Document de Sécurité - REWAPP Documentation

1

INTRODUCTION ET OBJECTIFS

1.1 Présentation du Document

Ce document constitue la vue d'ensemble de la stratégie de sécurité de la plateforme REWAPP. Il définit les principes directeurs, identifie les menaces potentielles et décrit les contre-mesures mises en place pour protéger l'ensemble de l'écosystème.

DONNÉES SENSIBLES

La sécurité est un pilier fondamental de REWAPP, compte tenu de la nature sensible des données traitées : informations personnelles des utilisateurs, données bancaires tokenisées et transactions financières.

1.2 Objectifs de Sécurité

Objectifs de Sécurité

Objectif	Description	Priorité
Confidentialité	Protection des données personnelles et financières contre tout accès non autorisé	Critique
Intégrité	Garantie de l'exactitude et de la cohérence des données, notamment les soldes de points	Critique
Disponibilité	Assurer un service opérationnel 99.9% du temps (< 8.76h de downtime annuel)	Élevée
Traçabilité	Enregistrement de toutes les actions pour audit et investigation	Élevée
Conformité	Respect des réglementations RGPD et PCI DSS	Critique
Résilience	Capacité à maintenir et restaurer le service en cas d'incident	Élevée

1.3 Principes Directeurs

La stratégie de sécurité de REWAPP repose sur les principes fondamentaux suivants :

Security by Design
La sécurité est intégrée dès la conception de chaque fonctionnalité
Defense in Depth
Plusieurs couches de protection se superposent pour créer une défense en profondeur
Least Privilege
Chaque utilisateur et service dispose uniquement des accès strictement nécessaires
Zero Trust
Aucune confiance implicite, vérification systématique de chaque requête
Privacy by Default
Protection maximale des données personnelles par défaut

1.4 Cadre Réglementaire

Réglementations Applicables

Réglementation	Périmètre	Exigences Principales
`RGPD`	Données personnelles utilisateurs et commerçants	Consentement, droits d'accès, portabilité, suppression, notification violation
`PCI DSS`	Données bancaires et transactions	Tokenisation, chiffrement, contrôle d'accès, audit, tests de sécurité
`DSP2`	Services de paiement et agrégation bancaire	Authentification forte, API sécurisées, consentement explicite
`NIS2`	Sécurité des systèmes d'information	Gestion des risques, notification incidents, mesures de sécurité

2

PÉRIMÈTRE DE LA SÉCURITÉ

2.1 Composantes de l'Écosystème REWAPP

Composantes et Niveaux de Risque

Composante	Données Sensibles	Niveau de Risque
Application Mobile (iOS/Android)	Credentials, biométrie, QR codes, historique transactions	Critique
Site Vitrine	Formulaires inscription, données de contact	Moyen
Dashboard Admin	Accès complet aux données utilisateurs et partenaires	Critique
Dashboard Partenaire	Données commerçant, scans QR, statistiques	Élevé
API Backend (NestJS)	Toutes les données transitent par les APIs	Critique
Base de Données (PostgreSQL)	Données persistantes de l'ensemble du système	Critique
Cache Redis	Sessions, QR codes temporaires, tokens	Élevé
Intégrations Tierces	Tokens bancaires, credentials partenaires	Critique

2.2 Actifs à Protéger

2.2.1 Données Utilisateurs

Informations personnelles : nom, prénom, email, téléphone, adresse
Credentials : mots de passe hashés (bcrypt), tokens JWT, secrets 2FA
Données bancaires : tokens de carte bancaire (jamais les numéros réels)
Historique : transactions, mouvements de points, demandes de virement

2.2.2 Données Commerçants

Informations entreprise : SIRET, raison sociale, adresse, contacts
Credentials : mots de passe hashés, tokens d'accès API
Configuration : taux de cashback, paliers de fidélité
Statistiques : volumes de transactions, fréquentation

2.2.3 Actifs Techniques

Infrastructure cloud AWS : serveurs, bases de données, réseau
Code source : propriété intellectuelle, algorithmes métier
Secrets : clés API, certificats SSL, secrets de signature
Logs et métriques : données d'audit et de monitoring

