Sécurité & souveraineté
Pentest systématique, données hébergées en Europe hors Cloud Act américain, secrets chiffrés, WAF edge - une posture de sécurité documentée et vérifiable.
La sécurité n'est pas un audit annuel : c'est une posture continue, de l'architecture à l'edge. Nos projets sont testés avant chaque mise en production majeure, hébergés sur une infrastructure certifiée ISO 27001 en Europe, et protégés par des couches de défense indépendantes.
Pentest avant chaque lancement
Test de pénétration en mode grey-box (accès limités simulés) ou black-box (attaquant externe) avant chaque mise en production majeure. Rapport remis au client avec les vulnérabilités classées OWASP Top 10 et un plan de remédiation chiffré.
Souveraineté des données
Hébergement sur BSO, infrastructure Kubernetes européenne certifiée ISO 27001 et HDS. Les données ne passent pas sous le Cloud Act américain. Les secrets sont gérés dans Bitwarden Secrets Manager (instance EU), pas dans des variables d'environnement en clair.
Défense en profondeur
Cloudflare Access et WAF devant l'origine, règles OWASP activées, TLS automatique, rate-limiting, DDoS mitigation. Les pods Kubernetes sont isolés par namespace avec NetworkPolicies et RBAC strict. L'image Docker est reconstruite à chaque déploiement.
Posture de sécurité par couche
Couche edge (Cloudflare) :
- WAF avec règles OWASP Top 10 activées en mode bloc.
- Cloudflare Access devant les environnements non-publics (staging, back-office) : authentification SSO obligatoire, zero trust.
- TLS RGS automatique (Let's Encrypt via Cloudflare), HSTS preloaded.
- Rate-limiting sur les endpoints sensibles (formulaires, API d'authentification).
- Protection DDoS de couche 3, 4 et 7.
Couche infrastructure (BSO Kubernetes) :
- Namespaces isolés par projet : aucun pod ne peut communiquer avec un autre namespace sans NetworkPolicy explicite.
- RBAC strict : les comptes de service applicatifs n'ont que les permissions nécessaires.
- Images Docker reconstruites à chaque déploiement depuis le registre GitLab privé. Aucune image tierce non validée.
- Secrets injectés à l'exécution par le CLI Bitwarden Secrets Manager (BWS) via le job CI : ils ne transitent jamais en clair dans les variables d'environnement GitLab et ne sont pas versionnés dans le code.
- ArgoCD GitOps déclaratif : chaque état de l'infrastructure est versionné et auditable.
Couche applicative :
- En-têtes de sécurité :
Content-Security-Policy,X-Frame-Options,X-Content-Type-Options,Referrer-Policyconfigurés systématiquement. - Authentification OAuth2/Keycloak ou OIDC (ex : Okta pour les projets grands comptes) : pas de credentials WordPress directement exposés sur le réseau public.
- SecuPress Pro sur les projets WordPress : anti-brute-force, scan malware, Move Login, 2FA.
- Formulaires : validation côté serveur, protection CSRF, consentement RGPD explicite avant tout traitement.
Tests de pénétration
Avant chaque mise en production majeure, un test de sécurité est réalisé en mode grey-box (accès limités simulés, reproduisant un attaquant interne ou un partenaire compromis) ou black-box (attaquant externe sans accès). Le périmètre couvre :
- Les endpoints REST/GraphQL exposés publiquement.
- Le back-office CMS (authentification, upload de fichiers, injections).
- Les secrets et variables d'environnement (vérification qu'aucun secret n'est exposé dans les headers, les logs ou les réponses API).
- Les dépendances npm et Composer (audit CVE via
npm auditetcomposer auditintégrés en CI).
Le rapport de pentest est remis au client avec les vulnérabilités classées par criticité (OWASP Top 10, CVSS) et un plan de remédiation avec estimation de charge.
Souveraineté et conformité
- Hébergement Europe : BSO est une infrastructure physiquement située en France, certifiée ISO 27001 et HDS. Les données de santé, les données RH sensibles et les données contractuelles restent sur le sol européen.
- Hors Cloud Act : les données ne transitent pas par des serveurs sous juridiction américaine (pas d'AWS, Azure ou GCP par défaut sur nos projets BSO).
- Bitwarden Secrets Manager : instance EU (
api.bitwarden.eu), chiffrement de bout en bout, rotation des secrets sans redeploy. - Journalisation : tous les accès et toutes les actions de write sont logués (Loki sur BSO), auditables à tout moment.