CybeDefend
Retour à l'accueil
Confiance · Sécurité

Sécurité chez CybeDefend

Comment CybeDefend protège votre code et vos données : posture de conformité, infrastructure, chiffrement, garde-fous IA, et comment signaler une vulnérabilité.

Last updated [email protected]

Nous construisons un produit de sécurité. Nous nous tenons à la même exigence que les clients que nous protégeons. Voire plus. Cette page est la source de vérité unique sur la manière dont CybeDefend gère la sécurité au niveau plateforme.

Si vous repérez quelque chose qui semble anormal, écrivez à [email protected]. Nous accusons réception sous 24 heures.

Notre posture de sécurité

Le produit CybeDefend tourne dans la boucle de l'agent de code IA. Cela signifie que nous nous trouvons sur le chemin entre le prompt d'un développeur et un déploiement en production. Cette responsabilité est porteuse. Notre posture repose sur trois engagements :

  1. Default deny. Chaque service interne authentifie et autorise chaque requête. Pas de frontière de confiance « réseau interne », pas de backdoor partagée.
  2. Le code client est sacré. Le code source que nous recevons est traité pour produire le verdict, puis effacé. Il n'est jamais utilisé pour entraîner un modèle généraliste. Ni par nous, ni par nos sous-traitants.
  3. Verdicts honnêtes. Quand nous remontons un problème, nous expliquons pourquoi et comment le corriger. Quand nous ne pouvons pas vérifier, nous ne paginons pas.

Posture de conformité

SOC 2

Type II — audit en cours, contrôles en place

ISO 27001

Audit en cours, contrôles en place

RGPD · NIS2 · DORA

Alignement réglementaire UE

Nous alignons notre cadre de contrôle avec SOC 2 Type II et ISO/IEC 27001 et avec les exigences du RGPD, de NIS2 et de DORA. Les deux certifications sont actuellement en cours — les contrôles sont en place et opérationnels, les audits tiers formels sont en cours. Lorsqu'une attestation publique est disponible, nous la fournissons sur demande aux clients enterprise sous NDA ; écrivez à notre équipe juridique.

Nous sommes une entreprise en phase early ; nous publions ce qui est dans le périmètre aujourd'hui, pas des promesses aspirationnelles. L'état de nos certifications évolue avec la plateforme ; demandez-nous la lettre d'attestation actuelle avant de contracter.

Résidence des données

Les clients sélectionnent une région UE ou US à l'inscription. Les deux régions sont des plateformes indépendantes. Infrastructure séparée, sous-traitants séparés, contrôles d'accès séparés.

  • Région UE. Tenant primaire. Hébergé sur infrastructure UE-résidente. Sous-traitants UE-résidents uniquement pour la couche stockage. Pour les clients soumis au RGPD, à NIS2 ou à DORA.
  • Région US. Tenant secondaire. Hébergé sur infrastructure US. Pour les clients qui exigent une résidence US.

La liste actuelle des sous-traitants nommés est publiée à /legal/subprocessors et mise à jour lors de tout changement matériel. Nous notifions les clients enterprise à l'avance.

Chiffrement

  • En transit. TLS 1.2+ sur chaque endpoint public. mTLS entre services internes. HSTS preload sur www.
  • Au repos. AES-256 sur chaque datastore. Bases primaires, object storage, sauvegardes.
  • Secrets. Clés API client, tokens OAuth et secrets webhook stockés dans un gestionnaire segmenté avec clés hardware-backed. Les opérateurs n'ont pas accès en lecture aux secrets en clair.

Contrôle d'accès

  • Single sign-on pour l'équipe CybeDefend. Google Workspace avec MFA hardware-key obligatoire.
  • Just-in-time access sur la production. Pas d'admin standing. Chaque session élevée est limitée dans le temps, enregistrée et revue.
  • Moindre privilège au niveau service. Chaque service est scopé au plus petit ensemble de ressources nécessaire.
  • Côté client, la plateforme supporte SSO (SAML / OIDC) sur le plan Enterprise, plus SCIM pour le provisioning.

Garde-fous IA

La couche IA de CybeDefend tourne sur des modèles Mistral open-weight que nous auto-hébergeons sur infrastructure souveraine UE (Scaleway). Nous n'appelons pas d'API IA tierce (Anthropic, OpenAI, Google AI, Cohere, Mistral La Plateforme, etc.). Code Client, prompts et complétions sont traités exclusivement sur l'infrastructure que CybeDefend opère.

