SYNN

Securite & Confiance

SYNN est concu pour permettre aux PME d'utiliser l'IA generative en toute confiance, sans compromettre la securite de leurs donnees. Voici comment nous y parvenons.

Isolation par tenant (RLS)

Chaque entreprise est cloisonnee au niveau de la base de donnees.

Controles DLP preventifs

Filtrage automatique des donnees sensibles avant envoi a l'IA.

Chiffrement en transit et au repos

TLS 1.3 en transit, AES-256 pour le stockage.

Zero Training Policy

Vos donnees ne servent jamais a entrainer les modeles IA.

Hebergement UE

Base de donnees hebergee en Europe (AWS Francfort).

Tracabilite des actions

Chaque action est enregistree dans un journal d'audit immutable.

Architecture de securite

Isolation multi-tenant (Row Level Security)

SYNN utilise le mecanisme de Row Level Security (RLS) de PostgreSQL (via Supabase) pour garantir l'isolation des donnees entre entreprises. Chaque requete a la base de donnees est automatiquement filtree par l'identifiant de l'organisation de l'utilisateur connecte. Meme en cas de bug applicatif, un utilisateur ne peut jamais acceder aux donnees d'une autre entreprise : la base de donnees elle-meme refuse l'acces.

Chiffrement

  • En transit : Toutes les communications sont chiffrees via TLS 1.3 (HTTPS). Aucune donnee ne circule en clair.
  • Au repos : La base de donnees Supabase utilise le chiffrement AES-256 pour les donnees stockees sur disque.
  • Fichiers : Les documents uploades sont stockes dans un bucket chiffre, accessible uniquement par les membres de l'organisation proprietaire.

Authentification et gestion des sessions

L'authentification est geree par Supabase Auth avec des tokens JWT signes. Les sessions sont validees cote serveur a chaque requete. L'authentification multi-facteurs (MFA) est supportee pour les comptes qui le souhaitent. Les mots de passe sont haches avec bcrypt.

Infrastructure

L'hebergement principal (base de donnees, authentification, stockage de fichiers) est assure par Supabase sur AWS Francfort (UE). L'application web est deployee sur Vercel avec un reseau Edge global pour la performance. Les appels aux modeles IA transitent par les API d'OpenAI et Anthropic (Etats-Unis), encadres par des Clauses Contractuelles Types (SCC) conformement au RGPD.

Protection contre la fuite de donnees (DLP)

Avant chaque envoi de prompt a un modele IA, SYNN applique un ensemble de controles DLP preventifs qui analysent le contenu et bloquent ou avertissent en cas de detection de donnees sensibles :

Types de donnees detectees

IBAN / numeros de comptes bancaires
Numeros de carte bancaire
Numeros de Securite Sociale (NIR)
Adresses email personnelles
Numeros de telephone
Mots-cles personnalises (configures par l'administrateur)

Les administrateurs de chaque organisation peuvent configurer des mots-cles bloques supplementaires, specifiques a leur activite (noms de clients, references internes, etc.). Le filtrage s'execute cote serveur, avant toute transmission aux API tierces.

Politique IA : Zero Training

Engagement clair :

Les donnees transmises via les API OpenAI et Anthropic ne servent PAS a l'entrainement des modeles (sauf opt-in explicite, que SYNN n'active pas et n'activera jamais sans accord ecrit du client).

OpenAI applique une retention temporaire de 30 jours sur les donnees transmises via API, uniquement pour le monitoring d'abus et la conformite a ses conditions d'utilisation. Passe ce delai, les donnees sont purgees. Anthropic applique des politiques similaires de non-entrainement.

Smart Router : routage intelligent

SYNN ne transmet a l'IA que le strict necessaire. Le Smart Router analyse la nature de la requete pour selectionner le modele le plus adapte (cout/performance), sans jamais envoyer l'historique complet des conversations precedentes sauf si le contexte l'exige. Cela minimise l'exposition des donnees.

Protection contre l'injection de prompt

Les system prompts de SYNN incluent des instructions de protection contre les tentatives de manipulation (prompt injection). Les tentatives detectees sont loguees et remontees aux administrateurs via le tableau de bord securite.

Audit et tracabilite

Toutes les actions sensibles sont enregistrees dans un journal d'audit immutable (append-only) :

  • Requetes IA (modele utilise, nombre de tokens, horodatage)
  • Upload et suppression de documents
  • Recherches web effectuees
  • Actions administratives (modification de parametres, gestion des utilisateurs)
  • Connexions et deconnexions

Les logs d'audit ne contiennent aucune donnee personnelle(pas d'email, pas de contenu de prompt, pas de contenu de fichier). Cette separation est appliquee par une contrainte de verification (CHECK) directement dans la base de donnees.

Signaler une vulnerabilite

Si vous decouvrez une faille de securite, contactez-nous immediatement a security@synn.fr. Nous nous engageons a accuser reception sous 24 heures et a fournir un premier retour sous 72 heures.