Politique de Sécurité des Systèmes d’Information (PSSI)
Garantie de Sécurité de l'Infrastructure : Conforme au Code du Numérique en République du Bénin , cette PSSI définit les mesures techniques durcies mises en œuvre par MyProBot-X pour assurer la confidentialité, l'intégrité et la disponibilité des sessions d'exécution.
1. Objectif et périmètre non-custodial
La présente politique encadre les exigences de sécurité de notre infrastructure SaaS. Les opérations d'arbitrage algorithmique s'exécutent de façon isolée par cycles de 48 heures. La plateforme n'intervient jamais dans la détention, la garde ou le transfert des fonds, ceux-ci restant cantonnés chez le courtier (broker) de l'utilisateur.
2. Sécurité des accès et authentification périmétrique
- Chiffrement asymétrique fort et hashage cryptographique (bcrypt/Argon2) des mots de passe.
- Obligation d'activation de l'authentification double facteur (2FA) sur l'Espace Client.
- Validation des actions de commande (lancement/arrêt) par code PIN ou signature biométrique.
- Verrouillage automatique temporaire des sessions en cas de détection d'attaques par force brute.
3. Protection et confinement des données sensibles
- Chiffrement AES-256 de bout en bout des jetons d'authentification et secrets d'API.
- Isolation logique stricte des environnements de calcul de chaque instance utilisateur.
- Rejet systématique et interdiction matérielle des clés API configurées avec droit de retrait.
4. Journalisation, traçabilité et immuabilité des registres
- Enregistrement systématique des métriques de connexion (Adresses IP, types d'appareils, navigateurs).
- Journalisation chiffrée et immuable de l'ensemble des arbitrages de l'IA (logs d'exécution technique).
- Surveillance continue et analyse automatisée des anomalies de routage vers les serveurs cloud.
5. Disponibilité, redondance et continuité d'infrastructure
- Architecture serveur hautement disponible avec redondance des bases de données SQL.
- Sauvegardes automatisées quotidiennes cloisonnées et chiffrées hors site.
- Plan de reprise d'activité (PRA) garantissant le rétablissement des tâches Cron en moins de 15 minutes.
6. Contrôle des accès internes et habilitations administratives
- Application stricte du principe du moindre privilège (gestion fine des rôles RBAC).
- Interdiction d'affichage en clair des clés API brokers pour l'ensemble du personnel technique.
- Traçabilité totale et journalisation centralisée de toutes les interventions administratives.
7. Protection périmétrique contre les cyberattaques
- Filtres applicatifs durcis contre les injections SQL, failles XSS et falsifications de requêtes CSRF.
- Filtrage et routage sécurisé des requêtes API via une adresse IP de serveur unique.
- Pare-feu d'infrastructure actif (WAF) avec détection et blocage en temps réel des attaques DDoS.
8. Sécurité et contrôle des intégrations API brokers
- Chiffrement asymétrique des clés API côté serveur dès leur soumission.
- Vérification automatisée des autorisations de la clé API avant d'activer le cycle de 48 heures.
- Révocation immédiate et mise en sécurité de l'instance en cas de comportement anormal détecté chez le broker.
9. Conformité légale territoriale et bonnes pratiques
L'infrastructure MyProBot-X respecte scrupuleusement les exigences de protection du Code du Numérique en vigueur au Bénin et s'aligne sur les directives internationales de sécurité de l'information (normes ISO/IEC 27001).
10. Amélioration continue et correctifs de sécurité
Les mesures de protection et les versions de chiffrement font l'objet d'audits constants afin de s’adapter de manière proactive aux nouvelles menaces cybernétiques et aux évolutions technologiques.
11. Gestion et confinement des incidents de sécurité
- Surveillance proactive, détection rapide et isolation immédiate des composants système affectés en cas d'anomalie.
- Notification immédiate des utilisateurs par alerte d'interface en cas d'impact significatif sur leurs sessions.
- Déploiement de mesures correctives et mise à jour des règles de sécurité de l'infrastructure en direct.
12. Responsabilité de l’utilisateur et hygiène numérique
La sécurité globale de l'écosystème repose également sur la vigilance du trader :
- Protection stricte de ses identifiants, codes secrets à 5 chiffres et mots de passe d'accès.
- Génération de clés API broker sécurisées sans permission de retrait et restreintes à l'IP unique fournie par la plateforme.
- Respect des bonnes pratiques de sécurité (utilisation d'appareils sains, non compromis et de connexions chiffrées).
13. Audits techniques et tests d’intrusion
- Tests d'intrusion réguliers et scans de vulnérabilités automatiques sur l'environnement Hostinger.
- Mises à jour logicielles de sécurité continues sans interruption des cycles de trading de 48 heures.
14. Classification de la sensibilité des données
Les données de la base de données font l'objet d'un cloisonnement strict par niveau de criticité :
- Données critiques (Niveau Rouge) : Clés API chiffrées, empreintes d'authentification secrètes.
- Données personnelles (Niveau Bleu) : Informations de profil et de contact des comptes traders.
- Données techniques (Niveau Gris) : Journaux système, logs réseau et historiques d'arbitrage.
15. Signalement et contact sécurité
Pour notifier une vulnérabilité, signaler un incident de sécurité ou lever une alerte : security@myprobotx.com
Limitation de responsabilité : MyProBot-X décline toute responsabilité technique ou financière en cas de compromission de session résultant d’une négligence manifeste, d'une fuite de données ou d'une mauvaise hygiène numérique du côté de l’utilisateur.