2.3 Classification des Données

Niveaux de Classification

Niveau	Description	Exemples	Mesures de Protection
Publique	Information accessible à tous	Liste partenaires publics, FAQ	Intégrité uniquement
Interne	Information réservée aux équipes REWAPP	Documentation technique, procédures	Contrôle d'accès basique
Confidentielle	Information sensible business	Statistiques financières, stratégie	Chiffrement, accès restreint
Restreinte	Données personnelles et bancaires	PII utilisateurs, tokens bancaires	Chiffrement AES-256, accès audité, conformité RGPD/PCI DSS

3

ANALYSE DES MENACES

3.1 Modélisation des Menaces (STRIDE)

Modèle STRIDE

Catégorie	Menace	Description	Cibles REWAPP
Spoofing	Usurpation d'identité	Attaquant se fait passer pour un utilisateur légitime	Comptes utilisateurs, commerçants, admin
Tampering	Modification de données	Altération des données en transit ou au repos	Soldes de points, transactions, QR codes
Repudiation	Déni d'action	Utilisateur nie avoir effectué une action	Transactions, demandes de virement
Information Disclosure	Fuite de données	Accès non autorisé aux données sensibles	Données personnelles, tokens bancaires
Denial of Service	Indisponibilité	Rendre le service inaccessible	API, application mobile, dashboards
Elevation of Privilege	Élévation de privilèges	Obtenir des droits supérieurs non autorisés	Accès admin, données autres utilisateurs

3.2 Menaces Spécifiques à REWAPP

3.2.1 Menaces sur l'Application Mobile

Menace	Probabilité	Impact	Risque
Vol de credentials par malware	Moyenne	Élevé	Élevé
Interception de communications (MITM)	Faible	Critique	Moyen
Reverse engineering de l'application	Moyenne	Moyen	Moyen
Abus de QR codes (replay, falsification)	Moyenne	Élevé	Élevé
Compromission du device utilisateur	Moyenne	Élevé	Élevé

3.2.2 Menaces sur les API Backend

Menace	Probabilité	Impact	Risque
Injection SQL	Faible	Critique	Moyen
Cross-Site Scripting (XSS)	Moyenne	Moyen	Moyen
Broken Authentication	Moyenne	Critique	Élevé
Insecure Direct Object Reference (IDOR)	Moyenne	Élevé	Élevé
DDoS et épuisement des ressources	Moyenne	Élevé	Élevé
Abus d'API (scraping, spam)	Élevée	Moyen	Élevé

3.2.3 Menaces sur les Données Bancaires

Menace	Probabilité	Impact	Risque
Vol de tokens bancaires	Faible	Critique	Moyen
Fraude aux transactions	Moyenne	Critique	Élevé
Compromission du partenaire bancaire	Faible	Critique	Moyen
Abus des virements bancaires	Moyenne	Élevé	Élevé

3.2.4 Menaces sur le QR Code

RÈGLE MÉTIER

QR Code valide 60 secondes, usage UNIQUE

Menace	Probabilité	Impact	Risque
Capture et replay du QR code	Moyenne	Élevé	Élevé
Falsification de QR code	Faible	Élevé	Moyen
Abus de génération (épuisement de points)	Moyenne	Moyen	Moyen
Scanning frauduleux par commerçant	Faible	Élevé	Moyen

3.3 Acteurs de Menace

Profils des Acteurs de Menace

Acteur	Motivation	Capacité	Menaces Typiques
Cybercriminels opportunistes	Gain financier	Moyenne	Phishing, credential stuffing, fraude
Cybercriminels organisés	Gain financier massif	Élevée	Attaques ciblées, vol de données, ransomware
Employés malveillants	Gain financier, vengeance	Élevée (accès interne)	Fuite de données, sabotage
Concurrents	Avantage compétitif	Variable	Espionnage industriel, DDoS
Hacktivistes	Idéologie	Variable	Défacement, fuite de données
États-nations	Espionnage, déstabilisation	Très élevée	APT, attaques supply chain

