+33 9 84 25 52 61
Se connecter
Sécurité et confiance

Une sécurité qui se vérifie, pas qui se promet.

Cette page est écrite pour la due diligence : hébergement, chiffrement, architecture, contrôles livrés, sous-traitants et statut réel de nos certifications. Uniquement des faits, chacun vérifiable.

La fiche technique

Chaque ligne décrit la plateforme telle qu'elle tourne aujourd'hui.

Hébergement
Hébergé en France, datacenter en région parisienne
Résidence des données
Union européenne ; aucune dépendance hors UE dans le chemin des requêtes
En transit
TLS 1.2 minimum, TLS 1.3 privilégié, HSTS activé
Secrets applicatifs au repos
Secrets clients OAuth, clés de signature SAML, secrets TOTP et jetons SCIM chiffrés en AES-256-GCM
Mots de passe
Hachage Argon2id ; politique alignée sur NIST 800-63B et les recommandations ANSSI ; refus des mots de passe compromis vérifié 100 % en local, sans service externe
Ressources et polices
Auto-hébergées ; aucun CDN externe
GeoIP
Résolue localement sur notre infrastructure ; aucun appel externe
Standards
OIDC, OAuth 2.1 (PKCE, PAR, DPoP), SAML 2.0, SCIM 2.0
API d'administration
Contrat OpenAPI 3.1 public sur /v1/openapi.json

Architecture

Les choix structurels, tels qu'ils sont implémentés.

Isolation multi-tenant étanche

Chaque tenant est isolé de bout en bout : configuration, utilisateurs, politiques, marque et journal d'audit ne traversent jamais la frontière d'un tenant.

Un chemin de requête 100 % UE

Chaque requête est servie depuis une infrastructure de l'UE. Aucun CDN tiers, aucun appel d'API hors UE dans le chemin d'authentification.

Sessions opaques et révocables

Les sessions sont des jetons opaques révocables côté serveur. Seul le hachage du jeton est stocké : une fuite de base n'expose aucune session utilisable.

Anti-énumération à temps quasi constant

Les points de connexion et de récupération renvoient des réponses génériques et calculent un hachage factice : le temps de réponse ne révèle pas si un compte existe.

Rate limiting multicouche et verrouillage

Limites par e-mail et par IP sur la connexion, l'inscription et le passwordless, avec verrouillage du compte après des échecs répétés.

Fail-closed par conception

Le pont LDAP/AD et les plafonds d'agents IA sont fail-closed : si une dépendance ou une vérification de limite échoue, l'accès est refusé, jamais accordé.

Qui accède à vos données chez Obexal

Des réponses simples, sans les déguiser en processus certifiés.

Une petite équipe, responsable

Obexal est exploité par une petite équipe. Moins de personnes ont accès, plus la liste à auditer est courte, et nous la gardons courte à dessein.

MFA systématique sur l'administration

Tout accès d'administration aux systèmes d'Obexal exige une authentification multifacteur, sans exception.

Moindre privilège sur la production

L'accès aux données de production est limité à ce que l'exploitation exige et au support explicitement demandé par le client.

Chaque action d'administration tracée

Les actions d'administration sur la plateforme sont inscrites au journal d'audit, comme toute autre action sensible.

Sous-traitants

Hébergement
Hébergeur établi dans l'UE ; datacenter en France (région parisienne)
E-mail transactionnel
Fournisseur établi dans l'UE
Liste nominative
Communiquée sur demande via notre page contact, avec le rôle et la localisation de chaque sous-traitant
Tout le reste
Aucun autre sous-traitant dans le chemin des requêtes ; aucun CDN externe

Conformité et certifications, au statut réel

Aucun badge n'est affiché avant d'être obtenu.

RGPD
Export et suppression des données en self-service ; accord de traitement (DPA) sur /legal/dpa/
ISO/IEC 27001
Au 2 juillet 2026 : non certifié. Une correspondance documentée avec l'annexe A d'ISO/IEC 27001:2022 est tenue à jour
SOC 2
Au 2 juillet 2026 : non certifié
HDS (hébergement de données de santé)
Au 2 juillet 2026 : non certifié
SecNumCloud
Feuille de route engagée ; aucun calendrier publié à ce jour
AI Act (UE)
Aucune auto-déclaration de conformité. Obexal vous aide à tenir vos propres obligations : identité et traçabilité par agent, journal d'audit, kill switch et supervision humaine des agents IA

Divulgation de vulnérabilités

Politique lisible par machine

Notre politique de divulgation est publiée sur /.well-known/security.txt, là où les chercheurs en sécurité s'attendent à la trouver.

Contact direct

Signalez à contact@obexal.com. Nous accusons réception, généralement sous 48 h ouvrées.

Pas de bug bounty aujourd'hui

Nous n'opérons pas encore de programme de bug bounty, et nous préférons le dire clairement plutôt que de le laisser supposer.

Continuité et reprise

Sauvegardes
Sauvegardes chiffrées, stockées dans l'Union européenne
Restauration
La restauration est testée ; la stratégie de reprise documentée est la restauration depuis une sauvegarde vérifiée
Objectifs de reprise
Les objectifs chiffrés de reprise (RTO et RPO) seront publiés avec le SLA

FAQ de due diligence RSSI

Un test d'intrusion externe a-t-il été réalisé ?

Pas encore : un test d'intrusion externe est prévu mais n'a pas encore été réalisé. Chaque version passe par des revues de sécurité adversariales internes systématiques, et nous préférons dire exactement cela plutôt que de laisser entendre davantage.

Où nos données sont-elles hébergées, exactement ?

En France, dans un datacenter en région parisienne, avec résidence des données dans l'Union européenne. Aucune dépendance hors UE dans le chemin des requêtes. Voir notre démarche de souveraineté.

Qui, chez Obexal, peut accéder à nos données ?

Une petite équipe, au moindre privilège, avec authentification multifacteur systématique sur tout accès d'administration. L'accès aux données de production est limité à l'exploitation et au support que vous demandez explicitement, et chaque action d'administration est inscrite au journal d'audit.

Comment nos données sont-elles chiffrées ?

En transit : TLS 1.2 minimum, TLS 1.3 privilégié, avec HSTS. Au repos : les secrets applicatifs (secrets clients OAuth, clés de signature SAML, secrets TOTP, jetons SCIM) sont chiffrés en AES-256-GCM. Les mots de passe sont hachés en Argon2id.

Quelles certifications détenez-vous ?

Au 2 juillet 2026 : Obexal n'est certifié ni ISO 27001, ni SOC 2, ni HDS. Une correspondance documentée avec l'annexe A d'ISO/IEC 27001:2022 est tenue à jour et la feuille de route SecNumCloud est engagée. Nous n'affichons aucun badge avant qu'il soit obtenu.

Comment obtenir le DPA et la liste des sous-traitants ?

Le DPA est publié sur /legal/dpa/. La liste nominative des sous-traitants est communiquée sur demande via notre page contact.

Utilisez-vous un CDN ou des services hors UE ?

Non. Les ressources et les polices sont auto-hébergées, la GeoIP est résolue localement sur notre infrastructure et aucune dépendance hors UE n'existe dans le chemin des requêtes.

Comment signaler une vulnérabilité ?

Via la politique publiée sur /.well-known/security.txt ou à contact@obexal.com. Accusé de réception généralement sous 48 h ouvrées. Pas de programme de bug bounty à ce jour.

Le dossier sécurité complet, sur demande.

Nous répondons aux questionnaires RSSI et DPO en termes clairs, avec des preuves.