Sécurité & Conformité
Dernière mise à jour : 19 janvier 2026
Chez Atelier Socle, la sécurité n'est pas une feature — c'est un fondement. Nos SDKs sont conçus pour les applications les plus exigeantes : banques, santé, retail, gouvernement.
Notre engagement
Zéro dépendance externe
Tous nos SDKs de sécurité (CryptoSecurityKit, RetailKit) utilisent exclusivement les frameworks Apple natifs :
CryptoKit
Security.framework
LocalAuthentication
Pourquoi c'est important :
Pas de supply chain attack possible
Audits simplifiés (moins de code à vérifier)
Implémentations crypto validées par Apple
Compatibilité garantie avec les mises à jour iOS
Code auditable
| Métrique | Valeur |
|---|---|
Tests unitaires & intégration | 670+ |
Guides de documentation DocC | 100+ |
Types d'événements d'audit | 27 |
Dépendances externes | 0 |
Architecture moderne
Actor-based — Thread-safety garantie par le compilateur Swift
Sendable — Transfert sécurisé entre contextes d'exécution
Swift 6 ready — Préparé pour les évolutions du langage
Standards implémentés
Cryptographie
| Standard | Description | Nos SDKs |
|---|---|---|
NIST FIPS 197 | AES (Advanced Encryption Standard) | ✅ AES-256-GCM |
NIST FIPS 180-4 | SHA-2 (Secure Hash Algorithm) | ✅ SHA-256, SHA-512 |
NIST FIPS 186-4 | ECDSA (Elliptic Curve Digital Signature) | ✅ P-256 |
RFC 2104 | HMAC (Hash-based MAC) | ✅ Constant-time |
RFC 5869 | HKDF (Key Derivation Function) | ✅ Complet |
RFC 2898 | PBKDF2 (Password-Based KDF) | ✅ 310K iterations |
RFC 8032 | Ed25519 (Edwards-curve DSA) | ✅ Complet |
RFC 7748 | X25519 (Curve25519 ECDH) | ✅ Complet |
Certificats & TLS
| Standard | Description | Nos SDKs |
|---|---|---|
RFC 5280 | X.509 PKI (Certificate validation) | ✅ ~85% |
RFC 6125 | Hostname verification | ✅ ~95% |
RFC 7469 | HTTP Public Key Pinning | ✅ 3 modes |
RFC 6960 | OCSP (Revocation checking) | ✅ Via système |
RFC 6962 | Certificate Transparency | 🔜 En cours |
NIST SP 800-52 | TLS configuration | ✅ TLS 1.2+ |
NIST SP 800-57 | Key management | ✅ Tailles conformes |
Post-Quantique (iOS 26+)
| Standard | Description | Nos SDKs |
|---|---|---|
NIST FIPS 203 | ML-KEM (Key Encapsulation) | 🔜 Roadmap Q3 2026 |
NIST FIPS 204 | ML-DSA (Digital Signatures) | 🔜 Roadmap Q3 2026 |
Conformité réglementaire
Certifications enterprise ✅
| Certification | Statut | Notes |
|---|---|---|
ISO 27001 | Architecture conforme | Prêt pour audit |
SOC 2 Type II | Architecture conforme | Audit trail intégré |
PCI-DSS | Crypto conforme | AES-256, key management |
RGPD | Privacy by design | Données on-device |
eIDAS | Compatible | Signatures qualifiées possibles |
HDS (Hébergeur Données Santé) | Compatible | Chiffrement bout-en-bout |
Roadmap certifications
| Certification | Niveau | Horizon |
|---|---|---|
CSPN (ANSSI) | Premier niveau France | 2027 |
Common Criteria EAL4+ | International | Vision long terme |
Nous recherchons activement des partenaires et sponsors pour accélérer le processus de certification. Contactez-nous si vous êtes intéressé.
Pratiques de développement
Secure Development Lifecycle
Design — Threat modeling avant chaque feature
Code — Revue de code obligatoire, analyse statique
Test — Tests unitaires, intégration, fuzzing
Release — Signature des packages, checksums vérifiables
Monitor — Veille CVE, mise à jour proactive
Gestion des vulnérabilités
Si vous découvrez une vulnérabilité dans l'un de nos SDKs :
Ne pas divulguer publiquement avant correction
Contacter via notre formulaire de contact
Inclure : description, étapes de reproduction, impact potentiel
Délai : Nous nous engageons à répondre sous 48h
Nous pratiquons la divulgation responsable et créditons les chercheurs qui nous aident à améliorer nos SDKs.
Transparence
Open Source
Nos SDKs sont open source (Apache 2.0 ou MIT selon les projets). Le code est public, auditable par tous.
GitHub : github.com/atelier-socle
Documentation publique
Toute notre documentation technique est publique :
Algorithmes utilisés
Architecture des SDKs
Threat models connus
Limitations documentées
Changelog de sécurité
Chaque release inclut un changelog détaillé avec les corrections de sécurité clairement identifiées.
FAQ Sécurité
Vos SDKs sont-ils audités ?
Nos SDKs sont conçus selon les meilleures pratiques et utilisent exclusivement les implémentations crypto d'Apple (déjà auditées). Nous préparons un audit externe indépendant pour 2026-2027.
Pourquoi pas de certification aujourd'hui ?
Les certifications CSPN ou Common Criteria coûtent entre 30 000€ et 300 000€. Nous construisons d'abord une base solide et cherchons des partenaires pour financer ces certifications. Devenez sponsor.
Puis-je utiliser vos SDKs pour une application bancaire/santé ?
Oui, nos SDKs sont conçus pour ces cas d'usage. L'architecture est conforme aux exigences ISO 27001, PCI-DSS et HDS. Cependant, la conformité de votre application dépend aussi de votre implémentation et de votre infrastructure.
Comment signaler une vulnérabilité ?
Via notre formulaire de contact. Nous répondons sous 48h et pratiquons la divulgation responsable.
Contact
Pour toute question relative à la sécurité ou à la conformité :
Contact sécurité : Formulaire de contact
Contact général : Formulaire de contact
Partenariats certification : Contactez-nous