Sécurité

Cette page décrit honnêtement notre posture de sécurité, ce qui est protégé et ce qui ne l’est pas. Pour signaler une vulnérabilité : info@groupeb.ca(objet « Vulnérabilité »).

1. Architecture

• Hébergement : Amazon Web Services, région ca-central-1 (Montréal).
• Front-end : Next.js sur AWS Amplify Hosting + CloudFront.
• API : AWS Lambda + API Gateway (HTTPS uniquement).
• Base de données : RDS PostgreSQL dédiée à Comptab (isolation totale, aucune base partagée avec les autres produits du portfolio).
• Stockage de fichiers : S3 chiffré côté serveur (SSE-KMS).
• Domaines, certificats : Route53 + ACM.

2. Ce qui EST protégé

• Chiffrement en transit — TLS 1.2+ obligatoire (HSTS activé), redirection HTTP→HTTPS.
• Chiffrement au repos — RDS chiffré (KMS), S3 SSE-KMS, instantanés chiffrés.
• Authentification — Amazon Cognito avec mot de passe fort + Google OAuth ; AMF disponible.
• Gestion des secrets — AWS Secrets Manager; aucun secret en clair dans le code ou les variables d’environnement persistantes.
• Moindre privilège — Rôles IAM dédiés par fonction Lambda; pas d’utilisateur IAM long terme partagé.
• Journaux d’audit — CloudTrail (API AWS), VPC Flow Logs, journaux applicatifs structurés.
• Sauvegarde — Snapshots RDS automatisés (rétention 14 jours) + snapshots manuels avant migrations.
• Surface d’attaque réduite — Aucune base de données exposée publiquement; bastion Session Manager uniquement.
• Hébergement canadien — Données de production en ca-central-1; aucun transfert hors Canada sans ÉFVP.
• Vérification du courriel — Cognito + AttributeMapping email_verified obligatoire pour Google OAuth.

3. Ce qui N’EST PAS (encore) protégé

Nous préférons être transparents plutôt que prétendre une sécurité parfaite. Au moment de publication :

• L’AMF n’est pas encore obligatoire pour tous les comptes (seulement disponible).
• Aucune certification SOC 2 ni ISO 27001 active à ce jour — un audit externe est planifié pour la phase 2.
• Pas de programme de chasse aux bogues public — divulgation responsable par courriel uniquement.
• Le chiffrement de bout en bout côté client n’est pas implémenté : l’opérateur peut techniquement accéder aux données pour les besoins du support (avec consentement et journalisation).
• Les pièces jointes téléversées ne font pas l’objet d’une analyse antivirus en temps réel pour le moment.

4. Modèle de menace

• Acteur opportuniste (script kiddie, scan automatisé) — Mitigé : WAF, rate limiting, en-têtes de sécurité, dépendances à jour.
• Compromission de compte utilisateur — Mitigé partiellement : politique de mot de passe Cognito, AMF disponible, alertes de connexion anormale planifiées.
• Insider AWS / fournisseur — Hors de notre contrôle; AWS publie ses contrôles SOC2/ISO27001.
• État-nation ciblé — Hors périmètre; nous ne prétendons pas y résister.
• Demande légale — Comptab répond aux demandes valides des autorités canadiennes (mandat de perquisition, ordonnance). L’utilisateur est notifié sauf interdiction légale.

5. Réponse aux incidents

Conformément à l’article 3.5 de la Loi 25, tout incident de confidentialité présentant un risque sérieux est :

1. consigné dans un registre interne;
2. notifié à la Commission d’accès à l’information du Québec;
3. notifié aux personnes concernées sans délai indu.

6. Divulgation responsable

Si vous découvrez une vulnérabilité, écrivez à info@groupeb.caavec l’objet « Vulnérabilité ». Nous nous engageons à :

• Accuser réception sous 72 h ouvrables.
• Ne pas poursuivre les chercheurs agissant de bonne foi.
• Communiquer un correctif dans des délais raisonnables selon la gravité.