Sécurité · notre propre posture

Notre propre maison

Nous vendons de la cybersécurité; notre propre site devrait donc tenir le standard que nous conseillons. Voici, sans jargon, comment il est bâti — et où nous signaler un problème.

Comment c’est bâti

Ce que nous appliquons ici

  • Politique de sécurité du contenu stricte. Chaque page reçoit un jeton (« nonce ») unique : un script ne s’exécute que si c’est nous qui l’avons servi. Aucun script en ligne arbitraire ne peut s’exécuter.
  • Aucun pistage, aucune analyse tierce. Pas de témoins publicitaires, pas de régie, pas de pixel. Voir notre politique de confidentialité.
  • Les bilans restent chez vous. Nos bilans (Loi 25, SOC 2, NIST, cyberassurance) s’exécutent entièrement dans votre navigateur — vos réponses ne sont ni enregistrées, ni transmises.
  • HTTPS partout, avec HSTS. Tout le trafic est chiffré, avec une politique HTTPS d’un an imposée au navigateur (HSTS, incluant les sous-domaines).
  • Hébergé au Canada. Le site et les données de nos clients résident dans des régions infonuagiques canadiennes, sous le régime de protection des renseignements personnels d’ici. Voir souveraineté des données.
  • Un seul code tiers. La seule ressource externe est le défi anti-robots de Cloudflare sur le formulaire — restreint à un seul hôte dans notre politique de sécurité.
  • Permissions du navigateur verrouillées. Caméra, micro, géolocalisation et les API publicitaires (Topics, FLoC) sont toutes refusées par en-tête — le site n’en a aucun besoin.
Signaler un problème

Vous avez trouvé une faille?

Si vous repérez un problème de sécurité sur ce site, écrivez-nous — en français comme en anglais — et nous ferons un suivi. Nous publions aussi un fichier security.txt (RFC 9116) à l’adresse /.well-known/security.txt.

[email protected]