3.4 Matrice des Risques

Matrice Probabilité / Impact

Probabilité / Impact	Faible	Moyen	Élevé	Critique
Très Probable	Moyen	Élevé	Critique	Critique
Probable	Faible	Moyen	Élevé	Critique
Peu Probable	Faible	Faible	Moyen	Élevé
Rare	Faible	Faible	Faible	Moyen

4

CONTRE-MESURES ET PROTECTIONS

4.1 Vue d'Ensemble des Couches de Sécurité

L'architecture de sécurité REWAPP repose sur une défense en profondeur avec plusieurs couches de protection :

Couche Périmètre
AWS WAF, AWS Shield, CloudFront
Couche Réseau
VPC, Security Groups, NAT Gateway, VPN
Couche Application
Authentification, Autorisation, Validation des entrées
Couche Données
Chiffrement au repos et en transit, tokenisation
Couche Opérationnelle
Monitoring, audit logs, alerting

4.2 Chiffrement

4.2.1 Chiffrement en Transit

Protocole	Usage	Configuration
`TLS 1.3`	Toutes les communications HTTPS	Ciphers modernes, Perfect Forward Secrecy
`Certificate Pinning`	Application mobile	Protection contre MITM
`VPN Site-to-Site`	Connexions partenaire bancaire	IPSec avec clés rotatives
`mTLS`	Communication inter-services critique	Authentification mutuelle

4.2.2 Chiffrement au Repos

Donnée	Algorithme	Gestion des Clés
Base de données PostgreSQL	`AES-256`	AWS KMS avec rotation automatique
Stockage S3	`AES-256 (SSE-S3)`	Clés gérées par AWS
Volumes EBS	`AES-256`	AWS KMS
Cache Redis	`AES-256`	ElastiCache encryption at-rest
Backups	`AES-256`	Clés dédiées avec accès restreint

4.2.3 Hachage et Signatures

Usage	Algorithme	Paramètres
Mots de passe	`bcrypt`	Cost factor : 12 (minimum)
Tokens JWT	`RS256`	Clés RSA 2048 bits, rotation trimestrielle
QR Codes	`HMAC-SHA256`	Secret rotatif, timestamp inclus
Intégrité données	`SHA-256`	Vérification checksum

4.3 Authentification

4.3.1 Stratégie par Plateforme

Plateforme	Méthode Principale	2FA	Biométrie
Application Mobile	Email + mot de passe	Optionnel (TOTP/SMS)	Oui
Dashboard Admin	Email + mot de passe	OBLIGATOIRE (TOTP)	Non
Dashboard Partenaire	Email + mot de passe	Recommandé	Non
Site Vitrine	Email + mot de passe (inscription)	Non	Non

4.3.2 Politique de Mots de Passe

Longueur minimale : 8 caractères
Complexité : Au moins 1 majuscule, 1 minuscule, 1 chiffre
Historique : Interdiction des 5 derniers mots de passe
Expiration : Pas d'expiration forcée (recommandation NIST)
Stockage : Hachage bcrypt avec salt unique

4.3.3 Gestion des Sessions

Token	Durée de Vie	Stockage	Révocation
`Access Token JWT`	15 minutes	Mémoire (mobile), HttpOnly cookie (web)	Blacklist en cache Redis
`Refresh Token`	7 jours	Keychain/Keystore (mobile), HttpOnly cookie (web)	Base de données, révocable
`Session Admin`	4 heures d'inactivité	Cookie sécurisé	Automatique après timeout

4.4 Autorisation (RBAC)

4.4.1 Rôles et Permissions

Matrice des Rôles

Rôle	Contexte	Permissions
`User`	Application Mobile	Consultation solde, génération QR, demande virement, historique
`Merchant`	Dashboard Partenaire	Scan QR, statistiques propres, configuration cashback
`Support`	Dashboard Admin	Consultation utilisateurs et partenaires, support tickets
`Admin`	Dashboard Admin	Gestion utilisateurs, partenaires, transactions, modération
`SuperAdmin`	Dashboard Admin	Accès complet, configuration système, suppression définitive

