Les 5 niveaux de rôles Comulead

Notre système de rôles est conçu pour refléter les structures organisationnelles réelles des PME québécoises. Chaque rôle dispose de permissions précises, évolutives selon la croissance de votre entreprise.

👁️ Rôle 1 : Viewer (Observateur)

Accès lecture seule • Idéal pour : Direction, investisseurs, auditeurs

Le rôle Viewer permet de consulter tous les tableaux de bord, rapports et analyses sans pouvoir modifier ou créer de contenu. Parfait pour les parties prenantes qui ont besoin d'une visibilité sur la performance sans interagir avec les données opérationnelles.

Permissions spécifiques :

• Consultation de tous les tableaux de bord (Voice, Data, Fusion)
• Lecture des rapports automatisés et analyses IA
• Visualisation des feedbacks clients (mode anonymisé optionnel)
• Accès aux prévisions de ventes et métriques de performance
• Export de rapports en PDF/CSV (avec filigrane "Confidentiel")
• Consultation historique des données (selon rétention configurée)

Restrictions :

• ❌ Aucune modification de données ou paramètres
• ❌ Aucune création de dashboards personnalisés
• ❌ Aucun accès aux paramètres de compte ou utilisateurs
• ❌ Aucune action sur les feedbacks (réponse, assignation, archivage)

✍️ Rôle 2 : Contributor (Contributeur)

Lecture + saisie données • Idéal pour : Équipe terrain, représentants, support

Les Contributors peuvent non seulement consulter les données, mais aussi en créer de nouvelles et interagir avec les feedbacks clients. C'est le rôle standard pour vos équipes opérationnelles qui alimentent la plateforme au quotidien.

Permissions spécifiques (inclut toutes celles de Viewer +) :

• Répondre aux feedbacks clients assignés
• Créer et soumettre de nouveaux feedbacks manuellement
• Ajouter des notes privées sur les feedbacks
• Marquer des feedbacks comme résolus
• Saisir des données de ventes (si Cortex Data activé)
• Créer des dashboards personnels (non partagés automatiquement)
• Modifier leurs propres profil et préférences

Restrictions :

• ❌ Pas de modification des feedbacks créés par d'autres
• ❌ Pas de suppression de données
• ❌ Pas d'accès aux paramètres d'intégration ou API
• ❌ Pas de gestion des utilisateurs

✏️ Rôle 3 : Editor (Éditeur)

Lecture + édition complète • Idéal pour : Gestionnaires, analystes, chargés de projet

Les Editors ont un contrôle étendu sur le contenu et la configuration de la plateforme. Ils peuvent modifier, organiser et optimiser l'utilisation de Comulead pour leur département sans pouvoir affecter la structure globale du compte.

Permissions spécifiques (inclut toutes celles de Contributor +) :

• Modifier et supprimer tous les feedbacks (incluant ceux des autres)
• Assigner des feedbacks à d'autres utilisateurs
• Créer et modifier des questionnaires personnalisés
• Configurer des workflows d'automatisation
• Gérer des tags et catégories personnalisées
• Créer des rapports partagés et dashboards d'équipe
• Configurer des alertes intelligentes pour leur équipe
• Exporter des données en masse (sans limite)
• Accéder aux API endpoints en lecture

Restrictions :

• ❌ Pas de modification des paramètres de facturation
• ❌ Pas d'ajout ou suppression d'utilisateurs
• ❌ Pas de modification des rôles et permissions
• ❌ Pas de configuration des intégrations (CRM, comptabilité)

⚙️ Rôle 4 : Admin (Administrateur)

Contrôle complet sauf facturation • Idéal pour : Directeur TI, COO, VP Opérations

Les Admins sont les super-utilisateurs de votre compte Comulead. Ils ont un contrôle quasi-total sur la configuration, les intégrations, la gestion des utilisateurs et peuvent effectuer toutes les actions opérationnelles critiques.

Permissions spécifiques (inclut toutes celles d'Editor +) :

• Inviter de nouveaux utilisateurs et définir leurs rôles
• Modifier les rôles et permissions des utilisateurs existants (sauf Owner)
• Suspendre ou désactiver des comptes utilisateurs
• Configurer toutes les intégrations (CRM, comptabilité, e-commerce, API)
• Gérer les clés API et webhooks
• Accéder aux logs d'audit complets (12 mois)
• Configurer les paramètres de sécurité (2FA obligatoire, politiques mot de passe)
• Gérer les paramètres de conformité et de rétention des données
• Créer et restaurer des sauvegardes manuelles
• Configurer les paramètres d'entreprise (logo, coordonnées, NEQ)
• Accéder au support prioritaire et demandes d'assistance technique avancée

Restrictions :

• ❌ Pas de modification du plan d'abonnement
• ❌ Pas d'accès aux informations de paiement
• ❌ Pas de fermeture du compte
• ❌ Pas de modification du rôle ou suppression du Owner

👑 Rôle 5 : Owner (Propriétaire)

Contrôle absolu du compte • Rôle unique : CEO, Fondateur, Président

Le Owner est le propriétaire légal du compte Comulead et dispose d'un contrôle absolu, incluant les aspects financiers et la possibilité de fermer le compte. Il ne peut y avoir qu'un seul Owner par compte, mais celui-ci peut transférer le rôle à un autre utilisateur.

