Retour au site

Sécurité & Confiance

SYNN est conçu pour permettre aux PME d'utiliser l'IA générative en toute confiance, sans compromettre la sécurité de leurs données. Voici comment nous y parvenons.

Isolation par tenant (RLS)

Chaque entreprise est cloisonnée au niveau de la base de données.

Contrôles DLP préventifs

Filtrage automatique des données sensibles avant envoi à l'IA.

Chiffrement en transit et au repos

TLS 1.3 en transit, AES-256 pour le stockage.

Zero Training Policy

Vos données ne servent jamais à entraîner les modèles IA.

Hébergement UE

Base de données hébergée en Europe (AWS Francfort).

Traçabilité des actions

Chaque action est enregistrée dans un journal d'audit immutable.

Architecture de sécurité

Isolation multi-tenant (Row Level Security)

SYNN utilise le mécanisme de Row Level Security (RLS) de PostgreSQL (via Supabase) pour garantir l'isolation des données entre entreprises. Chaque requête à la base de données est automatiquement filtrée par l'identifiant de l'organisation de l'utilisateur connecté. Même en cas de bug applicatif, un utilisateur ne peut jamais accéder aux données d'une autre entreprise : la base de données elle-même refuse l'accès.

Chiffrement

  • En transit : Toutes les communications sont chiffrées via TLS 1.3 (HTTPS). Aucune donnée ne circule en clair.
  • Au repos : La base de données Supabase utilise le chiffrement AES-256 pour les données stockées sur disque.
  • Fichiers : Les documents uploadés sont stockés dans un bucket chiffré, accessible uniquement par les membres de l'organisation propriétaire.

Authentification et gestion des sessions

L'authentification est gérée par Supabase Auth avec des tokens JWT signés. Les sessions sont validées côté serveur à chaque requête. L'authentification multi-facteurs (MFA) est supportée pour les comptes qui le souhaitent. Les mots de passe sont hachés avec bcrypt.

Infrastructure

L'hébergement principal (base de données, authentification, stockage de fichiers) est assuré par Supabase sur AWS Francfort (UE). L'application web est déployée sur Vercel avec un réseau Edge global pour la performance. Les appels aux modèles IA transitent par les API d'OpenAI et Anthropic (États-Unis), encadrés par des Clauses Contractuelles Types (SCC) conformément au RGPD.

Protection contre la fuite de données (DLP)

Avant chaque envoi de prompt à un modèle IA, SYNN applique un ensemble de contrôles DLP préventifs qui analysent le contenu et bloquent ou avertissent en cas de détection de données sensibles :

Types de données détectées

IBAN / numéros de comptes bancaires
Numéros de carte bancaire
Numéros de Sécurité Sociale (NIR)
Adresses email personnelles
Numéros de téléphone
Mots-clés personnalisés (configurés par l'administrateur)

Les administrateurs de chaque organisation peuvent configurer des mots-clés bloqués supplémentaires, spécifiques à leur activité (noms de clients, références internes, etc.). Le filtrage s'exécute côté serveur, avant toute transmission aux API tierces.

Politique IA : Zero Training

Engagement clair :

Les données transmises via les API OpenAI et Anthropic ne servent PAS à l'entraînement des modèles (sauf opt-in explicite, que SYNN n'active pas et n'activera jamais sans accord écrit du client).

OpenAI applique une rétention temporaire de 30 jours sur les données transmises via API, uniquement pour le monitoring d'abus et la conformité à ses conditions d'utilisation. Passé ce délai, les données sont purgées. Anthropic applique des politiques similaires de non-entraînement.

Smart Router : routage intelligent

SYNN ne transmet à l'IA que le strict nécessaire. Le Smart Router analyse la nature de la requête pour sélectionner le modèle le plus adapté (coût/performance), sans jamais envoyer l'historique complet des conversations précédentes sauf si le contexte l'exige. Cela minimise l'exposition des données.

Protection contre l'injection de prompt

Les system prompts de SYNN incluent des instructions de protection contre les tentatives de manipulation (prompt injection). Les tentatives détectées sont loguées et remontées aux administrateurs via le tableau de bord sécurité.

Audit et traçabilité

Toutes les actions sensibles sont enregistrées dans un journal d'audit immutable (append-only) :

  • Requêtes IA (modèle utilisé, nombre de tokens, horodatage)
  • Upload et suppression de documents
  • Recherches web effectuées
  • Actions administratives (modification de paramètres, gestion des utilisateurs)
  • Connexions et déconnexions

Les logs d'audit ne contiennent aucune donnée personnelle(pas d'email, pas de contenu de prompt, pas de contenu de fichier). Cette séparation est appliquée par une contrainte de vérification (CHECK) directement dans la base de données.

Signaler une vulnérabilité

Si vous découvrez une faille de sécurité, contactez-nous immédiatement à security@synn.fr. Nous nous engageons à accuser réception sous 24 heures et à fournir un premier retour sous 72 heures.