Aller au contenu
NovaQuantiX
Retour à l'accueil
Mentions légales

Politique de sécurité

Dernière mise à jour : 30 mai 2026

Ce document décrit la posture de sécurité appliquée par NovaQuantiX à chaque mission et à l'exploitation du site novaquantix.tech. Il est destiné aux équipes sécurité qui auditent notre cabinet avant signature, et aux chercheurs souhaitant signaler une vulnérabilité.

1 · Principes d'ingénierie

  • Sécurité mémoire par défaut.Les chemins critiques sont écrits en Rust. Le bas-niveau utilise C avec sanitiseurs en CI. TypeScript et Python servent respectivement à la logique applicative et aux pipelines d'entraînement.
  • Aucun secret dans le code source.Chaque secret est injecté à l'exécution via variables d'environnement ou gestionnaire de secrets. Les dépôts sont scannés en CI avec truffleHog et Gitleaks avant tout merge.
  • Moindre privilège. Chaque compte cloud, Git ou tiers utilise le scope minimal requis. Les permissions sont revues trimestriellement.
  • Builds reproductibles. Dépendances pinées, toolchains verrouillés, flags de compilation déterministes. Un build rejoué depuis un tag doit produire un résultat identique byte-à-byte (lorsque le langage le permet).

2 · Releases signées (Ed25519)

Chaque artefact de release est signé avec une clé Ed25519 dont la partie publique est publiée dans le Livrable et inscrite dans le runbook. La signature couvre un manifeste de hash de fichiers (SHA-256 / BLAKE3) et les métadonnées de build (commit, toolchain, horodatage).

La vérification s'effectue avec la commande nova verify fournie ou tout vérificateur Ed25519 standard (par ex. signify, minisign).

3 · Logs d'audit chaînés Merkle

Les événements de build et de déploiement sont écrits dans un log en append-only dont les entrées forment une chaîne Merkle. Chaque entrée contient le root précédent, ce qui rend toute altération rétroactive détectable.

Les logs d'audit font partie du Livrable. Les clients peuvent vérifier le root indépendamment et contrôler l'intégrité de tout événement historique.

4 · Gestion des secrets

  • Les secrets de production sont stockés dans un gestionnaire contrôlé par le client (Vault, AWS Secrets Manager, Azure Key Vault, Doppler ou équivalent). NovaQuantiX ne détient aucun secret de production après transfert.
  • Pendant la mission, les secrets de travail sont scoped à un environnement par projet, chiffrés au repos et tournés à la fin de la mission.
  • Les clés d'API des sous-traitants (NVIDIA NIM, Cal.com, Moonshot, Vercel, etc.) sont tournées selon un calendrier documenté et immédiatement après toute exposition connue ou changement de personnel.

5 · Isolation à l'exécution

  • Les serveurs MCP et runtimes d'agents tournent dans des containers dédiés ou processus sandboxés, avec sortie réseau restreinte à l'allow-list explicite documentée dans le SOW.
  • Les invocations d'outils sont bornées par des budgets par outil (tokens, temps, nombre d'appels) et un kill-switch déterministe accessible depuis l'orchestrateur.
  • Les points de validation humaine sont obligatoires pour tout outil d'écriture impactant les données de production, sauf renonciation explicite au SOW pour un chemin à faible risque.

6 · Supply chain

  • Les dépendances directes et transitives sont pinées dans des lockfiles. Les mises à jour sont revues et testées contre la suite Inspect-AI avant merge.
  • Les packages à risque sont vendorés ou remplacés quand c'est faisable. Les images container de base sont pinées au digest, pas au tag.
  • Un SBOM (Software Bill of Materials) au format CycloneDX est livré avec chaque release signée.

7 · Protection des données en transit et au repos

  • HTTPS / TLS 1.3 avec suites cryptographiques modernes sur tous les endpoints.
  • Les connexions base de données imposent TLS avec authentification mutuelle quand le moteur le permet.
  • Les champs sensibles sont chiffrés en AES-256-GCM avec des clés détenues dans le gestionnaire de secrets du client, jamais dans l'application.
  • Les sauvegardes sont chiffrées avec une clé séparée et stockées dans une région alignée avec les exigences de résidence de données documentées dans le SOW.

8 · Divulgation responsable

Nous accueillons les rapports de chercheurs en sécurité. Merci d'envoyer votre rapport à security@novaquantix.tech avec un maximum de détails. Chiffrez les détails sensibles avec notre clé PGP (empreinte sur demande).

  • Accusé de réception : sous 2 jours ouvrés.
  • Triage :évaluation d'impact initiale sous 7 jours ouvrés.
  • Remédiation : correctif ou contournement publié sous 30 jours pour les vulnérabilités de criticité élevée, sous 90 jours pour les moindres.
  • Crédit : remerciements publics aux chercheurs respectant cette procédure et fournissant des rapports actionnables.

Merci de ne pas effectuer de tests perturbant nos services ou affectant d'autres utilisateurs que des comptes de test que vous possédez. Merci de ne pas accéder, modifier ni télécharger de données qui ne sont pas les vôtres.

9 · Réponse à incident

  1. Détection.Le monitoring est câblé sur des canaux d'alerte couvrant disponibilité, taux d'erreur, latence, appels d'outils anormaux et échecs d'authentification.
  2. Confinement.L'ingénieur d'astreinte peut isoler tout composant affecté en quelques minutes via les kill-switches documentés et les feature flags.
  3. Éradication & rétablissement. Cause racine investiguée, correctif publié via le pipeline standard de build signé, services restaurés.
  4. Communication.Les clients affectés sont notifiés par écrit sous 24 heures à compter de la confirmation d'impact, avec évaluation préliminaire.
  5. Post-mortem. Un post-mortem sans blâme est partagé avec les clients affectés sous 7 jours ouvrés, comprenant chronologie, impact, cause racine et actions correctives.

10 · Conformité

  • RGPD (Règlement (UE) 2016/679) — voir Politique de confidentialité.
  • Principes de cyber-résilience alignés sur les catégories NIST CSF 2.0 (Identifier, Protéger, Détecter, Répondre, Récupérer).
  • Baseline OWASP ASVS L2 appliquée aux surfaces web.
  • Règlement européen sur l'IA (AI Act) — évaluation par risques conduite pour chaque mission impliquant un système IA destiné à un déploiement en production.

11 · Contact

Rapports de sécurité : security@novaquantix.tech. Questions générales : contact@novaquantix.tech.