Audit de sécurité

Journal d'audit complet

Chaque action est enregistrée dans le journal d'audit immuable :

• Connexions et déconnexions (IP, navigateur, timestamp)
• Modifications du prompt système (avant/après, auteur)
• Exports de données (qui, quand, volume)
• Accès aux enregistrements d'appels
• Modifications des paramètres d'intégration
• Création/suppression d'agents ou de campagnes

Le journal est dans Paramètres > Sécurité > Journal d'audit, conservé 12 mois, exportable en CSV.

Rôles et permissions

Contrôle d'accès basé sur les rôles (RBAC) :

• Admin — accès total : configuration, facturation, utilisateurs, intégrations, données
• Manager — lecture + rapports + écoute enregistrements + modification agents. Pas de facturation.
• Agent — dashboard temps réel uniquement. Conversations en cours, pas d'historiques.
• Audit — lecture seule : journal, rapports, statistiques. Aucune modification.

Tests de sécurité

• Pentest annuel — cabinet certifié PASSI. Rapport mars 2026 disponible sur demande (NDA requis).
• Programme Bug Bounty — actif via HackerOne pour les chercheurs en sécurité.
• Scan hebdomadaire — automatisé sur toute l'infrastructure (OWASP ZAP + Nessus).
• Revue SAST/DAST — chaque déploiement soumis à analyse avant mise en production.

Procédure de réponse à incident

En cas de brèche :

1. Notification clients concernés en moins de 72 heures (RGPD Art. 33)
2. Rapport détaillé aux admins (nature, périmètre, données touchées, mesures prises)
3. SLA remédiation : critique < 4h, haute < 24h, moyenne < 72h