Aperçu de la sécurité et de la confidentialité

Aperçu complet de l'architecture de sécurité de Cothon, des cadres de conformité et de l'engagement en matière de confidentialité pour les opérations de renseignement en matière d'approvisionnement

Updated 2026-03-3028 min read

Aperçu de la sécurité et de la confidentialité

La plateforme de renseignement en matière d'approvisionnement de Cothon est construite avec une sécurité de niveau entreprise dès le départ. Nous comprenons que vous nous confiez des données sensibles d'appels d'offres, des propositions exclusives et des renseignements concurrentiels — et nous prenons cette responsabilité au sérieux. Notre architecture de sécurité combine des normes de chiffrement modernes, des contrôles d'accès complets et la souveraineté des données canadiennes pour protéger vos opérations d'approvisionnement.

Ce survol offre une compréhension de haut niveau de notre engagement en matière de sécurité, de notre posture de conformité et de notre architecture technique. Pour des guides de mise en œuvre détaillés, explorez les sections spécifiques sur la sécurité et la confidentialité liées tout au long de ce document.

Notre engagement en matière de sécurité

Chez Cothon, la sécurité n'est pas une réflexion après coup — elle est fondamentale à tout ce que nous construisons. Nous avons conçu notre plateforme avec une approche de défense en profondeur qui protège vos données à plusieurs niveaux :

Principes fondamentaux

Cycle de développement axé sur la sécurité

Notre équipe d'ingénierie suit des pratiques de développement sécurisées à chaque étape :

Phase	Mesures de sécurité
Conception	Modélisation des menaces, révision de l'architecture de sécurité, évaluation de l'impact sur la confidentialité
Développement	Normes de codage sécurisées, analyse des dépendances, analyse statique (ESLint, sécurité des types)
Tests	Tests de pénétration, analyse des vulnérabilités, validation des flux d'authentification
Déploiement	Infrastructure en tant que code, gestion chiffrée des secrets, déploiements sans interruption
Opérations	Surveillance 24/7, plan de réponse aux incidents, audits de sécurité réguliers

Note

Note de transparence : Nous croyons en la sécurité par la transparence. Bien que nous ne divulguions pas de vulnérabilités spécifiques, nous maintenons un dialogue ouvert avec les clients sur nos pratiques de sécurité et nous nous engageons à divulguer de manière responsable tout incident de sécurité.

Conformité et certifications

Cothon est conçu pour répondre aux exigences strictes de l'approvisionnement gouvernemental et des opérations d'entreprise.

Conformité à la LPRPDE

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régit la manière dont les entreprises canadiennes recueillent, utilisent et divulguent les renseignements personnels. Cothon est entièrement conforme aux dix principes de confidentialité de la LPRPDE :

Succès

Résidence des données canadiennes : Toute l'infrastructure de Cothon est hébergée dans des centres de données canadiens (régions de Montréal et Toronto). Vos données d'approvisionnement ne quittent jamais le Canada, assurant la conformité avec les politiques d'approvisionnement provinciales et les réglementations fédérales sur la confidentialité.

Normes de l'industrie

Au-delà de la conformité réglementaire, nous nous alignons sur les meilleures pratiques de l'industrie :

Norme	Mise en œuvre Cothon	Statut
ISO 27001	Cadre de système de gestion de la sécurité de l'information	Alignement en cours
SOC 2 Type II	Audit indépendant des contrôles de sécurité	Prévu pour T3 2026
WCAG 2.1 AA	Normes d'accessibilité Web	Mis en œuvre
OWASP Top 10	Protection contre les vulnérabilités Web courantes	Mis en œuvre
CSA STAR	Auto-évaluation de l'alliance de sécurité dans le nuage	Prévu pour T4 2026

Architecture de sécurité

L'architecture technique de Cothon est conçue avec plusieurs couches de contrôles de sécurité, assurant une protection complète de vos données d'approvisionnement.

