(+33) 214 739 052 [email protected]

Engagement de Sécurité

Dernier audit: 26 mai 2026

1. Notre engagement pour votre sécurité

TrueSpeak est construit et maintenu selon une référence de sécurité stricte et continue. Nous effectuons des audits de sécurité automatisés tous les mois et agissons sur les résultats — pour que la plateforme qui protège les signalements de vos lanceurs d'alerte soit elle-même protégée. Cette page est notre registre public de cet engagement.

2. Les quatre piliers de notre sécurité

Surveillance continue
Audits de sécurité automatisés chaque mois sur le code, la configuration et les dépendances.
Couverture OWASP Top 10
Chaque audit vérifie la conformité au catalogue OWASP Top 10 des risques applicatifs web.
SAST + DAST
À la fois analyse statique (revue du code) et tests dynamiques (sondage de l'application en direct).
Hygiène des dépendances
Les bibliothèques tierces sont vérifiées en continu par rapport à la base publique des CVE.

3. Ce que nous couvrons

Notre processus d'audit vérifie systématiquement les catégories de risques suivantes :

  • Authentification, gestion des sessions et stockage des mots de passe
  • Cross-Site Scripting (XSS) et Cross-Site Request Forgery (CSRF)
  • Injection SQL et autres vecteurs d'injection
  • Désérialisation non sûre et instanciation d'objets non sûre
  • Exposition de données sensibles et fuites de secrets
  • Server-Side Request Forgery (SSRF) et abus de ressources externes
  • En-têtes de sécurité et durcissement de la couche transport (HTTPS, HSTS, CSP)
  • Vulnérabilités des dépendances tierces (recoupement avec la base CVE)
  • Configuration cryptographique et gestion des clés
  • Gestion des téléversements de fichiers et path traversal

4. Cadence des audits

Nous effectuons chaque mois un audit de sécurité complet SAST + DAST automatiquement. Voici notre chronologie publique :

1
Audits terminés
26 mai 2026
Dernier audit
25 juin 2026
Prochain audit prévu

Chronologie des audits

  • 26 mai 2026 Le plus récent Terminé

5. Que se passe-t-il lorsqu'on trouve un problème

  1. Triage. Chaque résultat est classé par impact et exploitabilité selon une échelle de sévérité standard du secteur.
  2. Priorisation. Les problèmes critiques sont traités immédiatement ; les high-severity dans le sprint en cours ; les medium et inférieurs lors de la prochaine release planifiée.
  3. Remédiation. Les correctifs sont appliqués à la source — mise à jour d'une dépendance affectée, durcissement de la configuration ou refactorisation du code.
  4. Vérification. Le scan mensuel suivant confirme la résolution du problème et le suit dans l'historique des audits.

6. Pourquoi cela compte pour vous

TrueSpeak gère des signalements sensibles provenant de lanceurs d'alerte et des personnes qui les reçoivent. La confiance que vos utilisateurs placent dans la plateforme dépend de notre capacité à la maintenir sécurisée — pas en une seule fois, mais en continu. Cette page est notre registre public de cet engagement.

Des rapports d'audit détaillés sont disponibles sur demande pour les auditeurs qualifiés. Contactez [email protected].

Milan

Foro Buonaparte 59, 20121 Milan, Italie

(+39) 800 931 740 [email protected]

Barcelone

Av. de la Catedral 6, 08002 Barcelone, Espagne

(+34) 930 345 289 [email protected]

Paris

44 Rue Pasquier, 75008 Paris, France

(+33) 214 739 052 [email protected]