Nemau Cloud
Sécurité & Conformité

Sécurité & Conformité

Le socle actuel couvre authentification forte, audit, clés API, séparation réseau et une feuille de route conformité assumée.

Discuter des ExigencesVoir disponibilité & SLA

Défense en Profondeur

Des contrôles visibles dans le produit et la documentation technique, du compte utilisateur jusqu'aux ressources réseau

Socle d'hébergement

Hébergement opéré en France avec détails d'infrastructure partagés au besoin dans le cadre commercial ou contractuel

  • Exploitation et accès encadrés
  • Informations site partagées sur demande
  • Supervision d'infrastructure
  • Séparation physique des équipements
  • Visites encadrées
  • Redondance d'alimentation et de réseau

Sécurité Réseau

Réseaux, sous-réseaux, routeurs, ports, groupes de sécurité et IP flottantes côté plateforme

  • Réseaux isolés par projet
  • Security Groups stateful L3/L4
  • Réseaux privés sans exposition publique par défaut
  • Routeurs, ports et IP flottantes pilotés depuis la console
  • Exposition contrôlée via load balancers si nécessaire

Secrets & flux

Protection des secrets d'authentification, des sessions et des échanges HTTPS

  • Chiffrement des secrets TOTP au repos quand la clé dédiée est configurée
  • Accès plateforme et API via HTTPS/TLS
  • Flux objet cadrés par les contrôles Swift/OpenStack
  • Clés gérées côté plateforme aujourd'hui
  • La gestion de secrets avancée relève encore de l'architecture projet
  • Snapshots et sauvegardes selon le service retenu

IAM & Contrôle d'Accès

Comptes, MFA, politiques et journaux d'audit visibles dans le produit

  • MFA avec TOTP, codes de secours et WebAuthn / passkeys
  • Groupes, policies et RBAC fin
  • Clés d'accès et API keys gérées côté compte et services
  • OAuth 2.0 / OpenID Connect pour les flux documentés
  • Journal d'audit sur les opérations sensibles
  • Sessions, rotation de tokens et révocation

Audit & Visibilité

Journalisation, statut public et suivi support pour garder une trace exploitable

  • Logs d'audit sur les opérations mutables
  • Historique de tickets et commentaires de support
  • Durcissement et corrections au fil des itérations produit
  • Export SIEM non présenté comme service standard aujourd'hui
  • Page de statut publique pour l'état de service
  • Documentation sécurité et revues internes en évolution

Audits & Conformité

Transparence sur ce qui est en place et ce qui reste en feuille de route

  • Cadre RGPD pris en compte dans le produit et l'hébergement européen
  • ISO 27001 en feuille de route
  • SOC 2 Type II en feuille de route
  • Analyses d'impact et exigences spécifiques à cadrer selon le projet
  • Processus de notification en cas d'incident de sécurité
  • Revues internes et externes selon le contexte

Certifications & Standards

Nous séparons le socle déjà en place de la feuille de route de certification.

Conformité RGPD

Cadre appliqué

Les exigences européennes de protection des données sont prises en compte dans l'exploitation courante et les échanges contractuels

  • L'hébergement et les détails d'implantation sont partagés pendant le cadrage commercial ou contractuel
  • Le traitement des données et les responsabilités se cadrent sous droit français et européen
  • Vous restez propriétaire de vos données. Les accès d'exploitation se limitent aux besoins de service.
  • La réduction d'accès et la séparation des rôles font partie du cadre de conception
  • Processus de notification en cas d'incident de sécurité

ISO 27001

Feuille de route

Standard international pour le management de la sécurité de l'information

  • ISO 27001 en feuille de route
  • Revues internes et externes selon le contexte
  • Analyses d'impact et exigences spécifiques à cadrer selon le projet
  • La réduction d'accès et la séparation des rôles font partie du cadre de conception
  • Documentation sécurité et revues internes en évolution

SOC 2 Type II

Prévu

Audit externe des contrôles de sécurité et de confidentialité

  • SOC 2 Type II en feuille de route
  • Revues internes et externes selon le contexte
  • Export SIEM non présenté comme service standard aujourd'hui
  • Page de statut publique pour l'état de service
  • Journal d'audit sur les opérations sensibles

Hébergement & juridiction

Les données destinées à la plateforme sont hébergées en Europe ; les contraintes exactes sont définies au contrat.

Côté client : ce qu'on recommande

Ce qu'on vous conseille de faire quand vous configurez vos ressources.

Groupes de Sécurité

Utilisez les groupes de sécurité pour contrôler le trafic entrant et sortant vers vos instances

Recommandation :

Appliquez le principe du moindre privilège : autorisez uniquement les ports et sources nécessaires

Gestion des Clés SSH

Utilisez des paires de clés SSH au lieu de mots de passe pour l'accès aux instances

Recommandation :

Effectuez une rotation régulière des clés et utilisez des clés séparées par environnement

Réseaux Privés

Déployez les services sensibles dans des réseaux privés sans IPs publiques

Recommandation :

Utilisez un bastion ou limitez l'accès administratif à des IPs connues

Stratégie de Sauvegarde

Planifiez snapshots ou sauvegardes selon le service utilisé

Recommandation :

Suivez la règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site

Authentification API

Utilisez des clés API avec scopes et expiration appropriés

Recommandation :

Ne commitez jamais les clés API dans le contrôle de version, utilisez des variables d'environnement

Segmentation Réseau

Isolez les différentes couches applicatives dans des réseaux séparés

Recommandation :

Interface web, services applicatifs et base de données dans des sous-réseaux différents avec groupes de sécurité

Comment le socle de sécurité progresse

Les contrôles s'améliorent avec les usages réels, les retours directs et les exigences de conformité qu'on reçoit

Façonné par les contraintes réelles

Ce que les clients font tourner oriente ce qu'on durcit en priorité

Suivi des standards

Les exigences réglementaires et contractuelles s'intègrent à la feuille de route au fil des échanges

Échanges techniques directs

Quand un projet a des contraintes de sécurité précises, on cadre les contrôles ensemble

Gestion des Incidents& Transparence

Communication claire et suivi exploitable quand un incident touche la plateforme

Détection

  • Monitoring plateforme, page de statut et support comme points d'entrée
  • Suivi opérationnel et audit
  • Les signalements clients passent par le support et la page contact
  • Priorisation selon l'impact

Repères de traitement

  • Critique : traitement prioritaire
  • Haute : prise en charge accélérée
  • Moyenne : traitement selon impact
  • Mises à jour via statut et support

Divulgation Responsable

Si vous trouvez quelque chose, dites-le nous. On prend les signalements au sérieux, sans menace juridique.

Comment signaler une vulnérabilité

Si vous avez découvert une vulnérabilité de sécurité, veuillez la signaler de manière responsable :

  1. 1. Envoyez un email à security@nemau-cloud.com
  2. 2. Incluez les étapes de reproduction et l'impact potentiel
  3. 3. Accordez-nous 90 jours pour corriger avant divulgation publique
  4. 4. Nous faisons un premier retour dès que possible

Notre Engagement :

Nous ne poursuivrons pas les chercheurs qui suivent les pratiques de divulgation responsable.

Besoin d'approfondir notre architecture de sécurité ?

Nous pouvons détailler les contrôles déjà en place et ce qui reste encore en feuille de route.

Contacter l'équipe Page de disponibilité