Couche d'infrastructure

┌─────────────────────────────────────────────────────┐
│             CDN et sécurité périphérique            │
│  (Protection DDoS, WAF, terminaison TLS 1.3)       │
└─────────────────────────────────────────────────────┘
                        ↓
┌─────────────────────────────────────────────────────┐
│        Équilibreur de charge d'application          │
│  (Application SSL/TLS, limitation de débit)        │
└─────────────────────────────────────────────────────┘
                        ↓
┌──────────────────┬─────────────────┬────────────────┐
│  Interface       │  API backend    │  Travailleurs  │
│  (Next.js 15)    │  (Flask 3.0)    │  en arrière-   │
│  Vercel Edge     │  Railway        │  plan (Celery) │
└──────────────────┴─────────────────┴────────────────┘
                        ↓
┌─────────────────────────────────────────────────────┐
│    Couche de base de données (Supabase PostgreSQL)  │
│  (Chiffrement au repos, politiques RLS, journaux   │
│   d'audit)                                          │
└─────────────────────────────────────────────────────┘

Note

Point saillant de l'architecture : Notre interface et notre backend sont séparés par des limites API claires, nous permettant de mettre en œuvre des contrôles de sécurité granulaires à chaque couche. L'interface s'exécute sur le réseau périphérique de Vercel avec protection DDoS automatique, tandis que le backend et la base de données sont hébergés dans des centres de données canadiens.

Authentification et autorisation

Cothon utilise Supabase Auth, un système d'authentification éprouvé construit sur PostgreSQL, pour toute l'authentification des utilisateurs :

Authentification multifacteur (AMF)

Mots de passe à usage unique basés sur le temps (TOTP) via des applications d'authentification
Vérification par SMS pour une protection renforcée du compte
Codes de récupération pour l'accès au compte si les appareils AMF sont perdus

Gestion des sessions

Jetons d'accès JWT de courte durée (expiration de 15 minutes)
Jetons de rafraîchissement de longue durée avec rotation sécurisée
Expiration automatique de session après 30 jours d'inactivité
Suivi des appareils et détection de connexions suspectes

Authentification unique (SSO)

Intégration SAML 2.0 pour les fournisseurs d'identité d'entreprise
Support OAuth 2.0 pour Google Workspace et Microsoft Azure AD
Approvisionnement et déprovisionnement automatiques des utilisateurs

Voir Authentification et contrôle d'accès pour des guides de configuration détaillés.

Chiffrement des données

Toutes les données dans Cothon sont chiffrées à l'aide d'algorithmes standard de l'industrie :

État des données	Méthode de chiffrement	Gestion des clés
Données au repos	AES-256-GCM	Clés gérées par Supabase (rotation trimestrielle)
Données en transit	TLS 1.3	Renouvellement automatique des certificats via Let's Encrypt
Connexions de base de données	TLS 1.2+ avec épinglage de certificat	Authentification TLS mutuelle
Téléversements de fichiers	AES-256-CBC	Clés de chiffrement par objet
Sauvegardes	AES-256-GCM	Clés de chiffrement de sauvegarde séparées

Avertissement

Gestion des clés de chiffrement : Bien que Supabase gère les clés de chiffrement pour la couche de base de données, vous maintenez le contrôle sur vos données. Nous mettons en œuvre des contrôles d'accès stricts garantissant que les clés de chiffrement ne sont accessibles qu'aux systèmes autorisés et ne sont jamais exposées dans les journaux ou les messages d'erreur.

Sécurité au niveau des lignes (RLS)

Chaque table de notre base de données PostgreSQL a des politiques de sécurité au niveau des lignes qui assurent l'isolement des données :

-- Exemple : Les utilisateurs ne peuvent accéder qu'aux analyses d'appels d'offres de leur organisation
CREATE POLICY "Users access own organization's analyses"
ON bid_analyses FOR SELECT
USING (
  organization_id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
  )
);

-- Exemple : Seuls les administrateurs d'organisation peuvent supprimer les analyses
CREATE POLICY "Admins can delete analyses"
ON bid_analyses FOR DELETE
USING (
  EXISTS (
    SELECT 1 FROM organization_members
    WHERE user_id = auth.uid()
    AND organization_id = bid_analyses.organization_id
    AND role IN ('admin', 'owner')
  )
);

Ces politiques s'exécutent au niveau de la base de données, garantissant que même si les contrôles d'accès au niveau de l'application sont contournés, les utilisateurs ne peuvent pas accéder aux données non autorisées.

Sécurité API

Tous les points de terminaison API mettent en œuvre plusieurs contrôles de sécurité :

Voir Sécurité API pour les détails de mise en œuvre et les meilleures pratiques.

