Boreal.ai

Politique de sécurité

La sécurité de vos données est au cœur de tout ce que nous concevons.

Dernière mise à jour : 21 février 2025

1. Aperçu

Chez Boréal Tech Solutions, Inc. (Boreal.AI), la sécurité n’est pas une fonctionnalité accessoire — c’est un principe fondamental intégré à chaque couche de notre plateforme. Nous adoptons une approche de sécurité en profondeur (defense-in-depth) pour protéger vos données, vos modèles et votre infrastructure.

Cette politique décrit les mesures techniques et organisationnelles que nous mettons en œuvre pour assurer la confidentialité, l’intégrité et la disponibilité de nos services.

2. Sécurité de l’infrastructure

Notre infrastructure est bâtie sur des fournisseurs de services infonuagiques de premier plan, certifiés SOC 2, offrant des garanties de haute disponibilité et de résilience.

  • Architecture multirégion — Nos services sont déployés sur plusieurs régions géographiques pour assurer la redondance et minimiser la latence.
  • Hébergement certifié SOC 2 — Nos fournisseurs d’infrastructure (AWS, Vercel) sont audités indépendamment et certifiés SOC 2 Type II.
  • Isolation réseau — Nos environnements de production sont isolés dans des réseaux privés virtuels (VPC) avec des règles de pare-feu strictes et une segmentation réseau.
  • Protection DDoS — Des mécanismes de protection contre les attaques par déni de service distribué sont actifs en permanence sur l’ensemble de notre infrastructure.

3. Chiffrement

Le chiffrement est appliqué de bout en bout pour garantir la protection de vos données, tant au repos qu’en transit.

  • Données au repos — Toutes les données stockées sont chiffrées avec l’algorithme AES-256, la norme de référence pour le chiffrement symétrique.
  • Données en transit — Toutes les communications sont chiffrées via TLS 1.3, garantissant la confidentialité des échanges entre votre navigateur et nos serveurs.
  • Gestion des clés — Les clés de chiffrement sont gérées à l’aide de modules matériels de sécurité (HSM), avec rotation automatique et contrôles d’accès stricts.

4. Contrôles d’accès

Nous appliquons le principe du moindre privilège à tous les niveaux de notre organisation et de notre infrastructure pour limiter l’exposition des données.

  • Authentification multifacteur (AMF) — L’AMF est obligatoire pour tous les employés et les systèmes internes. Elle est également disponible et recommandée pour tous les utilisateurs de la plateforme.
  • Contrôle d’accès basé sur les rôles (RBAC) — Les permissions sont attribuées selon les rôles et les responsabilités. Chaque employé n’a accès qu’aux ressources strictement nécessaires à ses fonctions.
  • Journalisation d’audit — Toutes les actions privilégiées et les accès aux données sensibles sont consignés dans des journaux d’audit immuables, conservés et analysés en continu.
  • Révision des accès — Les droits d’accès sont révisés périodiquement et automatiquement révoqués lorsqu’un employé change de rôle ou quitte l’entreprise.

5. Conformité et certifications

Nous nous engageons à respecter les normes de sécurité et de confidentialité les plus exigeantes applicables à nos secteurs d’activité.

  • SOC 2 Type II — Audit indépendant portant sur les contrôles de sécurité, de disponibilité, d’intégrité du traitement, de confidentialité et de respect de la vie privée.
  • ISO 27001 — Système de gestion de la sécurité de l’information (SGSI) certifié selon la norme internationale ISO/IEC 27001.
  • RGPD (Règlement général sur la protection des données) — Conformité complète au règlement européen sur la protection des données, incluant le droit à l’effacement, la portabilité et la transparence.
  • Loi 25 du Québec — Respect de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, incluant la nomination d’un responsable de la protection des renseignements personnels et la réalisation d’évaluations des facteurs relatifs à la vie privée.
  • HDS (Hébergement de données de santé) — Pour les clients du secteur de la santé en France, nous sommes en mesure d’héberger les données sur des infrastructures certifiées HDS.

6. Réponse aux incidents

Nous maintenons un plan de réponse aux incidents robust et éprouvé pour réagir rapidement et efficacement à toute menace de sécurité.

  • Surveillance 24/7 — Notre équipe de sécurité surveille l’infrastructure en permanence à l’aide de systèmes de détection d’intrusions (IDS), de SIEM et d’alertes automatisées.
  • Plan de réponse — Notre plan de réponse aux incidents comprend l’identification, le confinement, l’éradication, la récupération et l’analyse post-incident. Il est testé et mis à jour régulièrement.
  • Notification sous 72 heures — Conformément au RGPD et à la Loi 25, nous nous engageons à notifier les autorités compétentes et les personnes concernées dans un délai de 72 heures suivant la découverte d’une violation de données susceptible de présenter un risque.

7. Résidence des données

Nous comprenons que la localisation de vos données est essentielle pour la conformité réglementaire. C’est pourquoi nous offrons un contrôle total sur la résidence géographique de vos données.

  • Canada — Région AWS ca-central-1 (Montréal). Conforme aux exigences de souveraineté des données canadiennes, à la Loi 25 et à la LPRPDE.
  • France — Infrastructure OVH et Scaleway (Paris, Strasbourg). Conforme au RGPD et adaptée aux exigences HDS pour les données de santé.
  • Garantie de localisation — Vos données restent dans la juridiction que vous avez choisie. Aucun transfert hors de cette juridiction n’est effectué sans votre consentement explicite.

8. Gestion des vulnérabilités

Nous maintenons un programme proactif de gestion des vulnérabilités afin d’identifier et de corriger les failles de sécurité avant qu’elles ne puissent être exploitées.

  • Tests de pénétration réguliers — Des tests de pénétration sont réalisés régulièrement par des firmes de sécurité indépendantes. Les résultats sont analysés et les recommandations sont appliquées promptement.
  • Programme de divulgation responsable — Nous encourageons les chercheurs en sécurité à nous signaler les vulnérabilités de manière responsable. Les signalements peuvent être envoyés à [email protected].
  • Programme de primes (Bug Bounty) — Nous offrons des récompenses aux chercheurs qui identifient et signalent des vulnérabilités valides. Les détails de notre programme sont disponibles sur demande.
  • Analyse automatisée — Des analyses automatisées de vulnérabilités sont exécutées en continu sur l’ensemble de notre base de code et de notre infrastructure.

9. Nous contacter

Si vous avez des questions concernant notre politique de sécurité, souhaitez signaler une vulnérabilité ou avez besoin d’informations supplémentaires sur nos pratiques de sécurité, veuillez communiquer avec nous :

Bor\u00e9al Tech Solutions, Inc.
Sécurité : [email protected]
Général : [email protected]
Site Web : borealtech.solutions