Reglyo

Sécurité

Reglyo manipule des données de conformité — souvent sensibles — pour les PME françaises. Cette page documente notre posture de sécurité actuelle, les chantiers en cours, et la roadmap des certifications à venir. Honnête sur ce qui est déjà en place et sur ce qui reste à faire.

Dernière mise à jour : 10 mai 2026Version 1.0

1. Architecture de sécurité

Reglyo est bâti sur une pile Next.js + Supabase Postgres + Vercel Edge, déployée intégralement dans l'Union européenne. Chaque couche applique le principe de moindre privilège.

  • Isolation au niveau ligne (Row-Level Security): toutes les tables applicatives utilisent les politiques RLS Postgres. Un utilisateur ne peut jamais lire ou modifier les données d'une autre organisation, même via une requête forgée — la base elle-même applique la règle, pas seulement l'application.
  • En-têtes de sécurité HTTP : Content-Security-Policy strict, Strict-Transport-Security 1 an, X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy bloquant caméra/micro/géolocation.
  • Defense-in-depth applicatif: double vérification de l'organization_id dans toutes les actions (RLS + filtre `eq`), validation Zod sur toutes les entrées utilisateur, comparaison cryptographique constant-time pour les secrets, allowlist de schémas et résolution DNS pour bloquer les attaques SSRF du scanner.

2. Protection des données

  • Chiffrement en transit : tout le trafic vers reglyo.fr est forcé en HTTPS (HSTS preload-ready). Les communications avec Supabase utilisent TLS 1.3.
  • Chiffrement au repos : la base Postgres Supabase est chiffrée AES-256 sur disque. Les sauvegardes le sont également.
  • Stockage géographique : toutes les données — base, fichiers, sauvegardes — résident en Allemagne (région Frankfurt, eu-central-1). Pas de réplication transatlantique. Voir notre DPA pour la liste complète des sous-traitants.
  • Scrubbing PII côté Sentry: nos rapports d'erreurs nettoient les chaînes de requête, en-têtes sensibles et corps de requête avant transmission. Aucun mot de passe, token ou email ne quitte notre stack vers la télémétrie.

3. Gestion des accès

  • Authentification : magic-link par email (Supabase Auth + Resend SMTP) ou Google SSO. Pas de mot de passe stocké côté Reglyo.
  • Authentification multi-facteurs (MFA): Supabase Auth supporte TOTP et passkeys nativement. L'activation par défaut pour les nouveaux comptes est prévue avant la GA publique, et déjà disponible sur demande pour les bêta-testeurs qui en font la demande.
  • Modèle de rôles RBAC : trois niveaux par organisation — viewer, member, owner. Les opérations sensibles (suppression d'une organisation, gestion de la facturation) sont restreintes au rôle owner.
  • Aucun accès production sans MFA côté Reglyo: tous les comptes d'administration des fournisseurs (Supabase, Vercel, Stripe, Resend, Sentry, PostHog, Anthropic) sont protégés par MFA TOTP.

4. Sous-traitants & data residency

Reglyo s'appuie sur un nombre restreint de sous-traitants documentés, sélectionnés en priorité pour leur présence UE ou leurs garanties contractuelles équivalentes (SCC + DPA + Data Privacy Framework le cas échéant).

  • Hébergement application : Vercel Inc., région Frankfurt (eu-central-1).
  • Base de données + authentification : Supabase Inc., région Frankfurt.
  • Paiement : Stripe Payments Europe Ltd (Irlande, UE).
  • Emails transactionnels : Resend, Inc. (USA, SCC + DPF certifié).
  • Analytics produit : PostHog Inc., instance EU dédiée (eu.i.posthog.com).
  • Suivi d'erreurs : Sentry, instance EU.
  • Assistant IA conformité : Anthropic PBC (USA, SCC + DPA, politique de rétention zéro pour les prompts API).

La liste exhaustive — avec adresses, rôles et liens vers les DPA — est publiée dans notre Data Processing Agreement. Toute évolution de cette liste est communiquée 30 jours à l'avance via email aux comptes clients.

5. Observabilité & logs

  • Erreurs applicatives : Sentry capture toutes les erreurs serveur et client avec scrubbing PII en amont. Les stack traces sont conservées 90 jours, les événements bruts 30 jours.
  • Logs d'accès: journaux d'authentification Supabase consultables 30 jours en arrière. Toute tentative de connexion réussie ou échouée est tracée.
  • Monitoring crons: les tâches planifiées (envoi d'alertes, heartbeat pg_cron) sont monitorées par Sentry Crons + un endpoint /api/health public, sondé toutes les 5 minutes par UptimeRobot.
  • Audit log applicatif détaillé : prévu pour la V1.1, livrera un historique consultable des actions sensibles (suppressions de documents, changements de plan, invitations de membres).

6. Plan de continuité

  • Sauvegardes: Supabase Pro effectue une sauvegarde quotidienne automatique et propose un Point-In-Time-Recovery (PITR) sur 7 jours. Pas d'intervention manuelle requise.
  • RPO cible (Recovery Point Objective): 24 heures. En cas de sinistre majeur, la perte de données maximale est d'une journée d'activité.
  • RTO cible (Recovery Time Objective): 4 heures. Délai maximal entre l'identification d'un sinistre et la restauration du service. La procédure de restauration PITR Supabase est documentée en interne.
  • Plan de communication incident: page de statut publique (en cours d'activation, BetterStack) + email aux administrateurs des organisations impactées sous 2 heures pour les incidents critiques.

7. Roadmap certifications

Reglyo n'est aujourd'hui pas certifié SOC 2 ni ISO 27001 — nous sommes une jeune équipe en phase de lancement. Notre engagement public :

  • SOC 2 Type II — audit visé pour le 3e trimestre 2026. Période d'observation lancée à la signature du contrat avec l'auditeur (T1 2026).
  • ISO 27001 — certification visée pour le 1er trimestre 2027. Pré-audit de gap analysis prévu Q4 2026.
  • HDS (Hébergeur de Données de Santé)— pas dans la roadmap actuelle. Reglyo n'est pas conçu pour traiter des données de santé. Si vous en manipulez dans le cadre d'un audit AI Act, contactez-nous pour étudier la faisabilité.

Tant que ces certifications ne sont pas obtenues, nous ne les revendiquons pas. Cette page sera mise à jour à chaque jalon franchi.

8. Signaler un incident

Si vous pensez avoir découvert une faille de sécurité ou un comportement anormal, écrivez-nous à dpo@reglyo.fr. Nous accusons réception sous 24h ouvrées et tenons informé du traitement jusqu'à résolution.

Reglyo ne propose pas encore de programme de bug bounty rétribué, mais les chercheurs de bonne foi sont remerciés publiquement (sauf demande contraire) dans le changelog de la version qui corrige la faille.