Une sécurité qui se vérifie, pas qui se promet.
Cette page est écrite pour la due diligence : hébergement, chiffrement, architecture, contrôles livrés, sous-traitants et statut réel de nos certifications. Uniquement des faits, chacun vérifiable.
La fiche technique
Chaque ligne décrit la plateforme telle qu'elle tourne aujourd'hui.
- Hébergement
- Hébergé en France, datacenter en région parisienne
- Résidence des données
- Union européenne ; aucune dépendance hors UE dans le chemin des requêtes
- En transit
- TLS 1.2 minimum, TLS 1.3 privilégié, HSTS activé
- Secrets applicatifs au repos
- Secrets clients OAuth, clés de signature SAML, secrets TOTP et jetons SCIM chiffrés en AES-256-GCM
- Mots de passe
- Hachage Argon2id ; politique alignée sur NIST 800-63B et les recommandations ANSSI ; refus des mots de passe compromis vérifié 100 % en local, sans service externe
- Ressources et polices
- Auto-hébergées ; aucun CDN externe
- GeoIP
- Résolue localement sur notre infrastructure ; aucun appel externe
- Standards
- OIDC, OAuth 2.1 (PKCE, PAR, DPoP), SAML 2.0, SCIM 2.0
- API d'administration
- Contrat OpenAPI 3.1 public sur /v1/openapi.json
Architecture
Les choix structurels, tels qu'ils sont implémentés.
Isolation multi-tenant étanche
Chaque tenant est isolé de bout en bout : configuration, utilisateurs, politiques, marque et journal d'audit ne traversent jamais la frontière d'un tenant.
Un chemin de requête 100 % UE
Chaque requête est servie depuis une infrastructure de l'UE. Aucun CDN tiers, aucun appel d'API hors UE dans le chemin d'authentification.
Sessions opaques et révocables
Les sessions sont des jetons opaques révocables côté serveur. Seul le hachage du jeton est stocké : une fuite de base n'expose aucune session utilisable.
Anti-énumération à temps quasi constant
Les points de connexion et de récupération renvoient des réponses génériques et calculent un hachage factice : le temps de réponse ne révèle pas si un compte existe.
Rate limiting multicouche et verrouillage
Limites par e-mail et par IP sur la connexion, l'inscription et le passwordless, avec verrouillage du compte après des échecs répétés.
Fail-closed par conception
Le pont LDAP/AD et les plafonds d'agents IA sont fail-closed : si une dépendance ou une vérification de limite échoue, l'accès est refusé, jamais accordé.
Des contrôles livrés, énoncés précisément
Tout ce qui suit est en production aujourd'hui, pas sur une feuille de route.
Accès conditionnel
Règles réseau (CIDR), horaire et pays, avec politiques versionnées, simulation d'impact contrefactuelle avant application et restauration d'une version précédente.
MFA avec step-up
Passkeys (WebAuthn), TOTP et codes e-mail, avec step-up sur les actions sensibles. La MFA s'impose par tenant et par groupe.
Gouvernance des agents IA
Identité par agent avec plafonds de TTL et de scopes fail-closed, kill switch immédiat, détection d'anomalies et journal forensic des délégations.
Journal d'audit en ajout seul
Chaque action sensible est inscrite dans un journal d'audit immuable, en ajout seul, avec flux temps réel et export.
Webhooks signés HMAC
Les webhooks sortants sont signés en HMAC : le récepteur vérifie l'origine et l'intégrité de chaque événement.
Jetons d'API admin scopés
Les jetons de l'API d'administration portent des scopes explicites : un jeton ne fait que ce pour quoi il a été créé.
| Heure | Événement | Acteur |
|---|---|---|
| 09:41:22 | agent.kill_switch.activated | admin@exemple.fr |
| 09:38:10 | policy.simulation.completed | admin@exemple.fr |
| 09:36:54 | auth.mfa.step_up.success | j.durand@exemple.fr |
Qui accède à vos données chez Obexal
Des réponses simples, sans les déguiser en processus certifiés.
Une petite équipe, responsable
Obexal est exploité par une petite équipe. Moins de personnes ont accès, plus la liste à auditer est courte, et nous la gardons courte à dessein.
MFA systématique sur l'administration
Tout accès d'administration aux systèmes d'Obexal exige une authentification multifacteur, sans exception.
Moindre privilège sur la production
L'accès aux données de production est limité à ce que l'exploitation exige et au support explicitement demandé par le client.
Chaque action d'administration tracée
Les actions d'administration sur la plateforme sont inscrites au journal d'audit, comme toute autre action sensible.
