Passer au contenu principal

Aperçu

Wave Connect prend la sécurité au sérieux. Nous mettons en œuvre des pratiques de sécurité conformes aux standards du secteur en matière d’infrastructure, de développement applicatif, de gestion des accès et de sécurité des employés pour protéger vos données et celles de votre équipe. Pour plus de détails, visitez security.wavecnct.com.

Conformité et certifications

CertificationDétails
SOC 2 Type IICertifié. Rapport disponible sous NDA — contactez security@wavecnct.com
CSA STAR Niveau 1Inscrit dans le registre STAR de la Cloud Security Alliance
RGPDEntièrement conforme. Accord de traitement des données disponible pour les clients Enterprise
EU AI ActConforme aux exigences applicables
Standards de sécurité suivis (non certifiés, mais alignés) :
  • OWASP Top 10
  • CSA CAIQ
  • Benchmarks CIS
  • Pratiques alignées NIST

Infrastructure

L’infrastructure de Wave est construite sur des services cloud gérés, fonctionnant selon un modèle de responsabilité partagée avec nos fournisseurs.
FournisseurRôle
Google Cloud PlatformInfrastructure applicative principale, calcul et réseau
VercelLivraison frontend et réseau edge
PlanetScaleBase de données (compatible MySQL, distribuée mondialement)
Cloud StorageStockage de fichiers et d’actifs
L’infrastructure est conçue pour une haute disponibilité avec basculement automatique. Tous les fournisseurs maintiennent leurs propres certifications de sécurité indépendantes (SOC 2, ISO 27001).

Résidence des données

  • Les données applicatives des clients sont stockées et traitées aux États-Unis
  • Les données ne sont traitées que dans des régions approuvées
  • Les clients Enterprise peuvent se renseigner sur les options de résidence des données
Une liste complète des sous-traitants est disponible dans notre Accord de traitement des données.

Chiffrement

En transit
  • TLS 1.3 pour toutes les connexions
  • HTTPS appliqué sur tous les endpoints
  • HSTS activé
Au repos
  • Chiffrement AES-256 pour toutes les données stockées
  • Clés de chiffrement gérées par le cloud via Google Cloud KMS
  • Rotation des clés et contrôles d’accès appliqués via Secret Manager

Gestion des identités et des accès

Options d’authentification
  • Authentification unique SAML 2.0
  • OpenID Connect (OIDC)
  • Provisionnement et déprovisionement automatisé SCIM 2.0
Authentification multifacteur
  • Appliquée via votre fournisseur SSO lorsque SAML ou OIDC est activé
Contrôle d’accès basé sur les rôles
RôleAccès
PropriétaireAccès complet au compte, y compris la facturation et la gestion des abonnements
AdministrateurGérer les utilisateurs, modèles, contacts et paramètres
ManagerGérer les leads d’équipe et distribuer les modèles, sans paramètres à l’échelle de l’entreprise
MembreUtilise sa carte de visite numérique assignée et consulte ses propres contacts
ObservateurAccès en lecture seule
Moindre privilège
  • Tous les accès internes suivent le principe du moindre privilège
  • Revues d’accès trimestrielles effectuées en interne
  • Déprovisionement automatisé via SCIM lors du départ des utilisateurs

Sécurité des mots de passe

  • Longueur minimale et exigences de complexité appliquées
  • Blocage du compte après des tentatives de connexion répétées échouées
  • Réinitialisation sécurisée du mot de passe via e-mail vérifié
  • Expiration de session appliquée en cas d’inactivité

Sécurité applicative

Cycle de développement sécurisé
  • Modélisation des menaces dans le cadre de la conception des fonctionnalités
  • Revue de code par les pairs obligatoire et approbation des pull requests avant fusion
  • Exigences de sécurité revues à chaque version
  • Processus d’approbation de version dédié
Analyse statique et scanning
  • Analyse statique CodeQL sur tous les changements de code
  • Scanning automatisé des vulnérabilités des dépendances
  • Scanning des secrets pour prévenir les fuites d’identifiants dans le code
Pratiques de codage sécurisé
  • Directives OWASP Top 10 suivies
  • Validation des entrées et encodage des sorties appliqués
  • Mises à jour des dépendances appliquées régulièrement

Gestion des vulnérabilités

Scanning
  • Scanning continu automatisé des dépendances
  • Scanning des vulnérabilités de l’infrastructure
Délais de correction
SévéritéDélai cible
Critique24 heures
Élevée7 jours
Moyenne30 jours
Faible90 jours
Tests de pénétration
  • Test de pénétration indépendant par un tiers conduit annuellement
  • Les résultats sont triés et corrigés selon les délais de sévérité

Surveillance et journalisation

Journaux collectés :
  • Événements d’authentification (connexion, déconnexion, tentatives échouées)
  • Actions administrateur (modifications d’utilisateurs, mises à jour de paramètres)
  • Activité API
  • Événements de sécurité
Surveillance
  • Surveillance de l’infrastructure cloud 24h/24, 7j/7 via Google Cloud Monitoring
  • Alertes automatiques sur les anomalies et événements de sécurité
  • Détection des connexions suspectes

Réponse aux incidents

Wave maintient un Plan de réponse aux incidents formel couvrant :
  • Classification de sévérité : Critique, Élevée, Moyenne, Faible
  • Processus d’investigation : confinement, analyse et préservation des preuves
  • Analyse des causes profondes : revue post-incident pour tous les événements significatifs
  • Notification des clients : les clients affectés sont notifiés rapidement conformément aux exigences réglementaires
  • Notification réglementaire : notifications de violation RGPD dans les 72 heures le cas échéant
  • Post-mortems : documentés et revus en interne après les incidents majeurs
Pour signaler une vulnérabilité de sécurité, contactez security@wavecnct.com.

