Sécurité

Architecture de sécurité Herozion

Herozion applique les recommandations OWASP Top 10 2021 sur l'ensemble de sa plateforme web et API. Chaque couche — transport, authentification, stockage, application — est renforcée de façon indépendante.

OWASP10/10

Couverture complète de l'OWASP Top 10 2021

Les 10 catégories de risques OWASP sont couvertes. La sécurité est réévaluée à chaque cycle de déploiement — les mesures évoluent en continu.

Audit continu

La sécurité est réévaluée à chaque déploiement. Le code source fait l'objet d'une analyse statique via Herozion lui-même avant toute mise en production.

Architecture sécurisée

L'infrastructure est conçue selon le principe de défense en profondeur : chaque composant est sécurisé indépendamment, de sorte qu'un contournement d'une couche ne compromet pas les autres.

Stockage chiffré

Les données sensibles sont chiffrées au repos avant toute écriture sur disque ou stockage objet.

Validation systématique

Chaque corps de requête est validé (type, longueur, format) par un middleware centralisé avant d'atteindre la logique métier. Les données brutes ne sont jamais utilisées directement.

Chiffrement & stockage sécurisé

Les données sensibles persistées sont chiffrées au repos avec un algorithme symétrique authentifié. Toute altération du texte chiffré est détectée avant déchiffrement.

Chiffrement au repos — Les données sensibles sont chiffrées avant toute écriture sur disque ou stockage objet. Les clés ne sont jamais présentes dans le code source.

Sessions & Authentification

Votre session ne peut pas être volée

Votre connexion est stockée de façon à être inaccessible aux scripts malveillants sur la page, et ne peut pas être exploitée par un autre site à votre insu.

Accès administrateur renforcé

Les accès internes sont protégés par des mécanismes de vérification avancés, résistants aux tentatives d'usurpation d'identité.

Connexion sans mot de passe

Vous vous connectez via un code envoyé par e-mail. Pas de mot de passe à retenir — et donc aucun mot de passe à pirater.

Vous ne quittez pas le site sans contrôle

Chaque redirection est vérifiée côté serveur. Vous ne pouvez pas être envoyé vers un site malveillant à votre insu via un lien sur Herozion.

Brute-force & limites de tentatives

Des limites strictes sont appliquées sur toutes les routes d'authentification. Les tentatives répétées sont bloquées automatiquement avec un délai de récupération progressif. Les seuils exacts ne sont pas publiés.

Politique IA — vos données ne servent pas à entraîner des modèles

Herozion never uses customer code to train AI models.

Votre code source n'est jamais transmis à nos serveurs. Il est donc techniquement impossible qu'il serve à entraîner quoi que ce soit — pas un LLM, pas un modèle de détection, pas un système de recommandation.

Question	Réponse	Détail
Le code est-il stocké côté Herozion ?	Non — jamais	Analyse 100 % locale. Le binaire lit vos fichiers sans connexion réseau.
Le code est-il chiffré en transit ?	Sans objet	Aucune transmission = aucun transit à chiffrer. La garantie est architecturale.
Le code est-il utilisé pour entraîner de l'IA ?	Non — impossible	Nous ne recevons pas le code. Il est donc impossible de l'utiliser pour quoi que ce soit.
Des métadonnées sont-elles collectées pendant le scan ?	Non par défaut	Aucune télémétrie implicite. `herozion push` est strictement opt-in.
Les rapports JSON sont-ils envoyés automatiquement ?	Non — opt-in	Le rapport est écrit localement. `herozion push` est une commande explicite que vous déclenchez.
Herozion utilise-t-il de l'IA pour l'analyse ?	Non	Détection par analyse statique déterministe (règles OWASP + patterns). Pas d'inférence ML.

Infrastructure & hébergement

Herozion utilise une infrastructure cloud conforme aux standards de l'industrie. Les données minimales que nous traitons (inscriptions, logs de visite) sont hébergées dans des régions UE.

