Sécurité et confidentialité

Mesures concrètes, limites assumées.

CyberBoard aide les PME à structurer un diagnostic cyber/GRC. Cette page décrit les mesures de sécurité mises en place, les données traitées et les limites actuelles — sans promesse de certification ou de conformité garantie.

Mesures de sécurité en place

Ces mesures sont implémentées et actives. Elles peuvent évoluer avec les prochaines étapes produit.

Authentification

Chaque utilisateur dispose d'un compte individuel (email + mot de passe). Les sessions sont gérées par Supabase Auth avec des tokens JWT signés. L'accès à l'application nécessite une authentification.

Séparation des données par organisation

Les données (évaluations, réponses, plans d'action, rapports) sont rattachées à une organisation. Un utilisateur sans appartenance à une organisation ne peut pas accéder à ses données.

Contrôle d'accès par membres

L'accès est contrôlé par membership explicite : seules les personnes ajoutées comme membres par un propriétaire peuvent lire et modifier les évaluations d'une organisation.

Row Level Security (RLS)

Les règles d'accès sont appliquées directement au niveau de la base de données (PostgreSQL RLS). Même si un bug applicatif existait, la base refuserait l'accès non autorisé.

Fonctions sécurisées (SECURITY DEFINER)

Les opérations sensibles (ajout de membre, consultation des profils) passent par des fonctions côté serveur avec des droits restreints et un search_path fixé. L'accès à auth.users n'est jamais exposé directement au client.

Aucune clé d'administration côté client

Seule la clé publique Supabase (publishable key) est utilisée dans le navigateur. La clé service_role n'est jamais transmise côté client ni versionnée dans le code.

Journal d'audit collaboration

Les ajouts et retraits de membres, les invitations, les modifications d'organisation et les changements de contributeurs sont enregistrés dans un journal horodaté, consultable par les membres.

Export et suppression des données

Les évaluations peuvent être exportées (PDF, CSV). La corbeille permet de restaurer ou de supprimer définitivement les évaluations. L'export complet d'organisation est prévu en roadmap.

Headers de sécurité HTTP

L'application envoie des headers de sécurité : X-Frame-Options (protection clickjacking), X-Content-Type-Options, Referrer-Policy, Permissions-Policy et une Content-Security-Policy partielle.

Données locales limitées

Aucune donnée client réelle n'est stockée durablement dans le navigateur (localStorage). Seules les réponses de la démo publique et l'identifiant de session sont conservés localement, et nettoyés à la déconnexion.

Données traitées

CyberBoard traite uniquement les données nécessaires à son fonctionnement. Aucune donnée n'est revendue ni partagée avec des tiers à des fins commerciales.

Données de compte
Email, mot de passe (hashé par Supabase Auth), prénom/nom/nom affiché optionnels.
Données d'organisation
Nom, secteur, taille, pays — saisies par l'utilisateur lors de la création.
Réponses au questionnaire
Scores (0–4 ou N/A) et commentaires libres par question. Attention : les commentaires ne doivent pas contenir de secrets techniques.
Plan d'action
Actions, responsables (noms texte), échéances, statuts, notes de suivi.
Journal de collaboration
Horodatage, type d'événement, acteur, cible — pas de contenu métier.
Données non collectées
Aucune carte bancaire, aucun numéro de téléphone, aucune donnée de localisation, aucun cookie tiers.

Recommandation pour les utilisateurs

Les commentaires libres saisis dans le questionnaire (champ « Commentaire » par question) et les notes de suivi du plan d'action sont stockés tels quels. Évitez d'y saisir des mots de passe, des clés d'accès, des données personnelles de tiers ou des informations hautement confidentielles. Utilisez ces champs pour décrire votre posture et vos actions, pas pour stocker des secrets.

Limites actuelles

Ces limites sont documentées et guident les prochaines priorités. La transparence sur les limites fait partie du contrat de confiance avec les utilisateurs.

  • CyberBoard est en phase bêta — durcissement progressif en cours.
  • Pas encore de MFA (authentification multifacteur) forcée côté application.
  • Pas encore de SSO/SAML pour les comptes entreprise.
  • Pas encore de chiffrement applicatif champ par champ.
  • Pas encore d'audit log couvrant les connexions et les téléchargements de rapport.
  • Pas encore d'invitations email automatiques (les invitations sont créées manuellement).
  • Les permissions par évaluation (viewer strict) ne sont pas encore actives.
  • Aucun audit de sécurité externe publié à ce jour.
  • CyberBoard ne garantit pas une conformité ISO 27001, NIS2, DORA ou tout autre référentiel.

Infrastructure

CyberBoard est hébergé sur Vercel (application Next.js) et Supabase(base de données PostgreSQL, authentification, API). Les deux fournisseurs sont des plateformes cloud avec des certifications de sécurité publiées (SOC 2, ISO 27001 pour Supabase Enterprise). CyberBoard lui-même n'est pas certifié à ce jour.

Une question sécurité ?

Vous avez identifié un problème de sécurité ou souhaitez discuter du contexte de votre organisation ? Contactez l'équipe directement.

Contacter CyberBoard