Continuité d’activité et sauvegardes

Objectifs de récupération
  • RTO (Objectif de temps de récupération) : 4 heures
  • RPO (Objectif de point de récupération) : 1 heure
Plan de continuité d’activité
  • BCP formel en place et testé semestriellement
  • Plan de reprise d’activité testé régulièrement
Sauvegardes
  • Sauvegardes automatisées quotidiennes
  • Sauvegardes chiffrées au repos
  • Tests de restauration effectués régulièrement
  • Rétention des sauvegardes alignée sur les politiques de classification des données

Disponibilité

  • Architecture haute disponibilité avec basculement automatique
  • Page de statut disponible sur status.wavecnct.com
  • SLA disponible pour les clients Enterprise

Sécurité réseau

  • Google Cloud Firewall et Cloud Armor
  • Mitigation DDoS au niveau réseau et applicatif
  • Limitation de débit sur tous les endpoints API
  • Protections alignées OWASP (injection, XSS, CSRF)
  • Systèmes de détection et prévention des intrusions (IDS/IPS)

Sécurité des terminaux

Tous les appareils des employés sont soumis à :
  • Chiffrement complet du disque
  • Politique d’appareils gérés par l’entreprise
  • Antivirus et protection des terminaux
  • Mises à jour automatiques du système d’exploitation et de sécurité
  • Application du verrouillage d’écran
  • Exigences minimales d’appareil pour l’accès à distance

Sécurité physique

Wave est une entreprise entièrement en télétravail. Il n’y a pas de centres de données sur site. La sécurité physique de l’infrastructure est gérée par Google Cloud, dont les centres de données sont indépendamment certifiés ISO 27001, SOC 2 et autres standards. Les employés suivent des exigences de bureau à domicile sécurisé et les appareils sont mis hors service de manière sécurisée en fin de vie.

Sécurité des employés

  • Vérifications des antécédents pour tous les employés
  • Formation à la sensibilisation à la sécurité lors de l’intégration
  • Formation trimestrielle à la sécurité et à la confidentialité
  • Politique d’utilisation acceptable signée par tous les employés
  • Accords de confidentialité en place

Sécurité des fournisseurs

Wave maintient un Programme de gestion des risques fournisseurs. Les prestataires tiers sont évalués avant l’intégration selon leur posture de sécurité (rapports SOC 2, questionnaires de sécurité et évaluations fournisseurs). Principaux sous-traitants
FournisseurObjectif
Google CloudInfrastructure et calcul
VercelFrontend et livraison edge
PlanetScaleBase de données
TwilioCommunications SMS
StripeTraitement des paiements
ShopifyE-commerce
ZendeskSupport client
MicrosoftProductivité et intégrations
MaxMindGéolocalisation IP
Liste complète des sous-traitants disponible dans notre Accord de traitement des données.

Sécurité IA

Wave utilise l’IA dans les fonctionnalités suivantes :
  • Scanner universel de badges : OCR pour extraire les coordonnées des cartes de visite et badges d’événements
  • Enrichissement des contacts : complétion des champs de profil manquants à partir de sources publiques
  • Modération de contenu : détection du contenu violant les politiques sur les profils
Points clés :
  • Les données des clients ne sont pas utilisées pour entraîner des modèles IA
  • Les fonctionnalités IA peuvent être désactivées le cas échéant
  • Les fournisseurs IA sont divulgués dans notre liste de sous-traitants

Classification des données

ClassificationDescription
PubliqueContenu marketing, documentation publique
InterneDonnées opérationnelles, communications internes
ConfidentielleDonnées clients, données commerciales, configurations de sécurité
RestreinteIdentifiants d’authentification, clés de chiffrement, journaux d’audit

Protection des données

  • Isolation logique des tenants : les données de chaque organisation sont séparées au niveau applicatif et de la base de données
  • Le contrôle d’accès basé sur les rôles empêche les accès inter-tenants
  • Journalisation d’audit pour toutes les opérations sensibles
  • Principes de minimisation des données appliqués à la collecte

Fonctionnalités de sécurité Enterprise

Authentification unique (SAML)

Authentifiez les utilisateurs via votre fournisseur d’identité en SAML 2.0 ou OIDC.

Synchronisation d'annuaire (SCIM)

Automatisez le provisionnement, le déprovisionement et la correspondance d’équipes.

Domaines personnalisés

Utilisez votre propre domaine pour les profils Wave et les liens de partage.