Politique de sécurité

La sécurité est le fondement même de Scanyze. En tant que plateforme de cybersécurité développée par une entreprise de cybersécurité, nous appliquons à nos propres systèmes le même niveau d'exigence que nous aidons nos clients à atteindre.

- Hébergement exclusif au Québec — Toute l'infrastructure de Scanyze est hébergée chez OVH Canada, dans le centre de données de Beauharnois, Québec - Souveraineté des données — Aucune donnée client (résultats de scan, rapports, configurations) n'est stockée de manière persistante hors du territoire québécois - Conformité Loi 25 — L'infrastructure a été conçue dès l'origine pour répondre aux exigences de la Loi 25

- En transit : TLS 1.3 obligatoire sur toutes les communications (interface web, API, agents de scan) - Au repos : Chiffrement AES-256 de toutes les données stockées, incluant les résultats de scan et rapports - Clés de chiffrement : Gestion des clés séparée de l'infrastructure de stockage

- Les scans sont exécutés exclusivement depuis l'infrastructure SecuAAS hébergée au Québec - Les moteurs de scan sont isolés par client (pas de partage de ressources entre tenants) - Les résultats de scan transitent exclusivement via des canaux chiffrés

- Authentification multi-facteurs (MFA) disponible et recommandée - Gestion des rôles et permissions par organisation - Journalisation complète de toutes les opérations (scans, accès aux rapports, modifications de configuration) - Politique de mots de passe conformes aux recommandations de l'ANSSI et du CIS - Isolation stricte des données entre organisations (multi-tenancy sécurisé)

- Surveillance 24/7 de l'infrastructure - Détection d'intrusion (IDS/IPS) en place - Plan de réponse aux incidents documenté et testé - Registre des incidents de confidentialité tenu conformément à la Loi 25 - Notification aux autorités (CAI) et aux personnes concernées en cas d'incident présentant un risque de préjudice sérieux

- Sauvegardes chiffrées effectuées quotidiennement - Rétention des sauvegardes selon la politique de conservation - Plan de reprise après sinistre (DRP) documenté - Infrastructure redondante au sein du centre de données de Beauharnois

- Cycle de développement sécurisé (SDLC) - Revue de code et analyse statique intégrées au CI/CD - Tests de sécurité automatisés à chaque déploiement - Scanyze est utilisé pour surveiller sa propre surface d'attaque

Si vous découvrez une vulnérabilité de sécurité dans Scanyze, veuillez nous la signaler de manière responsable à : security@secuaas.com Nous nous engageons à : - Accuser réception dans les 48 heures - Ne pas engager de poursuites contre les chercheurs agissant de bonne foi - Corriger les vulnérabilités confirmées dans les meilleurs délais