①
Sélection
Évaluation initiale, classification du risque et due diligence de sécurité avant tout accès.
🤝 Third-Party Risk Management
Programme TPRM — volet public
Comment Protecio sélectionne, évalue et surveille ses fournisseurs et sous-traitants ultérieurs, où vivent vos données, et l'état de notre conformité. Le dossier détaillé est disponible sous accord de confidentialité.
1. Statut de conformité
Nous présentons notre posture de façon transparente — y compris ce qui est aligné aujourd'hui et ce qui est en préparation. Nous ne revendiquons aucune certification non obtenue.
| Cadre / réglementation | Statut | Détail |
|---|---|---|
| Loi 25 (Québec) | Aligné | Consentement granulaire, minimisation, résidence canadienne, droits des personnes. |
| RGPD / GDPR (UE) | Aligné | Bases légales, droits d'accès/effacement/portabilité, registre de traitement. |
| PIPEDA (Canada) | Aligné | Principes de protection des renseignements personnels. |
| SOC 2 Type II | En préparation | Cartographie des contrôles en cours ; observation prévue avant audit. |
| ISO/IEC 27001 | En préparation | SMSI en construction, mapping croisé avec SOC 2 / NIST CSF. |
| NIST CSF 2.0 / 800-53 | En cours | Auto-évaluation et inventaire de contrôles via notre agent CISO. |
| EU AI Act / Loi 25 (volet IA) | Cartographie | Inventaire d'usage IA et attestation d'usage signée. |
⚠️
Mention de transparence. « En préparation » signifie que les travaux sont engagés mais qu'aucune attestation indépendante n'a encore été émise. Les statuts sont mis à jour au fur et à mesure de l'avancement.
2. Notre approche TPRM
La gestion des risques tiers est intégrée à notre cycle d'approvisionnement. Avant qu'un fournisseur ne touche des données client ou des systèmes de production, il est évalué selon une approche basée sur le risque :
- Classification par criticité — chaque fournisseur reçoit un niveau de risque (sensible, production, périphérique) selon les données et systèmes auxquels il accède.
- Due diligence de sécurité — revue des certifications (SOC 2, ISO 27001), des politiques de sécurité, de la résidence des données et des sous-traitants ultérieurs.
- Engagements contractuels — DPA (accord de traitement des données), clauses de notification d'incident, droit d'audit et exigences de chiffrement.
- Principe du moindre privilège — accès limité au strict nécessaire, identités managées, secrets gérés via coffre-fort (KMS / Secret Manager).
- Surveillance continue — réévaluation périodique et suivi des alertes de la chaîne d'approvisionnement (Dependabot, scan de secrets).
3. Cycle de vie fournisseur
②
Intégration
DPA signé, périmètre d'accès minimal, configuration des contrôles et de la journalisation.
③
Surveillance
Revue périodique, suivi des incidents et des alertes, réévaluation à chaque changement majeur.
4. Sous-traitants ultérieurs
Protecio fait appel à un nombre restreint de fournisseurs d'infrastructure et de services, sélectionnés pour leur posture de sécurité. Chaque sous-traitant est lié par un accord de traitement des données.
| Sous-traitant | Finalité | Données traitées | Région |
|---|---|---|---|
| Google Cloud | Hébergement backend (Cloud Run), KMS, journaux | Métadonnées de posture, jetons techniques | Canada (Montréal) |
| Cloudflare | CDN, hébergement Pages, sécurité réseau (WAF/DNS) | Métadonnées de requête, contenu public | Réseau mondial (edge) |
| Supabase | Base de données managée (Postgres), authentification | Comptes tenants, configuration | Canada / UE (selon tenant) |
| Microsoft Azure | Functions (licences, télémétrie opt-in), Sentinel* | Événements signés, jetons de licence | Canada |
| Anthropic (via Vertex AI) | Analyse IA (modèles Claude), niveau Entreprise | Contenu soumis à l'analyse (PII masquée) | Amérique du Nord |
| Resend | Emails transactionnels (invitations, alertes) | Adresse e-mail, contenu de notification | Amérique du Nord / UE |
| Have I Been Pwned | Vérification de mots de passe compromis (k-anonymat) | 5 premiers caractères d'un hash SHA-1 | Service mondial |
ℹ️
* Microsoft Sentinel n'est activé que lorsque vous configurez votre propre espace de travail. Dans ce cas, les données vont directement de votre environnement vers votre tenant Azure — Protecio ne les voit pas. Pour la liste à jour ou un avis de modification, écrivez à trust@protecio.com.
5. Résidence des données
Le traitement et le stockage primaires des données de production se font au Canada (région Google Cloud northamerica-northeast1, Montréal), en cohérence avec les exigences de la Loi 25. Les tenants à exigence de résidence UE peuvent être provisionnés sur une infrastructure européenne. Le réseau de périphérie (Cloudflare) sert uniquement du contenu public et des métadonnées de transport, sans stockage de données personnelles au repos.
6. Mesures de sécurité
🔐
Chiffrement
TLS en transit ; chiffrement au repos côté fournisseurs. Clés gérées via KMS/Secret Manager, jamais en clair dans le code.
👤
Gestion des accès
Identités managées, moindre privilège, isolation multi-tenant fail-closed et authentification par jeton scoppé.
⚙️
SDLC sécurisé
Intégration continue avec analyse statique (CodeQL), scan de secrets (gitleaks), audit des dépendances et revue avant déploiement en production.
✍️
Preuve & attestation
Certificats de posture signés (Ed25519), vérifiables hors-ligne via clé publique (JWKS) — la confiance est prouvée, pas seulement affirmée.
📊
Journalisation & audit
Journaux d'audit, surveillance post-déploiement et export optionnel vers votre SIEM (Sentinel/Splunk).
🚨
Réponse aux incidents
Processus de notification d'incident contractualisé avec nos sous-traitants ; divulgation responsable via security.txt.
7. Confidentialité & minimisation
Notre architecture est local-d'abord : par défaut, aucune donnée ne quitte l'appareil de l'utilisateur. Les fonctions cloud sont strictement opt-in, et le contenu de page brut n'est jamais transmis — seules des métadonnées et des empreintes (hash) le sont, avec masquage des PII avant tout envoi. Les détails figurent dans notre politique de confidentialité.
8. Demander le dossier complet
Les équipes d'approvisionnement, de sécurité ou de conformité peuvent obtenir notre paquet TPRM détaillé sous accord de confidentialité (NDA) :
- Registre de contrôles complet (mapping SOC 2 / ISO 27001 / NIST CSF)
- Réponses au questionnaire standardisé (SIG Lite / CAIQ)
- Politique de sécurité de l'information & plan de réponse aux incidents
- Modèle de DPA et liste à jour des sous-traitants
- Résultats de tests (revue de code de sécurité, tests d'intrusion lorsque disponibles)
Obtenir le paquet TPRM
Écrivez-nous avec le nom de votre organisation et le cadre visé (SOC 2, ISO 27001, questionnaire interne). Réponse sous 3 jours ouvrables.