Sécurité réseau

Isolement de l'infrastructure

Notre infrastructure utilise la segmentation réseau pour isoler les composants :

Interface : Déployée sur le réseau périphérique de Vercel avec CDN mondial et protection DDoS automatique
API backend : S'exécute dans des conteneurs isolés sur Railway avec réseau privé
Base de données : PostgreSQL Supabase avec mise en commun de connexions et liste blanche IP
Travailleurs en arrière-plan : Travailleurs Celery dans des conteneurs séparés sans accès Internet public
Cache Redis : Accès réseau privé uniquement, aucune exposition externe

Protection DDoS

Cothon met en œuvre une protection DDoS multicouche :

Couche périphérique : CDN Vercel avec analyse et atténuation automatiques du trafic
Couche d'application : Limitation de débit et régulation des demandes
Couche de base de données : La mise en commun de connexions empêche l'épuisement des ressources de la base de données

Règles de pare-feu

Des règles de pare-feu strictes régissent tout le trafic réseau :

Source	Destination	Ports autorisés	Objectif
Internet	Interface (Vercel)	443 (HTTPS)	Accès utilisateur
Interface	API backend	443 (HTTPS)	Appels API
API backend	Base de données	5432 (PostgreSQL/TLS)	Accès aux données
API backend	Redis	6379 (TLS)	Accès au cache
Travailleurs Celery	Base de données	5432 (PostgreSQL/TLS)	Tâches en arrière-plan

Tout autre trafic est refusé par défaut.

Surveillance et réponse aux incidents

Surveillance en temps réel

Cothon maintient une surveillance complète sur tous les composants du système :

Surveillance d'application

Sentry pour le suivi des erreurs et la surveillance des performances
Alertes en temps réel pour les erreurs pertinentes à la sécurité (échecs d'authentification, refus d'autorisation)
Traçage distribué pour les demandes API à travers l'interface, le backend et la base de données

Surveillance de sécurité

Suivi des tentatives d'authentification échouées
Détection de modèles d'accès inhabituels
Alertes automatisées pour les activités suspectes (exportations massives de données, tentatives d'escalade de privilèges)
Journaux d'audit pour toutes les opérations sensibles

Surveillance d'infrastructure

Surveillance de la disponibilité avec objectif SLA de 99,9 %
Suivi de l'utilisation des ressources
Analyse des performances des requêtes de base de données
Détection d'anomalies du trafic réseau

Journalisation d'audit

Tous les événements pertinents à la sécurité sont journalisés avec des pistes d'audit immuables :

Type d'événement	Informations journalisées	Période de conservation
Authentification	Connexion/déconnexion, événements AMF, changements de mot de passe	2 ans
Autorisation	Octrois/révocations d'autorisations, changements de rôles	2 ans
Accès aux données	Consultations d'analyses d'appels d'offres, exportations de propositions, téléchargements de documents	1 an
Actions administratives	Création/suppression d'utilisateurs, changements de paramètres	3 ans
Appels API	Point de terminaison, utilisateur, horodatage, adresse IP, statut de réponse	90 jours

Note

Accès aux journaux d'audit : Les administrateurs d'organisation peuvent accéder aux journaux d'audit de leur organisation via l'interface Paramètres. Les journaux incluent l'activité des utilisateurs, les modèles d'accès aux données et les changements administratifs pour les enquêtes de conformité et de sécurité.

Réponse aux incidents

Nous maintenons un plan formel de réponse aux incidents avec des procédures définies :

Avertissement

Signalement d'incident de sécurité : Si vous découvrez une vulnérabilité de sécurité dans Cothon, veuillez la signaler immédiatement à security@cothon.ca. Nous maintenons un programme de divulgation responsable et travaillerons avec vous pour comprendre et résoudre le problème rapidement. Ne divulguez pas publiquement les vulnérabilités de sécurité avant de nous donner l'occasion de les résoudre.

Protection et confidentialité des données

Résidence des données

Toutes les données clients sont stockées dans des centres de données canadiens :

Région principale : Montréal, Québec (Supabase CA-CENTRAL-1)
Région de sauvegarde : Toronto, Ontario (reprise après sinistre)
Aucun transfert international : Les données ne quittent jamais le Canada à moins que vous n'utilisiez explicitement les fonctionnalités d'exportation

Classification des données

Nous classifions les données en fonction de leur sensibilité pour appliquer des mesures de protection appropriées :

Classification	Exemples	Niveau de protection
Critique	Mots de passe, clés API, clés de chiffrement	Hachés/chiffrés, jamais journalisés, contrôles d'accès stricts
Confidentiel	Propositions d'appels d'offres, déclarations de capacités, tarification	Chiffrés au repos et en transit, politiques RLS, journalisation d'audit
Interne	Métadonnées d'opportunités, paramètres d'organisation	Chiffrés au repos et en transit, politiques RLS
Public	Liens d'analyse partagés (avec jeton), avis d'approvisionnement publics	Chiffrés en transit, accès basé sur jeton

