Politique de Sécurité de l'Information (ISMS)

Classification : document public sommaire · la politique complète (35+ pages) et les annexes sont remises sous NDA dans le cadre d’un processus d’achat.

Version : 1.0 · Date : 2026-04-22 · Propriétaire : CISO VitaKYC · Revue : annuelle minimum, ou après incident significatif.

1. Portée et engagement

Cette politique couvre l’ensemble des traitements effectués par VitaKYC SAS (KYC, AML, TCR), ses services SaaS, ses déploiements on-premise chez clients, ses infrastructures cloud (AWS Frankfurt) et on-prem, ses employés, contractants et sous-traitants.

La Direction Générale s’engage à :

Maintenir un Système de Management de la Sécurité de l’Information (ISMS) aligné ISO/IEC 27001:2022.
Obtenir la certification ISO 27001 dans les 12 mois suivant la mise en service MVP.
Allouer les ressources nécessaires (budget + FTE CISO + Security Engineer).
Réviser cette politique annuellement ou à la suite de tout changement majeur (incident, nouvelle juridiction, acquisition).

Propriétaire : CISO. Approbateurs : Directeur Général + CTO.

2. Cadre réglementaire et normatif

Référentiel	Application
ISO/IEC 27001:2022	ISMS cible · 93 contrôles Annex A, Statement of Applicability (SoA) maintenu
ISO/IEC 27701:2019	Extension PIMS (gestion protection vie privée) · cible V2
SOC 2 Type II (Trust Services Criteria)	Security + Availability + Confidentiality, rapport annuel cible V1
GDPR (Règlement UE 2016/679)	Traitement de données personnelles clients EU
Loi tunisienne n°2004-63	Protection des données à caractère personnel (INPDP)
Loi organique n°2015-26 + 2019-9	LCB-FT Tunisie
Circulaires BCT 2025-06, 06/2025, 2017-08	KYC/AML banques tunisiennes
FATF 40 recommandations	Standards LCB-FT internationaux
eIDAS (Règlement UE 910/2014)	Signature électronique UE
NIS 2 (Directive UE 2022/2555)	Cybersécurité entités essentielles
PCI DSS	Conditionnel selon exposition paiement

3. Gouvernance

3.1 Rôles et RACI

Rôle	Responsabilités
CEO	Sponsor ultime · arbitrage budgétaire · communication crise
CISO	Propriétaire politique · ISMS · coordination ISO 27001 · CISO reporting trimestriel au board
CTO	Sécurité produit + infra · secure SDLC · architecte sécurité
DPO	GDPR · DSAR · notification CNIL/INPDP · registre de traitements
Security Engineer	Exécution quotidienne · pen-tests · correctifs · alertes
Compliance Officer	LCB-FT · audit BCT/AMF · STR/SAR · gestion listes AML
Tous les employés	Respect politique · formation obligatoire annuelle · signalement incident

3.2 Comité sécurité

Trimestriel. Présidé par CISO. Participants : CEO, CTO, DPO, Security Eng, Compliance Officer. Revue : indicateurs, incidents, audits, évolution réglementaire, budget.

4. Classification de l’information

Quatre niveaux. Chaque document, API, dataset porte une étiquette de classification.

Niveau	Exemple	Traitement
P0 · Public	Site docs publique, brochures marketing	Accès libre, pas de contrainte
P1 · Interne	Runbooks on-call, ADRs, plan projet	Accès salarié VitaKYC uniquement
P2 · Confidentiel	Données personnelles clients, configurations tenant, clés API en clair (transit)	Chiffrement at-rest + in-transit, logs d’accès, MFA
P3 · Strictement confidentiel	Clés cryptographiques, secrets Vault root, documents signés W-8/W-9, formulaires FATCA avant transmission IRS, STR/SAR	KMS + HSM, dual control, audit WORM, isolation physique

Données personnelles clients (nom, DOB, adresses, photos documents, selfies, TIN) = P2 minimum, P3 pour les documents signés et les données biométriques.

5. Contrôle d’accès

5.1 Principes

Zero Trust : aucune confiance implicite basée sur le réseau ; chaque accès requiert identité + contexte + autorisation.
Principe du moindre privilège (least privilege) appliqué strictement.
Séparation des fonctions (SoD) : l’ingénieur qui développe ≠ celui qui déploie en prod ≠ celui qui audite.
Just-in-Time access (JIT) pour les accès administration production (fenêtres courtes, justification écrite).

5.2 Identité et authentification

SSO obligatoire via Keycloak (OIDC) pour tout utilisateur interne.
MFA obligatoire sur toutes les interfaces d’administration (Okta Verify, YubiKey pour rôles sensibles).
Mots de passe conformes NIST 800-63B : minimum 14 caractères, pas de rotation forcée, contrôle contre dictionnaire HIBP.
Rotation des clés API 90 jours maximum, rotation immédiate sur départ salarié.
Certificats : mTLS service-à-service via cert-manager + CA interne, rotation 60 jours.

