Sécurité & Confiance

Vos données méritent
plus qu'un cadenas.

ROOMCA est construit pour résister aux attaques d'aujourd'hui, et à celles de demain. Voici concrètement comment, sans jargon, tout niveau de lecture accepté.

🔒Document RSSI, DPO & équipes d'audit. Téléchargement libre, sans inscription.
Posture · roomca.fr Opérationnel
TransitX25519MLKEM768 · FIPS 203ok
SessionEd25519 + ML-DSA-65 · FIPS 204ok
Mots de passeArgon2id · OWASP 2024ok
Au reposAES-256-GCM · volume LUKS2ok
BasePostgreSQL · ML-KEM-1024ok
HébergementScaleway PAR1, Franceok
MFATOTP obligatoireok
Niveau de durcissementtout au vert
0%
Mots de passe hachés
Argon2id · OWASP 2024
MFA
TOTP obligatoire
Microsoft / Google Authenticator
PQC
Post-quantique, 2 niveaux
transit + session
Hébergement France
Scaleway PAR1 (fr-par)
Contrôle des systèmes

Dix domaines, tous au vert

Chaque domaine répond à une famille d'attaques réelles. Sélectionnez un système pour lire son relevé complet. Aucun n'est théorique, aucun n'est optionnel.

SystèmeÉtat
Identitédurci
🔐

Votre identité protégée

Vol de mot de passe ? Inutile sans votre accord.

Mots de passe illisibles
Hachage Argon2id (OWASP 2024).
MFA TOTP
Compatible Microsoft / Google Authenticator, secret chiffré.
Verrouillage auto
Lockout temporel après plusieurs échecs.
Codes de secours
Codes à usage unique en cas de perte du téléphone.
Mot de passe robuste
Évaluation de force + blocklist des mots de passe communs.
Identitédurci
🔐

Votre identité protégée

Vol de mot de passe ? Inutile sans votre accord.

Mots de passe illisibles
Hachage Argon2id (OWASP 2024).
MFA TOTP
Compatible Microsoft / Google Authenticator, secret chiffré.
Verrouillage auto
Lockout temporel après plusieurs échecs.
Codes de secours
Codes à usage unique en cas de perte du téléphone.
Mot de passe robuste
Évaluation de force + blocklist des mots de passe communs.
Le tracé d'une requête

De votre clavier jusqu'à notre base

Chaque étape du trajet est chiffrée, signée, ou vérifiée. Aucune faille à mi-chemin.

🌐

Vous tapez roomca.fr

Le navigateur ouvre un tunnel TLS 1.3 exclusif vers nos serveurs. Pas de downgrade toléré.

🧬

Poignée de main post-quantique

Négociation X25519MLKEM768 : une clé X25519 classique ET une clé ML-KEM-768 (FIPS 203). L'adversaire qui stocke aujourd'hui pour déchiffrer demain échoue.

🔐

Identité + MFA

Mot de passe vérifié contre Argon2id. TOTP (Microsoft / Google Authenticator) exigé. Lockout automatique après plusieurs échecs.

🎟️

Session signée 2×

Chaque JWT porte une signature Ed25519 ET une signature ML-DSA-65 (FIPS 204). Une des deux peut tomber, l'autre tient.

💾

Stockage chiffré

Secrets (MFA, tokens, PII) chiffrés AES-256-GCM avant écriture. Base PostgreSQL sur volume LUKS2, sauvegardes chiffrées vers Scaleway Object Storage France.

En clair, sans jargon

Nos protections, en une image

🏦
Comme un coffre de banque
Votre mot de passe n'est pas stocké en clair. Nous gardons une empreinte Argon2id : même volée, notre base ne livre que des empreintes inexploitables.
🔑
Comme une clé à double verrou
Pour se connecter, il faut ET votre mot de passe ET un code unique TOTP. L'un sans l'autre ne sert à rien.
📮
Comme une enveloppe scellée
Vos échanges passent par deux signatures cryptographiques. Si un facteur imprime un faux cachet, l'autre tient.
🚨
Comme une alarme avec capteur
Une clé de session volée et utilisée ailleurs : le système le voit, coupe tout, et vous avertit avant l'attaquant.
🧹
Comme un ménage automatique
Les données qui ne servent plus (journaux, sessions expirées) sont supprimées chaque nuit. Ce qui n'est pas stocké ne peut pas fuiter.
🛂
Comme un contrôle frontalier
Chaque fichier uploadé est vérifié octet par octet. Un faux document est rejeté avant de toucher nos serveurs.
Références & accréditations

Sur qui reposent nos garanties

Nous ne produisons pas ces certifications. Elles sont portées par notre hébergeur ou par les standards internationaux que nous appliquons. La distinction est honnête, elle est affichée.

