Sécurité chez Lectur.
Ce qui est en place aujourd'hui, ce qui est en cours, et comment nous préférons recevoir un signalement de vulnérabilité.
En place aujourd'hui
Isolement par locataire au niveau des requêtes, imposé par le code et vérifié au moment de la compilation. Secrets conservés dans les environnements Dokploy, jamais dans le dépôt. TLS sur chaque entrée publique et sur les appels internes qui sortent du réseau Docker. Cookies d'authentification HTTP-only, SameSite, avec des jetons courts qui tournent. Sauvegardes chiffrées quotidiennes avec restauration à un instant T jusqu'à 30 jours.
Authentification
Authentification unique OIDC et SAML par locataire. Les institutions pilotes fournissent leur propre fournisseur d'identité et leurs mappages de rôles. Les appels entre services utilisent une clé X-API-Key partagée, délimitée par service, validée au proxy avant d'atteindre le code applicatif.
En cours
Préparation SOC 2 Type I (T2 2026), avec une période d'attestation Type II qui démarre après la sortie du pilote. Incorporation formelle, dossier de diligence fournisseur et livre blanc de sécurité complet sont sur la même piste T2 — ce sont des livrables engagés, pas une liste de souhaits.
Observabilité
Traces OpenTelemetry sur chaque surface backend, avec événements d'erreur, LLM et usage expédiés à notre pile d'observabilité. Les signaux d'intrusion au niveau hôte (Falco, chkrootkit, rkhunter, lynis, unhide) alimentent un centre de notifications qui les achemine vers les opérateurs appropriés.
Divulgation responsable
Si vous pensez avoir trouvé une vulnérabilité, ne la publiez pas. Écrivez à l'adresse de sécurité ci-dessous avec suffisamment de détails pour reproduire ; nous accusons réception sous deux jours ouvrables et vous tenons informé jusqu'au déploiement du correctif. Les clients pilotes disposent d'un canal d'escalade supplémentaire dans leur contrat.
Questions
Écrivez à security@lectur.ca.