  • Pas d'entraînement sur vos données. Code Client, prompts et complétions ne sont utilisés pour entraîner aucun modèle, le nôtre ou celui d'autrui.
  • Rétention zéro au-delà du nécessaire pour servir la requête et afficher les findings dans votre dashboard.
  • Scopes par tenant. Aucun prompt ne traverse une frontière de tenant dans notre infrastructure.
  • Allow-listing des prompts. L'ensemble des prompts que la plateforme peut émettre est défini par nous, pas par les utilisateurs. Les prompts d'agents sont sandboxés.
  • Aucun trafic sortant vers des API IA tierces. L'egress réseau de la couche d'inférence vers les fournisseurs LLM tiers est bloqué au niveau infrastructure.

Quand un client connecte CybeDefend à son propre agent IA (Claude Code, Cursor, Windsurf, etc.) via notre serveur MCP, cet agent tourne sur l'infrastructure du fournisseur de l'agent, sous le contrat client/fournisseur — le rôle de CybeDefend dans ce flux se limite à répondre aux appels d'outils via notre couche d'inférence auto-hébergée.

Comment nous traitons votre code

Lorsque vous soumettez du code source, des fichiers de configuration ou des images conteneurs pour analyse (collectivement « Code Client ») :

  • Nous traitons le Code Client uniquement pour produire le verdict de sécurité demandé.
  • Nous ne conservons pas le Code Client brut au-delà du temps nécessaire à produire le verdict, plus la courte rétention requise par votre plan (par exemple pour afficher l'issue dans votre dashboard).
  • Nous n'utilisons jamais le Code Client pour entraîner un modèle. Les nôtres ou ceux de nos sous-traitants.
  • Les patches Cybe AutoFix sont générés, vérifiés contre vos tests et renvoyés à votre dépôt. Nous ne mirrorons pas votre dépôt sur le long terme.

C'est contractuellement adossé à notre DPA.

Surveillance & réponse aux incidents

  • Télémétrie 24×7 sur la santé plateforme, latence, taux d'erreur et anomalies d'authentification.
  • Astreinte avec paging sur les alertes impactant les clients.
  • Runbook de réponse aux incidents avec niveaux de gravité, voies de communication et fenêtre de notification client de 24 heures pour les incidents de sécurité confirmés touchant les données client.
  • Test d'intrusion tiers annuel sur la stack production. Résumé exécutif disponible sous NDA.
  • Revue sécurité interne continue sur chaque service au moment de son déploiement.

Sous-traitants

La liste actuelle des sous-traitants nommés et les données traitées est publiée à /legal/subprocessors. Nous nous engageons à un préavis de 30 jours avant tout changement matériel pour les clients enterprise.

Divulgation responsable de vulnérabilités

Nous accueillons et récompensons la divulgation responsable.

Périmètre. Tout ce qui est sous cybedefend.com, eu.cybedefend.com, us.cybedefend.com, nos APIs publiques, notre serveur MCP, et les extensions IDE publiées sous l'organisation CybeDefend.

Hors périmètre. Ingénierie sociale, attaques physiques, déni de service, services tiers hébergés sous nos sous-domaines.

Comment signaler :

  • E-mail : [email protected].
  • Empreinte clé PGP : publiée sur demande. Précisez-le dans votre premier message.

Nous accusons réception sous 24 heures, triagons sous 5 jours ouvrés, et visons une remédiation alignée sur la gravité. Nous ne poursuivons pas en justice les chercheurs agissant de bonne foi dans le périmètre ci-dessus.

Pour les calendriers de divulgation coordonnée, nous suivons un embargo de 90 jours par défaut ; nous travaillerons avec vous sur un calendrier plus rapide si un correctif peut être livré plus tôt, ou plus lent si une action côté utilisateur est requise.

Table of contents
  1. 01Notre posture de sécurité
  2. 02Posture de conformité
  3. 03Résidence des données
  4. 04Chiffrement
  5. 05Contrôle d'accès
  6. 06Garde-fous IA
  7. 07Comment nous traitons votre code
  8. 08Surveillance & réponse aux incidents
  9. 09Sous-traitants
  10. 10Divulgation responsable de vulnérabilités
Contact

Reporter une vulnérabilité ?

[email protected]Open the contact form
Démarrer

Installation gratuite dans votre IDE. Premier scan en 5 minutes.

Sans carte bancaire. Sans appel de configuration. Choisissez votre agent, collez la commande, Cybe applique vos règles dès le prochain prompt.

Région
claude mcp add cybedefend --transport http https://mcp-eu.cybedefend.com/mcp

MCP hébergé, aucune install. Enregistrez juste l'URL dans votre agent.

Réserver une démo de 20 min