Questionnaire de sécurité, pré-rempli
Traduit pour votre commodité. La version anglaise est celle qui fait foi juridiquement.
La plupart des revues fournisseurs posent les mêmes questions. Les voici, répondues à l’avance sur les domaines CAIQ-Lite et mappées aux aires VSA-Core — honnêtement : oui signifie opéré aujourd’hui et énoncé sur une page de confiance ; partiel nomme l’écart ; prévu a une date et rien de plus.
| Domaine | Question | Réponse | Détail |
|---|---|---|---|
| A&ACompliance | Détenez-vous des certifications de sécurité indépendantes (SOC 2, ISO 27001) ? | Prévu | Pas encore — et nous le disons clairement. SOC 2 Type I visé pour le T3 2026 (la collecte de preuves via Vanta démarre au lancement commercial), Type II environ neuf mois plus tard, ISO 27001 en parallèle. D’ici là, cette page et la page sécurité décrivent les contrôles que nous opérons réellement. |
| AISApplication security | La sécurité est-elle intégrée à l’application et à son cycle de vie ? | Oui | Les entrées sont validées par schéma en bordure, tout accès base de données est paramétré, des en-têtes de sécurité stricts et une CSP accompagnent chaque surface, et les avis de dépendances élevés ou critiques font échouer le build. |
| BCRResilience | Pouvez-vous vous remettre d’une défaillance d’infrastructure ? | Partiel | Architecture serverless sur services managés multi-AZ, sauvegardes chiffrées avec récupération à un instant donné et runbook écrit de reprise après sinistre ; un plan de continuité formellement exercé reste à venir. |
| CEKEncryption | Les données client sont-elles chiffrées en transit et au repos ? | Oui | TLS 1.3 minimum en transit avec HSTS ; AES-256 au repos sur chaque magasin avec rotation de clés managée ; les secrets vivent dans un service de secrets managé, jamais dans le code. |
| DCSPhysical security | Où tourne la production, et qui contrôle l’accès physique ? | Oui | AWS eu-central-1 (Francfort), dans un compte dédié et totalement isolé. La sécurité physique est héritée des centres de données audités d’AWS. |
| DSPData protection | Comment les données client sont-elles protégées et tenues hors de l’entraînement des modèles ? | Oui | Le trafic d’API vers les fournisseurs de modèles est exclu de l’entraînement selon les conditions d’API de chaque fournisseur, et des accords de rétention zéro de données avec Anthropic et OpenAI sont en cours de finalisation ; nous n’entraînons jamais sur les données client ; les embeddings restent dans la région UE ; un DPA avec CCT est proposé et le traitement des DSAR est publié. |
| GRCSecurity policy | Maintenez-vous un programme de gouvernance sécurité ? | Partiel | Les politiques de sécurité sont maintenues comme règles d’ingénierie appliquées, versionnées avec le code et revues à chaque changement ; un SMSI certifié (ISO 27001) figure sur la feuille de route publiée. |
| HRSPersonnel | Des contrôles de sécurité du personnel existent-ils (vérification, arrivée, départ) ? | Partiel | Syncanix est opérée par son fondateur aujourd’hui : la seule personne ayant accès à la production est l’opérateur responsable. Les politiques formelles de vérification et d’intégration arriveront avec les premières embauches — et cette réponse changera alors. |
| IAMAccess control | Comment l’accès aux systèmes et aux données est-il contrôlé ? | Oui | Moindre privilège partout : identité adossée au SSO avec jetons vérifiés à chaque requête, politiques par ressource écrites explicitement, aucune clé d’accès longue durée et changements de rôle audités. |
| IPYPortability | Les clients peuvent-ils exporter leurs données et partir ? | Oui | Le catalogue de capacités est un artefact portable, les données client sont exportables et la résiliation ne verrouille jamais les données. |
| IVSInfrastructure | Comment l’infrastructure de production est-elle sécurisée ? | Oui | Tout est infrastructure-as-code avec des diffs revus avant chaque déploiement, un VPC isolé, aucune ressource partagée avec un autre produit et un inventaire entièrement étiqueté. |
| LOGLogging & monitoring | Les systèmes sont-ils surveillés et les journaux protégés ? | Oui | Les journaux structurés portent la corrélation tenant et requête sur chaque ligne, secrets et PII sont exclus par politique de caviardage, la rétention est bornée et les événements pertinents pour l’audit déclenchent des alarmes. |
| SEFIncident response | Existe-t-il un processus de réponse aux incidents avec notification client ? | Oui | Un runbook documenté de réponse aux incidents ; les signalements accusés sous 24 heures et triés sous 72 ; les violations confirmées avec impact client notifiées dans les 24 heures suivant la confirmation. |
| STASupply chain | Comment gérez-vous le risque de chaîne d’approvisionnement ? | Oui | La liste des sous-traitants est publique avec un préavis de 30 jours, les avis de dépendances bloquent la CI et chaque nouvelle bibliothèque passe une liste d’adoption documentée. |
| TVMVulnerability management | Comment les vulnérabilités sont-elles trouvées et corrigées ? | Partiel | L’analyse automatique des dépendances bloque chaque build et un programme public de divulgation avec protection de bonne foi est actif ; un test d’intrusion externe est prévu avec le SOC 2 — aucun n’a encore été commandé. |
| UEMEndpoint management | Les appareils qui touchent la production sont-ils gérés ? | Partiel | L’accès production est limité à des identités d’opérateur nominatives sous les contrôles d’accès ci-dessus ; la gestion formelle des terminaux (MDM) arrivera avec les premières embauches. |
Besoin des réponses dans votre propre grille (CAIQ complet, VSA ou votre format interne) ? Envoyez-la, nous la remplissons : admin@syncanix.com.
Dernière revue : 2026-06-10. Les réponses changent quand les contrôles changent — jamais l’inverse.