Principes
Defense-in-depth
- Surface d’attaque minimale
- Isolation des environnements
- Principes du moindre privilège
Fiabilité & sauvegardes
- Backups chiffrés, rétention 30-90 j
- Tests de restauration périodiques
- RPO ≤ 24 h - RTO < 4 h
Transparence
- Page Statut publique
- Journalisation & audit
- Politique de divulgation responsable
Données &
Nous respectons la réglementation sénégalaise (CDP) et les principes RGPD applicables (minimisation, finalité, droits des personnes).
Catégories
- Opérationnelles : comptes, commandes, paiements (réfs, pas de n° carte stocké)
- Support : messages de contact, logs applicatifs
- Analytics : mesures anonymisées (Plausible/Matomo)
Contrôles
- Chiffrement en transit (TLS 1.2+)
- Chiffrement au repos (fournisseur)
- Rôles & accès revus régulièrement
Droits d’accès / rectification / suppression : privacy@onyrix-tech.com.
Mesures techniques & organisationnelles
Durcissement
- En-têtes de sécurité
- Politique mots de passe/2FA
- Secrets en variables sécurisées
Supervision
- Uptime & latence (24/7)
- Alerting multi-canal
- Journalisation & traces
Cycle de Dev
- CI/CD, revues de code
- Scans de dépendances
- Rollback & blue/green (si dispo)
Plan de gestion d’incident
- Détection : alertes/monitoring, signalements.
- Qualification : mineur/majeur/critique, périmètre.
- Réponse : mitigation rapide, escalade.
- Communication : mise à jour Statut, notification clients si nécessaire.
- Rétablissement : restauration, vérifications.
- Post-mortem : causes racines, actions préventives.
SLA cible : accusé < 15 min - résolution < 4 h (heures ouvrées).
Divulgation responsable (Vulnerability Disclosure)
Si vous pensez avoir trouvé une faille, merci de nous contacter. Nous pratiquons une approche “safe-harbor” de bonne foi.
Contact
- Email : security@onyrix-tech.com
- Objet recommandé : [VULN] Domaine / Composant - Titre court
- Inclure : étapes de reproduction, impact, POC (si possible)
Portée
- Sites & apps ONYRIX / Allo-Livreur
- Exclu : attaques DDoS, ingénierie sociale, données de tiers
- Pas de bounty pour l’instant - reconnaissance publique possible
Sous-traitants & services tiers
Nous limitons le nombre de prestataires et choisissons des acteurs réputés. Liste indicative :
| Catégorie | Fournisseur | Usage |
|---|---|---|
| Hébergement web/CDN | Netlify | Hébergement site & fonctions (formulaires) |
| DNS / Domaine | IONOS (Cloudflare envisagé) | Gestion de zone & domaine |
| Code & CI | GitHub | Gestion repo & pipelines |
| Emails | Microsoft/Outlook | Messagerie & relais |
| Analytics | Plausible / Matomo | Mesure anonymisée, RGPD-friendly |
| Paiements | PSP partenaires | Encaissement, réconciliations (pas de carte stockée) |
Des DPA/clauses contractuelles sont utilisés lorsque requis. La liste peut évoluer.
security.txt & en-têtes de sécurité
1) /.well-known/security.txt
Crée un fichier security.txt accessible publiquement :
Contact: mailto:security@onyrix-tech.com
Policy: https://onyrix-tech.com/securite.html#divulgation
Preferred-Languages: fr, en
Expires: 2026-12-31T23:59:59Z
Canonical: https://onyrix-tech.com/.well-known/security.txt
2) En-têtes (Netlify _headers)
Ajoute un fichier _headers à la racine du build :
/*
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Content-Security-Policy: default-src 'self'; img-src 'self' data: https:; script-src 'self' 'unsafe-inline'; connect-src 'self'; style-src 'self' 'unsafe-inline'; frame-ancestors 'none';
Referrer-Policy: strict-origin-when-cross-origin
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Permissions-Policy: geolocation=(), microphone=(), camera=()
Cross-Origin-Opener-Policy: same-origin
Cross-Origin-Resource-Policy: same-origin
Adapte la CSP selon tes besoins (ex. domaine d’analytics, APIs, assets).
- 🛡️ Durcissement
- 🔐 Chiffrement
- 📦 Backups
- 📈 Uptime 99,9%