Nos engagements en matière de sécurité, conformité et protection de vos données.
Infrastructure privée hébergée en France. Aucun transfert de données personnelles hors de l'Union européenne.
Toutes les communications sont chiffrées via HTTPS (Let's Encrypt). Certificats renouvelés automatiquement.
Architecture distribuée avec isolation réseau. Chaque service communique via des canaux sécurisés dédiés.
AISIA est conçu dès l'origine avec le principe de privacy by design :
Politique de confidentialité complète : /privacy
| Mesure | Statut | Détail |
|---|---|---|
| Authentification JWT | Actif | Tokens signés, expiration configurable, rotation |
| OIDC (Google, Microsoft, Okta) | Actif | Authentification déléguée enterprise |
| Contrôle d'accès RBAC | Actif | Rôles utilisateur/admin, permissions par groupe |
| Rate limiting | Actif | 100 req/s par IP (Traefik middleware) |
| Headers de sécurité HTTP | Actif | HSTS, CSP, X-Frame-Options, X-Content-Type |
| Circuit breaker | Actif | Protection contre les cascades de pannes providers |
| Guardrails IA | Actif | Filtrage contenu, sujets interdits, limites tokens |
| Pentest externe | Planifié | Prévu T3 2026 |
| SOC2 / ISO 27001 | Roadmap 2027 | Certification formelle visée après première levée |
| Métrique | Objectif | Mesure |
|---|---|---|
| Disponibilité API | 99.5% | Mesuré via Prometheus + blackbox |
| Latence P50 | < 500ms | Histogramme Prometheus |
| Latence P95 | < 3s | Histogramme Prometheus |
| Temps de réponse incidents P0 | < 4h | contact@aisia.fr |
| RPO (données) | < 24h | Backup quotidien MariaDB + Qdrant |
Architecture distribuée : infrastructure redondante multi-nœuds, répartition de charge automatique, rolling updates sans interruption.
Observabilité complète : Prometheus (métriques), Grafana (dashboards), AlertManager (alertes), 17 règles d'alerte actives.
Self-healing : auto-diagnostic (self-audit), auto-réparation, health checks toutes les 30s, circuit breakers par provider.
Données séparées : les données clients ne sont jamais mélangées avec les données d'entraînement des modèles.
| Étape | Échéance | Statut |
|---|---|---|
| RGPD natif (privacy by design) | Avril 2026 | Fait |
| Headers sécurité HTTP (grade A) | Avril 2026 | Fait |
| Audit sécurité interne automatisé | Avril 2026 | Fait |
| Pentest externe indépendant | T3 2026 | Planifié |
| Rapport ISAE 3000 intermédiaire | T4 2026 | Planifié |
| SOC2 Type II | 2027 | Roadmap |
| ISO 27001 | 2027-2028 | Roadmap |
Pour signaler une vulnérabilité ou poser une question de sécurité :
Email : security@aisia.fr
Nous nous engageons à accuser réception sous 48h et à fournir un plan d'action sous 7 jours.