Assurer la protection des données de nos clients est la chose la plus importante que fait Cybernetics SAS. Nous mettons tout en œuvre pour nous assurer que toutes les données envoyées à Cybernetics sont traitées en toute sécurité.
Nous souhaitons partager certains des détails de ce que nous faisons pour assurer la protection de vos données et une partie du travail que nous effectuons pour améliorer continuellement la sécurité. Ce document est un document vivant, que nous compléterons de temps à autre.
À propos de votre sécurité
Cybernetics est une plateforme d'observabilité, de conformité et de suivi de la protection des actifs numériques. La qualité de nos développements et la conception du code respectent les recommandations de l'OWASP. L'application repose sur un environnement et une architecture répondant à la norme SOC2 Type II et ISO27001:2022.
Nos employés ne sont pas capables de déchiffrer les mots de passe de nos utilisateurs. Cybernetics demande systématiquement l'ajout d'une seconde méthode d'authentification (One Time Password) et est compatible avec le SSO (Single Sign-On) de Microsoft et Google.
Vos données sont chiffrés en transit et au repos, plus d'information sur notre chiffrement.
À propos de nos audits de sécurité
Deux entreprises externes différentes interviennent chaque année pour tenter de percer la sécurité de Cybernetics. À ce jour, aucune faille présente dans notre programme n'a été décelée, toutefois des anomalies mineures (ne présentant aucun risque majeur ou critique) ont été corrigées.
À propos de notre programme de sécurité
Notre programme de sécurité est accessible pour les chercheurs en sécurité informatique : https://app.cybernetics.fr/.well-known/security.txt
À propos de nos moyens déployés en sécurité
Le choix de nos fournisseurs assurent une conformité maximale à nos clients :
OVHcloud : Conformité et certification
Scaleway : Conformité et certification
Microsoft : Conformité et certification
Google : Conformité et certification
Cloudflare : Conformité et certifications
Datadog : Conformité et certifications
GitHub : Conformité et certifications
Intercom : Conformité et certifications
Le choix de nos technologies assurent une sécurité maximale à nos clients :
Langages : JavaScript, TypeScript
Orchestrateur : Kubernetes
Stockage : Block Storage
Base de données : Postgresql
Gestionnaire des secrets : Secret Manager
Gestion de la surface d'attaque externe : EASM
Pare-feu d'application : WAF
Stockage d’objets : R2
Sécurisation du code : SAST
Sécurisation des librairies : SCA
Sécurisation en cours d'exécution : IAST
Management de la sécurité cloud : ASM
Gestion des informations et des événements de sécurité : SIEM
Gestion des performances de l'application : APM
Sauvegarde des données : Veeam Kasten
Documentation : Intercom
A propos de nos mesures de sécurité Kubernetes
Notre infrastructure de production tourne sur un cluster Kubernetes managé OVHcloud MKS à 2 nœuds. Le nœud 1 héberge tous les workloads applicatifs, sélectionné via une nodeAffinity preferred sur deux labels dédiés. Le nœud 2 est réservé à Kasten K10 et cloudflared via un taint dédié, les DaemonSets système OVHcloud y tournent également. Nos frontend disposent d'un HPA. La supervision est assurée par Datadog. Les déploiements sont gérés via Helm avec valeurs versionnées dans Git, l'infrastructure cloud est décrite en Terraform, et les images applicatives sont publiées par GitHub Actions vers GitHub Container.
Statut de notre mise en conformité OWASP Kubernetes Security Cheat Sheet
Sécurité des conteneurs
Recommandation OWASP | Statut | Mécanisme (enforce) |
| ✅ |
|
| ✅ |
|
| ✅ |
|
| ✅ |
|
Bloquer capabilities dangereuses | ✅ |
|
| ✅ |
|
Pas de | ✅ |
|
Pas de volumes | ✅ |
|
Seccomp | ✅ |
|
Resource limits (anti-DoS) | ✅ |
|
Images & Supply Chain
Recommandation OWASP | Statut | Mécanisme (enforce) |
Images depuis un registry de confiance | ✅ |
|
Immutabilité des images (digest SHA256) | ✅ |
|
Scanning de dépendances | ✅ | Dependabot et Datadog |
Secrets scanning (CI/CD) | ✅ | Gitleaks |
Image signing (Cosign / Notary) | ❌ | Non implémenté (en cours) |
Réseau
Recommandation OWASP | Statut | Mécanisme (enforce) |
NetworkPolicy deny-all par défaut | ✅ |
|
Vérifier l'existence de NetworkPolicies | ✅ |
|
Pas de NodePort / LoadBalancer | ✅ |
|
TLS obligatoire sur les Ingress | ✅ |
|
WAF / exposition contrôlée | ✅ | Cloudflare Zero Trust Tunnel + WAF |
Reverse proxy unique | ✅ | Traefik |
Secrets & Credentials
Recommandation OWASP | Statut | Mécanisme (enforce) |
Gestionnaire de secrets externe | ✅ | ESO, OKMS OVHcloud |
Pas de Secrets K8s manuels | ✅ |
|
Pas de secrets dans les ConfigMaps | ✅ |
|
| ✅ |
|
Chiffrement au repos (etcd) | ❌ | OVHcloud MKS avec chiffrement etcd (en cours) |
RBAC & Authentification
Recommandation OWASP | Statut | Mécanisme (enforce) |
Pas de | ✅ |
|
Pas de permissions wildcard ( | ✅ |
|
Pas d'accès anonyme | ✅ |
|
Least privilege (RBAC granulaire) | ✅ | Policies RBAC et ServiceAccounts dédiés par namespace |
Pod Security Admission & Namespaces
Recommandation OWASP | Statut | Mécanisme |
Labels PSA | ✅ |
|
PSS niveau | ✅ | Labels PSA injectés automatiquement |
StorageClass restreinte | ✅ |
|
Observabilité & Runtime
Recommandation OWASP | Statut | Mécanisme |
Runtime threat detection | ✅ | Datadog ASM (threats + IAST + SCA) + CWS |
Audit logs kube-apiserver | ❌ | Géré par OVHcloud MKS et non configurable directement |
Container sandboxing | ❌ | Non implémenté, MKS standard (containerd) impossible |