Engagements techniques

Déclaration de sécurité

Dernière mise à jour · 17 avril 2026

CureNest considère la sécurité comme un prérequis, et non comme une option. Cette page résume les mesures techniques et organisationnelles en place pour protéger les données gérées via la plateforme CureNest Clinic.

1. Chiffrement

  • En transit : toutes les communications entre le navigateur et nos serveurs sont chiffrées via TLS 1.2 ou supérieur. Les connexions non chiffrées sont redirigées automatiquement.
  • Au repos : les bases de données et les sauvegardes sont stockées sur des volumes chiffrés. Les secrets applicatifs (jetons, clés) sont gérés dans un coffre dédié et jamais versionnés.

2. Authentification et gestion des accès

  • L'accès à la plateforme se fait par couple e-mail / mot de passe, puis via un jeton d'authentification (Bearer) transmis uniquement sur canal chiffré.
  • Les mots de passe sont stockés sous forme de hachage salé utilisant un algorithme reconnu (bcrypt / argon2). Ils ne sont jamais accessibles en clair, y compris par les équipes de CureNest.
  • Les sessions expirent après une période d'inactivité et peuvent être révoquées à tout moment via la déconnexion.
  • La vérification du numéro de téléphone est proposée pour renforcer la confiance sur le compte utilisateur.

3. Contrôle d'accès fin (RBAC)

La plateforme repose sur un système de rôles et de permissions fines :

  • chaque action sensible (lecture, création, modification, suppression, attribution de rôle) fait l'objet d'une permission dédiée ;
  • les pages et les fonctionnalités vérifient les permissions côté serveur, pas uniquement côté interface ;
  • le principe du moindre privilège est appliqué : un compte ne voit que ce qui lui est explicitement autorisé par la Clinique ;
  • les permissions peuvent être surchargées individuellement pour répondre à des besoins spécifiques sans dupliquer des rôles.

4. Cloisonnement des données entre cliniques

Chaque clinique dispose de son espace logique isolé. Les requêtes d'accès aux données sont systématiquement filtrées par l'identifiant de clinique de l'utilisateur authentifié, ce qui empêche tout accès croisé entre établissements.

5. Journalisation et audit

  • Les connexions, les échecs d'authentification et les actions sensibles (création / suppression de compte, modification de rôles) sont journalisés.
  • Les journaux sont conservés au maximum douze (12) mois, dans un périmètre de sécurité distinct des données applicatives.
  • L'historique des rendez-vous (annulation, absence, complétion) reste consultable depuis l'interface à des fins d'audit clinique.

6. Sauvegardes et continuité

  • Sauvegardes automatiques chiffrées, à fréquence quotidienne.
  • Rétention des sauvegardes conforme à la politique de conservation (trente jours maximum).
  • Tests de restauration périodiques pour garantir l'intégrité des sauvegardes et la capacité de reprise en cas d'incident majeur.

7. Hébergement et sous-traitants

CureNest recourt à des prestataires d'hébergement et de diffusion sélectionnés pour leur conformité aux standards de sécurité et leur engagement sur la confidentialité. La liste à jour figure dans l'Accord de traitement des données.

8. Développement sécurisé

  • Revue de code obligatoire avant toute mise en production.
  • Analyse automatique des dépendances pour détecter les vulnérabilités connues.
  • Environnements séparés (développement, recette, production) et secrets cloisonnés.
  • Protection contre les attaques courantes du top OWASP (XSS, CSRF, injection, IDOR).

9. Gestion des incidents

En cas d'incident de sécurité ou de violation de données avérée, CureNest s'engage à :

  • contenir l'incident et préserver les preuves ;
  • notifier la Clinique concernée dans les meilleurs délais, et au plus tard sous 72 heures, avec les éléments techniques et factuels utiles ;
  • coopérer avec la Clinique pour toute déclaration à l'autorité de contrôle ;
  • mener une analyse post-incident et mettre à jour les mesures préventives.

10. Programme de signalement responsable

Les chercheurs en sécurité identifiant une vulnérabilité sont invités à nous la signaler de manière confidentielle à support@curenest.health. Nous nous engageons à accuser réception sous 72 heures et à ne pas poursuivre les chercheurs agissant de bonne foi, dans le respect d'une divulgation coordonnée.

11. Contact

Équipe sécurité CureNest : support@curenest.health.