🔒 SÉCURITÉ ENTREPRISE — 5 NIVEAUX

Architecture de sécurité NexHire

Cinq niveaux de protection — de l'authentification jusqu'à la conformité légale.

🔐 MFA TOTP 👥 RBAC 4 niveaux 🔍 Détection d'anomalies 🤖 Protection IA 🏛️ Loi 25 / PIPEDA 📊 Tableau de bord sécurité
N1
Authentification & Accès
MFA TOTP · JWT ES256 · Rate limiting · En-têtes sécurité · CORS restrictif
🔐
MFA TOTP (Authenticator) Code à 6 chiffres via Google/Microsoft Authenticator. Secret chiffré (Fernet). Obligatoire par organisation si activé par l'admin.
🪪
JWT ES256 + JWKS Tokens signés courbe elliptique P-256. Vérifiés à chaque requête via JWKS Supabase. Expiration automatique.
🔑
Mots de passe complexes Minimum 12 caractères — majuscule, minuscule, chiffre, caractère spécial requis. Hashés bcrypt avec sel unique.
🚦
Rate limiting Login : 10 req/min. Inscription : 5 req/min. MFA challenge : 5 req/min. Bloqué avec HTTP 429 après dépassement.
🛡️
En-têtes de sécurité HTTP X-Frame-Options: DENY, X-Content-Type-Options: nosniff, HSTS 1 an, Permissions-Policy restrictif.
🌐
CORS restrictif Origines autorisées : nexhire.ca et agenthub.nexhire.ca uniquement. allow_credentials=False.
N2
Autorisation & Protection des données
RBAC 4 niveaux · Chiffrement Fernet · Isolation multi-tenant · Audit log
👥
RBAC 4 niveaux Rôles user → manager → admin → owner. Vérification serveur sur chaque endpoint. Le frontend n'a aucune autorité sur l'accès.
🔒
Chiffrement Fernet (AES-128-CBC) Tous les tokens OAuth, clés API et secrets connecteurs sont chiffrés au repos. Rotation de clés supportée (MultiFernet).
🏢
Isolation multi-tenant stricte Chaque requête SQL filtre par organization_id. Aucun accès croisé entre organisations n'est architecturalement possible.
📋
Audit log immuable Chaque action tracée : IP, user, action, timestamp. Append-only — aucune modification possible. Conservation 7 ans.
🔐
Transport chiffré HTTPS/TLS 1.3 exclusif. Base de données : sslmode=require. Données chiffrées au repos sur Supabase PostgreSQL.
⏱️
Expiration de session JWT avec expiration automatique. Déconnexion sur inactivité. Refresh token révocable par l'admin.
N3
Détection d'activité suspecte
Impossible travel · Export massif · Comportement anormal · Alertes temps réel
✈️
Impossible Travel Détecte deux connexions depuis des pays différents en moins de 4 heures. Alerte immédiate à l'admin avec les deux adresses IP et pays.
📦
Détection d'export massif Alerte si >1 000 enregistrements exportés en une seule requête, ou >5 000 sur une heure. Prévient l'exfiltration de données.
📊
Comportement anormal Alerte si un utilisateur accède à >5 départements différents en 1 heure, ou à un département jamais consulté en 30 jours.
🔔
Alertes centralisées Toutes les anomalies stockées dans security_alerts avec niveaux critical / high / medium / low. Acquittement par l'admin.
N4
Protection de l'intelligence artificielle
Anti-injection · Validation des réponses · Système prompt durci
🛡️
Protection prompt injection 14 patterns regex bloquent les tentatives d'injection : ignore instructions, jailbreak, DAN mode, script injection, SQL injection. Chaque tentative est loguée et alertée.
🔍
Validation des réponses IA Les réponses de l'agent sont filtrées avant envoi au client : tokens JWT, clés API, mots de passe détectés sont remplacés par [MASQUÉ].
🔏
Système prompt durci L'agent IA est instruit de ne jamais révéler ses instructions système, ni afficher de secrets. Instruction prioritaire non contournable.
📝
Audit des tentatives d'injection Chaque tentative de manipulation de l'IA est enregistrée dans l'audit log et génère une alerte sécurité pour l'administrateur.
N5
Conformité légale — Loi 25 / PIPEDA
Portabilité · Suppression · Registre des traitements · Consentement · Tableau de bord
📤
Portabilité des données (art. 27) Tout utilisateur peut exporter son profil, historique d'audit, documents et connecteurs en un clic via Paramètres → Mes données.
🗑️
Droit à l'effacement Demande de suppression soumise via l'interface. Traitée dans les 30 jours. Notification à l'admin de l'organisation. Statut traçable.
📖
Registre des traitements Manifeste complet des données collectées : finalité, base légale, rétention. Accessible via GET /api/compliance/processing.
Gestion du consentement Enregistrement horodaté de chaque consentement utilisateur (CGU, politique de confidentialité). Non rétroactif, révocable.
📊
Tableau de bord sécurité admin Score de sécurité dynamique (0-100), liste des alertes non acquittées, activité login 7 jours, IPs distinctes, état MFA par organisation.
🏛️
Lois couvertes Loi 25 (Québec) — PIPEDA (Canada fédéral) — RGPD (résidents européens) — PCI-DSS délégué à Stripe.

