Sécurité

Architecture de sécurité de la plateforme

LOOMSEC GRC conçoit ses services en mettant la sécurité au cœur de chaque étape : conception, développement, exploitation et audit.

1. Architecture de sécurité en 9 couches

LOOMSEC GRC implémente une défense en profondeur structurée en 9 couches indépendantes. Chaque requête traverse l'intégralité de ces couches avant d'atteindre les données métier.

  1. 1
    Couche 1Réseau : TLS 1.2+ obligatoire en production — rate limiting distribué via Redis (global, login, API, téléchargements).
  2. 2
    Couche 2Transport : En-têtes HTTP sécurisés (Helmet) : HSTS, CSP stricte, X-Frame-Options, X-Content-Type-Options.
  3. 3
    Couche 3Entrée : Validation Zod sur toutes les routes — hardening : désactivation d'eval(), surveillance des prototypes.
  4. 4
    Couche 4Détection : Routes honeypot (détection scanners/robots), détecteur d'anomalies comportementales en temps réel.
  5. 5
    Couche 5Authentification : JWT + TOTP (2FA, fenêtre 30 s ±1) — SSO SAML 2.0 / OIDC (Pro+) — rate limiting renforcé sur /auth/login (5 req/15 min).
  6. 6
    Couche 6Autorisation : RBAC 5 rôles (superadmin, admin, manager, analyst, readonly) — isolation stricte par tenant_id sur toutes les requêtes SQL.
  7. 7
    Couche 7Chiffrement : Données au repos : AES-256-GCM. Transit : TLS 1.2+. Rotation automatique planifiée des clés.
  8. 8
    Couche 8Intégrité : Vérification SHA-256 du code source à chaque démarrage — signature Ed25519 de toutes les réponses API — Clock Guard anti-rollback temporel.
  9. 9
    Couche 9Supervision : Watchdog des schedulers critiques — audit trail hash-chained chiffré (modification détectable immédiatement).

2. Chiffrement et protection des données

Les données sensibles sont chiffrées en AES-256-GCM au repos (pièces jointes, scripts, secrets des connecteurs SIEM/EDR/Cloud). Les communications sont chiffrées en TLS 1.2+ en transit. Les clés de chiffrement font l'objet d'une rotation automatique planifiée. Les secrets des intégrations (tokens SIEM, clés API EDR) sont stockés chiffrés avec une clé distincte de la clé JWT.

3. Authentification et contrôle d'accès (RBAC)

L'accès à la plateforme est sécurisé par JWT (HS256/RS256) avec une durée d'expiration configurable. L'authentification à deux facteurs (TOTP, RFC 6238) est disponible sur tous les plans. Le SSO SAML 2.0 / OIDC et la synchronisation LDAP/AD sont disponibles à partir du plan Pro.

Le RBAC implémente 5 rôles : superadmin (multi-tenant), admin (gestion du tenant), manager (pilotage GRC), analyst (lecture + écriture métier), readonly (lecture seule). Toutes les requêtes SQL incluent systématiquement un filtre WHERE tenant_id = $n — l'isolation entre organisations est garantie au niveau de la couche service.

4. Audit trail immuable

Le journal d'audit est hash-chained : chaque entrée contient le hash SHA-256 de l'entrée précédente. Toute modification ou suppression d'une entrée casse la chaîne et est immédiatement détectable. Le journal est chiffré au repos. Événements tracés : connexions, modifications critiques, erreurs de sécurité, rotations de clés, démarrage/arrêt du serveur.

5. Rate limiting et protection anti-abus

LimiteurSeuilFenêtrePortée
globalLimiter100 req15 minToutes les routes
loginLimiter5 req15 min/auth/login uniquement
apiLimiter60 req1 minRoutes API
downloadLimiter10 req1 minTéléchargements

Backend Redis (primary) avec fallback mémoire si Redis indisponible.

6. Conformité et obligations réglementaires

La plateforme est déployée on-premise dans votre infrastructure : vos données ne quittent jamais votre périmètre. Les engagements sont alignés avec ISO 27001, RGPD, NIS2 (disponibles sur tous les plans) ainsi que SOC 2, PCI-DSS, DORA, LPM, HDS (plans Pro et Entreprise).