4.4.2 Contrôle d'Accès aux Données

Isolation des données : Chaque utilisateur ne peut accéder qu'à ses propres données
Vérification ownership : Validation systématique que la ressource appartient à l'utilisateur
UUID non prédictibles : Identifiants UUID v4 pour éviter l'énumération
Audit trail : Journalisation de tous les accès aux données sensibles

4.5 Protection des API

4.5.1 Rate Limiting

Contexte	Limite	Période	Action si Dépassé
Requêtes par utilisateur authentifié	100 req	1 minute	HTTP 429, cooldown 60s
Requêtes par IP	1000 req	1 minute	HTTP 429, cooldown 5min
Tentatives de login par compte	5 tentatives	1 heure	Blocage temporaire 1h
Génération QR code	10 générations	5 minutes	HTTP 429, notification sécurité
Demandes de virement	3 demandes	24 heures	Blocage, vérification manuelle

4.5.2 Protection OWASP Top 10

Contre-Mesures OWASP

Vulnérabilité	Contre-Mesure	Implémentation
Injection	Requêtes préparées, validation entrées	Prisma ORM, class-validator NestJS
Broken Authentication	Rate limiting, 2FA, lockout	Passport.js, Redis rate limiter
Sensitive Data Exposure	Chiffrement, masquage	TLS 1.3, AES-256, logs sanitisés
XXE	Désactivation parsing XML externe	Configuration parser
Broken Access Control	RBAC, vérification ownership	Guards NestJS, UUID v4
Security Misconfiguration	Hardening, headers sécurité	Helmet.js, CSP strict
XSS	Sanitization, CSP	DOMPurify, Content-Security-Policy
Insecure Deserialization	Validation schéma	class-transformer, DTOs
Vulnerable Components	Audit dépendances	npm audit, Dependabot
Insufficient Logging	Audit trail complet	Winston, CloudWatch, Sentry

4.5.3 Headers de Sécurité

HTTP Headers

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Content-Security-Policy: Politique restrictive par défaut
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 0 (désactivé car CSP plus efficace)
Referrer-Policy: strict-origin-when-cross-origin

4.6 Sécurité du QR Code

RÈGLE CRITIQUE

QR Code valide 60 secondes, usage UNIQUE

4.6.1 Génération Sécurisée

Identifiant unique : UUID v4 non prédictible
Signature : HMAC-SHA256 avec clé secrète serveur
Timestamp : Horodatage de génération inclus dans le payload
Montant : Montant en points encodé et signé
Points bloqués : Réservation immédiate dès génération

4.6.2 Validation lors du Scan

Vérification de la signature HMAC
Contrôle de l'expiration (< 60 secondes)
Vérification que le code n'a pas déjà été utilisé
Validation du solde de points suffisant
Confirmation du statut actif du compte utilisateur

4.6.3 Protection Anti-Fraude

Rate limiting : 10 QR codes maximum en 5 minutes
Détection de patterns suspects : génération excessive, échecs répétés
Blacklist : codes compromis ou suspects
Alertes temps réel : comportements anormaux

5

SÉCURITÉ PAR COMPOSANTE

5.1 Application Mobile

Mesures de Sécurité Mobile

Mesure	Description	Statut
Certificate Pinning	Protection contre attaques MITM	Implémenté
Biométrie native	FaceID, TouchID, Fingerprint	Implémenté
Stockage sécurisé	Keychain iOS, Keystore Android	Implémenté
Obfuscation code	ProGuard/R8 (Android), compilation native (iOS)	Implémenté
Détection root/jailbreak	Avertissement utilisateur	Implémenté
Protection capture écran	Désactivation sur écrans sensibles	Implémenté

