Notre Engagement Sécurité
En tant qu'entreprise de cybersécurité, nous nous soumettons aux mêmes exigences que celles que nous imposons à nos propres clients. Voici comment nous protégeons vos données et votre confiance.
Chez Hacksessible, la sécurité n'est pas une case à cocher - c'est notre raison d'être. Nous ne pouvons pas vous aider à améliorer votre posture de sécurité si la nôtre n'est pas exemplaire. Cette page documente nos engagements concrets, nos mesures techniques, et nos processus opérationnels en matière de sécurité des données et de conformité réglementaire.
Résidence des données
L'intégralité de vos données est hébergée en Europe, chez des fournisseurs d'infrastructure souverains. Nous ne faisons appel à aucun hyperscaler américain pour le stockage de données sensibles.
Notre infrastructure principale est hébergée chez un hébergeur européen (juridiction européenne) avec une réplication sur des noeuds européens certifiés. Aucune donnée client ne transite par des territoires soumis au Cloud Act américain.
Hébergement : Europe / UE - juridiction RGPD exclusive
Chiffrement
Toutes les communications entre votre navigateur et nos serveurs sont protégées par TLS 1.3, le protocole de chiffrement en transit le plus récent et le plus robuste. Nous désactivons explicitement TLS 1.0 et TLS 1.1, et appliquons HSTS avec preloading.
Les données au repos sont chiffrées avec AES-256 au niveau du volume de stockage. Les secrets applicatifs (clés API, tokens) sont stockés dans un vault dédié avec rotation automatique.
En transit : TLS 1.3 + HSTS • Au repos : AES-256
Infrastructure sécurisée
Notre architecture suit le principe du moindre privilège et de la défense en profondeur. Chaque client dispose d'un environnement d'exécution isolé - les données et les résultats de scan d'un client ne peuvent jamais être accessibles par un autre client.
Nous appliquons une segmentation réseau stricte entre les composants. Les agents IA opèrent dans des sandboxes éphémères qui sont détruites après chaque session. Nos pipelines CI/CD intègrent des scans de vulnérabilités automatiques à chaque déploiement.
Isolation : Environnement par client, sandbox éphémère par session
Protection des données
Les données issues de vos scans - y compris les vulnérabilités détectées, les captures d'écran, et les preuves techniques - sont stockées chiffrées et accessibles uniquement à votre organisation. Elles ne sont jamais utilisées pour entraîner nos modèles IA sans votre consentement explicite.
Nous appliquons une politique de rétention limitée : les données de scan sont conservées 12 mois par défaut et peuvent être supprimées à la demande. Vous restez propriétaire de vos données en toutes circonstances.
Conformité & Réglementation
RGPD
Hacksessible est conforme au Règlement Général sur la Protection des Données (RGPD). Nous avons désigné un Délégué à la Protection des Données (DPO) et mis en place les processus requis : registre des traitements, évaluation d'impact (DPIA) pour les traitements à risque, gestion des demandes d'exercice des droits.
Nos sous-traitants sont soumis à des accords de traitement des données (DPA) conformes au RGPD. Nous réalisons un audit de conformité annuel.
Certifications (roadmap)
Nous sommes engagés dans un parcours de certification ISO 27001, le standard international de référence pour les systèmes de management de la sécurité de l'information.
Nous appliquons d'ores et déjà les contrôles ISO 27001 (Annexe A) sur l'ensemble de nos processus critiques : gestion des accès, gestion des incidents, continuité d'activité, et sécurité des ressources humaines.
En cours : ISO 27001 (certification cible 2026)
Responsible Disclosure
Nous pratiquons une politique de divulgation responsable (Responsible Disclosure / CVD) ouverte. Si vous découvrez une vulnérabilité dans nos systèmes ou notre plateforme, nous vous invitons à nous la signaler de manière confidentielle avant toute publication.
Nous nous engageons à :
Accuser réception de votre signalement sous 24 heures ouvrées
Vous tenir informé de l'avancement du correctif
Corriger la vulnérabilité dans les délais raisonnables selon sa criticité
Vous créditer publiquement si vous le souhaitez
Ne pas engager de poursuites judiciaires pour une divulgation de bonne foi
Signalement : [email protected] (PGP disponible sur demande)
Des questions sur notre sécurité ?
Notre équipe sécurité répond à toutes vos questions techniques. Pour les audits de sécurité clients et les questionnaires fournisseurs, contactez-nous directement.