Tes données comptables. Au Québec. Chiffrées. Sous ton contrôle.

Hébergement souverain au Québec

Nos serveurs principaux sont hébergés chez Vidéotron au Québec. Réplication chiffrée en Ontario pour redondance. Aucune donnée ne quitte le Canada. Aucune autorité américaine ne peut exiger l'accès via le CLOUD Act.

Chiffrement de bout en bout

• En transit : TLS 1.3 avec certificats Let\'s Encrypt renouvelés automatiquement, HSTS strict (Strict-Transport-Security: max-age=63072000), pas de fallback HTTP.
• Au repos : AES-256 sur tous les disques. PostgreSQL TDE (Transparent Data Encryption) pour la base de données. Volumes chiffrés au niveau OS (LUKS).
• Sauvegardes : Chiffrées avec clé séparée, conservées 90 jours, testées mensuellement par restauration.
• Mots de passe : Hachés avec BCrypt (workFactor 12). Jamais stockés en clair, même temporairement.

Conformité Loi 25 — détaillée

• Droit à l'effacement : tout client peut demander la suppression complète de ses données. Effacement définitif en moins de 30 jours, avec attestation.
• Droit à la portabilité : export complet de ton dossier (CSV + JSON) en 1 clic.
• Journalisation des accès : qui, quand, quoi. Tu peux consulter qui a accédé à ton dossier.
• Notifications de bris : en cas d\'incident, notification automatique sous 72 h à la Commission d\'accès à l\'information du Québec (CAI) ET à toi.
• Responsable de la protection des renseignements personnels : Guillaume Regimbald, Forge Tech, [email protected].

Authentification et accès

• 2FA : authentification à 2 facteurs via TOTP (Google Authenticator, Authy, Microsoft Authenticator). Activée par défaut pour les comptes administrateur.
• Sessions JWT : tokens signés HS256, expirent après 24 h, refresh automatique.
• Rate limiting : 5 tentatives de login par IP par 5 min. Défense contre brute-force.
• Permissions granulaires : rôles Owner, Admin, User, Read-only. Chaque utilisateur a accès à exactement ce qu\'il faut.

Architecture multi-tenant isolée

Chaque entreprise cliente a sa PROPRE base de données PostgreSQL. Aucun partage de données entre tenants. Une fuite SQL chez un tenant ne peut PAS exposer un autre. C'est plus coûteux à opérer mais c'est la seule architecture qui garantit l'isolation absolue.

Disponibilité et continuité

• SLA 99.9 % contractuel pour Enterprise.
• Sauvegardes : incrémentales toutes les heures, complètes quotidiennes.
• Réplication géographique : Québec → Ontario, en temps réel.
• Plan de continuité : RTO 4 h, RPO 1 h en cas d\'incident majeur.
• Surveillance 24/7 : alertes automatiques sur anomalies, intervention humaine en 15 min.

Audits internes et tests

• Tests de pénétration trimestriels (équipe interne).
• Scan automatique de vulnérabilités OWASP Top 10 sur chaque déploiement.
• Revue de code obligatoire avant fusion en production.
• Mises à jour de sécurité du runtime appliquées sous 48 h.

Et la certification SOC 2 ?

Honnêteté : nous ne sommes pas encore SOC 2 certifiés en 2026. C'est un processus de 6-12 mois qui coûte 15-30 k$ et que nous lancerons quand notre base de clients enterprise justifiera l'investissement (cible : Q3 2027). En attendant, notre architecture est conçue pour passer SOC 2 Type II — c'est juste l'audit formel qui manque, pas les pratiques.

Signaler une vulnérabilité

Tu as découvert une faille ? Écris à [email protected] avec les détails. On répond sous 24 h. Programme de bug bounty informel : 100-2 500 $ selon la sévérité, payés via virement Interac.