5.2 Site Vitrine

Mesures de Sécurité Web

Mesure	Description	Statut
HTTPS forcé	Redirection automatique HTTP vers HTTPS	Implémenté
CSP strict	Content Security Policy restrictive	Implémenté
Cookies sécurisés	Secure, HttpOnly, SameSite=Strict	Implémenté
Protection formulaires	CSRF token, rate limiting	Implémenté
Captcha	reCAPTCHA v3 sur formulaires sensibles	Implémenté

5.3 Dashboard Admin

Mesures de Sécurité Admin

Mesure	Description	Statut
2FA obligatoire	TOTP (Google Authenticator) requis	Implémenté
IP Whitelisting	Accès restreint aux IPs autorisées (optionnel)	Disponible
Session timeout	Déconnexion après 4h d'inactivité	Implémenté
Audit trail	Journalisation de toutes les actions admin	Implémenté
Révision 4 yeux	Actions critiques nécessitent double validation	Implémenté

5.4 Dashboard Partenaire

Mesures de Sécurité Partenaire

Mesure	Description	Statut
Mot de passe fort	Politique de complexité appliquée	Implémenté
2FA recommandé	TOTP disponible et encouragé	Implémenté
Session sécurisée	Cookies HttpOnly, timeout	Implémenté
Accès données	Accès uniquement aux données propres	Implémenté
Alerte connexion	Notification email nouvelle connexion	Implémenté

5.5 Infrastructure Cloud AWS

Mesures de Sécurité Infrastructure

Mesure	Description	Statut
VPC isolé	Réseau privé avec subnets publics/privés	Implémenté
Security Groups	Règles firewall par service	Implémenté
AWS WAF	Protection applicative layer 7	Implémenté
AWS Shield	Protection DDoS	Implémenté
KMS	Gestion centralisée des clés de chiffrement	Implémenté
Secrets Manager	Stockage sécurisé des secrets	Implémenté
CloudTrail	Audit des actions AWS	Implémenté
GuardDuty	Détection de menaces	Implémenté

6

GOUVERNANCE DE LA SÉCURITÉ

6.1 Organisation de la Sécurité

6.1.1 Rôles et Responsabilités

Organisation Sécurité

Rôle	Responsabilités
CTO / RSSI	Définition de la stratégie sécurité, validation des architectures, gestion des risques
Équipe Développement	Implémentation des mesures de sécurité, revue de code, tests de sécurité
Équipe DevOps	Configuration infrastructure sécurisée, monitoring, gestion des accès
DPO	Conformité RGPD, traitement des demandes d'exercice des droits
Support	Gestion des incidents de sécurité niveau 1, escalade

6.1.2 Comité de Sécurité

Fréquence : Réunion mensuelle
Participants : CTO, Lead Dev, DevOps, DPO
Objectifs : Revue des incidents, validation des évolutions, suivi des audits

6.2 Politiques de Sécurité

6.2.1 Politique de Développement Sécurisé

Revue de code obligatoire : Minimum 1 reviewer par Pull Request
Analyse statique : Exécution automatique (ESLint security rules, SonarQube)
Scan de dépendances : npm audit, Dependabot pour alertes CVE
Tests de sécurité : Tests unitaires couvrant les cas de sécurité
Formation : Sensibilisation OWASP annuelle pour les développeurs

6.2.2 Politique de Gestion des Accès

Principe du moindre privilège : Accès minimum requis pour la fonction
Revue trimestrielle : Audit des accès et suppression des comptes inactifs
Révocation immédiate : Suppression des accès dès départ d'un collaborateur
MFA obligatoire : Pour tous les accès aux systèmes de production

6.2.3 Politique de Gestion des Secrets

Aucun secret en dur : Pas de credentials dans le code source
Variables CapRover : Stockage centralisé des secrets
Rotation automatique : Rotation des clés selon calendrier défini
Accès audité : Journalisation de tous les accès aux secrets

6.3 Formation et Sensibilisation

Programme de Formation

Public	Formation	Fréquence
Développeurs	OWASP Top 10, Secure Coding	Annuelle
Équipe Ops	Sécurité infrastructure, gestion des incidents	Annuelle
Tous les employés	Sensibilisation phishing, bonnes pratiques	Semestrielle
Nouveaux arrivants	Onboarding sécurité	À l'embauche

