Document public — Version 1.0 — Mai 2026
Politique de sécurité de l'information
Document fondateur du système de management de la sécurité de l'information (SMSI) de Garante. Exprime l'engagement de la direction et fixe le cadre des mesures techniques et organisationnelles appliquées.
Identification
| Éditeur | Ahmed Bellafkih, exerçant sous le nom commercial Garante |
| SIREN | 988 920 617 |
| Siège social | 50 avenue des Champs-Élysées, 75008 Paris |
| Contact sécurité | security@garante.fr |
| Périmètre | Plateforme SaaS Garante (frontend, backend, infrastructure, sous-traitants ultérieurs) |
Engagement de la direction
La direction de Garante s'engage à :
- — Garantir la confidentialité, l'intégrité, la disponibilité et l'opposabilité des données traitées (Art. 32 RGPD).
- — Allouer les ressources nécessaires au SMSI dans la mesure compatible avec la phase early-stage, avec transparence totale sur les arbitrages.
- — Respecter les engagements contractuels pris envers les cabinets clients (Contrat de prestation, CGUV, DPA, liste des sous-traitants).
- — Améliorer en continu le niveau de sécurité (revues régulières, retours d'expérience, évolutions réglementaires).
- — Communiquer de manière honnête et publique sur les choix de sécurité, y compris sur les éléments non encore implémentés et leur calendrier d'engagement.
Référentiel suivi
Garante n'est aujourd'hui pas certifié ISO/IEC 27001:2022. La présente politique s'appuie néanmoins sur les contrôles de l'Annexe A de cette norme, ainsi que sur le RGPD, les recommandations CNIL et celles de l'ANSSI applicables aux services numériques.
Responsabilités
Responsable sécurité de l'information
Ahmed Bellafkih cumule, au stade actuel de l'entreprise, les fonctions de dirigeant, de RSSI et de DPO interne de Garante. Ce cumul transparent est documenté publiquement. Une séparation des fonctions sera engagée à l'embauche du premier collaborateur permanent.
Sous-traitants ultérieurs
Chaque sous-traitant ultérieur est lié contractuellement par les mêmes obligations que celles imposées à Garante par le DPA principal (Art. 28(4) RGPD). Liste exhaustive et à jour : /legal/subprocessors.
Utilisateurs
Les utilisateurs sont tenus de respecter les bonnes pratiques de sécurité décrites dans les CGUV (mots de passe robustes, activation du 2FA, signalement immédiat de tout accès suspect).
Engagements — Confidentialité
- — Multi-tenancy strict avec Row-Level Security PostgreSQL en production
- — Chiffrement AES-256-GCM au repos pour tous les secrets sensibles
- — MinIO SSE-KMS pour les fichiers stockés (DSAR, pièces d'identité, documents)
- — TLS 1.3 in-transit sur tous les flux
- — 2FA TOTP obligatoire par défaut pour tous les rôles
Engagements — Intégrité
- — Audit trail tamper-evident (chaîne SHA-256) sur DSAR, violations, AIPD et registres
- — Validation Zod systématique de chaque entrée des API
- — Code source versionné Git avec historique complet
Engagements — Disponibilité
- — Sauvegardes quotidiennes chiffrées AES-256-CBC + PBKDF2 100 000 itérations, rétention 30 jours glissants
- — Copie hors-ligne rotative quotidienne, isolée du runtime applicatif (rétention 7 jours)
- — Réplication off-site géographique (souveraineté UE) prévue en feuille de route, non encore active
- — Procédure de restauration documentée ; tests planifiés périodiquement
- — Service en mode best effort, sans engagement de SLA chiffré (cf. CGUV Art. 13)
Engagements — Opposabilité
- — Audit trail SHA-256 chaîné couvrant DSAR, violations, AIPD et registres
- — Bundle d'export incluant manifest SHA-256 par fichier et signature globale
- — Conformité Art. 5.2 RGPD (accountability) et Art. 1366 du Code civil (preuve par écrit)
Engagements quantifiés
| Délai de réponse à un signalement de faille (security.txt) | 48 heures |
| Test de restauration des sauvegardes | À chaque déploiement majeur |
| Audit interne de sécurité | Annuel |
| Mise à jour du registre des risques | Annuelle + sur événement majeur |
| Évaluation des sous-traitants ultérieurs | Annuelle |
| Revue de la présente politique | Annuelle |
| Délai de rédaction d'un post-mortem après incident | 30 jours |
| Notification d'un incident impactant le service au client | 48 heures ouvrées |
| Programme de récompense de signalement (bug bounty) | Aucune récompense financière |
| Formation sécurité (dirigeant et futurs collaborateurs) | Annuelle, auto-formation documentée |
| Notification d'une violation de données au client (DPA Art. 4.7.1) | 48 heures suivant détection |
Gestion des incidents et continuité
Procédure formalisée en quatre étapes : détection et qualification ; confinement et remédiation ; notification des parties concernées dans les délais réglementaires (48 heures pour les clients, 72 heures pour la CNIL) ; post-mortem écrit dans les 30 jours.
En cas d'indisponibilité totale du Service supérieure à 72 heures consécutives imputable à Garante, le client peut résilier sans préavis (CGUV Art. 13.2).
Revue et amélioration continue
Revue annuelle par la direction. Revue exceptionnelle déclenchée en cas d'événement majeur (incident significatif, nouveau sous-traitant ultérieur, évolution réglementaire substantielle, embauche du premier collaborateur permanent).
Indicateurs suivis : nombre d'incidents par criticité, signalements de faille reçus et délai moyen de réponse, résultats des tests de restauration, conformité des sous-traitants ultérieurs, vulnérabilités identifiées dans les dépendances logicielles.
Documents associés
- — Architecture de sécurité technique détaillée
- — Analyse d'impact relative à la protection des données du SaaS Garante
- — Liste des sous-traitants ultérieurs
- — DPA et mesures techniques et organisationnelles
- — Politique de confidentialité
- — Conditions générales d'utilisation et de vente
- — Contrat de prestation SaaS (sur demande à contact@garante.fr)
Approbation
Politique approuvée et signée par Ahmed Bellafkih, dirigeant et responsable de la sécurité de l'information.
Garante — SIREN 988 920 617 — Fait à Paris, le 5 mai 2026.
Version 1.0 — 5 mai 2026 — Prochaine revue prévue : mai 2027 (ou avant en cas d'événement majeur).