Confidentialité dès la conception

La confidentialité est intégrée dans chaque fonctionnalité que nous construisons :

Minimisation des données : Nous recueillons uniquement les données nécessaires à la fonctionnalité de la plateforme. Par exemple, nous ne recueillons pas les dates de naissance, les numéros de téléphone ou les adresses physiques sauf si requis pour des intégrations spécifiques.
Limitation de la finalité : Les données ne sont utilisées que pour les fins divulguées au moment de la collecte. Nous ne vendons pas vos données à des tiers ni ne les utilisons pour la publicité.
Limitation de la conservation : Les données ne sont conservées que le temps nécessaire. Voir nos Politiques de conservation des données pour plus de détails.
Transparence : Vous pouvez consulter toutes les données que nous avons recueillies à votre sujet et télécharger une exportation complète à tout moment.

Voir Confidentialité et conformité des données pour des politiques de confidentialité complètes.

Sécurité des tiers

Gestion des fournisseurs

Nous examinons attentivement tous les services tiers qui traitent les données clients :

Fournisseur	Objectif	Accès aux données	Conformité
Supabase	Base de données, authentification	Toutes les données clients	SOC 2 Type II, GDPR, ISO 27001
Vercel	Hébergement interface	Aucune donnée client (actifs statiques uniquement)	SOC 2 Type II, ISO 27001
Railway	Hébergement backend	Données chiffrées en transit	ISO 27001
OpenAI	Analyse IA (optionnel)	Texte de document (temporaire, non stocké)	SOC 2 Type II, GDPR
Sentry	Surveillance des erreurs	Journaux d'erreurs (assainis, sans RPI)	SOC 2 Type II, GDPR, ISO 27001

Note

Traitement de données IA : Lorsque vous utilisez l'analyse d'appels d'offres assistée par IA, le texte du document est envoyé à l'API d'OpenAI pour traitement. OpenAI ne stocke ni n'entraîne sur vos données lors de l'utilisation de l'API avec notre accord d'entreprise. Vous pouvez désactiver complètement les fonctionnalités IA dans Paramètres si vous préférez garder tout le traitement de données en interne.

Liste des sous-traitants

Nous maintenons une liste à jour de tous les sous-traitants (tiers qui traitent les données clients) et notifions les clients 30 jours avant d'ajouter de nouveaux sous-traitants. Les clients entreprise peuvent s'opposer aux nouveaux sous-traitants et résilier leur accord si les objections ne peuvent être résolues.

Consultez notre Liste complète des sous-traitants.

Continuité des affaires

Sauvegarde et récupération

Cothon met en œuvre des stratégies complètes de sauvegarde pour assurer la disponibilité des données :

Sauvegardes de base de données

Sauvegarde continue avec capacité de récupération à un moment donné (PITR)
Instantanés quotidiens automatisés conservés pendant 30 jours
Instantanés hebdomadaires conservés pendant 1 an
Toutes les sauvegardes sont chiffrées avec AES-256

Reprise après sinistre

Objectif de temps de récupération (RTO) : 4 heures
Objectif de point de récupération (RPO) : 5 minutes
Basculement automatisé vers la région de sauvegarde (Toronto) si la région principale (Montréal) n'est pas disponible
Exercices de reprise après sinistre trimestriels

Conservation des données

Données actives : Conservées indéfiniment tant que le compte est actif
Données supprimées : Suppression réversible avec période de récupération de 30 jours, puis purge permanente
Comptes fermés : Données conservées pendant 90 jours, puis supprimées définitivement (sauf si blocage juridique s'applique)

Voir Gestion et portabilité des données pour les procédures d'exportation et de suppression de données.

Disponibilité du service

Nous visons 99,9 % de disponibilité pour la plateforme Cothon :

Niveau de service	Objectif	Réel (12 derniers mois)
Disponibilité API	99,9 %	99,94 %
Disponibilité interface	99,95 %	99,97 %
Disponibilité base de données	99,95 %	99,98 %
Disponibilité services IA	99,0 %	99,3 %

Consultez l'état en temps réel sur status.cothon.ca.