5.3 RBAC/ABAC

Rôles standards : user, agent, supervisor, admin, auditor, api_client.
Rôles renforcés pour production : prod_readonly, prod_break_glass (avec approbation dual).
ABAC (attributs) pour les décisions fines : tenant_id, data_residency, clearance_level.

5.4 Access reviews

Trimestrielle pour utilisateurs et API keys.
Mensuelle pour les rôles admin et prod_*.
Immédiate lors d’un départ employé ou d’une résiliation client.

6. Cryptographie

6.1 Standards

Usage	Algorithme	Taille
Chiffrement symétrique at-rest	AES-GCM	256 bits
Chiffrement transport	TLS 1.3 (uniquement) · ciphers modernes (AEAD)	—
Signature applicative	Ed25519	—
Hachage	SHA-256 (SHA-3 pour nouveaux cas)	—
PBKDF	Argon2id	m=64 MiB, t=3, p=4
Certificats X.509	ECDSA P-256 ou RSA 4096	—

TLS 1.2 : toléré uniquement en compat client sur l’edge public, déprécation planifiée 2027-01-01. TLS 1.0/1.1 : refusés.

6.2 Gestion des clés

KMS : AWS KMS en SaaS, HashiCorp Vault en on-prem, options HSM (YubiHSM, SafeNet) pour clients régulés.
Clé racine KMS en dual control (2 personnes + MFA).
Clé par tenant (envelope encryption) pour isolation stricte des PII.
Rotation automatique annuelle minimum ; immédiate sur compromis suspecté.
Backup chiffré hors-site avec clés distinctes.

6.3 Ce qui est interdit

MD5 et SHA-1 (hors vérification de compatibilité legacy)
DES, 3DES, RC4
Random non-cryptographique (Math.random()) pour secrets
Self-signed certs en production externe
Secrets en clair dans le code ou les ConfigMaps

7. Sécurité du cycle de vie logiciel (Secure SDLC)

7.1 Pratiques obligatoires

Revue de code 2 yeux (2 reviewers + 2 approbations) avant merge sur main.
Scans automatisés à chaque PR :
- SAST : Semgrep
- SCA : Trivy + npm audit + OWASP Dependency-Check
- Secrets : Gitleaks (pre-commit hook + CI)
- DAST : OWASP ZAP baseline sur l’environnement de staging
Admission controller Kyverno refusant les images non signées cosign.
SBOM CycloneDX généré à chaque release.
Tests de sécurité dans le pipeline (authentification, autorisation, cloisonnement multi-tenant, CSRF, SSRF, XXE).

7.2 Revue menaces (threat modeling)

Obligatoire :

À la conception de chaque nouvelle fonctionnalité P2+ (via STRIDE).
À tout changement d’architecture majeur.
Revue annuelle des modèles existants.

Livrable : diagramme + table STRIDE + mitigations + propriétaire.

7.3 Pen-tests

Externe annuel (minimum) par cabinet certifié OSCP/OSWE.
Ciblé avant toute mise en production d’un nouveau module critique.
Bug bounty via HackerOne ou YesWeHack (V1), scope publique + privé.
Reporting trimestriel des findings et état de remédiation au comité sécurité.

8. Sécurité opérationnelle

8.1 Logging et monitoring

Logs centralisés (Loki + Splunk export disponible) avec rétention 2 ans minimum.
Événements sécurité critiques (échec auth, création compte admin, accès prod) → SIEM + alerte.
Audit WORM sur opérations métier (cf. architecture §5.2.5, hash chain SHA-256 Ed25519-signé).
SLOs : disponibilité 99,9 %, temps détection MTTD < 15 min, MTTR < 30 min pour SEV-1.

8.2 Sauvegardes

PostgreSQL : PITR continu + full quotidienne chiffrée vers bucket cross-région.
Object storage : réplication cross-région + versioning + Object Lock (mode Compliance, 10 ans).
Test de restauration mensuel documenté (cf. BCP).
RPO cible : 5 min. RTO cible : 30 min.

8.3 Patch management

Vulnérabilités critiques (CVSS ≥ 9) : patch sous 48 h.
Hautes (7-8.9) : sous 7 jours.
Moyennes (4-6.9) : sous 30 jours.
Basses (< 4) : cycle trimestriel.
Dérogations : justifiées, tracées, compensations décrites (WAF rule, réseau segmenté…).

8.4 Configuration as Code

Terraform pour toute infra (refus drift manuel).
Helm charts + ArgoCD GitOps pour toute application.
Policies as Code : Kyverno pour K8s, OPA pour applicatif.

