Aller au contenu

Sécurité et conformité

Cette page décrit ce que Hekkos fait réellement aujourd’hui — les mêmes règles d’honnêteté que le reste du site. Des questions ou quoi que ce soit d’ambigu : info@hekkos.com.

Isolation par locataire

  • Chaque requête de base de données est limitée à votre organisation — un invariant strict validé par des tests d’intégration inter-organisations. Le clavardage, les outils MCP et la recherche ne voient jamais le contenu d’un autre locataire.
  • La récupération respecte en outre les contrôles d’accès par document; des dépôts peuvent être entièrement exclus de l’index de connaissances (exclude_from_knowledge dans .hekkos.yml).
  • L’accès du personnel est la seule exception autorisée : des sessions « voir en tant que » en lecture seule sur des jetons de courte durée où toute écriture est rejetée, et chaque action d’un opérateur est consignée dans le journal d’audit.

Ce à quoi Hekkos peut toucher — et ce à quoi il ne peut pas

  • L’application GitHub demande des permissions au moindre privilège : contenu des dépôts (lecture), pull requests (écriture — les PR de suggestion), statuts de commit (écriture — la barrière de fusion optionnelle), métadonnées et membres (lecture), adresses courriel (lecture — identité de connexion). Rien d’autre.
  • L’analyse est statique : Hekkos lit ce qui est commité dans vos dépôts. Il ne se connecte jamais à vos services en cours d’exécution, à vos bases de données ni à vos comptes infonuagiques.
  • Suggestion seulement : chaque changement que Hekkos propose arrive sous forme de pull request que votre équipe révise et fusionne. Rien n’est commité en votre nom.

Chiffrement et sécurité de la plateforme

  • Les secrets stockés (clés d’API, secrets client OAuth) sont chiffrés avec AES-256-GCM; les clés sont en écriture seule — jamais retournées par aucune API — et déchiffrées uniquement en mémoire.
  • Les webhooks (GitHub, Stripe) sont vérifiés par signature (HMAC) avant tout traitement d’une charge utile. Les sessions utilisent des témoins httpOnly; il n’y a aucun mot de passe.
  • La connexion se fait par GitHub OAuth, ou par SSO OIDC (Okta, Azure AD, Google Workspace) sur Enterprise.

Traitement et rétention des données

  • Votre contenu reste limité à votre organisation et n’est jamais mis en commun ni utilisé pour l’entraînement sans votre consentement explicite. Toute capacité d’exportation inter-organisations est réservée aux opérateurs et consignée dans le journal d’audit.
  • Les secrets sont caviardés de tout ce que Hekkos stocke (motifs de jetons, clés, chaînes à haute entropie). Le caviardage est un caviardage de secrets au mieux — considérez-le comme une défense en profondeur, pas une garantie.
  • Le contenu stocké expire automatiquement après 180 jours.
  • L’exportation de données en libre-service (JSON sans secrets) et la suppression de l’organisation (purge complète, confirmation par saisie du nom) sont intégrées au tableau de bord — aucun billet de soutien requis.

Tests de sécurité

  • Une revue de sécurité adversariale (cinq passes indépendantes) a couvert l’injection, l’isolation par locataire, l’authentification des webhooks, la cryptographie, les flux OAuth/OIDC et le traitement des secrets; les problèmes trouvés ont été corrigés et revérifiés.
  • La surface d’autorisation est exercée de bout en bout par une suite de tests automatisés contre un serveur réel en fonctionnement, y compris des assertions d’isolation inter-organisations; la suite de tests du backend s’exécute avec détection de concurrence (race) en CI.
  • Vous avez trouvé quelque chose? Signalez-le en privé — voir Soutien — avec SECURITY dans l’objet. Nous accusons réception en un jour ouvrable et demandons de ne pas ouvrir de tickets publics pour les rapports de sécurité.

Auto-hébergement : la garantie la plus forte

Pour les organisations qui ne peuvent envoyer leur code nulle part : exécutez Hekkos sur votre propre infrastructure avec un modèle local. Compatible air-gap, licence vérifiée hors ligne, aucun appel à la maison — rien ne quitte votre environnement. Consultez le guide d’installation auto-hébergée.

Statut de conformité — en toute honnêteté

Nous ne détenons pas encore de certifications formelles (SOC 2, ISO 27001), et nous ne revendiquerons pas de badges que nous n’avons pas mérités. Ce que nous offrons plutôt, c’est tout ce qui précède, en plus : une entente de traitement des données (DPA), l’exportation et la suppression en libre-service, l’expiration du contenu après 180 jours, et l’option auto-hébergée qui garde vos données entièrement sous votre contrôle. Si votre processus d’approvisionnement a besoin de réponses précises, écrivez à info@hekkos.com — nous répondons directement aux questionnaires de sécurité.