Politique de Sécurité

01 Présentation et engagement

Hack-Oeil, nom commercial de l'entreprise individuelle LECOMTE Cyril, est spécialisé en cybersécurité et propose des services d'audit, de formation et d'accompagnement à la certification ISO 27001.

Cette politique définit les principes, mesures techniques et organisationnelles mises en œuvre pour protéger les données et garantir la résilience de nos systèmes d'information.

02 Gouvernance de la sécurité

La sécurité de l'information est pilotée par un responsable désigné, garant de la mise en œuvre, du suivi et de l'amélioration continue du système de management de la sécurité de l'information (SMSI).

• Définition et mise à jour des politiques de sécurité
• Gestion des risques selon une approche structurée
• Revue périodique des contrôles de sécurité
• Amélioration continue conformément à ISO/IEC 27001

03 Périmètre d'application

Cette politique s'applique à l'ensemble des actifs numériques :

• Site vitrine hack-oeil.fr
• Plateforme CTF ctfs.cyrhades.fr
• API et services back-end
• Systèmes internes et outils collaboratifs
• Données clients, apprenants et partenaires

04 Sécurité des applications

Développement sécurisé

• Application des recommandations OWASP Top 10
• Revue de code systématique orientée sécurité
• Intégration de contrôles sécurité dans les pipelines CI/CD
• Principe du moindre privilège appliqué aux composants

Tests de sécurité

• Audits internes réguliers
• Tests d'intrusion périodiques
• Analyse SAST / DAST
• Analyse des dépendances (SCA)

05 Protection des données

Données collectées

Nous collectons uniquement les données strictement nécessaires au fonctionnement des services.

Classification des données

• Données publiques
• Données internes
• Données sensibles (personnelles ou critiques)

Mesures de protection

• Chiffrement en transit (TLS 1.2 minimum, TLS 1.3 privilégié)
• Chiffrement au repos (AES-256)
• Hashage des mots de passe avec Argon2id (ou bcrypt)
• Séparation des environnements
• Politique de rétention et suppression automatique

Conformité RGPD

Nous garantissons les droits d'accès, rectification, suppression et portabilité conformément au RGPD.

06 Infrastructure et hébergement

• Hébergement en Union Européenne
• Sauvegardes chiffrées avec vérification d'intégrité
• Segmentation réseau et WAF
• Supervision 24/7
• PCA / PRA testés régulièrement

Gestion des accès

• Authentification forte (MFA) pour les accès sensibles
• Gestion du cycle de vie des comptes
• Revue périodique des droits
• Principe du moindre privilège

Journalisation et surveillance

• Journalisation des événements de sécurité
• Centralisation des logs
• Détection d'activités anormales
• Conservation conforme aux exigences légales

Sécurité technique

• En-têtes HTTP sécurisés (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)

07 Gestion des vulnérabilités

• Veille continue sur les vulnérabilités (CVE)
• Correction des vulnérabilités critiques sous 24 à 48 heures
• Mise à jour régulière des composants
• Évaluation via CVSS v3

08 Gestion des incidents

• Détection : identification via supervision
• Confinement : limitation de l'impact
• Éradication : suppression de la cause
• Récupération : restauration sécurisée
• Post-mortem : amélioration continue

09 Gestion des fournisseurs

• Évaluation de la sécurité des prestataires
• Clauses contractuelles de sécurité
• Contrôle de la localisation des données
• Revue périodique des fournisseurs critiques

10 Sensibilisation et formation

• Sensibilisation aux risques (phishing, social engineering)
• Mise à jour continue des connaissances

11 Conformité et certifications

Nos pratiques sont alignées sur la norme ISO/IEC 27001:2022 et les recommandations de l'ANSSI.

12 Politique de divulgation responsable

• Aucune poursuite pour les chercheurs agissant de bonne foi
• Accusé de réception sous 48 heures
• Suivi transparent des corrections
• Crédit public après correction

Consultez notre security.txt.

13 Contact sécurité