Authentification
Chaque utilisateur dispose d'un compte individuel (email + mot de passe). Les sessions sont gérées par Supabase Auth avec des tokens JWT signés. L'accès à l'application nécessite une authentification.
Sécurité et confidentialité
CyberBoard aide les PME à structurer un diagnostic cyber/GRC. Cette page décrit les mesures de sécurité mises en place, les données traitées et les limites actuelles — sans promesse de certification ou de conformité garantie.
Ces mesures sont implémentées et actives. Elles peuvent évoluer avec les prochaines étapes produit.
Chaque utilisateur dispose d'un compte individuel (email + mot de passe). Les sessions sont gérées par Supabase Auth avec des tokens JWT signés. L'accès à l'application nécessite une authentification.
Les données (évaluations, réponses, plans d'action, rapports) sont rattachées à une organisation. Un utilisateur sans appartenance à une organisation ne peut pas accéder à ses données.
L'accès est contrôlé par membership explicite : seules les personnes ajoutées comme membres par un propriétaire peuvent lire et modifier les évaluations d'une organisation.
Les règles d'accès sont appliquées directement au niveau de la base de données (PostgreSQL RLS). Même si un bug applicatif existait, la base refuserait l'accès non autorisé.
Les opérations sensibles (ajout de membre, consultation des profils) passent par des fonctions côté serveur avec des droits restreints et un search_path fixé. L'accès à auth.users n'est jamais exposé directement au client.
Seule la clé publique Supabase (publishable key) est utilisée dans le navigateur. La clé service_role n'est jamais transmise côté client ni versionnée dans le code.
Les ajouts et retraits de membres, les invitations, les modifications d'organisation et les changements de contributeurs sont enregistrés dans un journal horodaté, consultable par les membres.
Les évaluations peuvent être exportées (PDF, CSV). La corbeille permet de restaurer ou de supprimer définitivement les évaluations. L'export complet d'organisation est prévu en roadmap.
L'application envoie des headers de sécurité : X-Frame-Options (protection clickjacking), X-Content-Type-Options, Referrer-Policy, Permissions-Policy et une Content-Security-Policy partielle.
Aucune donnée client réelle n'est stockée durablement dans le navigateur (localStorage). Seules les réponses de la démo publique et l'identifiant de session sont conservés localement, et nettoyés à la déconnexion.
CyberBoard traite uniquement les données nécessaires à son fonctionnement. Aucune donnée n'est revendue ni partagée avec des tiers à des fins commerciales.
Les commentaires libres saisis dans le questionnaire (champ « Commentaire » par question) et les notes de suivi du plan d'action sont stockés tels quels. Évitez d'y saisir des mots de passe, des clés d'accès, des données personnelles de tiers ou des informations hautement confidentielles. Utilisez ces champs pour décrire votre posture et vos actions, pas pour stocker des secrets.
Ces limites sont documentées et guident les prochaines priorités. La transparence sur les limites fait partie du contrat de confiance avec les utilisateurs.
CyberBoard est hébergé sur Vercel (application Next.js) et Supabase(base de données PostgreSQL, authentification, API). Les deux fournisseurs sont des plateformes cloud avec des certifications de sécurité publiées (SOC 2, ISO 27001 pour Supabase Enterprise). CyberBoard lui-même n'est pas certifié à ce jour.
Vous avez identifié un problème de sécurité ou souhaitez discuter du contexte de votre organisation ? Contactez l'équipe directement.