Sous-traitants
- Hébergement
- Hébergeur établi dans l'UE ; datacenter en France (région parisienne)
- E-mail transactionnel
- Fournisseur établi dans l'UE
- Liste nominative
- Communiquée sur demande via notre page contact, avec le rôle et la localisation de chaque sous-traitant
- Tout le reste
- Aucun autre sous-traitant dans le chemin des requêtes ; aucun CDN externe
Conformité et certifications, au statut réel
Aucun badge n'est affiché avant d'être obtenu.
- RGPD
- Export et suppression des données en self-service ; accord de traitement (DPA) sur /legal/dpa/
- ISO/IEC 27001
- Au 2 juillet 2026 : non certifié. Une correspondance documentée avec l'annexe A d'ISO/IEC 27001:2022 est tenue à jour
- SOC 2
- Au 2 juillet 2026 : non certifié
- HDS (hébergement de données de santé)
- Au 2 juillet 2026 : non certifié
- SecNumCloud
- Feuille de route engagée ; aucun calendrier publié à ce jour
- AI Act (UE)
- Aucune auto-déclaration de conformité. Obexal vous aide à tenir vos propres obligations : identité et traçabilité par agent, journal d'audit, kill switch et supervision humaine des agents IA
Divulgation de vulnérabilités
Politique lisible par machine
Notre politique de divulgation est publiée sur /.well-known/security.txt, là où les chercheurs en sécurité s'attendent à la trouver.
Contact direct
Signalez à contact@obexal.com. Nous accusons réception, généralement sous 48 h ouvrées.
Pas de bug bounty aujourd'hui
Nous n'opérons pas encore de programme de bug bounty, et nous préférons le dire clairement plutôt que de le laisser supposer.
Continuité et reprise
- Sauvegardes
- Sauvegardes chiffrées, stockées dans l'Union européenne
- Restauration
- La restauration est testée ; la stratégie de reprise documentée est la restauration depuis une sauvegarde vérifiée
- Objectifs de reprise
- Les objectifs chiffrés de reprise (RTO et RPO) seront publiés avec le SLA
FAQ de due diligence RSSI
Un test d'intrusion externe a-t-il été réalisé ?
Pas encore : un test d'intrusion externe est prévu mais n'a pas encore été réalisé. Chaque version passe par des revues de sécurité adversariales internes systématiques, et nous préférons dire exactement cela plutôt que de laisser entendre davantage.
Où nos données sont-elles hébergées, exactement ?
En France, dans un datacenter en région parisienne, avec résidence des données dans l'Union européenne. Aucune dépendance hors UE dans le chemin des requêtes. Voir notre démarche de souveraineté.
Qui, chez Obexal, peut accéder à nos données ?
Une petite équipe, au moindre privilège, avec authentification multifacteur systématique sur tout accès d'administration. L'accès aux données de production est limité à l'exploitation et au support que vous demandez explicitement, et chaque action d'administration est inscrite au journal d'audit.
Comment nos données sont-elles chiffrées ?
En transit : TLS 1.2 minimum, TLS 1.3 privilégié, avec HSTS. Au repos : les secrets applicatifs (secrets clients OAuth, clés de signature SAML, secrets TOTP, jetons SCIM) sont chiffrés en AES-256-GCM. Les mots de passe sont hachés en Argon2id.
Quelles certifications détenez-vous ?
Au 2 juillet 2026 : Obexal n'est certifié ni ISO 27001, ni SOC 2, ni HDS. Une correspondance documentée avec l'annexe A d'ISO/IEC 27001:2022 est tenue à jour et la feuille de route SecNumCloud est engagée. Nous n'affichons aucun badge avant qu'il soit obtenu.
Comment obtenir le DPA et la liste des sous-traitants ?
Le DPA est publié sur /legal/dpa/. La liste nominative des sous-traitants est communiquée sur demande via notre page contact.
Utilisez-vous un CDN ou des services hors UE ?
Non. Les ressources et les polices sont auto-hébergées, la GeoIP est résolue localement sur notre infrastructure et aucune dépendance hors UE n'existe dans le chemin des requêtes.
Comment signaler une vulnérabilité ?
Via la politique publiée sur /.well-known/security.txt ou à contact@obexal.com. Accusé de réception généralement sous 48 h ouvrées. Pas de programme de bug bounty à ce jour.
Le dossier sécurité complet, sur demande.
Nous répondons aux questionnaires RSSI et DPO en termes clairs, avec des preuves.