Comment nous nous sécurisons nous-mêmes.
Transparence sur les mesures techniques et organisationnelles que KOLOSALTech applique en interne. Vous ne pouvez pas nous confier votre cyber si on n'est pas exemplaire chez nous.
Mesures techniques
TLS 1.3 sur tous les services exposés. HSTS preload sur kolosaltech.com. Certificats Let's Encrypt renouvelés automatiquement.
Données client chiffrées AES-256 au repos (Airtable, Vercel KV, stockage cloud sourcé). Clés gérées par fournisseurs certifiés.
MFA TOTP/FIDO2 sur tous nos comptes admin (Vercel, GitHub, Airtable, Resend, Cloudflare, Stripe). Aucun compte admin sans MFA.
Coffre-fort centralisé (Bitwarden Teams). Aucun mot de passe partagé en clair (mail, doc, Slack). Rotation préventive 90j sur secrets critiques.
Bitdefender GravityZone Premium sur tous les postes équipe. Console centralisée + alertes temps réel.
Architecture 3-2-1-1-0 : NAS local snapshots BTRFS + cloud objet immuable (Wasabi Object Lock). Test mensuel automatique.
Patches OS + applications appliqués sous 7 jours pour critiques, 30 jours sinon. Inventaire à jour, pas d'OS hors support.
Logs applicatifs (Vercel) + sécurité (Sentry) + accès (Cloudflare) corrélés. Conservation 30 jours min, 1 an pour audit.
Mesures organisationnelles
PSSI écrite, révisée annuellement, validée par la direction. Disponible sur demande NDA.
Tier model : Tier 0 admin · Tier 1 production · Tier 2 outils. Principe du moindre privilège. Revue accès trimestrielle.
Procédure formalisée : provisioning comptes au jour 1, révocation immédiate au départ (< 1h). Inventaire matériel à jour.
Sensibilisation phishing trimestrielle pour toute l'équipe. Veille CVE quotidienne. Formation NIS2/DORA pour la direction.
Audit annuel des fournisseurs critiques (hébergeurs, éditeurs, transitaires). Clauses sécurité dans contrats. SBOM sur produits livrés.
PCA / PRA documentés. RTO 4h / RPO 1h sur services critiques. Test annuel grandeur nature.
Gestion des incidents
Sentry monitoring 24/7 + alertes mail prioritaires direction. Tableau de bord KPI sécurité hebdomadaire.
En cas d'incident impactant un client : notification sous 24h avec détail technique. Conforme délai NIS2 (24h pré-notif, 72h détaillée).
Procédure d'incident écrite. Numéro d'urgence dédié pour clients sous contrat infogérance. Post-mortem partagé sous 30j.
Procédure documentée pour notification CNIL sous 72h en cas de violation de données personnelles (RGPD art. 33).
Conformité réglementaire
Registre des traitements maintenu. DPA disponible. Privacy by design dans nos déploiements clients. Hébergement EU prioritaire.
Auto-évaluation NIS2 en cours. Mise en conformité 6 mois cible. Cf. notre guide NIS2 PME pour cadre client.
Datacenters EU privilégiés (OVHcloud Roubaix, Scaleway Paris, Vercel cdg1, Wasabi Paris, Cloudflare EU). Pas d'hébergement USA pour données sensibles client.
Recommandation systématique de solutions visa de sécurité ANSSI (Stormshield, Tehtris, Wallix Bastion) pour secteurs sensibles.
Besoin d'un DPA ou audit fournisseur ?
DPA standard, questionnaire fournisseur, attestation hébergement EU, plan de continuité — disponibles sur demande NDA pour prospects en évaluation.