Trust Center · v1.0 · 2 mai 2026
Sécurité & Conformité.
En transparence radicale.
En un coup d'œil
Les chiffres clés que vous cherchez
Nouveau · v1.0 · 2 mai 2026
Notre audit de sécurité, public et signé
Méthodologie OWASP/ANSSI. 12 sections, contrôles vérifiés, gaps assumés, plan de remédiation à 6 mois. Aucun acteur cyber français n'expose ce niveau de transparence publiquement. C'est notre signature.
Sommaire détaillé
Hébergement souverain en France
Toutes les données de la plateforme Humanix Académie sont hébergées par Scaleway SAS (Paris, France), filiale du groupe Iliad. Datacenters en région parisienne, opérateur de droit français, non soumis au Cloud Act.
Aucun transfert de données vers un pays tiers (notamment États-Unis) n'est effectué dans le cadre du fonctionnement de la plateforme. Si nous devions un jour recourir à un sous-traitant hors UE, nous appliquerions les clauses contractuelles types de la Commission européenne.
- Datacenters certifiés ISO 27001, ISO 50001, HDS
- Chiffrement au repos AES-256
- Sauvegardes quotidiennes chiffrées, conservées 30 jours minimum
Conformité RGPD
- Politique de confidentialité détaillée : durées de conservation, droits, sous-traitants → la consulter
- Contrat de sous-traitance (DPA) systématiquement signé avec chaque client SaaS - modèle aligné sur les clauses types CNIL
- Registre des traitements tenu à jour (côté responsable de traitement et côté sous-traitant)
- Procédure violation de données : notification CNIL sous 72h, information des clients concernés
- Mesures de minimisation : nous ne collectons que ce qui est nécessaire à la finalité pédagogique
Sécurité technique de la plateforme
- TLS 1.3 pour toutes les connexions, redirection HTTPS forcée
- Headers de sécurité : HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
- Authentification : magic link par email (Scaleway TEM) + sessions signées (Auth.js v5)
- Mots de passe : aucun mot de passe stocké côté Humanix - authentification sans mot de passe
- API keys hashées en SHA-256 ; révocation 1-clic ; expiration configurable
- Cloisonnement multi-tenant : isolation logique par
tenantIdsur toutes les requêtes, vérifié par tests automatisés - Principe du moindre privilège appliqué côté rôles applicatifs (LEARNER / MANAGER / ADMIN / SUPERADMIN)
- Logs d'accès conservés 12 mois, horodatés, immuables
- Limitation de débit et protection contre les abus de soumission
Gestion des secrets
- Aucun secret n'est commité dans le code source - vérifié par scan automatisé en CI (TruffleHog + grep patterns)
- Variables d'environnement injectées au runtime, jamais persistées dans les images Docker
- Coffre 1Password vault dédié Humanix Cybersecurity pour les credentials administrateur et secrets d'infrastructure
- Clé Ed25519 de signature certificats : jamais en repo, jamais dans le runtime applicatif. Signature dans une étape isolée. Backup hors-bande (YubiKey + papier coffre).
Politique de rotation (mesure ANSSI HG 15) :
| Type de secret | Cadence | Déclencheur incident |
|---|---|---|
| AUTH_SECRET (signature sessions Auth.js) | Annuelle | Immédiat si compromission soupçonnée |
| Clé Ed25519 signature certificats | Jamais (intégrité historique) | Migration version + invalidation lot |
| DB password Postgres | Annuelle | Immédiat si fuite |
| Tokens API Scaleway / Mistral / Mollie | Annuelle ou à révocation prestataire | Immédiat si fuite |
| Webhook HMAC secret (Mollie, API) | Annuelle | Immédiat si fuite |
| API keys utilisateurs (table ApiKey) | Configurable par utilisateur | Révocation 1-clic par admin |
| Clé chiffrement backup age | Annuelle | Régénération + re-chiffrement backups récents |
| Clés SSH d'administration | Trimestrielle (90 jours) | Immédiat si laptop admin compromis |
Procédure de rotation détaillée dans la PSSI interne. Chaque rotation est tracée dans l'audit log (table Event).