Portées par notre hébergeurScaleway · groupe Iliad
ISO 27001
Management de la sécurité
vérifié
ISO 27017
Sécurité des services cloud
vérifié
ISO 27018
Protection des données cloud
vérifié
HDS
Hébergeur de données de santé
vérifié
SecNumCloud
Qualification ANSSI
vérifié
Standards que nous appliquonsMise en œuvre ROOMCA
RGPD article 32
Sécurité du traitement
vérifié
OWASP Password 2024
Hachage Argon2id
vérifié
FIPS 203 / 204
Post-quantique NIST
vérifié
Notre usage de l'IA

Une IA souveraine, hébergée en France

L'assistant et le coach ROOMCA s'appuient sur un modèle hébergé en France. L'IA sert la pédagogie, elle ne décide jamais à votre place.

Garanties IAbornée
🇫🇷

Hébergée en France

L'inférence tourne sur une infrastructure souveraine française (Scaleway, Paris). Aucune de vos données ne quitte l'Union européenne, hors Cloud Act.

🔒

Vos données n'entraînent pas le modèle

Vos contenus et ceux de vos collaborateurs ne servent jamais à entraîner le modèle. Aucune donnée nominative ne lui est transmise : il ne raisonne que sur des agrégats anonymes.

🤝

Supervision humaine

L'IA propose, vous décidez. Aucune notation automatique d'un collaborateur, aucune décision RH déléguée à la machine. C'est un outil d'aide, pas un juge.

🛡️

Explicable et bornée

Quand c'est possible, les analyses sont déterministes et explicables, pas une boîte noire. L'IA enrichit la méthode Cybervécu, elle n'est jamais un point de défaillance.

Architecture

La stack qui tourne sous le capot

Construite pour durer et défendable ligne par ligne. Pas de boîte noire, pas de dépendance extra-UE, pas de SaaS américain entre vos données et nous.

Runtime applicatifactif
ServeurNode.js LTS, framework HTTP moderne
ExécutionTypeScript natif, build serveur minimal
SupervisionProcess supervisé, utilisateur non-root
HébergementBare-metal, surface réduite
Donnéesactif
BasePostgreSQL, secrets chiffrés AES-256-GCM
Au reposVolume LUKS2, clé ML-KEM-1024 (PQ)
SauvegardesWAL + base chiffrés en continu → Object Storage France
RestorePITR (base + WAL rejoués), RPO ~1 min
Réseau & TLSactif
Reverse proxyTLS 1.3 exclusif, HTTP/3 disponible
Post-quantiqueX25519MLKEM768 (NIST FIPS 203)
CertificatsACME automatique, renew sans coupure
AdminTunnel VPN obligatoire, SSH public fermé
Défense activeactif
Anti-botDétection comportementale, bans automatiques
HeadersCSP stricte, HSTS, COOP/CORP, frame-ancestors none
Rate limitingBackend distribué, clés multi-facteurs
AuthArgon2id, MFA TOTP, RBAC granulaire
Observabilitéactif
ErreursMonitoring auto-hébergé, scrubbing PII complet
LogsStructurés JSON, rotation et rétention bornée
AnalyticsGA4 opt-in (Consent Mode v2), IP anonymisée
MétriquesInstrumentation Prometheus interne
Services externesactif
EmailSMTP transactionnel France, SPF/DKIM/DMARC alignés
PaiementStripe Billing (au lancement)
SSO entrepriseOpenID Connect, SAML, SCIM, LTI
DéploiementCompatible Microsoft Intune (PWA managée)
DépendancesLockfile pinné, supply-chain durcie
Livraison & CIactif
CIGitHub Actions : lint, types, tests, build, audit
Pré-prodEnvironnement isolé, validé avant la prod
MigrationsIdempotentes, appliquées au démarrage
DéploiementScripté, fast-forward only, smoke test
🚫Ce qui n'est pas dans la stack

Le choix de ce qu'on retire compte autant que le choix de ce qu'on garde.

Application en conteneur
runtime Node bare-metal supervisé (base PostgreSQL en conteneur dédié)
Pixels & régies publicitaires
aucun tracking marketing tiers
Sentry SaaS (US)
risque Cloud Act sur logs PII
CDN américain
données en transit hors UE
BaaS managé extra-UE
pas de contrôle sur la donnée
Binaires fermés non auditables
stack 100 % open source
Pour les équipes sécurité

Les détails complets dans le dossier RSSI

Paramètres de chiffrement, matrice RGPD art. 32, sous-traitants, rétentions, configuration TLS, durées de session : tout est dans le PDF. Ces détails opérationnels ne sont pas publiés en clair sur le site.

🔒Divulgation responsable : détails sensibles réservés au dossier RSSI.

Accord de traitement des données conforme à l'article 28 RGPD, signable, transmis sur simple demande.

🛡️

Un doute, une question RSSI ou DPO ?

On répond en détail, sans marketing. Vous pouvez aussi télécharger directement le dossier sécurité enrichi.

🛡️ Parler à l'équipe