Composant	Fournisseur	Données
Paiements	Stripe — certifié PCI-DSS Level 1	Données de facturation uniquement. Herozion ne touche jamais les numéros de carte.
Géolocalisation IP (logs de visite)	Service tiers	IP anonymisée avant transmission — les octets de fin sont tronqués. Aucune IP complète n'est partagée.

On-prem ?

Le scanner CLI fonctionne entièrement en local. Aucune connectivité cloud n'est requise pour analyser votre code.

Dépôts privés ?

Compatible. Herozion scanne le filesystem local — pas besoin d'accès GitHub/GitLab. Vos dépôts privés ne quittent jamais votre runner.

Isolation par tenant ?

Chaque scan s'exécute dans son propre processus isolé. Les données d'un scan ne sont jamais accessibles à un autre tenant.

Où sont hébergées les données ?

L'infrastructure web (API, sessions) est hébergée dans l'Union Européenne. Aucune donnée de code n'est hébergée nulle part.

Réponse aux incidents de sécurité

En cas d'incident de sécurité avéré touchant des données utilisateurs (ex. : accès non autorisé, fuite de données), voici notre protocole d'intervention.

Phase	Action	Délai cible
1 — Détection	Identification et confinement de la menace. Isolation des systèmes affectés.	< 1 heure
2 — Évaluation	Analyse de l'impact. Quelles données ? Quels utilisateurs ? Quelle origine ?	< 4 heures
3 — Notification	Notification des utilisateurs affectés par e-mail. Communication transparente sur l'incident.	< 72 heures (RGPD art. 34)
4 — Autorités	Notification à la CNIL si les données personnelles sont impliquées.	< 72 heures (RGPD art. 33)
5 — Remédiation	Correction, déploiement du patch, audit post-mortem.	Selon sévérité
6 — Post-mortem	Publication d'un rapport public (si incident majeur). Mesures préventives.	< 30 jours

Impact limité par design

Herozion ne stocke pas de code source, pas de mots de passe et pas de données financières. En cas d'incident, l'impact maximal est limité aux adresses e-mail et aux inscriptions aux événements (chiffrées).

Feuille de route conformité

Herozion est un projet en croissance. Voici notre état de conformité actuel et les certifications que nous visons.

Standard	Statut	Détail
RGPD / GDPR	Conforme	Droits utilisateurs (art. 15–21), DPO désigné, rétention minimale, base légale documentée.
OWASP Top 10	Conforme	Couverture complète des 10 catégories. Score évalué à chaque déploiement.
PCI-DSS	Via Stripe	Herozion ne stocke jamais de données de carte. Délégation totale à Stripe (certifié PCI-DSS Level 1).

Responsible Disclosure Policy

Si vous découvrez une vulnérabilité de sécurité sur herozion.io ou dans l'outil Herozion, nous vous encourageons à la signaler de façon responsable. Nous nous engageons à traiter chaque signalement sérieusement et sans représailles.

Safe Harbor

Herozion s'engage à ne pas engager de poursuites légales contre les chercheurs qui signalent des vulnérabilités de bonne foi, dans le respect de cette politique. Nous considérons ces recherches comme une contribution précieuse à la sécurité du produit.

Comment signaler une vulnérabilité

Envoyez un e-mail à [email protected] avec le sujet [SECURITY].
Décrivez la vulnérabilité, les conditions de reproduction et l'impact potentiel.
Joignez si possible un proof-of-concept (PoC) non destructif.
Accordez-nous 90 jours pour corriger avant toute divulgation publique (coordinated disclosure).

Nos engagements de réponse

Accusé de réception : sous 48 heures ouvrées.
Évaluation initiale : sous 7 jours.
Patch déployé : selon la criticité de la vulnérabilité.
Crédit : les signalements valides sont mentionnés dans le changelog (avec votre accord).

Périmètre (In-scope)

herozion.io et tous ses sous-domaines
Le binaire CLI Herozion (macOS, Linux, Windows)
L'API Herozion
Le dashboard Herozion

Hors périmètre (Out-of-scope)

Attaques de type DoS / DDoS volumétriques
Spam ou ingénierie sociale
Vulnérabilités dans les dépendances tierces non exploitables dans notre contexte
Scanner automatisé sans tentative de reproduction manuelle