🔐
Chiffrement de bout en bout
Toutes les communications entre votre navigateur et nos serveurs utilisent TLS 1.3. Les données au repos sur nos serveurs sont chiffrées avec AES-256.
Nos 6 engagements
🏫
Isolation stricte multi-tenant
Chaque école est isolée au niveau de la base de données via PostgreSQL Row Level Security. Aucune fuite possible entre écoles, même en cas de bug applicatif.
📝
Audit log complet
Chaque action sensible (consultation dossier médical, modification de note, paiement, export) est tracée avec utilisateur, date, IP. Conservation 5 à 10 ans.
⚖️
Conformité légale
Conformes CNPDCP Cameroun, RGPD EU, OHADA AUDCG. Vos données restent votre propriété — export complet disponible à tout moment.
🛡️
Hashing & secrets
Mots de passe stockés en bcrypt cost 12. Jamais en clair. Tokens JWT signés HS256 avec rotation. Sessions de 15 min (access) + 12 jours (refresh).
🔬
Transparence & responsible disclosure
Nous accueillons les signalements de vulnérabilités via notre programme de divulgation responsable. Réponse sous 48h ouvrées garantie.
Notre stack de sécurité
Nous appliquons les pratiques de sécurité reconnues, sans compromis sur la simplicité d'usage.
Réseau
- TLS 1.3 obligatoire (Let's Encrypt)
- HSTS preload + headers sécurité (CSP, X-Frame-Options)
- Reverse proxy Traefik avec rate limiting
- Pas d'exposition directe des bases de données
Authentification
- Mots de passe bcrypt cost 12
- JWT signés HS256, secret rotation
- Rate limit anti-bruteforce (5 essais / 15 min)
- Logout invalidant immédiatement les sessions
Autorisation
- RBAC 4 rôles + 32 permissions granulaires
- Vérification serveur sur chaque requête
- Row Level Security PostgreSQL
- Aucune sécurité par obscurité
Données
- Chiffrement au repos AES-256
- Backups quotidiens chiffrés (offsite Backblaze)
- Multi-tenant isolation native
- Pas de traitement par IA tiers sans consentement
Monitoring
- Status page publique (status.argon.education)
- Alertes 24/7 sur dégradation
- Audit log immutable
- Détection comportements anormaux
Code
- Code open-source consultable (à venir)
- Tests automatisés de sécurité
- Dépendances scannées hebdomadaires
- Pas de tracking publicitaire externe
Conformité légale
🇨🇲 CNPDCP — Cameroun
Déclaration en cours auprès de la Commission Nationale de Protection des Données à Caractère Personnel. Conformes à la loi n° 2010/012 sur la cybersécurité et la cybercriminalité.
🇪🇺 RGPD — Union Européenne
Pour les écoles avec familles européennes : conformes au Règlement Général sur la Protection des Données (UE 2016/679). Droit à l'oubli, portabilité, consentement explicite.
📋 OHADA AUDCG
Comptabilité conforme à l'Acte Uniforme OHADA. Numéro de reçus séquentiel, conservation 10 ans, mentions obligatoires (NUI, RCCM).
📚 MINEDUC
Archivage des bulletins et certificats scolaires selon les durées légales (10-30 ans). Format conforme aux exigences des ministères de l'éducation francophones.
Vos droits : accès, rectification, suppression,
portabilité de vos données. Contactez-nous à
dpo@argon.education pour toute
demande RGPD/CNPDCP.
Programme de divulgation responsable
Vous avez trouvé une vulnérabilité ? Merci de nous aider à protéger les écoles et les familles. Voici notre engagement envers les chercheurs en sécurité.
✅ Ce que nous accueillons
- Vulnérabilités web (XSS, SQL injection, CSRF, etc.)
- Failles d'authentification ou d'autorisation
- Fuites de données entre tenants
- Failles d'injection (server-side, template, etc.)
- Problèmes cryptographiques
- Vulnérabilités sur nos infrastructures
❌ Hors scope
- Vulnérabilités d'apps tierces (Mobile Money, etc.)
- Ingénierie sociale ou phishing
- DDoS / déni de service
- Vulnérabilités physiques
- Spam
- Tentatives sur production sans autorisation préalable
Notre processus de réponse
- Vous nous signalez via security@argon.education
- Nous accusons réception sous 48h ouvrées
- Nous évaluons la criticité (CVSS 3.1) sous 7 jours
- Nous corrigeons selon priorité (24h à 90 jours)
- Nous vous tenons informé à chaque étape
- Nous publions un crédit (avec votre accord) une fois la faille corrigée
Règles d'engagement
- Ne pas accéder à des données autres que les vôtres pour tester
- Ne pas exploiter la vulnérabilité au-delà du nécessaire pour la prouver
- Ne pas divulguer publiquement avant correction (90 jours par défaut)
- Pas d'extorsion ni de demande financière préalable
- Respect des lois locales (notamment loi cybercriminalité Cameroun)
🏆 Hall of Fame
Liste publique des contributeurs ayant signalé des vulnérabilités (avec leur accord). En préparation, sera publié dès le premier signalement validé.
Sécurité de votre côté
Argon sécurise sa partie. Vous restez responsable de votre compte. Voici les bonnes pratiques recommandées.
👨👩👧 Parents
- Mot de passe d'au moins 12 caractères
- Différent de vos autres comptes
- Renouvellement tous les 6 mois
- Ne jamais partager — pas même avec votre conjoint si compte personnel
- Déconnexion sur ordinateurs partagés
👨🏫 Enseignants
- Mot de passe robuste obligatoire
- Configurez vos heures de notification (vie privée)
- Pas de partage de compte avec un collègue
- Signaler immédiatement tout accès suspect
👔 Admins
- Mot de passe d'au moins 16 caractères
- Désactiver les comptes inactifs sous 30 jours
- Auditer mensuellement les permissions accordées
- Configurer 2FA dès qu'elle sera disponible (roadmap)
- Sauvegardes offsite vérifiées trimestriellement
Contacts sécurité
🚨 Signalement de vulnérabilité
PGP : à venir (en attendant : préciser "URGENT — vulnérabilité" en objet)