Gouvernance
- Version
- 2.0
- Date d'entrée en vigueur
- Dernière révision
- Prochaine révision
- Responsable
- Joel R. Klemmer
Section 1. Périmètre et posture de la plateforme
Ce site est une autorité d'information. Il ne traite pas de paiements. Il n'héberge pas de comptes utilisateur. Il ne conserve pas de bases de données utilisateur persistantes au-delà des besoins opérationnels limités. La surface de risque est volontairement restreinte par conception.
Les engagements en matière de sécurité s'appliquent à ce site et à sa chaîne d'hébergement. Nous ne prétendons pas sécuriser les données traitées entièrement par des services tiers au-delà de nos attentes contractuelles. Les données transmises aux services tiers sont soumises à leurs contrôles de sécurité indépendants.
Section 2. Développement et déploiement sécurisés
Les considérations de sécurité sont intégrées dans la conception du développement, la revue de code et les flux de déploiement.
Toutes les modifications passent par le contrôle de version. L'intégration continue applique les contrôles de formatage, les audits de dépendances, le linting et les validations avant la construction.
Lorsqu'applicable, les environnements de production et de développement sont logiquement séparés. L'accès aux systèmes de déploiement est restreint par des contrôles d'accès basés sur les rôles conformes aux besoins opérationnels.
Les événements pertinents pour la sécurité peuvent être enregistrés et examinés conformément aux exigences opérationnelles.
Section 3. Contrôles d'infrastructure
Environnement d'hébergement
Le site est hébergé sur une infrastructure offrant la terminaison TLS et le transport chiffré. La résilience de l'infrastructure et les procédures de sauvegarde sont gérées par l'hébergeur.
Sécurité du transport
L'ensemble du trafic est chiffré via HTTPS. Le contenu mixte n'est pas utilisé. HSTS est activé en production avec preload. La terminaison TLS intervient en périphérie.
En-têtes de sécurité HTTP
Le site envoie des en-têtes de sécurité incluant Content Security Policy, X Content Type Options nosniff, X Frame Options DENY, Referrer Policy strict-origin-when-cross-origin et Permissions Policy restreignant la caméra, le microphone, la géolocalisation et les fonctionnalités associées. L'intégration d'objets et de frames est désactivée.
Section 4. Contrôles applicatifs
Input handling
Les saisies du formulaire de contact sont validées. Seules les données nécessaires sont collectées. La limitation du débit est appliquée selon la configuration de déploiement.
Gestion des dépendances
Les dépendances de paquets sont gérées par le système de dépendances du projet. L'intégration continue analyse les vulnérabilités critiques. Les problèmes identifiés sont évalués et traités selon la gravité et la faisabilité.
Intégrité du contenu
Le site est principalement statique. L'exécution dynamique est limitée aux fonctionnalités essentielles. Les sources de scripts et de styles sont contraintes par la Content Security Policy.
Section 5. Protection des données
La collecte de données est minimale. Les demandes de contact sont traitées uniquement pour la communication. Pas de revente, pas de profilage, pas de stockage persistant de compte utilisateur.
Pour toute information relative aux pratiques en matière de données, consulter la Privacy page.
Section 7. Gestion des vulnérabilités
Les dépendances sont surveillées à l'aide des outils standards de gestion des paquets. Les mises à jour d'infrastructure sont gérées par l'hébergeur.
Nous ne pouvons pas garantir la couverture zero day. Les problèmes de sécurité sont évalués et traités lorsqu'ils sont identifiés.
En cas d'incident de sécurité impliquant des données personnelles sous notre contrôle, nous agirons conformément aux obligations légales applicables.
Section 8. Divulgation responsable
Les préoccupations en matière de sécurité peuvent être signalées via la Contact page. Les signalements doivent inclure une description claire du problème, les étapes de reproduction et l'URL ou le composant concerné.
N'incluez pas de code d'exploitation actif dans le signalement initial.
Nous visons à accuser réception des signalements dans un délai raisonnable. Aucune garantie de délai de réponse n'est fournie.
Section 9. Port sûr
Nous ne poursuivrons pas en justice les chercheurs qui signalent des vulnérabilités de bonne foi, restent dans le périmètre décrit dans cette politique, évitent d'accéder ou de modifier des données au-delà de ce qui est nécessaire pour démontrer le problème, et évitent tout préjudice à la vie privée ou toute perturbation du service.
Ce safe harbor s'applique uniquement aux activités menées dans le périmètre décrit dans cette politique et n'autorise pas les actions en violation de la loi applicable ou des conditions des services tiers.
Les tests par déni de service, l'ingénierie sociale du personnel ou les tests des services tiers ne sont pas autorisés.
Section 10. Limites
Aucun système n'est à l'abri du risque. Cette page Sécurité ne constitue ni garantie ni engagement contractuel en matière de sécurité.
Les déclarations contenues dans ce document reflètent les pratiques actuelles et peuvent être modifiées sans préavis.
Les utilisateurs sont responsables du maintien de pratiques de sécurité raisonnables sur leurs propres équipements et réseaux.
Section 11. Gouvernance et examen
La posture de sécurité fait l'objet d'examens périodiques. Les modifications substantielles seront reflétées dans la section gouvernance.
Dernière mise à jour : 2026-02-22