Sécurité
Notre posture technique et organisationnelle
En bref
Ce que nous mettons en place pour protéger les données des services de garde
Posture technique
Des mesures robustes, éprouvées, documentées
Chiffrement en transit
Toutes les communications entre votre appareil, nos serveurs applicatifs et nos GPU d'inférence sont chiffrées avec TLS 1.3, le standard actuel le plus récent.
Aucune donnée ne transite en clair, même sur notre réseau privé (WireGuard entre Beauharnois et les GPU).
Authentification sans mot de passe
Yopidou délègue l'authentification à Nordique, notre service partenaire : clés d'accès (passkeys WebAuthn) et OAuth 2.1. Aucun mot de passe, aucun lien magique par courriel.
Pas de mot de passe à voler, pas de base de mots de passe à compromettre.
Isolation multi-locataire
Row Level Security (RLS) sur PostgreSQL : chaque service de garde n'accède qu'à ses propres données, au niveau de la base de données elle-même, pas seulement dans le code applicatif.
Une règle RLS mal testée ne peut pas fuiter : la base refuse simplement la requête.
Hébergement québécois
Serveurs applicatifs chez OVH Beauharnois (Québec). Les GPU qui font tourner nos modèles d'IA sont à l'Île d'Orléans et à Québec, sur du matériel que nous opérons nous-mêmes.
Aucune donnée d'enfant ne transite par des services américains. Pas de CLOUD Act qui tienne.
Minimisation des données
Pas de photos ni de vidéos d'enfants. L'audio est traité pour transcription puis effacé immédiatement. Nous conservons uniquement le texte utile aux rapports et au dossier éducatif.
Journalisation et audits
Les accès administratifs sont journalisés. Les secrets (clés API, identifiants base de données) sont isolés de la base de code et de la documentation publique.
Audit COCD Niveau 1 en cours (2026-Q2).
Cadres de référence
Les lois, directives et normes auxquelles nous nous conformons
| Cadre | Portée | Statut |
|---|---|---|
| Loi 25 (c. P-39.1) | Protection des renseignements personnels au Québec | Conforme |
| Arrêté 2025-02 MCN | 12 principes d'IA responsable et de souveraineté numérique | Aligné (12/12) |
| Loi G-1.03 | Gouvernance des ressources informationnelles (organismes publics) | Applicable via tutelle |
| Directive SI gouvernementale | Sécurité de l'information des organismes publics | Alignement en cours |
| Indication IA-RI-2025-003-OP | Mesures IAG concrètes (25 articles) | Partiel (18/25) |
| OWASP ASVS Niveau 1 | Vérification de la sécurité des applications Web | Aligné |
Responsable de la sécurité
Contact
Philippe Bourque
CEO / CTO, Cérebrum ENR
Courriel : phil@cerebrum.website
Pour une urgence de sécurité, ajoutez « urgence sécurité » à l'objet du courriel.
Divulgation responsable
Vous avez identifié une faille ou une vulnérabilité ? Nous vous remercions à l'avance de nous la signaler de manière responsable.
La politique de divulgation détaillée est publiée dans le fichier SECURITY.md de notre dépôt public. La version initiale sera mise en ligne dans le cadre de l'audit COCD en cours.
En attendant, un courriel à l'adresse ci-contre suffit : nous vous répondons dans les meilleurs délais.
Nos engagements, et nos limites actuelles
Transparence sur ce que nous faisons déjà, et sur ce qui est planifié
Nous préférons être clairs sur où nous en sommes aujourd'hui plutôt que de promettre des certifications que nous n'avons pas encore. Ce que nous ne faisons pas encore :
• Certification ISO 27001 : non détenue, planifiée pour 2027.
• Test d'intrusion externe annuel : planifié pour 2027. En 2026, nous nous appuyons sur des revues de code internes et sur l'audit COCD Niveau 1.
• Programme formel de bug bounty : non en place. La divulgation responsable passe par le courriel du responsable sécurité.
Ce que nous faisons déjà est décrit dans cette page et sur notre page Confidentialité. Pour toute question, écrivez-nous.
Une question sur notre posture sécurité ?
Philippe Bourque
phil@cerebrum.websiteCEO / CTO, Cérebrum ENR
Réponse sous un jour ouvrable, traitement prioritaire des urgences de sécurité