Saaspocalypse
Sécurité & conformité

Vos données, c'est le sujet. On les traite comme tel.

« Posséder son logiciel », ça ne veut rien dire si la donnée n'est pas chez vous. Voici précisément où vivent vos données, qui peut y accéder, et quels référentiels on suit quand on construit — en français clair, sans muraille de logos.

L'essentiel

Résidence des données
Régions UK ou UE. Vous choisissez au kick-off.
Base de données
Postgres chez Neon (EU-West, Francfort) ou AWS RDS en eu-west-2 (Londres) pour les clients régulés.
Hébergement applicatif
Vercel — Fluid Compute en régions eu-west. Assets statiques via le edge Vercel.
Chiffrement en transit
TLS 1.3 partout. HSTS préchargé.
Chiffrement au repos
AES-256 sur Postgres et toutes les sauvegardes. Secrets gérés via Vercel + 1Password.
Sauvegardes
Point-in-time quotidien, 7 à 30 jours selon plan. Restaurable à la minute près.
DPA
Accord de traitement des données conforme RGPD, signé avant la première ligne de code.
Sous-traitants
Listés nommément dans le DPA. Aujourd'hui : Vercel, Neon, Resend, Sentry. Tout changement avec ≥30 jours de préavis.

Pourquoi un build sur mesure peut être plus sûr que le SaaS

Les gros éditeurs SaaS vous tendent un rapport SOC 2 et une muraille de logos. Ce qu'ils ne vous donnent pas, c'est une réponse claire à « précisément quels de vos employés peuvent lire nos données clients ? » ou « quand supprimez-vous ces données après résiliation ? ». Avec une refonte sur mesure :

Les référentiels qu'on suit

On est un studio, pas un vendor du Fortune 500 — on construit le logiciel au niveau de votre exigence de conformité, pas l'inverse. Concrètement, on suit les contrôles derrière ces référentiels même quand l'audit annuel n'est pas dans le périmètre de votre projet.

ISO 27001 / 27017 / 27018

On mappe chaque projet sur les contrôles de l'Annexe A. Contrôle d'accès, cryptographie, sécurité fournisseurs, gestion d'incident — tout est documenté par build. La matrice se remet à votre auditeur.

SOC 2 (Type I et II)

La base de code embarque les artefacts attendus par SOC 2 : audit logs, runbooks de sauvegarde, doc de chiffrement, RBAC, change-management via revue de PR. Si vous avez besoin d'un rapport formel, on se coordonne avec votre CPA.

RGPD UE & UK

Base légale documentée, minimisation par défaut, politiques de rétention dans le code, flux de droit d'accès et d'effacement intégrés. Clauses contractuelles types et addendum UK-UE au dossier pour les transferts.

OWASP ASVS Niveau 2

La vérification au niveau 2 est notre baseline — auth, session, traitement des entrées, hygiène des dépendances, logging. Dependabot tourne sur chaque repo.

PCI DSS (quand les paiements nous concernent)

Par défaut SAQ-A : les paiements passent par Stripe ou votre prestataire, on ne touche jamais les numéros de carte. Si le périmètre demande plus, on isole le plan card-data séparément.

NHS DSPT / équivalent HIPAA (sur demande)

On a travaillé pour des clients santé sur des soumissions NHS DSPT. Les équivalents HIPAA se gèrent par l'architecture, pas par un sticker.

On ne revendique pas de certifications qu'on ne détient pas. Si votre appel d'offres exige un rapport ISO 27001 ou SOC 2 Type II en cours de validité de notre part, la réponse honnête : on s'appuie sur vos prestataires cloud audités (Vercel, Neon, AWS) et sur un partenaire CISO identifié — on en discute volontiers par téléphone.

Une fois en production

Logging & audit

Logs applicatifs vers Vercel + Sentry. Les mutations base sont auditées dans une table immuable par défaut. Les accès SSH/console sur Neon et AWS passent par des credentials courts via SSO.

Monitoring & uptime

Monitoring d'uptime via BetterStack ou Vercel, avec une status page publique. Les incidents prod déclenchent PagerDuty (ou votre outil) et un post-mortem sous 5 jours ouvrés.

Plan de reprise

RPO ≤ 5 minutes, RTO ≤ 4 heures sur le plan standard. Testé deux fois par an sur une restauration propre ; le playbook est dans votre repo.

Gestion des vulnérabilités

Dependabot sur chaque repo. Les CVE sont triées sous 72 heures, les critiques sous 24. Pentest annuel par un tiers pour les builds en production — périmètre et résultats partagés.

Accès & RBAC

Les ingés sur votre build s'authentifient en SSO (Google ou Microsoft) avec 2FA WebAuthn. L'accès production passe par un approbateur nommé. Les comptes breakglass sont loggés à part.

Secrets

Variables d'env sur Vercel ; secrets longue durée dans 1Password, vaults partagés par projet. Aucun secret ne finit dans git — on lance gitleaks en pre-commit.

Les documents qu'on peut vous transmettre

Écrivez-nous, on vous envoie n'importe lequel de ces documents — souvent le jour même.

  • DPA standard (RGPD UK + CCT UE)
  • Liste des sous-traitants avec localisations
  • Politique de sécurité de l'information
  • Plan de continuité d'activité & PRA
  • Questionnaire sécurité (SIG-Lite / CAIQ)
  • Synthèse de pentest (la plus récente)
  • Attestation SOC 2 de Vercel (hébergement)
  • Attestation SOC 2 de Neon (base de données)

Une revue sécurité ou un questionnaire ?

Envoyez-nous votre questionnaire, ou dites-nous simplement quel référentiel vous devez satisfaire. On répond avec les bons documents et les écarts qu'on peut combler avant le kick-off.

Demande sécurité ou conformité

DPA, liste des sous-traitants, SIG-Lite — dites-nous ce qu'il vous faut.

Ou retournez au calculateur et on en reparle à l'appel de cadrage.