Dernière mise à jour : 22 mars 2026

Sécurité chez MileoApp

La sécurité n'est pas une fonctionnalité — c'est le fondement de notre architecture. Cette page détaille notre posture de sécurité.

Architecture Protection des données Infrastructure Conformité Réponse incidents

Architecture de sécurité

Principes fondateurs

■ Zero Trust — chaque requête est authentifiée, autorisée et journalisée. Aucune confiance implicite.
■ Defense in depth — sécurité multicouche : chiffrement réseau, proxy de sécurité, middleware applicatif, isolation base de données, chiffrement disque.
■ Least privilege — chaque composant n'a accès qu'aux données strictement nécessaires.
■ Fail secure — en cas d'erreur, le système refuse l'accès plutôt que de l'accorder.

Isolation multi-tenant

■ Isolation au niveau base de données — chaque organisation est isolée par des politiques de sécurité PostgreSQL natives. Pas de filtrage applicatif, pas de risque de bypass.
■ Contrôle d'accès dynamique — politiques évaluées à chaque requête (rôle, MFA, restrictions IP et horaires).
■ Enterprise : isolation complète — base de données dédiée ou déploiement on-premise pour les clients les plus exigeants.

Protection des données

Chiffrement

Conforme ANSSI

En transit

TLS dernière génération avec cipher suites conformes aux recommandations ANSSI. HSTS preload activé.

Au repos

Chiffrement intégral des volumes de données (AES-256). Sauvegardes chiffrées asymétriquement.

Mots de passe

Algorithme de hachage mémoire-hard conforme ANSSI R29. Jamais stockés en clair. Historique anti-réutilisation.

Authentification

ANSSI R5

Tokens

Signature asymétrique avec rotation des clés. Expiration courte. Rotation automatique des sessions.

MFA

Authentification multifacteur TOTP. Obligatoire pour les comptes à privilèges en production.

Brute force

Protection multi-niveaux : rate limiting par IP et par organisation, verrouillage temporaire de compte, protection anti-énumération.

Détection proactive

RGPD Art. 33/34

Fuites de données

Vérification proactive via base de données de compromissions. Notification automatique des utilisateurs concernés.

Anomalies

Détection automatique : nouvel appareil, tentatives suspectes, connexions depuis des IP inhabituelles.

Audit

Journal structuré avec chaînage d'intégrité cryptographique. Traçabilité complète de chaque action.

Infrastructure

Hébergement

Fournisseur	OVHcloud
Localisation	France 🇫🇷
Certifications	ISO 27001, HDS, SOC 1/2
Transfert hors UE	Aucun
On-premise	Disponible (Enterprise)

Hardening serveur

Nos serveurs sont durcis selon les recommandations ANSSI (Guide GNU/Linux v2) :

✓ Accès SSH restreint (clé uniquement, algorithmes forts)

✓ Pare-feu avec politique deny-by-default

✓ Protection anti-brute force

✓ Contrôle d'accès obligatoire (MAC)

✓ Audit noyau et surveillance d'intégrité

✓ Mises à jour de sécurité automatiques

✓ Conteneurisation avec isolation stricte

✓ Bannière d'avertissement légal

Pipeline CI/CD sécurisé

✓ Analyse de vulnérabilités des dépendances

✓ Scan de sécurité des images de déploiement

✓ Détection de secrets dans le code source

✓ Vérification d'intégrité des dépendances

✓ SBOM (Software Bill of Materials) généré

✓ Validation de conformité des licences

✓ Validation des headers de sécurité HTTP

Continuité d'activité

✓ Sauvegardes chiffrées quotidiennes

✓ Restauration point-in-time

✓ Procédure de restauration testée

✓ SLA 99.5% de disponibilité annuelle

✓ Monitoring et alerting 24/7

Conformité & référentiels

RGPD

Règlement UE 2016/679

Conforme — 11 articles implémentés

NIS 2

Directive UE 2022/2555

Aligné — 10 objectifs couverts

ANSSI

Guides & recommandations

Appliqué — 6 guides de référence

Référentiels appliqués

→ ANSSI — Recommandations de sécurité GNU/Linux v2

→ ANSSI — Recommandations de sécurité TLS

→ ANSSI — Guide d'hygiène informatique

→ ANSSI — Recommandations de journalisation

→ ANSSI — Guide de gestion de crise cyber

→ CNIL — Guide RGPD pour les développeurs

Documentation disponible

Les documents suivants sont fournis aux clients Enterprise et disponibles sur demande pour les prospects qualifiés :

✓ Analyse d'impact (DPIA) — RGPD Art. 35

✓ Registre des traitements — RGPD Art. 30

✓ DPA (Accord de traitement) — RGPD Art. 28

✓ Plan de réponse aux incidents — NIS 2

✓ Rapport de conformité NIS 2

✓ SBOM (Software Bill of Materials)

Contact : security@mileoapp.fr

Réponse aux incidents

Détection

■ Détection automatisée des tentatives de compromission
■ Surveillance proactive des fuites de données
■ Contrôle d'intégrité des fichiers système
■ Alertes en temps réel sur les événements de sécurité critiques

Processus de notification

48h

Notification client

Alerte automatique au DPO client (RGPD Art. 33.2)

72h

Notification CNIL

Déclaration via le formulaire officiel (RGPD Art. 33)

ASAP

Notification utilisateurs

Si risque élevé — communication directe (RGPD Art. 34)

Vous avez trouvé une vulnérabilité ?

Nous prenons la sécurité au sérieux. Si vous avez découvert une faille de sécurité dans MileoApp, merci de nous la signaler de manière responsable.

Politique de divulgation security@mileoapp.fr