Ressources de conformité

Documentation et politiques

Documentation détaillée sur la sécurité et la confidentialité :

Politique de confidentialité - Pratiques de confidentialité complètes
Conditions d'utilisation - Accord juridique régissant l'utilisation de la plateforme
Addenda de traitement de données (DPA) - Conformité LPRPDE pour les clients entreprise
Politique d'utilisation acceptable - Lignes directrices pour une utilisation appropriée de la plateforme
Livre blanc sur la sécurité - Détails techniques de sécurité

Certifications et attestations

Téléchargez les certifications actuelles :

Déclaration d'alignement ISO 27001 (disponible T3 2026)
Rapport SOC 2 Type II (disponible T4 2026, sous NDA)
Résumé de test de pénétration (annuel, disponible pour les clients entreprise)

Questionnaires de sécurité

Les clients entreprise peuvent demander des questionnaires de sécurité complétés :

CAIQ (Questionnaire d'initiative d'évaluations consensuelles)
SIG (Collecte d'informations standardisée)
Questionnaires de sécurité personnalisés pour la conformité en approvisionnement

Contactez enterprise@cothon.ca pour demander de la documentation.

Meilleures pratiques de sécurité pour les utilisateurs

Bien que nous mettions en œuvre des contrôles de sécurité robustes, la sécurité de la plateforme est une responsabilité partagée. Suivez ces meilleures pratiques pour protéger vos données d'approvisionnement :

Sécurité du compte

Sécurité organisationnelle

Protection des données

Conseil

Formation en sécurité : Nous offrons une formation gratuite de sensibilisation à la sécurité pour tous les utilisateurs de Cothon. Le cours de 30 minutes couvre la gestion des mots de passe, la reconnaissance du hameçonnage et les meilleures pratiques de traitement des données d'approvisionnement. Accédez à la formation dans Paramètres → Sécurité → Formation en sécurité.

Gestion des vulnérabilités

Mises à jour de sécurité

Cothon suit un processus rigoureux de gestion des correctifs :

Vulnérabilités critiques : Corrigées dans les 24 heures suivant la découverte
Vulnérabilités élevées : Corrigées dans les 7 jours
Vulnérabilités moyennes : Corrigées dans les 30 jours
Vulnérabilités faibles : Traitées lors des fenêtres de maintenance trimestrielles

Nous nous abonnons aux avis de sécurité pour toutes les dépendances et maintenons une analyse automatisée :

Dépendances interface : Snyk analyse quotidiennement les vulnérabilités des paquets npm
Dépendances backend : pip-audit analyse quotidiennement les paquets Python
Infrastructure : Railway et Vercel corrigent automatiquement les vulnérabilités de plateforme
Base de données : Supabase gère les mises à jour de sécurité PostgreSQL

Divulgation responsable

Nous accueillons les chercheurs en sécurité et encourageons la divulgation responsable :

Portée : Toute vulnérabilité de sécurité dans cothon.ca, api.cothon.ca ou nos applications mobiles

Récompenses : Nous n'offrons actuellement pas de programme de primes de bogues, mais nous reconnaissons publiquement les chercheurs qui signalent des vulnérabilités valides (avec permission)

Temps de réponse : Nous accusons réception des rapports dans les 48 heures et fournissons des mises à jour régulières tout au long de l'enquête et de la correction

Activités interdites :

Tests contre les données de production (utilisez des comptes de test)
Tests de déni de service
Ingénierie sociale des employés de Cothon
Tests de sécurité physique des centres de données

Signaler à : security@cothon.ca (clé PGP disponible sur https://cothon.ca/security.txt)

Succès

Temple de la renommée de la sécurité : Nous maintenons un Temple de la renommée de la sécurité reconnaissant les chercheurs qui ont divulgué de manière responsable des vulnérabilités. Merci de nous aider à maintenir Cothon sécurisé.

Questions fréquemment posées

Obtenir de l'aide

Canaux de support

Questions de sécurité : security@cothon.ca
Questions de confidentialité : privacy@cothon.ca
Support technique : support@cothon.ca ou clavardage intégré
Support entreprise : enterprise@cothon.ca (gestionnaire de compte dédié)

Ressources supplémentaires

Authentification et contrôle d'accès - Configurer AMF, SSO et politiques de mot de passe
Confidentialité et conformité des données - Conformité LPRPDE et pratiques de données
Sécurité API - Intégration API sécurisée et configuration de webhooks
Gestion des données - Exporter les données et gérer la suppression de compte

Dernière mise à jour : 30 mars 2026

Prochaine révision : 30 juin 2026

Cette documentation est mise à jour trimestriellement ou chaque fois que des changements de sécurité importants sont mis en œuvre. Abonnez-vous aux mises à jour de sécurité sur status.cothon.ca.

authentication data privacy quickstart

Was this page helpful?

Related Articles