Informations légales

Mots de passe hachés

Les mots de passe ne sont jamais stockés en clair. Ils sont transformés via un algorithme de hachage adaptatif, rendant leur récupération impossible même en cas d'accès non autorisé à la base de données.

Protection contre la force brute

Le formulaire de connexion est protégé par un système de limitation de débit. Après plusieurs tentatives échouées consécutives, l'accès est temporairement suspendu. Cette mesure protège les comptes contre les attaques automatisées.

Accès restreint

La création de comptes est volontairement restreinte et non accessible publiquement. L'accès à l'espace d'administration est réservé aux personnes explicitement autorisées.

Système de rôles

Chaque utilisateur dispose d'un niveau d'accès précis selon son rôle (support, logistique, finance, manager, administrateur…). Les fonctionnalités sensibles sont accessibles uniquement aux rôles appropriés, selon le principe du moindre privilège.

Contrôle d'accès aux routes

Toutes les pages d'administration sont protégées par des règles de contrôle d'accès définies au niveau du serveur. Une tentative d'accès à une ressource non autorisée est interceptée et redirigée vers une page d'accès refusé, sans exposer d'informations sur l'existence de la ressource.

Jetons CSRF

Chaque formulaire du site (contact, connexion, suppression, modification de données…) est protégé par un jeton anti-CSRF unique et à usage limité. Cette mesure empêche les attaques par falsification de requêtes inter-sites, qui tenteraient d'effectuer des actions à votre insu.

Protection contre les injections

Toutes les interactions avec la base de données passent par un ORM (Object-Relational Mapper) qui utilise des requêtes paramétrées. Cette approche rend les injections SQL techniquement impossibles sur ce site.

Anonymisation des adresses IP

Les adresses IP collectées à des fins statistiques sont immédiatement anonymisées via un mécanisme d'empreinte numérique irréversible. Elles ne sont jamais stockées en clair et ne peuvent pas être reconstituées par un accès ordinaire à la base de données.

Chiffrement des données sensibles

Certaines données sensibles sont stockées sous forme chiffrée. Leur accès est strictement limité aux rôles administrateurs de plus haut niveau, et uniquement via des actions explicites tracées.

HTTPS obligatoire

L'ensemble des communications entre votre navigateur et ce site est chiffré via HTTPS. Aucune donnée ne transite en clair sur le réseau.

En-têtes de sécurité (CSP)

Des en-têtes HTTP de sécurité sont définis sur chaque page, notamment une politique de sécurité du contenu (Content Security Policy) qui restreint les sources autorisées pour les scripts, styles et médias. Cela réduit significativement le risque d'attaques de type XSS (Cross-Site Scripting).