Header Portal

Centre de sécurité

Comment Bombyx protège vos données et préserve l’intégrité de la plateforme.
Dernière mise à jour : 29 juin 2026

 

Notre engagement en matière de sécurité

Chez Bombyx, la sécurité n’est pas une simple formalité : elle est au cœur de tout ce que nous développons. Nous traitons des données logistiques sensibles, des flux opérationnels et des informations critiques pour le compte de nos clients, et nous prenons cette responsabilité très au sérieux. Ce Centre de sécurité décrit les mesures techniques et organisationnelles que nous mettons en œuvre pour protéger la confidentialité, l’intégrité et la disponibilité de vos données.

Cryptage

Les données sont chiffrées en transit et au repos à l’aide de protocoles conformes aux normes de l’industrie.

Contrôle d’accès

Contrôles d’accès basés sur les rôles et authentification multifacteurs appliqués à l’ensemble de la plateforme.

Surveillance

Surveillance continue de la sécurité et détection des anomalies, 24h/24 et 7j/7.

Réponse à l’incident

Procédures définies pour une identification, un confinement et une récupération rapides.

Sécurité de l’infrastructure

La plateforme Bombyx est hébergée sur une infrastructure cloud de niveau entreprise avec de multiples niveaux de contrôles de sécurité physiques et logiques :

  • Centres de données dotés de fournisseurs cloud certifiés SOC 2 Type II et ISO 27001 ;
  • Redondance géographique et basculement automatique pour garantir une haute disponibilité ;
  • Segmentation du réseau avec pare-feu, systèmes de détection d’intrusion (IDS) et pare-feu d’applications Web (WAF) ;
  • Analyse régulière des vulnérabilités de l’infrastructure et tests d’intrusion ;
  • Gestion automatisée des correctifs pour les logiciels système et leurs dépendances.

Chiffrement des données

Nous utilisons un chiffrement robuste pour protéger vos données à chaque étape :

  • En transit : toutes les données transmises entre votre navigateur ou application et nos serveurs sont cryptées à l’aide de TLS 1.2 ou version ultérieure. Nous appliquons HTTPS sur tous les points de terminaison.
  • Au repos : Toutes les données stockées sont chiffrées à l’aide du chiffrement AES-256. Les sauvegardes de la base de données sont également chiffrées.
  • Données de paiement : les détails de la carte ne sont jamais transmis ou stockés sur les serveurs Bombyx. Tout le traitement des paiements est géré par Stripe, qui détient la certification PCI DSS niveau 1, la norme la plus élevée du secteur des cartes de paiement.

Contrôles d’accès et authentification

Nous appliquons des contrôles d’accès stricts pour minimiser le risque d’accès non autorisé :

  • Contrôle d’accès basé sur les rôles (RBAC) : les utilisateurs bénéficient du niveau d’accès minimum nécessaire à leur rôle (principe du moindre privilège) ;
  • Authentification multifacteurs (MFA) : L’authentification multifacteurs est disponible et recommandée pour tous les comptes utilisateurs ;
  • Gestion des sessions : expirations automatiques des sessions et gestion sécurisée des jetons de session ;
  • Accès interne : Les employés de Bombyx accèdent aux systèmes de production uniquement via un VPN sécurisé avec authentification multifacteur. Tous les accès internes sont enregistrés et audités.

Surveillance et détection de sécurité

Bombyx maintient une surveillance continue de notre infrastructure et de notre plateforme :

  • Agrégation et analyse des journaux en temps réel à l’aide d’outils de gestion des informations et des événements de sécurité (SIEM) ;
  • Alertes automatisées en cas d’activité suspecte, notamment les anomalies de connexion, les accès inhabituels aux données et les modifications de configuration ;
  • Examen régulier des journaux d’accès et des pistes d’audit ;
  • Analyses de sécurité tierces et tests d’intrusion périodiques.

Réponse à l’incident

Bombyx dispose d’un plan de réponse aux incidents (PRI) formel pour gérer efficacement les événements de sécurité :

  • Détection : Détection automatisée et manuelle des incidents de sécurité potentiels ;
  • Confinement : Isolement immédiat des systèmes affectés afin d’empêcher la propagation ;
  • Enquête : Analyse des causes profondes et examen médico-légal ;
  • Récupération : restauration du système à partir de sauvegardes sécurisées avec vérification de l’intégrité ;
  • Notification : En cas de violation de données personnelles, nous informerons les utilisateurs concernés et les autorités réglementaires compétentes conformément à la législation applicable (dans un délai de 72 heures en vertu du RGPD).

Sécurité des employés

Notre équipe est un élément essentiel de notre dispositif de sécurité :

  • Tous les employés font l’objet d’une vérification des antécédents avant leur embauche;
  • Une formation de sensibilisation à la sécurité est dispensée lors de l’intégration et annuellement par la suite ;
  • Les employés ayant accès à des données sensibles sont soumis à des accords de confidentialité ;
  • L’accès aux données client est strictement limité aux personnes qui en ont besoin pour l’exercice de leurs fonctions et est consigné.

Sécurité des fournisseurs et des tiers

Nous adoptons une approche fondée sur les risques en matière de sécurité des tiers :

  • Tous les sous-traitants et fournisseurs critiques font l’objet d’une évaluation de leur niveau de sécurité avant toute intervention ;
  • Des accords de traitement des données (ATD) sont conclus avec tous les fournisseurs qui traitent des données personnelles ;
  • L’accès des fournisseurs aux systèmes Bombyx est contrôlé, surveillé et limité dans le temps.

Continuité des activités et reprise après sinistre

Nous maintenons des plans complets pour assurer la continuité du service :

  • Sauvegardes automatisées effectuées quotidiennement avec stockage chiffré et réplication hors site ;
  • Objectif de point de récupération (RPO) : maximum 24 heures de perte de données en cas de catastrophe ;
  • Objectif de délai de rétablissement (RTO) : rétablissement ciblé dans un délai de 4 heures ;
  • Les procédures de reprise après sinistre sont testées périodiquement.

Politique de divulgation responsable

Bombyx accueille favorablement les rapports des chercheurs en sécurité et de la communauté au sens large. Si vous découvrez une vulnérabilité potentielle dans notre plateforme, veuillez la signaler de manière responsable :

  • N’exploitez pas ou ne tentez pas d’exploiter les vulnérabilités que vous découvrez ;
  • Ne pas accéder aux données utilisateur, les modifier ou les supprimer ;
  • Signaler les résultats à support@bom-byx.com avec une description détaillée ;
  • Accordez-nous un délai raisonnable pour enquêter et remédier à la situation avant la divulgation publique.

Nous accusons réception de tous les signalements sous 48 heures et vous tiendrons informés de l’avancement de votre dossier. Nous n’engageons aucune poursuite judiciaire contre les chercheurs en sécurité de bonne foi.