9. Gestion des tiers (supply chain)

9.1 Sous-traitants concernés

Tiers	Service	Accès aux données	Niveau
AWS	Hébergement SaaS	P2 chiffré par VitaKYC	Strategic
Cloudflare	CDN + WAF	Headers + metadata	Transactional
DocuSign	E-signature cas standard	Documents signés	Strategic
Yousign / TunTrust / Universign	QES France / TN	Documents signés	Strategic
ComplyAdvantage / Dow Jones	Listes AML	Requêtes screening	Strategic
Temenos / Finastra / Mambu	Core banking (côté tenant)	Transactions reçues	Strategic

9.2 Évaluation et contractualisation

Questionnaire sécurité complet avant onboarding (SIG Lite + custom).
Due diligence : SOC 2 report, ISO 27001 certif, pen-test le cas échéant.
DPA (Data Processing Agreement) signé systématiquement pour tout tiers traitant des données personnelles.
Clause de sous-traitance + droit d’audit annuel.
SLA minimum 99,9 % disponibilité + délai de notification incident 24 h maximum.
Revue annuelle : ré-évaluation continue du niveau de risque.

9.3 Sortie d’un fournisseur

Procédure documentée de reprise des données + effacement chez le tiers avec certificat.
Tests de migration annuels pour les tiers Strategic.

10. Sécurité physique

SaaS cloud : AWS Frankfurt — conformité ISO 27001, 27017, 27018, SOC 1/2/3, PCI DSS de l’hyperscaler.
Bureaux VitaKYC : accès par badge + MFA, vidéosurveillance, destruction papier, pas d’imprimantes connectées aux données P2+.
Postes de travail employés : disques FileVault/LUKS, MDM (Jamf/Intune), BYOD interdit pour rôles P3.
Supports amovibles : interdits hors cas approuvés (bundle air-gap signé, cf. ADR-012).
Clean desk policy : obligatoire, audit spontané.

11. Gestion des incidents

Référence détaillée : Runbooks on-call + Playbooks compliance.

11.1 Classification

Sev	Définition	Notification externe
SEV-1	Service indisponible pour ≥ 10 % tenants · perte de données · violation de sécurité active	CEO + autorités (si applicable) sous 72 h GDPR
SEV-2	Dégradation critique · > 2× SLO breach	Clients affectés + CSM
SEV-3	Dégradation partielle	Information post-mortem
SEV-4	Impact mineur	Interne

11.2 Processus

Détection (alerte auto ou signalement humain).
Triage par l’on-call SRE sous 15 min.
Déclaration incident : channel dédié, désignation Incident Commander.
Containment → Investigation → Fix → Verify.
Post-mortem obligatoire SEV-1 / SEV-2 sous 5 jours ouvrables.

11.3 Data breach (RGPD art. 33-34)

Notification CNIL / INPDP sous 72 heures à partir de la confirmation.
Notification des personnes concernées si risque élevé.
Canal DPO : dpo@vitakyc.io.

12. Formation et sensibilisation

Onboarding sécurité obligatoire à l’embauche (2 h).
Formation annuelle LCB-FT + GDPR + sécurité applicative (4 h).
Phishing simulation trimestrielle, métrique suivie par CISO.
Formation rôle-spécifique : développeurs (OWASP Top 10), agents (anti-tipping off), compliance officers (veille réglementaire).

13. Sanction

Tout non-respect de cette politique peut entraîner, selon la gravité : avertissement, suspension d’accès, procédure disciplinaire interne, rupture du contrat de travail ou de sous-traitance, poursuites civiles ou pénales.

14. Mapping ISO 27001:2022 Annexe A

Domaine Annexe A	Couverture VitaKYC
A.5 Politiques	§1-3 de ce document + 12 politiques dérivées
A.6 Organisation	§3 Gouvernance + RACI
A.7 Personnel	§12 Formation + clauses contractuelles
A.8 Actifs	§4 Classification + inventaire CMDB Kubernetes
A.5.15-23 Contrôle d’accès	§5 + policies Keycloak / OPA
A.8.24 Cryptographie	§6
A.8.28 SDLC	§7
A.8.15 Logging + Monitoring	§8.1
A.8.13 Sauvegardes	§8.2
A.8.9 Patch mgmt	§8.3
A.5.19-22 Tiers	§9
A.7.1-4 Physique	§10
A.5.24-30 Incidents + continuité	§11 + BCP/DR

Annexes disponibles sous NDA

Les documents détaillés suivants sont disponibles sur demande qualifiée (RFP, audit banque, due diligence acquisition) :

Statement of Applicability ISO 27001 (93 contrôles annotés)
Risk Register VitaKYC (version vivante)
Incident Response Plan complet
Secure SDLC policy et checklists par langage
Access Control détail RBAC + ABAC + break-glass
Vendor Security Assessment questionnaires
Business Continuity Plan + tests de reprise
Data Protection Impact Assessment (voir DPIA)

Politique approuvée par la Direction Générale · revue annuelle planifiée 2027-04-22.