Permissions spécifiques (inclut toutes celles d'Admin +) :

• Modifier le plan d'abonnement (upgrade/downgrade)
• Gérer les informations de paiement et facturation
• Consulter et télécharger toutes les factures historiques
• Fermer le compte et exporter l'intégralité des données
• Transférer le rôle Owner à un autre utilisateur
• Révoquer l'accès de n'importe quel utilisateur (incluant Admins)
• Accéder aux rapports financiers complets (ARR, MRR, churn)
• Modifier les paramètres contractuels et SLA
• Désigner un Owner de remplacement en cas d'urgence (procédure sécurisée)

Matrice de permissions détaillée

Voici un tableau récapitulatif des principales permissions par rôle. Les permissions sont cumulatives : chaque rôle hérite de toutes les permissions des rôles inférieurs.

Action	Viewer	Contributor	Editor	Admin	Owner
Consulter dashboards	✅	✅	✅	✅	✅
Exporter rapports (limité)	✅	✅	✅	✅	✅
Répondre aux feedbacks assignés	❌	✅	✅	✅	✅
Créer feedbacks manuels	❌	✅	✅	✅	✅
Modifier tous les feedbacks	❌	❌	✅	✅	✅
Créer questionnaires	❌	❌	✅	✅	✅
Configurer workflows automatiques	❌	❌	✅	✅	✅
Exporter données en masse (illimité)	❌	❌	✅	✅	✅
Inviter et gérer utilisateurs	❌	❌	❌	✅	✅
Configurer intégrations (CRM, API)	❌	❌	❌	✅	✅
Consulter logs d'audit complets	❌	❌	❌	✅	✅
Paramètres de sécurité (2FA, mots de passe)	❌	❌	❌	✅	✅
Modifier plan d'abonnement	❌	❌	❌	❌	✅
Gérer facturation et paiements	❌	❌	❌	❌	✅
Fermer le compte	❌	❌	❌	❌	✅

Gestion des sessions et des appareils

1. Suivi des sessions actives

Comulead vous permet de visualiser en temps réel toutes les sessions actives de votre compte et de celles de vos utilisateurs (si vous êtes Admin/Owner). Cette transparence est cruciale pour détecter des accès non autorisés.

Informations affichées pour chaque session :

• Appareil : Type (Desktop/Mobile/Tablet), système d'exploitation, navigateur
• Localisation : Ville et pays basés sur l'adresse IP (précision ~50 km)
• Adresse IP : Affichée partiellement pour privacy (ex: 192.168.***.***)
• Première connexion : Date et heure de création de la session
• Dernière activité : Horodatage de la dernière action effectuée
• Session de confiance : Indicateur si l'appareil est marqué comme "de confiance"

Actions possibles sur les sessions :

• Déconnexion à distance : Terminer immédiatement une session suspecte
• Déconnexion de toutes les autres sessions : Garder uniquement la session actuelle (utile si vous suspectez une compromission)
• Marquer comme appareil de confiance : Éviter les validations 2FA répétées sur vos appareils personnels
• Révoquer la confiance : Forcer la re-validation 2FA pour un appareil

2. Procédure de départ d'employé (offboarding)

Lorsqu'un employé quitte votre entreprise, il est critique de révoquer immédiatement tous ses accès à Comulead pour protéger vos données stratégiques. Voici la procédure recommandée :

1. Avant le départ (si possible) :
   • Télécharger tous les rapports/dashboards créés par l'employé que vous souhaitez conserver
   • Réassigner les feedbacks en attente à d'autres membres de l'équipe
   • Documenter les workflows ou configurations critiques gérés par cette personne
2. Jour du départ :
   • Connectez-vous en tant qu'Admin ou Owner
   • Allez dans Paramètres › Utilisateurs › [Nom de l'employé]
   • Cliquez sur "Suspendre l'utilisateur" (désactive immédiatement tous accès)
   • Déconnectez toutes les sessions actives de cet utilisateur
   • Révoquez toutes les clés API personnelles créées par cet utilisateur
3. Après 30 jours :
   • Si aucune réactivation n'est prévue, supprimez définitivement le compte utilisateur
   • Les données créées par l'utilisateur (feedbacks, rapports) restent dans le système mais sont anonymisées (attribution à "Utilisateur supprimé")

Logs d'audit et traçabilité

Qu'est-ce qui est logué ?

