Centre de sécurité & conformité
Notre suite est conçue dès l'origine pour répondre aux exigences les plus strictes du secteur (DSI réglementées, opérateurs essentiels NIS2, secteurs critiques). Voici les preuves.
ISO/IEC 27001 Système de management de la sécurité
Implémentation des mesures de l'annexe A de la norme ISO/IEC 27001:2022 directement dans le code et la documentation.
A.5 Contrôle d'accès RBAC · MFA · Session
RBAC fin (Admin / User / Viewer / rôles personnalisés ITSM/Docs), MFA TOTP RFC 6238, lockout brute-force 5 échecs → 15 min.
A.8 Cryptographie Au repos · En transit
Secrets connecteurs chiffrés AES-256, mots de passe bcrypt (cost 10), HTTPS forcé en prod, TOTP secret chiffré, PIN/PUK SIM masqués.
A.12 Logging Audit + monitoring
Tables `auth_events`, `audit_log`, `audit_events` immuables. Tous les événements horodatés avec IP, user agent, détails JSON.
A.13 Communications TLS · Headers
HSTS, COOP, CORP, X-Frame-Options, CSP, Referrer-Policy, Permissions-Policy. WAF mod_rewrite anti-injection.
A.16 Gestion incidents Détection + réponse
Détection automatique (credential stuffing, anomalies). Notifications webhook + email. Audit complet de la chaîne d'événements.
A.18 Conformité RGPD intégré
Export utilisateur (Art. 15), anonymisation (Art. 17), purge automatique selon rétention, registre traçable.
NIS2 — Cybersécurité opérateurs essentiels
Conçu pour répondre aux obligations NIS2 des entreprises essentielles et importantes du marché européen, applicables depuis octobre 2024.
Gestion des risques cyber
Politique d'authentification renforcée (MFA TOTP imposable aux admins), gestion des accès basée sur les rôles, séparation des privilèges, principe du moindre droit.
Détection et notification d'incidents
Détection automatisée des credential stuffing (IP rate-limit), des comportements anormaux (lockouts), notification webhook/email/SIEM avec niveau de sévérité. Délai de notification CISPR conforme.
Continuité d'activité
Backup BDD automatisable (cron), restauration documentée, migration entre instances supportée. Self-hosted = vous gardez la maîtrise complète de votre PCA/PRA.
Chaîne d'approvisionnement
Open Core : code source consultable. Bill of Materials des dépendances. Pas de blob fermé qui ne pourrait pas être audité par votre RSSI.
Sécurisation du développement & SDLC
PHP 8.3, requêtes paramétrées PDO (anti-SQLi), htmlspecialchars partout (anti-XSS), CSRF tokens timing-safe, MFA TOTP, sessions httponly+secure+samesite. Audit OWASP Top 10.
RGPD par construction
Les 6 droits fondamentaux du règlement européen sur la protection des données sont implémentés en natif. Helpers PHP exposés, registre de traitements auditables.
Article 15 — Droit d'accès
Helper netinv_gdpr_export_user($userId) génère un JSON complet : profil, devices, SIM, logs auth, audit. Exportable sur demande user.
Article 16 — Rectification
Tous les champs utilisateur éditables via profile.php avec audit trail. Modifications historisées dans `audit_log`.
Article 17 — Droit à l'oubli
Helper netinv_gdpr_anonymize_user($userId) remplace les PII par des valeurs hachées. Logs conservés (preuve légale) mais désidentifiés.
Article 20 — Portabilité
Export CSV/JSON structuré exploitable par tout autre outil. Schéma BDD documenté. Pas de format propriétaire fermé.
Article 18 — Limitation
Flag `is_active = 0` désactive un user sans effacer ses traces métier. Workflow validation manuelle pour modifications sensibles.
Article 5.1.e — Rétention
Helper netinv_gdpr_purge_old_logs($days) en cron mensuel. Rétention configurable par type de donnée (auth, audit, KPI).
Vos données restent en EU (et chez vous si self-hosted). DPO contact disponible pour vos audits CNIL.
Audit log immuable et exportable
Chaque action sensible est historisée — auth, config, data métier — avec horodatage à la milliseconde, IP, user agent, et payload structuré JSON.
Tables d'audit
| Table | Périmètre | Champs principaux |
|---|---|---|
auth_events | Authentification, MFA, SSO, sessions | user_id, event_type, ip, ua, details |
audit_log | Modifications data métier | actor, action, target, before/after |
movements | Lifecycle des devices Netinv | device_id, type, details, user |
itsm_ticket_history | Chaque changement de ticket ITSM | ticket, event_type, actor, field, old/new |
nd_audit_events | Modifications NetDocs (pages, spaces) | actor, action, page_id, version |
nc_audit_events | Activité NetControl (licenses, releases) | actor, action, target, severity |
Export SIEM : push webhook vers Splunk, ELK, Datadog. Format JSON normalisé.
Phase 2 : hash de chaîne (block hash chain) pour intégrité cryptographique de la chaîne d'audit.
Besoin d'une revue de sécurité approfondie ?
Audit RSSI, démo conformité, validation NIS2/RGPD — nous accompagnons votre Architecture Review.
Planifier une revue sécurité