Aller au contenu principal

08 · Sécurité

La sécurité.
En détail.

Synthèse publique des mesures techniques et organisationnelles mises en œuvre par MyKonci pour protéger les données de ses clients et de leurs voyageurs.

Dernière mise à jour · 2 avril 2026

01Hébergement et localisation

  • Hébergement chez Hetzner Online GmbH, datacenters en Allemagne (Gunzenhausen / Falkenstein).
  • Aucune donnée client hébergée hors de l'Union européenne en fonctionnement nominal.
  • Sauvegardes chiffrées répliquées dans un second datacenter UE.
  • Redondance matérielle (stockage, alimentation, réseau) et bascule automatique.

02Chiffrement

  • Au repos : AES-256 pour les bases de données, les volumes de stockage, les backups et les enregistrements audio.
  • En transit : TLS 1.3 sur toutes les communications (API, dashboard, webhooks, intégrations). Les anciennes versions TLS ne sont pas acceptées.
  • Gestion des clés : rotation annuelle, stockage cloisonné, accès loggé.
  • Secrets applicatifs : jamais en clair dans le code, stockés dans un gestionnaire de secrets dédié.

03Isolation multi-tenant

  • Chaque client dispose d'un identifiant propre (client_id) isolé au niveau applicatif.
  • Double filtrage des requêtes de base de données : filtrage applicatif et Row-Level Security (RLS) PostgreSQL.
  • Tests de pénétration périodiques visant spécifiquement l'isolation des tenants.
  • Dans le cadre du fonctionnement nominal du Service, aucun client ne peut accéder aux données d'un autre client.

04Gestion des identités et accès

  • Authentification client : mot de passe avec exigences de complexité, support de l'authentification à deux facteurs (2FA/TOTP), sessions expirables.
  • Authentification des employés MyKonci : SSO avec 2FA obligatoire pour tout accès aux systèmes de production.
  • Principe du moindre privilège : chaque rôle interne n'a accès qu'aux ressources strictement nécessaires.
  • Journalisation des accès : tout accès aux données d'un client est loggé (identité, date, ressource, IP), conservé 12 mois et consultable par le client administrateur.

05Sécurité applicative

  • Revue de code systématique avant toute mise en production.
  • Analyse statique et scans automatisés des dépendances (CVE) à chaque build.
  • Protection contre les attaques OWASP Top 10 (injections, XSS, CSRF, broken auth, etc.).
  • Rate limiting applicatif contre les attaques par force brute et scraping.
  • Protection DDoS au niveau infrastructure.

06Sauvegardes et continuité

  • Sauvegardes quotidiennes complètes chiffrées, rétention 30 jours glissants.
  • Tests de restauration périodiques.
  • Plan de reprise d'activité (PRA) documenté avec objectifs RPO / RTO.
  • Redondance multi-zone pour les services critiques.

07Supervision et réponse à incident

  • Supervision continue des systèmes (disponibilité, performances, sécurité).
  • Système d'alertes automatisées 24/7 pour les anomalies critiques.
  • Équipe d'astreinte pour les offres Business et Enterprise.
  • Processus d'incident documenté : détection, qualification, endiguement, éradication, rétablissement, post-mortem.
  • Notification au client en cas de violation de données : dans les 48h suivant la détection (rapport préliminaire), rapport complet sous 7 jours.

08Personnel et gouvernance

  • Engagements de confidentialité contractuels pour toute personne accédant aux données.
  • Formation régulière à la sécurité et à la protection des données pour tous les collaborateurs.
  • Contrôles d'accès physique aux ressources de l'hébergeur (Hetzner) : biométrie, badges, vidéosurveillance (mesures sous la responsabilité de Hetzner).
  • Politique interne de sécurité documentée et revue annuellement.

09Sous-traitants et composants externes

La liste complète des sous-traitants ultérieurs figure dans la politique de confidentialité et dans le DPA. Chaque sous-traitant est audité contractuellement et soumis à des obligations équivalentes à celles imposées à MyKonci. Les modèles d'embeddings utilisés pour certaines analyses sémantiques sont exécutés localement sur l'infrastructure MyKonci en UE, sans transfert externe.

10Audits et certifications

Les datacenters Hetzner utilisés par MyKonci sont certifiés ISO 27001. MyKonci met en place progressivement des audits externes de sécurité et est disponible pour des audits clients selon les modalités prévues au DPA (article 11).

Les clients professionnels peuvent obtenir sur demande :

  • Un questionnaire sécurité standardisé rempli (SIG Lite ou équivalent).
  • Les rapports de tests de pénétration récents (sous accord de confidentialité).
  • La liste détaillée des sous-traitants et des mesures contractuelles associées.

Demande à adresser à security@mykonci.com.

11Signalement de vulnérabilité

MyKonci encourage le signalement responsable de vulnérabilités. La politique complète est décrite sur la page Responsible Disclosure. Contact direct : security@mykonci.com.

12Contact

Pour toute question de sécurité : security@mykonci.com. Pour les demandes relatives aux données personnelles : privacy@mykonci.com.