7

GESTION DES INCIDENTS DE SÉCURITÉ

7.1 Classification des Incidents

Niveaux de Sévérité

Niveau	Description	Exemples	SLA Réponse
Critique (P1)	Compromission active, fuite massive de données	Breach confirmé, ransomware actif	< 15 minutes
Élevé (P2)	Tentative d'intrusion détectée, vulnérabilité exploitée	Attaque DDoS en cours, exploitation CVE	< 1 heure
Moyen (P3)	Comportement suspect, anomalie détectée	Tentatives de bruteforce, scan de vulnérabilité	< 4 heures
Faible (P4)	Événement de sécurité mineur	Faux positif, alerte informative	< 24 heures

7.2 Procédure de Réponse aux Incidents

Phase 1 : Détection et Alerte

Détection automatique via monitoring (CloudWatch, GuardDuty, Sentry). Notification des équipes via PagerDuty (P1/P2) ou Slack (P3/P4). Création d'un ticket d'incident avec horodatage.

SLA : < 15 minutes

2

Phase 2 : Confinement

Isolation des systèmes compromis. Révocation des accès suspects. Préservation des preuves (logs, snapshots). Communication interne (équipe incident).

3

Phase 3 : Investigation

Analyse des logs et traces. Identification de la cause racine. Évaluation de l'impact (données, utilisateurs, systèmes). Documentation des findings.

4

Phase 4 : Remédiation

Correction de la vulnérabilité ou faille. Restauration des services si nécessaire. Renforcement des contrôles. Validation du retour à la normale.

5

Phase 5 : Post-Mortem

Rédaction du rapport d'incident. Identification des améliorations. Mise à jour des procédures si nécessaire. Communication aux parties prenantes.

Si RGPD : notification CNIL sous 72h

7.3 Contacts d'Urgence

Contacts de Sécurité

Rôle	Contact	Disponibilité
Astreinte Sécurité	`security@rewapp.fr`	24/7
CTO / RSSI	`cto@rewapp.fr`	Heures ouvrées + astreinte
DPO	`dpo@rewapp.fr`	Heures ouvrées
Hébergeur AWS	Support Enterprise	24/7
Partenaire Bancaire	Contact dédié	24/7

7.4 Plan de Communication

7.4.1 Communication Interne

Équipe technique : Notification immédiate via PagerDuty/Slack
Direction : Briefing dans l'heure pour incidents P1/P2
Tous les employés : Information si impact sur les opérations

7.4.2 Communication Externe

OBLIGATION RGPD

Notification CNIL sous 72h si violation de données personnelles

Utilisateurs impactés : Notification email dans les 72h (obligation RGPD)
CNIL : Notification sous 72h si violation de données personnelles
Partenaires : Information si impact sur les intégrations
Presse : Communication coordonnée par la Direction (cas critiques)

8

AUDITS ET CONFORMITÉ

8.1 Programme d'Audits

Calendrier des Audits

Type d'Audit	Périmètre	Fréquence	Responsable
Audit de code	Code source, revue sécurité	Continue (PR)	Équipe Dev
Scan de vulnérabilités	Infrastructure, applications	Mensuel	DevOps
Test d'intrusion (Pentest)	Applications exposées, API	Annuel	Prestataire externe
Audit RGPD	Traitements données personnelles	Annuel	DPO
Audit PCI DSS	Environnement bancaire	Annuel	Prestataire certifié
Revue des accès	Comptes et permissions	Trimestriel	CTO + RH

8.2 Tests de Sécurité

8.2.1 Tests Automatisés

SAST (Static Application Security Testing) : Analyse statique du code
DAST (Dynamic Application Security Testing) : Tests dynamiques en staging
Scan de dépendances : Détection CVE dans les packages
Infrastructure as Code : Scan des configurations Terraform

8.2.2 Tests Manuels

Pentest annuel : Test d'intrusion par un prestataire certifié
Bug Bounty : Programme de récompense pour découverte de vulnérabilités (futur)
Red Team : Exercice de simulation d'attaque (phase de scale)

8.3 Conformité RGPD

DOCUMENT DÉTAILLÉ

Le document 6.3 Conformité RGPD détaille l'ensemble des mesures de conformité.

