Conforme ReCyF NIS 2, aligne ANSSI, RGPD natif. Chaque ligne de code est ecrite avec la securite comme priorite absolue.
76/76
ReCyF NIS 2
Exigences EI conformes (100%)
BP-028
Aligne ANSSI
Guide configuration GNU/Linux v2.0
13/13
RGPD natif
Articles implementes nativement
76/76
exigences EI conformes (100%)
Scoring honnete, point par point, du referentiel de cybersecurite France — transposition nationale NIS 2, ANSSI mars 2026. Chaque point est evalue, justifie et auditable.
PSSI formalisee et signee
Politique de securite des systemes d'information complete, approuvee par la direction.
Charte d'usage SI opposable
Regles d'utilisation du SI signees par chaque collaborateur.
Plan de reponse aux incidents
Procedures documentees de detection, confinement et remediation.
Programme d'exercices cyber
Exercices reguliers de simulation d'incidents et tests de restauration.
BP-028
guide de configuration GNU/Linux v2.0
Serveur durci conformement au guide ANSSI-BP-028 v2.0. Kernel hardening, sysctl reseau, AppArmor enforce, auditd, chiffrement. Audite et verifie point par point.
21/21
sysctl conformes
131
profils AppArmor enforce
20/20
processus confines
Kernel hardening (R8/R9)
ASLR, dmesg restrict, kptr restrict, BPF restrict, SysRq desactive, panic on oops.
Reseau IPv4 (R12)
SYN cookies, ICMP redirects bloques, source routing desactive, rp_filter, log martiens.
AppArmor enforce (R45)
131 profils en enforce, tous les processus serveur confines — Docker, PostgreSQL, Redis, Caddy.
Argon2id (R29) + SHA-256 (R67)
Mots de passe haches Argon2id, audit log avec integrite cryptographique par chainage SHA-256.
auditd actif (R73)
Journalisation systeme avancee, surveillance des appels systeme et des modifications fichiers.
13/13
articles implementes nativement
Le RGPD n'est pas une contrainte, c'est un droit fondamental. Chaque fonctionnalite est concue avec la protection des donnees comme principe premier.
Signature eIDAS avec PDF
Signature electronique conforme au reglement eIDAS, valeur juridique.
Export JSON (Art. 15/20)
Export complet des donnees personnelles en un clic, format machine-readable.
Effacement 30j (Art. 17)
30 jours de grace puis anonymisation irreversible des donnees.
Notification breach 72h (Art. 33)
Detection automatique des violations, notification CNIL sous 72h, alerte utilisateurs.
Chaque couche de l'infrastructure est concue pour la securite.
TLS 1.3 en transit, AES-256 au repos. Aucune donnee en clair, jamais.
Chaque organisation est isolee au niveau base de donnees. Pas de filtrage applicatif.
Chiffrees GPG, stockees a Paris (EU-WEST-PAR), repliquees a Strasbourg (SBG). Object Lock WORM — immuables meme en cas de compromission.
TOTP, FIDO2/WebAuthn et codes de secours. MFA obligatoire pour les administrateurs.
Connexion via Google Workspace et Microsoft Entra ID. Provisionnement automatique.
Comment vos donnees circulent dans l'infrastructure MileoApp.
SvelteKit SSR, TLS 1.3, CSP strict
Caddy reverse proxy, rate limiting, WAF
JWT RS256 validation, RBAC, audit log
RLS multi-tenant, AES-256, backups GPG
Cartographie des 15 objectifs applicables aux Entites Importantes (EI). Scoring honnete par objectif — 76/76 points conformes. Objectifs 16-20 (EE uniquement) ne sont pas obligatoires pour notre classification.
| # | Objectif | Implementation | Score EI | Statut |
|---|---|---|---|---|
| 1 | Recensement des SI PSSI perimetre, exclusions justifiees | 3/3 | 3/3 | Conforme |
| 2 | Gouvernance securite PSSI signee, politiques thematiques, analyse ReCyF | 10/10 | 10/10 | Conforme |
| 3 | Maitrise ecosysteme Cartographie prestataires, DPA, verification certifs | 4/4 | 4/4 | Conforme |
| 4 | Securite RH Charte SI opposable, sensibilisation, onboarding | 4/4 | 4/4 | Conforme |
| 5 | Maitrise des SI govulncheck, Trivy, SLA patching, versions supportees | 8/8 | 8/8 | Conforme |
| 6 | Acces physiques OVH datacenter ISO 27001, HDS, SOC 2 | 2/2 | 2/2 | Conforme |
| 7 | Architecture SI Docker isole, UFW deny-all, Caddy reverse proxy | 6/6 | 6/6 | Conforme |
| 8 | Acces distants TLS 1.2/1.3, SSH key-only, JWT RS256 | 2/2 | 2/2 | Conforme |
| 9 | Codes malveillants Trivy, TruffleHog, Docker read-only, validation inputs | 5/5 | 5/5 | Conforme |
| 10 | Gestion identites RBAC, ABAC, RLS, MFA, Argon2id, SSO OIDC | 16/16 | 16/16 | Conforme |
| 11 | Administration SI SSH key-only, comptes admin dedies, audit log | 5/5 | 5/5 | Conforme |
| 12 | Incidents de securite security_events, audit log SHA-256, retention 1 an | 2/2 | 2/2 | Conforme |
| 13 | Continuite/reprise Sauvegardes GPG, WAL, RPO 24h, SLA 99.5% | 4/4 | 4/4 | Conforme |
| 14 | Crises cyber Incident Response Plan, contacts, PDF hors-ligne | 4/4 | 4/4 | Conforme |
| 15 | Exercices/tests Exercice sur table realise 22/03/2026 | 1/1 | 1/1 | Conforme |
| Total EI | 76/76 | 100% | ||
Recensement des SI
PSSI perimetre
Gouvernance securite
PSSI, analyse ReCyF
Maitrise ecosysteme
DPA, prestataires
Securite RH
Charte SI
Maitrise des SI
govulncheck, Trivy
Acces physiques
OVH certifie
Architecture SI
Docker, UFW, Caddy
Acces distants
TLS, SSH, JWT
Codes malveillants
Trivy, TruffleHog
Gestion identites
RBAC, MFA, SSO
Administration SI
SSH key-only
Incidents securite
audit log
Continuite/reprise
GPG, WAL
Crises cyber
Incident Plan, PDF hors-ligne
Exercices/tests
Exercice realise
76/76
exigences EI conformes (100%)
EI = Entite Importante | Classification SASU < 50 salaries | Objectifs 16-20 (EE uniquement) non applicables
Analyse detaillee des 76 points →DPIA, registre des traitements, rapport NIS 2 — tous exportables via API.