Comulead enregistre automatiquement toutes les actions sensibles effectuées sur la plateforme pour garantir une traçabilité complète. Ces logs sont consultables en temps réel par les Admins et Owners.

Catégories d'événements auditables :

Catégorie	Exemples d'événements loggués	Rétention
Authentification	Connexion réussie, échec connexion, activation 2FA, déconnexion, changement mot de passe	12 mois
Gestion utilisateurs	Invitation utilisateur, modification rôle, suspension compte, suppression utilisateur	7 ans (conformité)
Configuration	Modification paramètres compte, activation intégrations, création clés API, changement abonnement	7 ans
Accès aux données	Consultation dashboard, export données, API calls (endpoints sensibles), accès logs d'audit	12 mois
Modifications de données	Création/modification/suppression feedbacks, édition questionnaires, changement statuts	3 ans
Sécurité	Tentatives intrusion, blocage IP, alertes anomalies, échecs validation 2FA multiples	7 ans
Facturation	Changement plan, mise à jour carte de crédit, téléchargement facture, annulation abonnement	7 ans (obligation fiscale)

Structure d'un log d'audit

Chaque entrée de log contient les informations suivantes pour permettre une investigation complète :

• Horodatage : Date et heure précise (fuseau horaire UTC + Eastern Time pour référence)
• Utilisateur : Nom complet, courriel, rôle au moment de l'action
• Action : Description détaillée de l'opération effectuée
• Ressource affectée : Identifiant de l'objet modifié (ex: ID feedback, nom utilisateur)
• Valeurs avant/après : Pour les modifications, comparaison avant/après (si applicable)
• Adresse IP source : IP de l'utilisateur (complète pour investigation)
• User Agent : Détails navigateur/appareil
• Géolocalisation : Ville et pays estimés
• Résultat : Succès, échec, ou erreur (avec code erreur le cas échéant)
• Contexte additionnel : Métadonnées supplémentaires selon le type d'événement

Consultation et export des logs

Les Admins et Owners peuvent consulter les logs d'audit de deux manières :

1. Interface web : Tableau de bord "Logs d'audit" avec filtres avancés (utilisateur, période, type d'action, résultat)
2. Export CSV/JSON : Téléchargement de lots de logs pour analyse externe (Excel, SIEM, outils BI)

Cas d'usage fréquents des logs d'audit :

• Investigation d'incident de sécurité ou accès non autorisé
• Audit de conformité (Loi 25, RGPD, SOC 2)
• Résolution de litiges internes (qui a modifié quoi, quand)
• Analyse d'utilisation de la plateforme par département
• Détection de comportements anormaux ou potentiellement malveillants

Accès d'urgence (Break Glass)

Dans des situations exceptionnelles où l'Owner est indisponible (urgence médicale, départ abrupt, compte verrouillé), Comulead propose une procédure d'accès d'urgence sécurisée appelée "Break Glass".

Comment fonctionne le Break Glass ?

1. Pré-configuration obligatoire : Le Owner désigne 1-2 utilisateurs "Break Glass Deputies" lors de la configuration initiale du compte
2. Déclenchement : Un Deputy contacte le support Comulead par téléphone (ligne d'urgence 24/7) + courriel chiffré
3. Vérification identité : Processus multi-étapes incluant :
   • Validation identité avec pièce d'identité gouvernementale
   • Confirmation détails du compte (NEQ, adresse facturation, dernière facture)
   • Validation connaissances internes (questions secrètes pré-définies)
4. Activation temporaire : Accès Owner temporaire (48-72h) accordé au Deputy vérifié
5. Notification : Tentatives de notification du Owner original par tous les moyens (courriel, SMS, téléphone)
6. Audit renforcé : Toutes les actions du Deputy sont loguées avec flag "Break Glass" et retenues 7 ans minimum
7. Désactivation : Après résolution de l'urgence, accès révoqué et Owner original (ou nouveau Owner permanent) restauré

Questions fréquentes sur le contrôle d'accès

👥 Combien d'utilisateurs puis-je ajouter sur mon compte Comulead ?

Le nombre d'utilisateurs inclus dépend de votre plan d'abonnement : Cortex Voice (199$/mois) : Jusqu'à 5 utilisateurs inclus. Cortex Data (299$/mois) : Jusqu'à 10 utilisateurs inclus. Cortex Fusion (449$/mois) : Jusqu'à 20 utilisateurs inclus. Des utilisateurs additionnels peuvent être ajoutés pour 15$/mois par utilisateur (facturation au prorata). Les clients Enterprise bénéficient d'un nombre d'utilisateurs illimité.

