Sécurité & Confiance

Chaque compte Unnoodle (locataire) fonctionne dans son propre schéma PostgreSQL dédié. Votre glossaire, vos utilisateurs et vos paramètres sont stockés dans une partition distincte et nommée de la base de données — pas seulement filtrés par une valeur de colonne.

Il n'existe aucune requête pouvant accidentellement retourner les données d'une autre organisation. Même si un bug applicatif produisait un filtre incorrect, la frontière de schéma tient. L'accès inter-locataires est structurellement impossible.

En transit

Tout le trafic entre votre navigateur et Unnoodle transite par HTTPS. HTTP Strict Transport Security (HSTS) est configuré avec une politique d'un an et s'applique à tous les sous-domaines. Les navigateurs ayant établi une première connexion refuseront HTTP simple pendant toute la durée de la politique.

Au repos

• Les secrets MFA/TOTP sont chiffrés au niveau applicatif (AES-256-GCM) avant d'être écrits en base de données. Le secret brut n'est jamais stocké en clair. Une valeur aléatoire unique (IV) est générée à chaque écriture.
• Les clés API sont stockées sous forme de hachages cryptographiques SHA-256. La clé brute ne peut pas être récupérée après émission — uniquement renouvelée.
• Les mots de passe sont stockés comme des hachages BCrypt (10 tours). Les mots de passe en clair ne sont jamais stockés ni journalisés.
• Les jetons de rafraîchissement sont stockés sous forme de condensés SHA-256. La valeur brute du jeton n'est jamais persistée.

Sessions de courte durée avec protection anti-rejeu

Les jetons d'accès expirent après 15 minutes. Les jetons de rafraîchissement sont renouvelés à chaque utilisation — le jeton précédent est immédiatement invalidé. Si un jeton de rafraîchissement volé est rejoué, toute la famille de sessions est révoquée automatiquement. Vous pouvez révoquer toute session depuis les paramètres de votre compte.

Authentification multi-facteurs (MFA)

La MFA basée sur TOTP est disponible pour tous les utilisateurs, compatible avec Google Authenticator, Authy, 1Password et toute application RFC 6238. Lorsqu'elle est activée, un mot de passe correct émet uniquement un jeton intermédiaire à portée limitée. Une session complète n'est accordée qu'après vérification du code TOTP.

Connexion avec Google / Microsoft

OAuth 2.0 avec PKCE est utilisé pour la connexion sociale. Les paramètres state et nonce sont vérifiés à chaque callback. Nous n'utilisons pas le flux implicite.

Protection contre la force brute

Après 5 tentatives de connexion consécutives échouées, un compte est verrouillé pendant 15 minutes. La limitation du débit sur les points de terminaison d'authentification constitue une seconde couche de protection par adresse IP.

Clés API

Les clés API des locataires sont limitées à un accès en lecture seule sur des points de terminaison spécifiques. Les clés peuvent être renouvelées à tout moment — le renouvellement invalide immédiatement la clé précédente et déclenche un événement d'audit.

Chaque action significative est enregistrée dans un journal d'audit. Chaque enregistrement capture : qui a effectué l'action, ce qui a été modifié, quelle ressource était concernée, un horodatage et l'adresse IP d'origine.

Les événements journalisés comprennent :

• Toutes les tentatives de connexion (réussies et échouées) et les déconnexions
• Configuration, activation, désactivation et vérification MFA
• Changements de mot de passe et révocations de session
• Invitations d'utilisateurs, changements de rôle et suppressions de compte
• Renouvellements de clés API
• Exports de données et demandes d'effacement de compte
• Modifications du contenu du glossaire

Le journal d'audit est en ajout seul et ne peut pas être effacé par les administrateurs locataires. Il est conservé à des fins de responsabilisation en vertu de l'Art. 5(2) du RGPD.

Unnoodle est conçu pour soutenir vos obligations de conformité au RGPD et aux lois similaires sur la protection des données. Les droits suivants sont mis en œuvre en production — pas sur une feuille de route.

Consentement à l'inscription (Art. 7)

Lors de la création d'un compte, un consentement explicite est requis et enregistré — incluant l'horodatage et l'adresse IP. Les comptes ne peuvent pas être créés sans cela.

Droit d'exporter vos données (Art. 20)

Vous pouvez télécharger un export JSON structuré de toutes les données personnelles que nous détenons sur vous depuis les paramètres de votre compte. Pas de ticket de support. Pas de délai d'attente.

Droit à l'effacement (Art. 17)

Vous pouvez supprimer définitivement votre compte depuis les paramètres. Ce faisant, votre nom, email et identifiants sont immédiatement anonymisés ; tous les comptes OAuth liés sont supprimés ; toutes les sessions actives sont révoquées. Entièrement en libre-service.

Minimisation des données (Art. 5)

Les comptes inactifs dépassant la période de conservation configurée sont automatiquement anonymisés — les identifiants personnels sont supprimés tout en conservant l'enregistrement du compte pour l'intégrité du système.

Tests avant implémentation

Chaque contrôle de sécurité a des tests automatisés écrits avant l'implémentation. Les contrôles non testés ne sont pas livrés.

Pas de secrets dans le code source

Toutes les informations d'identification, clés et secrets sont injectés au déploiement via des variables d'environnement. L'application refuse de démarrer en production si les clés de sécurité requises sont absentes. Rien de sensible n'est commis dans le référentiel.

Historique de schéma déterministe

Chaque modification de base de données est gérée via des fichiers de migration versionnés. Il n'y a pas de génération automatique de schéma en production. L'état de la base de données à tout moment est déterministe et entièrement auditable.

Les réponses d'erreur ne divulguent pas les données internes

Les erreurs inattendues renvoient un message générique au client. Les traces de pile et l'état interne sont journalisés côté serveur uniquement — jamais inclus dans les réponses HTTP.

Nos pratiques d'ingénierie sont construites autour des critères de service de confiance SOC 2 pour la sécurité, la disponibilité et la confidentialité. Nous n'avons pas poursuivi de certification formelle.

Si une certification formelle est une exigence de votre processus d'approvisionnement, contactez-nous — nous discuterons de notre position actuelle et des preuves que nous pouvons fournir.

Si vous pensez avoir trouvé une vulnérabilité de sécurité dans Unnoodle, veuillez la signaler en privé avant de la divulguer publiquement.