Securite

• - Application Next.js deployee sur Vercel avec HTTPS/TLS automatique sur toutes les routes
• - CMS Directus auto-heberge en Europe (UE) avec controle d'acces granulaire par collection et par role
• - Redis utilise pour le rate limiting et la gestion des sessions cote serveur

• - En-tetes Content Security Policy (CSP) appliques sur toutes les reponses HTTP
• - En-tetes Permissions-Policy configures pour restreindre l'acces aux API navigateur sensibles
• - Protection CSRF via token sur tous les formulaires sensibles
• - Captcha Cloudflare Turnstile sur les formulaires publics (contact, newsletter, connexion)
• - Rate limiting sur toutes les routes API, gere par Redis
• - Sanitisation HTML sur toutes les entrees utilisateur avant traitement ou stockage

• - Authentification JWT pour les espaces admin et client
• - Hachage des mots de passe avec bcrypt
• - Controle d'acces base sur les roles (admin, client) avec separation stricte des permissions

• - Chiffrement des donnees en transit via TLS
• - Chiffrement au repos assure par Directus
• - Secrets et cles d'API stockes exclusivement dans des variables d'environnement serveur, jamais exposes cote client
• - Aucune donnee sensible en localStorage — seules les preferences utilisateur (langue, theme) y sont stockees

Nous disposons d'une surveillance et d'une journalisation en continu de nos systemes. En cas d'incident de securite, nous isolons les composants concernes, evaluons l'impact, notifions les utilisateurs affectes si necessaire et documentons les actions correctives mises en place.

Pour signaler une vulnerabilite ou un incident : [email protected]