• - Application Next.js deployee sur l'infrastructure Hostinger International Ltd (Chypre, UE) avec HTTPS/TLS sur toutes les routes et HSTS en production
• - CMS Directus auto-hébergé en Europe (UE) avec controle d'accès granulaire par collection et par role
• - Redis utilise pour le rate limiting et la gestion des sessions cote serveur

• - En-tetes Content Security Policy (CSP) appliques sur toutes les reponses HTTP
• - En-tetes Permissions-Policy configures pour restreindre l'accès aux API navigateur sensibles
• - Protection CSRF via token sur tous les formulaires sensibles
• - Captcha Cloudflare Turnstile sur les formulaires publics (contact, newsletter, connexion)
• - Rate limiting sur toutes les routes API, gere par Redis
• - Sanitisation HTML sur toutes les entrees utilisateur avant traitement ou stockage

• - Authentification JWT pour les espaces admin et client
• - Hachage des mots de passe avec bcrypt
• - Controle d'accès base sur les roles (admin, client) avec separation stricte des permissions

• - Chiffrement des données en transit via TLS
• - Chiffrement au repos assure par Directus
• - Secrets et cles d'API stockes exclusivement dans des variables d'environnement serveur, jamais exposes cote client
• - Aucune donnee sensible en localStorage, seules les préférences utilisateur (langue, theme) y sont stockees

Nous disposons d'une surveillance et d'une journalisation en continu de nos systèmes. En cas d'incident de sécurité, nous isolons les composants concernes, evaluons l'impact, notifions les utilisateurs affectes si nécessaire et documentons les actions correctives mises en place.

Pour signaler une vulnerabilite ou un incident :[email protected]