Défense en profondeur, du cœur applicatif à l'audit log.
La sécurité n'est pas une fonctionnalité — c'est la fondation. Chiffrement, contrôle d'accès basé sur les rôles, journalisation exhaustive, et un SDLC sécurisé.
Ce que nous faisons, par couche.
Cinq disciplines, appliquées chaque jour, auditées chaque trimestre.
Chiffrement
- TLS 1.3 en transit, HSTS preload
- AES-256 au repos sur base et backups
- Chiffrement par colonne pour les champs sensibles
Contrôle d'accès
- Contrôle d'accès basé sur les rôles (RBAC) avec hiérarchies
- 2FA TOTP optionnel pour tous les utilisateurs
- SSO SAML / SCIM sur le tier Enterprise
- Isolation par tenant via row-level security PostgreSQL
Audit & journalisation
- Toute écriture loggée dans une table d'audit immuable
- Historique d'accès par tenant exportable en CSV
- Sentry pour les erreurs applicatives (région UE)
SDLC sécurisé
- Code review obligatoire à chaque changement
- TDD sur la logique métier critique avec couverture mesurée
- Dependabot + SCA automatisé sur chaque dépendance
- Pen-test annuel (prévu 2027)
Réponse à incident
- Astreinte, 24/7 pour Enterprise
- RTO 4 h / RPO 1 h pour les tenants Business+
- Notification client sous 24 h après incident confirmé
Nos engagements
Transparence plutôt qu'opacité
Sous-traitants publiés, status reports publics, post-mortems d'incidents communiqués aux clients Enterprise.
Privilège minimal par défaut
Aucun ingénieur n'a d'accès permanent aux données clients. L'accès production demande une élévation JIT, loggée et auditée.
Pas de backdoor, jamais
Nous ne répondons pas aux demandes d'affaiblir la cryptographie, d'installer une interception légale ou de contourner l'isolation des tenants. Nous publierons un warrant canary.
Vulnérabilité trouvée ?
Envoyez un e-mail à security@continuum-business.com — nous répondons sous 24 h et créditons les chercheurs dans notre hall of fame.
security@continuum-business.comQuestionnaire de sécurité ?
Les clients Enterprise reçoivent un questionnaire format CAIQ et un résumé de pen-test sur demande.