Sous-traitants techniques
Liste des sous-traitants impliqués dans le fonctionnement du service :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Scaleway SAS | Hébergement, infra cloud, sauvegardes | France 🇫🇷 |
| Scaleway TEM | Emails transactionnels (magic links, alertes, newsletter) | France 🇫🇷 (Paris) |
| Mollie B.V. | Prestataire de paiement (PCI-DSS niveau 1, tokenisation CB, régulé DNB, PSD2 UE) | UE 🇪🇺 (Amsterdam, Pays-Bas) |
| Olinda SAS (Qonto) | Compte de paiement professionnel (réception virements) | France 🇫🇷 |
| Dougs SAS | Expertise comptable et facturation | France 🇫🇷 |
| Hiscox France | Assureur RC Pro (cas d'incident matériel uniquement) | France 🇫🇷 |
Tout nouveau sous-traitant impliquant des données personnelles fait l'objet d'une notification écrite aux clients, avec droit d'objection.
Continuité de service
- SLA cible : 99 % de disponibilité mensuelle moyenne
- Sauvegardes : quotidiennes, chiffrées, conservées 30 jours, testées par restauration mensuelle
- RPO (perte maximale de données acceptable) : 24h
- RTO (temps maximal de remise en service) : 24h
- Réversibilité : export des données au format CSV ou JSON sur simple demande, à tout moment
Engagement humain
- RC Pro Cybersécurité souscrite chez Hiscox France (assureur spécialisé en risques cyber et professions du numérique). Numéro de police et montants de garanties communiqués dans le DPA à la signature du contrat.
- Veille permanente sur les vulnérabilités (mise à jour des dépendances dans les 7 jours pour les CVE critiques)
- Référencement CyberMalveillance.gouv.fr en cours pour offrir un canal d'alerte officiel
- Ouverture aux audits : les clients peuvent réaliser leur propre audit sécurité, sur engagement écrit préalable
Roadmap conformité
- Q3 2026 : Référencement CyberMalveillance.gouv.fr finalisé
- Q4 2026 : Évaluation Label Cyber Expert AFNOR
- 2027 : Migration du code source vers une forge souveraine française (Forgejo auto-hébergé chez Scaleway, ou plateforme communautaire FR équivalente). GitHub reste utilisé en attendant pour la visibilité écosystème open source - la portabilité est garantie par Git lui-même.
- 2027 : Étude qualification PASSI ANSSI (audits) - selon évolution business
- Conformité NIS2 : application du référentiel ANSSI dès que applicable au volume d'activité
Intégration GRC native
Vos preuves de sensibilisation alimentent automatiquement votre outil GRC via l'API /api/v1/evidence-export. Connecteur Python prêt à l'emploi pour CISO Assistant (intuitem). Mappings ISO 27001, NIS2, RGPD, ANSSI HG, NIST CSF et Sapin II documentés et auditables dans lib/mapping-grc.ts.
Conformité ANSSI HG (42 mesures)
Page dédiée listant les 42 mesures du Guide d'hygiène informatique ANSSI v2 avec leur statut effectif sur la plateforme Humanix. Page générée dynamiquement à partir du fichier lib/mapping-grc.ts, source de vérité unique avec l'API evidence-export : aucune dérive possible entre l'affichage commercial et la conformité opérationnelle.
Architecture technique publique
Cartographie complète de l'infrastructure conforme à la mesure 5 du Guide d'hygiène informatique ANSSI (cartographie précise de l'installation maintenue à jour) : composants, technologies, localisations, choix souverains motivés, algorithmes cryptographiques, posture TLS.
Pour aller plus loin
Une question sur notre sécurité ?
RSSI, DSI, dirigeant : nous fournissons sur demande le DPA, le registre des traitements, ou un dossier complet pour vos due diligence. Réponse personnelle sous 48 h ouvrées.
Demander notre dossier sécurité« La transparence n'est pas une vulnérabilité. C'est ce qui distingue la maîtrise du marketing. »
Page mise à jour à chaque évolution majeure. État au .