Registre des traitements : Documenté et maintenu à jour
Analyse d'impact (PIA) : Réalisée pour les traitements à risque
Droits des personnes : Processus en place pour exercice des droits
Consentement : Collecte explicite et traçabilité
Notification : Procédure de notification violation sous 72h

8.4 Conformité PCI DSS

Aucune donnée carte stockée : Tokenisation via partenaire bancaire PCI DSS
Chiffrement : TLS 1.3 pour transmission, AES-256 pour stockage
Contrôle d'accès : Principe du moindre privilège
Monitoring : Journalisation et surveillance des accès
Tests : Scans de vulnérabilité et pentests réguliers

9

PLAN D'AMÉLIORATION CONTINUE

9.1 Indicateurs de Performance Sécurité (KPI)

KPIs de Sécurité

Indicateur	Objectif	Mesure
Temps moyen de détection (MTTD)	< 1 heure	Temps entre compromission et détection
Temps moyen de réponse (MTTR)	< 4 heures	Temps entre détection et résolution
Vulnérabilités critiques ouvertes	0	Nombre de CVE critiques non corrigées
Couverture tests de sécurité	> 80%	Pourcentage du code couvert par tests sécu
Taux de conformité des accès	100%	Accès conformes à la politique
Incidents de sécurité P1/P2	< 2/an	Nombre d'incidents critiques

9.2 Roadmap Sécurité

9.2.1 Court Terme (0-6 mois)

Mise en place monitoring avancé GuardDuty
Formation OWASP équipe développement
Premier pentest externe
Documentation complète des procédures

9.2.2 Moyen Terme (6-12 mois)

Certification ISO 27001 (préparation)
Programme Bug Bounty
SOC externalisé (Security Operations Center)
Automatisation réponse incidents (SOAR)

9.2.3 Long Terme (12-24 mois)

Certification ISO 27001
Zero Trust Architecture complète
Machine Learning détection fraude
Red Team exercices réguliers

9.3 Veille Sécurité

Sources suivies : CVE, NVD, CERT-FR, AWS Security Bulletins
Alertes automatiques : Dependabot, Snyk pour dépendances
Communauté : Participation aux événements sécurité (OWASP, BSides)
Formation continue : Certifications équipe (CEH, OSCP)

10

CONCLUSION

10.1 Récapitulatif

La stratégie de sécurité de REWAPP repose sur une approche Security by Design avec une défense en profondeur couvrant tous les niveaux de l'architecture.

10.2 Points Clés de la Sécurité REWAPP

Synthèse des Mesures

Axe	Mesure Principale	Bénéfice
Authentification	JWT RS256 + 2FA + Biométrie	Protection des accès utilisateurs
Chiffrement	TLS 1.3 + AES-256 + bcrypt	Confidentialité des données
Données bancaires	Tokenisation PCI DSS	Aucune donnée carte stockée
QR Code	HMAC-SHA256 + 60s + usage unique	Protection contre la fraude
API	Rate limiting + OWASP protection	Disponibilité et intégrité
Infrastructure	AWS WAF + Shield + VPC isolé	Protection périmétrique
Monitoring	CloudWatch + Sentry + GuardDuty	Détection proactive
Conformité	RGPD + PCI DSS + audits	Respect réglementaire

10.3 Engagement

NOTRE ENGAGEMENT

La sécurité est une responsabilité partagée au sein de REWAPP. Chaque membre de l'équipe contribue à maintenir un niveau de sécurité élevé à travers le respect des politiques, la vigilance quotidienne et l'amélioration continue des pratiques.

La confiance de nos utilisateurs et partenaires repose sur notre capacité à protéger leurs données et à garantir la disponibilité de nos services. Cet engagement est au cœur de notre culture d'entreprise.