Comment nous sécurisons chaque projet
Les pages sécurité ouvrent d'habitude sur un mur de badges. Nous ne détenons aucune certification à afficher, alors voici plus utile à la place : les pratiques réellement appliquées à chaque projet Globaprom, énoncées assez simplement pour que votre conseiller technique puisse les vérifier.
Un ingénieur relit chaque ligne
L'IA écrit la plus grande partie de notre code. Elle n'en relit aucune ligne. Chaque ligne de code générée par IA est lue par un ingénieur humain avant la fusion, et l'architecture, les frontières de sécurité et les cas limites sont des décisions de revue, jamais des sorties de modèle acceptées de confiance.
C'est le contrôle central qui rend le développement assisté par IA sûr à acheter, et la différence entre nous et une boutique IA sans relecture. Le processus de développement autour, sprint par sprint, est décrit sur notre méthode.
Des contrôles automatiques tournent derrière la relecture
La relecture humaine attrape ce que les outils ratent ; les outils attrapent ce que les humains fatigués ratent. L'analyse automatique des dépendances tourne à chaque push et pull request, Dependabot plus un audit des dépendances en CI : une dépendance livrée avec une alerte non résolue de niveau modéré ou supérieur fait échouer le build au lieu d'atteindre la production.
Les tests d'intrusion ne font pas partie de notre développement standard. Si votre projet exige un audit de sécurité indépendant, nous le signalons pendant le cadrage et vous aidons à l'organiser.
Le contrôle d'accès fait partie du périmètre standard
Chaque application web que nous livrons inclut l'authentification et le contrôle d'accès par rôle dans le périmètre par défaut, pas en option payante. Qui peut voir quoi est défini dans le périmètre écrit avant le début du développement, et les tests d'acceptation le vérifient avant le lancement.
Les intégrations reçoivent le même traitement. Chaque connecteur est livré avec gestion d'erreurs, journalisation et supervision, parce qu'une intégration qui échoue en silence est un incident de sécurité qui attend son nom.
La conformité est cadrée par écrit
Quand un projet touche un territoire réglementé (traitement des données RGPD, maîtrise du périmètre PCI DSS sur les paiements, exigences de piste d'audit), chaque obligation est nommée dans le périmètre écrit et chiffrée explicitement. Rien qui ressemble à de la conformité n'est découvert en cours de projet, et rien n'est supposé en silence. L'effet sur un devis est couvert sous ce qui fait varier un devis.
Deux choses que nous ne ferons pas. Nous ne revendiquons aucune certification que nous n'avons pas obtenue, et nous n'en suggérons aucune par un vocabulaire flou. Et cette page n'est pas un conseil de conformité : vos obligations réglementaires dépendent de votre activité, de vos données et de votre juridiction, et votre conseil juridique ou votre auditeur reste l'autorité en la matière. Nous construisons selon les exigences qu'ils définissent.
La confidentialité est plus ancienne que cette entreprise
Avant que Globaprom n'existe, nous avons passé 20 ans de traduction à manipuler des documents juridiques et médicaux confidentiels. Les workflows sous NDA ne sont pas une politique adoptée pour le logiciel ; c'est l'environnement d'où nous venons.
Vos documents de périmètre, vos données et votre code relèvent de la même discipline. Nous signons les NDA sans friction, nous ne réutilisons jamais votre base de code pour un autre client, et tout ce que nous construisons est à vous, à emporter, comme le détaille la page propriété du code.
Ce que nous ne revendiquons pas
Des limites honnêtes, pour comparer les prestataires sur des faits :
- Aucune certification SOC 2, ISO 27001 ou équivalente n'est revendiquée, parce qu'aucune n'est détenue aujourd'hui. Si cela change, cette page le dira avec le certificat, pas avant.
- Aucun adjectif « niveau bancaire » ou « niveau militaire ». La description de nos contrôles reste concrète.
- Aucune promesse générale de tests d'intrusion. Là où des tests au-delà de nos contrôles standard sont requis, ils sont cadrés et chiffrés par écrit comme tout le reste.
Si une certification est une exigence ferme pour votre projet, nous sommes aujourd'hui le mauvais prestataire et nous vous le dirons dès le premier appel.
Posez-nous les questions difficiles
Amenez votre conseiller technique à l'appel de cadrage et mettez chaque affirmation de cette page à l'épreuve. L'appel est gratuit et sans engagement.