Conforme ReCyF NIS 2, aligne ANSSI, RGPD natif. Chaque ligne de code est ecrite avec la securite comme priorite absolue.
15/15
objectifs de securite couverts
Conformite totale au referentiel de cybersecurite France — transposition nationale NIS 2, ANSSI mars 2026. Chaque objectif est implemente, documente et auditable.
PSSI formalisee et signee
Politique de securite des systemes d'information complete, approuvee par la direction.
Charte d'usage SI opposable
Regles d'utilisation du SI signees par chaque collaborateur.
Plan de reponse aux incidents
Procedures documentees de detection, confinement et remediation.
Programme d'exercices cyber
Exercices reguliers de simulation d'incidents et tests de restauration.
15+
controles de securite implementes
Architecture et mesures techniques conformes aux recommandations de l'ANSSI. Authentification, chiffrement, journalisation, durcissement serveur.
Argon2id (R29)
Hachage memoire-hard pour les mots de passe, conforme aux recommandations ANSSI.
JWT RS256 avec rotation
Authentification par signature asymetrique, rotation automatique des cles.
Audit log SHA-256 (R67)
Journal d'audit avec integrite cryptographique, inalterable et verifiable.
Durcissement serveur
15 controles de durcissement : SSH, firewall, kernel, services, mise a jour automatique.
13/13
articles implementes nativement
Le RGPD n'est pas une contrainte, c'est un droit fondamental. Chaque fonctionnalite est concue avec la protection des donnees comme principe premier.
Signature eIDAS avec PDF
Signature electronique conforme au reglement eIDAS, valeur juridique.
Export JSON (Art. 15/20)
Export complet des donnees personnelles en un clic, format machine-readable.
Effacement 30j (Art. 17)
30 jours de grace puis anonymisation irreversible des donnees.
Notification breach 72h (Art. 33)
Detection automatique des violations, notification CNIL sous 72h, alerte utilisateurs.
Chaque couche de l'infrastructure est concue pour la securite.
TLS 1.3 en transit, AES-256 au repos. Aucune donnee en clair, jamais.
Chaque organisation est isolee au niveau base de donnees. Pas de filtrage applicatif.
TOTP, FIDO2/WebAuthn et codes de secours. MFA obligatoire pour les administrateurs.
Connexion via Google Workspace et Microsoft Entra ID. Provisionnement automatique.
Cartographie complete des 20 objectifs du referentiel de cybersecurite France (transposition NIS 2). Objectifs 1-15 obligatoires pour les EI et EE, objectifs 16-20 pour les EE uniquement — couverts volontairement par MileoApp.
| # | Objectif | EI | EE | Status MileoApp |
|---|---|---|---|---|
| 1 | Recensement des SI CMDB API | Couvert | ||
| 2 | Gouvernance securite PSSI signee | Couvert | ||
| 3 | Maitrise ecosysteme DPA, sous-traitants documentes | Couvert | ||
| 4 | Securite RH Charte SI, sensibilisation | Couvert | ||
| 5 | Maitrise des SI govulncheck, Trivy, SBOM | Couvert | ||
| 6 | Acces physiques OVH datacenter certifie | Couvert | ||
| 7 | Architecture SI Docker isole, UFW, Caddy | Couvert | ||
| 8 | Acces distants TLS 1.3, MFA, VPN SSH | Couvert | ||
| 9 | Codes malveillants Trivy, TruffleHog, Docker read-only | Couvert | ||
| 10 | Gestion identites RBAC, ABAC, MFA 3 methodes, SSO OIDC | Couvert | ||
| 11 | Administration SI SSH key-only, comptes admin separes | Couvert | ||
| 12 | Incidents de securite Plan incident, security_events, audit log | Couvert | ||
| 13 | Continuite/reprise Sauvegardes GPG, WAL, SLA 99.5% | Couvert | ||
| 14 | Crises cyber Incident Response Plan, RETEX | Couvert | ||
| 15 | Exercices/tests Programme exercices cyber, CI/CD tests | Couvert | ||
| 16 | Approche risques DPIA, analyse risques | — | Couvert | |
| 17 | Audit securite CI/CD govulncheck, Trivy, SBOM | — | Couvert | |
| 18 | Config securisee Docker Alpine minimal, garble | — | Couvert | |
| 19 | Admin ressources dediees SSH dedie, pas de reseau admin separe | — | Partiellement | |
| 20 | Supervision securite Prometheus, Grafana, Loki, audit log 1 an | — | Couvert |
Recensement des SI
CMDB API
Gouvernance securite
PSSI signee
Maitrise ecosysteme
DPA, sous-traitants documentes
Securite RH
Charte SI, sensibilisation
Maitrise des SI
govulncheck, Trivy, SBOM
Acces physiques
OVH datacenter certifie
Architecture SI
Docker isole, UFW, Caddy
Acces distants
TLS 1.3, MFA, VPN SSH
Codes malveillants
Trivy, TruffleHog, Docker read-only
Gestion identites
RBAC, ABAC, MFA 3 methodes, SSO OIDC
Administration SI
SSH key-only, comptes admin separes
Incidents de securite
Plan incident, security_events, audit log
Continuite/reprise
Sauvegardes GPG, WAL, SLA 99.5%
Crises cyber
Incident Response Plan, RETEX
Exercices/tests
Programme exercices cyber, CI/CD tests
Approche risques
DPIA, analyse risques
Audit securite
CI/CD govulncheck, Trivy, SBOM
Config securisee
Docker Alpine minimal, garble
Admin ressources dediees
SSH dedie, pas de reseau admin separe
Supervision securite
Prometheus, Grafana, Loki, audit log 1 an
EI = Entite Importante | EE = Entite Essentielle | Objectifs 16-20 : EE uniquement, couverts volontairement par MileoApp
DPIA, registre des traitements, rapport NIS 2 — tous exportables via API.