Sécurité

Dernière mise à jour : 23 mars 2026

La sécurité est au cœur de Jamii AI. Nous protégeons vos données, vos communications API et notre infrastructure avec plusieurs couches de défense. Cette page décrit nos pratiques de sécurité et notre architecture.

1. Authentification et autorisation

Authentification par jetons JWT

Tous les points d'accès protégés nécessitent un jeton JWT signé avec une expiration configurable. Les jetons sont émis après vérification réussie des identifiants et incluent des revendications basées sur les rôles.

Contrôle d'accès à triple rôle

Trois chemins d'authentification distincts — administrateur, employé et client — chacun avec des tables de base de données séparées, une vérification des identifiants et des revendications JWT dédiées.

Isolation des données au niveau des lignes

Les clients ne peuvent accéder qu'aux données correspondant à leur customer_number. Les employés sont limités aux tables listées dans leur allow_tables_list. Les administrateurs ont un accès complet.

2. Chiffrement

TLS 1.2+ en transit

Toutes les communications API sont chiffrées à l'aide de TLS 1.2 ou supérieur. Les connexions HTTP en texte clair sont automatiquement redirigées vers HTTPS.

Chiffrement au repos

Le stockage de la base de données et les sauvegardes sont chiffrés avec AES-256. Les clés API et les secrets sont stockés en utilisant une gestion de clés conforme aux normes de l'industrie.

Hachage des mots de passe

Les mots de passe sont hachés avec bcrypt et des sels générés automatiquement. Les mots de passe en texte clair ne sont jamais stockés ni journalisés.

3. Sécurité de l'API

Prévention de l'injection SQL

Toutes les requêtes de base de données utilisent des instructions paramétrées. Les réponses de conversion langage naturel vers SQL sont validées et assainies avant exécution. Les opérations d'écriture sont bloquées en mode lecture seule.

Limitation du débit

Les points d'accès API sont limités en débit par niveau d'abonnement pour prévenir les abus et assurer une allocation équitable des ressources entre tous les utilisateurs.

Validation des entrées

Toutes les entrées API sont validées à l'aide de modèles Pydantic avec vérification de type stricte, contraintes de longueur minimale et validation de format avant traitement.

4. Sécurité de l'infrastructure

  • Isolation réseau — les services fonctionnent dans des réseaux privés à accès restreint ; seuls les points d'accès de la passerelle API sont accessibles publiquement
  • Surface d'attaque minimale — seuls les ports et services nécessaires sont exposés ; les services internes communiquent via des canaux privés
  • Gestion des dépendances — toutes les dépendances sont fixées et régulièrement analysées pour détecter les vulnérabilités connues
  • Sécurité des conteneurs — les conteneurs d'application s'exécutent en tant qu'utilisateurs non root avec des systèmes de fichiers en lecture seule lorsque possible

5. Surveillance et réponse aux incidents

  • Surveillance en temps réel — les performances API, les taux d'erreur et les événements de sécurité sont surveillés en continu
  • Journalisation d'audit — tous les événements d'authentification, décisions de contrôle d'accès et actions administratives sont journalisés
  • Alertes automatisées — les comportements anormaux déclenchent des alertes immédiates pour investigation
  • Réponse aux incidents — nous maintenons un plan de réponse aux incidents documenté avec des niveaux de sévérité définis, des chemins d'escalade et des procédures de communication
  • Revues post-mortem — tous les incidents de sécurité sont suivis d'une revue approfondie pour prévenir la récurrence

6. Pratiques de développement

  • SDLC sécurisé — la sécurité est intégrée à chaque étape du développement, de la conception au déploiement
  • Tests automatisés — 493 tests automatisés couvrant l'authentification, le contrôle d'accès, la validation des entrées et le comportement de l'API
  • Analyse statique — le code est continuellement analysé avec Ruff pour le style, la correction et les problèmes de sécurité potentiels
  • Revue de code — toutes les modifications font l'objet d'une revue par les pairs avant la fusion
  • Moindre privilège — les services et connexions de base de données fonctionnent avec les permissions minimales requises

7. Conformité

Nous nous engageons à respecter les normes de l'industrie et les exigences réglementaires. Nos pratiques de sécurité sont alignées avec :

  • Les directives d'atténuation OWASP Top 10
  • Le RGPD et les principes de protection des données
  • Les principes SOC 2 Type II (Sécurité, Disponibilité, Confidentialité)

8. Divulgation responsable

Si vous découvrez une vulnérabilité de sécurité dans notre Service, nous encourageons la divulgation responsable. Veuillez la signaler à :

security@jamiiai.com

Nous vous demandons de :

  • Ne pas divulguer publiquement la vulnérabilité avant que nous ayons eu l'occasion de la corriger
  • Fournir suffisamment de détails pour nous permettre de reproduire et corriger le problème
  • Accorder un délai raisonnable pour la remédiation avant la divulgation

Nous accuserons réception dans les 48 heures et visons à résoudre les problèmes critiques dans les 7 jours.

9. Contact

Pour toute question liée à la sécurité ou pour signaler une préoccupation :