🛡 Politique de sécurité

La Mutuelle du Nickel traite des données particulièrement sensibles (santé, état civil, bancaire). Cette page récapitule les mesures techniques et organisationnelles en place.

ℹ Un résumé opérationnel, pas un rapport d'audit exhaustif. Pour plus de détails

techniques, contactez-nous à securite@mdn.nc.

🏢 Hébergement

Élément	Détail
Hébergeur	Stratos SARL (Nouvelle-Calédonie)
Conformité	Art. Lp. 2111-1 I 5° — agrément Gouv. NC
Chiffrement disque	LUKS2 (AES-256)
Sauvegardes	Quotidiennes chiffrées, stratégie 3-2-1 (3 copies / 2 médias / 1 hors-site) + dump MySQL transactionnel pré-snapshot
Pare-feu	UFW restrictif (ports 22 / 80 / 443)
Mises à jour	Ubuntu unattended-upgrades

🔒 Chiffrement de bout en bout

Couche	Technologie
Transport	HTTPS TLS 1.3 — cert Let's Encrypt ECDSA
HSTS	`max-age=31536000; includeSubDomains; preload`
Pièces justificatives	AES-256-GCM par fichier (clé + nonce uniques)
Données sensibles BDD	IBAN, secret 2FA, nom de fichier chiffrés séparément
Intégrité	Hash SHA-256 vérifié au déchiffrement

✅ Aucune pièce médicale ou financière n'est accessible en clair sur disque ou

en base de données sans la clé maître stockée dans .env (chmod 600).

🔐 Authentification forte

Mots de passe Argon2id (12+ caractères, 4 classes, historique 5 interdits)
2FA TOTP obligatoire (RFC 6238) pour tous les rôles
8 codes de secours à usage unique
Verrouillage après 5 échecs / 15 min
Régénération SID à chaque login et changement de privilège

🏠 Cloisonnement multi-tenant

⚠️ Règle absolue : un utilisateur d'une entreprise ne voit jamais les

dossiers d'une autre entreprise.

Mesures en profondeur :

Filtrage automatique par company_id dans tous les modèles
Middleware applicatif par requête
Toute tentative d'accès croisé est immédiatement loggée

📜 Audit & traçabilité

Événement	Trace
Connexions	`user_login_attempts` — IP, UA, succès/échec
Actions métier	`audit_logs` — immuable (triggers MySQL)
Conservation audit	6 ans minimum (obligation légale)
Logs applicatifs	rotation journalière, chiffrés au repos via LUKS

✅ La table d'audit est en lecture seule : même l'administrateur applicatif

ne peut ni modifier ni supprimer une ligne. Des triggers MySQL bloquent UPDATE et DELETE sur cette table.

🛡 OWASP Top 10 — notre réponse

Risque OWASP	Réponse MDN
A01 Broken Access Control	RBAC 5 rôles + middleware + cloisonnement
A02 Cryptographic Failures	TLS 1.3, Argon2id, AES-256-GCM
A03 Injection	PDO prepared statements uniquement
A04 Insecure Design	Tenant-aware natif, moindre privilège
A05 Misconfiguration	Headers durcis, `expose_php=Off`, AppArmor
A06 Composants vulnérables	Dépendances minimales, audit régulier
A07 Identification faible	2FA obligatoire, lockout, cookies HttpOnly+Secure
A08 Data integrity	SHA-256, MIME réel via `finfo`, HMAC webhooks
A09 Logging / monitoring	Audit immuable, fail2ban
A10 SSRF	Aucune requête HTTP sur URL user, whitelist APIs

🚨 Procédures opérationnelles

En cas de suspicion d'incident :

Suspension immédiate du compte concerné
Analyse audit + journaux sécurité
Rotation des secrets potentiellement exposés
Vérification intégrité des pièces (SHA-256)
Notification du DPO

Violation RGPD (art. 33-34) :

Détection → évaluation criticité < 24 h
Notification autorité contrôle < 72 h
Information personnes concernées < 72 h si risque élevé

🤝 Sous-traitants techniques

Prestataire	Rôle	Localisation	Garanties
Stratos SARL	Hébergement	🇳🇨 Nouvelle-Calédonie	Agrément Gouv. NC (art. Lp. 2111-1 I 5°)
SendGrid (Twilio)	Email transactionnel	🇺🇸 États-Unis (DPF)	SOC 2 Type II, ISO 27001, EU-US DPF
Pacific Consulting	SMS	🇳🇨 Nouvelle-Calédonie	DPA signé avec MDN
Let's Encrypt	Certificats TLS	🇺🇸 USA	Aucune donnée personnelle
ClouDNS	DNS	🇧🇬 Bulgarie (UE)	Données techniques uniquement

📞 Contact sécurité

Canal	Adresse
🛡 RSSI / Sécurité	securite@mdn.nc
📋 DPO	dpo@mdn.nc
🚨 Incident critique	(687) 26 60 40

ℹ Cette politique est revue au moins une fois par an et après chaque changement

majeur d'infrastructure ou de réglementation.

Dernière mise à jour : 24/04/2026