escalade multicanal : Alertes progressives par e-mail et SMS pour les incidents critiques

  • Page d'état publique : État du service en temps réel disponible sur https://status.ismscopilot.com/

Vous pouvez consulter l'état actuel de tous les services ISMS Copilot à tout moment en visitant notre page d'état publique. Cela garantit la transparence sur la disponibilité du système et les incidents en cours.

Surveillance de sécurité supplémentaire

Au-delà de la surveillance de la disponibilité, ISMS Copilot emploie :

  • Suivi des erreurs et alertes automatisés via Sentry

  • Journaux d'audit de la base de données pour les schémas d'accès suspects

  • Revues de sécurité régulières et évaluations de vulnérabilité

Signalement de problèmes de sécurité

Si vous découvrez une vulnérabilité de sécurité :

  1. Contactez immédiatement le support ISMS Copilot via le Centre d'aide

  2. Fournissez des informations détaillées sur le problème (sans le divulguer publiquement)

  3. N'essayez pas d'exploiter la vulnérabilité

  4. Laissez à l'équipe de sécurité le temps d'enquêter et de résoudre le problème

Bonnes pratiques pour les utilisateurs

Sécurité du compte

  • Utilisez un mot de passe fort et unique (ou des fournisseurs OAuth avec MFA activée)

  • Ne partagez pas vos identifiants de connexion avec d'autres

  • Déconnectez-vous après avoir utilisé des ordinateurs partagés ou publics

  • Examinez régulièrement vos espaces de travail et conversations pour détecter toute activité non autorisée

Protection des données

  • Définissez des périodes de rétention des données appropriées selon vos exigences de conformité

  • Anonymisez les informations clients sensibles avant le téléchargement lorsque cela est possible

  • Utilisez des espaces de travail distincts pour différents clients afin d'éviter le mélange de données

  • Exportez régulièrement les données importantes avant leur expiration en fonction des paramètres de rétention

Créez un espace de travail dédié pour chaque client ou projet de conformité. Cela garantit que les données clients restent isolées et facilite la gestion des politiques de rétention et des contrôles d'accès.

Certifications de conformité

Statut actuel

ISMS Copilot maintient sa conformité avec :

  • RGPD (Règlement Général sur la Protection des Données)

  • Principes de la CCPA (California Consumer Privacy Act)

  • Exigences de résidence des données dans l'UE

Certifications des fournisseurs d'infrastructure

Les fournisseurs d'infrastructure d'ISMS Copilot maintiennent :

  • AWS : ISO 27001, SOC 2 Type II, PCI DSS

  • Supabase : SOC 2 Type II, conformité RGPD

  • Stripe : PCI DSS Niveau 1, SOC 2 Type II

Et après ?

Obtenir de l'aide

Si vous avez des questions sur la sécurité ou la confidentialité :

  • Consultez notre Collection Sécurité pour une documentation de sécurité détaillée

  • Contactez le support via le menu du Centre d'aide

  • Pour les vulnérabilités de sécurité, signalez-les immédiatement via les canaux de support

ISMS Copilot s'engage à la transparence concernant ses pratiques de sécurité. Notre Collection Sécurité fournit des informations détaillées sur le traitement des données, les mesures de sécurité et la conformité aux réglementations sur la confidentialité.

Cela vous a-t-il été utile ?