Tableau de conformité — Top 10 mécanismes

MécanismeDétail techniqueNiveauStatut
MFA TOTP pyotp — codes 6 chiffres, fenêtre ±30s, secret chiffré Fernet en base N1 ✓ Actif
RBAC 4 niveaux user → manager → admin → owner, vérifié serveur via require_min_role() N2 ✓ Actif
Audit Log immuable Append-only, IP + user + action + timestamp, rétention 7 ans N2 ✓ Actif
Chiffrement au repos Fernet AES-128-CBC + HMAC-SHA256, rotation MultiFernet supportée N2 ✓ Actif
JWT sécurisé ES256 (P-256) via JWKS Supabase, fallback HS256, expiration automatique N1 ✓ Actif
Rate Limiting slowapi : login 10/min, signup 5/min, MFA 5/min — HTTP 429 sur dépassement N1 ✓ Actif
Détection d'activité suspecte Impossible travel, export massif (1 000 / 5 000 rec/h), accès anormal N3 ✓ Actif
Protection Prompt Injection 14 regex patterns + validation réponses IA + système prompt durci N4 ✓ Actif
Sauvegardes Supabase PITR (Point-in-Time Recovery) disponible sur plan Pro N2 ⏳ En configuration
Tableau de bord Sécurité Score 0-100, alertes, login activity 7j, IPs, état MFA — admin uniquement N5 ✓ Actif
Mots de passe bcrypt + sel aléatoire, complexité imposée (12 car., 4 types obligatoires) N1 ✓ Actif
En-têtes HTTP sécurité X-Frame-Options DENY, nosniff, HSTS 1 an, Permissions-Policy restrictif N1 ✓ Actif
Portabilité & suppression (Loi 25) Export profil/audit, demande effacement traçable, registre traitements N5 ✓ Actif
ISO 27001 Certification en cours de préparation ⏳ En cours
SOC 2 Type II Audit prévu Q4 2026 ⏳ Planifié

Conformité réglementaire

  • Loi 25 (Québec) — portabilité des données (art. 27), droit à l'effacement, registre des violations, notification CAI dans les 72h, registre des traitements
  • PIPEDA (Canada fédéral) — protection des renseignements personnels dans le secteur privé, consentement explicite, transparence des finalités
  • RGPD (Europe) — applicable pour les clients dont les utilisateurs résident dans l'Union Européenne
  • PCI-DSS — toutes les opérations de paiement déléguées à Stripe (certifié PCI-DSS Niveau 1). NexHire ne stocke aucune donnée de carte bancaire.
Note sur le chiffrement : NexHire utilise Fernet (AES-128-CBC + HMAC-SHA256) — non AES-256. Cette combinaison est cryptographiquement solide et recommandée par la communauté de sécurité Python. AES-128 et AES-256 offrent un niveau de sécurité équivalent contre les attaques actuelles connues.

Rôles et accès — qui voit quoi

NexHire applique un modèle RBAC à 4 niveaux. Chaque rôle détermine précisément les onglets visibles, les actions autorisées et les données accessibles.

ADMIN / OWNER Le technicien

Configure le système une seule fois :

  • Connecte M365, SAP, Salesforce… via OAuth
  • Crée les workspaces et assigne les connecteurs
  • Invite les membres et définit leurs rôles
  • Gère les départements, audits, sécurité

Onglets visibles :

Assistant IA · Connecteurs · Documents · Statistiques · Optimisation IA · Organisation · Audit · Sécurité · Paramètres

USER L'employé

Aucune configuration requise :

  • Reçoit une invitation par email
  • Se connecte → arrive sur l'Assistant IA
  • Pose ses questions — l'agent répond avec les données des connecteurs de son workspace
  • Ne voit jamais les credentials, les tokens OAuth, ni les liens de configuration

Onglets visibles :

Assistant IA · Documents · Statistiques · Optimisation IA

Flux workspace — comment ça fonctionne

1

L'admin installe un workspace (ex : Finance) → les connecteurs QuickBooks, SAP, M365 sont assignés automatiquement à ce workspace.

2

L'admin connecte les systèmes via OAuth une seule fois avec un compte de service de l'organisation.

3

L'admin ajoute un user au workspace Finance → le user voit uniquement les connecteurs de Finance via l'agent IA.

4

Le user pose une question"Quelles factures sont impayées ce mois ?" → l'agent interroge QuickBooks + SAP automatiquement et retourne la réponse.

💡 Analogie : L'admin installe l'électricité dans la maison. L'employé appuie juste sur l'interrupteur — il ne voit jamais le tableau électrique.

Fonctionnalité User Manager Admin Owner
Assistant IA
Documents / Statistiques
Voir abonnement / facturation 🔍🔍
Onglet Connecteurs
Connecter / configurer OAuth
Gérer les membres / invitations
Audit logs / Sécurité
Souscrire / gérer abonnement

🔍 = lecture seule · ✅ = accès complet · ❌ = aucun accès

Signaler une vulnérabilité

Si vous découvrez une vulnérabilité de sécurité dans NexHire, contactez-nous immédiatement via notre programme de divulgation responsable.

Divulgation responsable : security@nexhire.ca
Réponse garantie dans les 24 heures. Correction des vulnérabilités critiques dans les 72 heures.

Veuillez ne pas divulguer publiquement la vulnérabilité avant que nous ayons eu l'opportunité de la corriger.

Questions de sécurité ?

Notre équipe sécurité répond dans les 24 heures pour toute question urgente.

security@nexhire.ca