Ce document a été rédigé par les équipes EW360 et sera validé par un cabinet juridique avant ouverture commerciale réelle. Toute évolution sera datée et publiée sur cette page.
1. Objectif
La présente Politique de sécurité décrit les mesures techniques et organisationnelles mises en œuvre pour protéger les données et les services de la plateforme expoworld360.com (EW360). Elle vise à garantir :
- la confidentialité
- l’intégrité
- la disponibilité des données
2. Cadre juridique applicable
EW360 applique les obligations issues des textes suivants :
- RGPD (UE 2016/679), notamment article 32 (sécurité), article 33 (notification), article 34
- LCEN (article 6)
- Règlement DSA (UE 2022/2065)
- AI Act (UE 2024/1689 – transparence des systèmes automatisés)
3. Stack technique réelle EW360
La plateforme repose sur l’architecture suivante :
- Hébergement : IONOS SE, Allemagne (Union européenne)
- CMS : WordPress 6.x
- Thème : Astra
- Extensions principales :
- Ultimate Member (gestion des comptes)
- Code Snippets Pro
- Authentification : WordPress natif via Ultimate Member
- Mots de passe : hashage via phpass (WordPress)
- Sessions : cookies sécurisés WordPress
- WAF : Wordfence (version gratuite) + protection standard IONOS
Absences notables :
- aucune authentification multi-facteur (MFA non activée à ce jour)
- aucun usage de AWS, Fargate ou Secrets Manager
- absence de pipeline CI/CD automatisé
4. Mesures techniques mises en œuvre
EW360 applique les mesures suivantes :
- chiffrement des communications via TLS 1.3
- protection des accès via authentification sécurisée WordPress
- segmentation des accès administrateurs
- utilisation d’un pare-feu applicatif (Wordfence)
- limitation des tentatives d’accès
- surveillance des connexions suspectes
Les mots de passe ne sont jamais stockés en clair.
5. Mesures organisationnelles
- accès limité aux données au seul responsable (Boudjemline AOUANE)
- gestion locale des accès administrateurs
- sauvegardes régulières
- surveillance manuelle des anomalies
Aucun personnel tiers n’a accès aux données en dehors des sous-traitants déclarés.
6. Vérification entreprise (SIRENE / VIES)
EW360 vérifie automatiquement les entreprises via :
- API SIRENE V3.11 (INSEE)
- API VIES (Commission européenne)
Données stockées dans :
- cjrf_ew360_verifications
- cjrf_ew360_blacklist
- cjrf_ew360_pending_review
Cette vérification vise à limiter la fraude et garantir un environnement B2B réel.
7. Scoring anti-fraude (transparence AI Act)
EW360 utilise un système de scoring basé sur 13 critères. Les seuils de décision sont :
- score < 30 : validation automatique (auto_approve)
- score entre 30 et 70 : vérification manuelle (manual_review)
- score > 70 : rejet automatique (auto_reject)
Les critères incluent notamment :
- cohérence des données entreprise
- comportement utilisateur
- indicateurs techniques (IP, fréquence, anomalies)
Les pondérations exactes ne sont pas publiées pour éviter le contournement. Droits des utilisateurs :
- contestation possible
- intervention humaine obligatoire en cas de rejet automatique
Contact : contestation@expoworld360.com
8. Protection anti-bot
Les mécanismes suivants sont actifs :
- reCAPTCHA v3 (Google), score minimum 0.5
- honeypot CSS
- limitation des requêtes :
- 5 requêtes par IP par heure
- 20 requêtes par jour
- délai minimum de 3 secondes entre actions
- blacklist des IP suspectes
Ces mesures visent à limiter :
- les inscriptions frauduleuses
- les attaques automatisées
9. Sauvegardes et restauration
- sauvegardes automatiques hebdomadaires via UpdraftPlus
- sauvegardes manuelles avant toute modification critique
- stockage : local + solution cloud (à préciser)
- tests de restauration : à mettre en place
Les sauvegardes permettent la continuité d’activité en cas d’incident.
10. Journalisation et durée de conservation
EW360 applique les recommandations CNIL 2026.
Données journalisées
- identifiant technique
- adresse IP tronquée
- user-agent
- horodatage
- statut de la requête
- code d’erreur
Données interdites dans les logs
- mots de passe
- données bancaires
- tokens d’authentification
- contenu des messages
- données personnelles en clair
Durées
- logs de sécurité : 6 à 12 mois
- logs de connexion : 1 an maximum
11. Notification de violation
Détection
- alertes Wordfence
- surveillance manuelle
Procédure
- identification de l’incident
- qualification du risque
- enregistrement dans le registre interne
Notification CNIL
- délai : 72 heures après prise de connaissance
Notification des personnes concernées
- obligatoire en cas de risque élevé
Modèle de notification
La notification inclut :
- nature de la violation
- données concernées
- mesures prises
- contact pour information
Un registre des violations est tenu conformément à l’article 33.5 RGPD.
12. Engagement de confidentialité
Le responsable du traitement est tenu au secret professionnel sur les données traitées. Aucune divulgation non autorisée n’est réalisée.
13. Procédure DSA de signalement
Conformément au règlement DSA :
- point de contact : signalement@expoworld360.com
Procédure :
- réception du signalement
- analyse
- décision motivée
- notification à l’utilisateur
Délai de traitement : 72 heures ouvrées
14. Limitations connues
Les limitations actuelles sont les suivantes :
- authentification multi-facteur (MFA) non activée
- chiffrement des données au repos non garanti de manière indépendante
- dépendance aux mécanismes de sécurité WordPress standards
- WAF limité à une version gratuite
Ces points sont identifiés et suivis.
15. Évolutions prévues (roadmap sécurité)
Les améliorations planifiées incluent :
- mise en place d’une authentification multi-facteur
- renforcement du WAF
- amélioration du stockage sécurisé des secrets
- audit de sécurité externe
- automatisation des tests de restauration
Ces évolutions seront déployées progressivement.
Fin du document – Politique de sécurité EW360 V1.0 – 4 mai 2026