ELRIC
🛡

Sécurité

Comment Elric protège vos données — principes, garanties et certifications.

🇪🇺

Infrastructure européenne

Vos données sont hébergées exclusivement au sein de l'Union Européenne, sur des infrastructures conformes au RGPD. Nous travaillons uniquement avec des partenaires disposant des certifications internationales de sécurité les plus strictes.

Les traitements d'intelligence artificielle s'effectuent en temps réel sans rétention côté fournisseur de modèle. Aucune donnée client n'est utilisée pour entraîner des modèles tiers.

🔐

Chiffrement de bout en bout

  • En transit : TLS 1.3 sur toutes les connexions, HSTS activé
  • Au repos : chiffrement AES-256 sur l'ensemble des données persistées
  • Credentials d'intégration : chiffrés AES-256-GCM avant stockage, clé serveur isolée
  • Mots de passe : jamais stockés en clair, hachés via algorithmes standard (bcrypt)
  • Tokens d'accès : jamais exposés côté client, rotation automatique
🏢

Isolation multi-tenant

  • Row-Level Security : isolation stricte au niveau base de données. Chaque requête est automatiquement filtrée pour n'accéder qu'aux données de votre workspace.
  • Architecture multi-tenant native : l'isolation est appliquée par le moteur de base de données, indépendamment du code applicatif.
  • Aucun croisement possible : entre les workspaces — une exception de sécurité applicative ne peut pas compromettre vos données.
🔒

Sécurité applicative

  • En-têtes HTTP stricts : Content-Security-Policy, HSTS, anti-clickjacking, anti-sniffing, referrer policy restrictive
  • Rate limiting : protection par workspace contre l'abus des endpoints sensibles
  • Protection SSRF : filtrage des requêtes sortantes (blocage loopback, IP privées, métadonnées cloud)
  • Protection CSRF : vérification cryptographique sur tous les callbacks OAuth
  • Audit trail : journalisation complète des accès et actions
🤖

Sécurité des agents IA

Les agents Elric traitent du contenu utilisateur (documents, emails, transcriptions). Nous appliquons des protections spécifiques contre les attaques sur les modèles de langue :

  • Séparation stricte instructions / données : tout contenu externe est traité comme données non-exécutables
  • Neutralisation des injections de prompts : détection et filtrage des patterns d'attaque connus
  • Validation humaine obligatoire : toute action externe sensible (envoi d'email, création d'événement, appel d'API tiers) nécessite une approbation explicite de l'utilisateur
  • Pas de raisonnement autonome sur actions irréversibles : les agents ne peuvent rien envoyer, poster ou supprimer sans votre clic de confirmation
📋

Conformité RGPD

  • Registre des traitements : maintenu et disponible sur demande
  • Accord de traitement des données (DPA) : disponible pour nos clients professionnels
  • Droits des personnes : export et suppression en self-service dans les paramètres de votre compte
  • Minimisation : collecte limitée aux données strictement nécessaires
  • Durée de conservation : suppression effective dans les 30 jours suivant la fermeture du compte
  • Transferts internationaux : encadrés par Clauses Contractuelles Types lorsque applicable

Notre politique de confidentialité et notre DPA détaillent l'ensemble de nos engagements. Privacy · DPA

Certifications de notre infrastructure

Nos prestataires d'infrastructure sont sélectionnés pour leur conformité aux standards internationaux de sécurité les plus stricts. Elric bénéficie de l'ensemble de ces certifications :

SOC 2 Type II
Hébergement et base de données
ISO 27001
Management de la sécurité
PCI DSS Level 1
Traitement des paiements
RGPD / GDPR
Protection des données UE

La liste des sous-traitants et leurs certifications détaillées sont disponibles dans notre Accord de traitement des données, conformément à l'article 28 du RGPD. Notre propre processus de certification SOC 2 est planifié pour 2027. DPA

🚨

Divulgation responsable

Si vous découvrez une faille de sécurité, contactez-nous en confidentialité :

security@elric-ia.com

Nous accusons réception sous 48h. Les vulnérabilités critiques sont traitées en priorité selon leur gravité, typiquement sous 7 jours.

Merci de respecter les principes de divulgation responsable : ne pas exploiter la faille, ne pas accéder à des données qui ne vous appartiennent pas, nous laisser un délai raisonnable pour corriger avant toute publication.