🔄 Puis-je changer le rôle d'un utilisateur après l'avoir invité ?

Oui, les Admins et le Owner peuvent modifier les rôles à tout moment. Voici comment : (1) Allez dans Paramètres › Utilisateurs, (2) Cliquez sur l'utilisateur concerné, (3) Dans la section "Rôle", sélectionnez le nouveau rôle, (4) Cliquez sur "Enregistrer les modifications". Le changement est effectif immédiatement. L'utilisateur reçoit un courriel de notification et devra peut-être se reconnecter pour que les nouvelles permissions soient appliquées.

🔐 Puis-je forcer le 2FA pour tous les utilisateurs de mon organisation ?

Absolument, et nous le recommandons fortement. Pour activer le 2FA obligatoire : (1) Connectez-vous en tant qu'Admin ou Owner, (2) Allez dans Paramètres › Sécurité › Authentification, (3) Activez l'option "2FA obligatoire pour tous les utilisateurs", (4) Définissez une période de grâce (7, 14, ou 30 jours recommandé). Tous les utilisateurs recevront un courriel les informant qu'ils doivent configurer le 2FA avant la fin de la période de grâce.

📊 Comment puis-je voir qui a consulté un rapport sensible ?

Les accès aux rapports sont tracés dans les logs d'audit. Voici comment consulter l'historique : (1) Allez dans Paramètres › Logs d'audit, (2) Utilisez le filtre "Type d'action" › "Accès aux données" › "Consultation rapport", (3) Dans le filtre "Ressource", entrez le nom ou l'ID du rapport, (4) Appliquez les filtres pour voir tous les accès avec horodatage et utilisateur.

🚫 Que se passe-t-il si je supprime accidentellement un utilisateur ?

La suppression d'utilisateur est une action critique qui nécessite une double confirmation pour éviter les erreurs. Cependant, si vous supprimez accidentellement un utilisateur : Dans les 48 heures : Contactez immédiatement le support à support@comulead.com. Nous pouvons restaurer le compte utilisateur avec toutes ses données et configurations. Après 48 heures : Le compte utilisateur est définitivement supprimé (conformité RGPD/Loi 25). Vous devrez réinviter la personne comme nouvel utilisateur.

🌍 Puis-je restreindre l'accès depuis certains pays ou adresses IP ?

Oui, cette fonctionnalité avancée est disponible pour les comptes Cortex Fusion. Vous pouvez configurer : Géoblocage : Autoriser uniquement les connexions depuis Canada/USA, ou bloquer des pays spécifiques. Whitelist IP : Autoriser uniquement des adresses IP spécifiques (ex: bureau, VPN d'entreprise). Blacklist IP : Bloquer des IPs ou plages IP suspectes. Configuration : Paramètres › Sécurité › Restrictions d'accès.

Pourquoi les certifications de sécurité sont importantes

Les certifications de sécurité ne sont pas de simples badges marketing. Elles représentent des audits rigoureux et indépendants de nos pratiques de sécurité, effectués par des organismes reconnus mondialement. Pour vous, PME québécoise, cela signifie :

• Conformité facilitée : Nos certifications vous aident à respecter vos propres obligations réglementaires (Loi 25, audits clients, appels d'offres)
• Réduction des risques : Un tiers indépendant valide que nos contrôles de sécurité sont efficaces
• Due diligence simplifiée : Les rapports d'audit disponibles accélèrent vos processus d'évaluation fournisseurs
• Tranquillité d'esprit : Nos certifications sont renouvelées annuellement - la sécurité est un engagement continu, pas ponctuel
• Couverture d'assurance : Notre police d'assurance cyber couvre les dommages jusqu'à 5M CAD

SOC 2 Type II - Service Organization Control

Qu'est-ce que SOC 2 Type II ?

SOC 2 (Service Organization Control 2) est un cadre d'audit développé par l'American Institute of CPAs (AICPA) spécifiquement pour les fournisseurs de services cloud. Il existe deux types de rapports SOC 2 :

• Type I : Évalue si les contrôles sont bien conçus à un moment donné (snapshot)
• Type II : Évalue si les contrôles fonctionnent efficacement sur une période prolongée (6-12 mois)

Comulead détient une certification SOC 2 Type II depuis janvier 2024, ce qui signifie qu'un auditeur indépendant a validé l'efficacité de nos contrôles de sécurité pendant une période de 12 mois consécutifs.

Les 5 Trust Service Criteria (TSC) couverts

Notre audit SOC 2 couvre les 5 critères de confiance :

Critère	Description	Exemples de contrôles audités
Sécurité	Protection contre accès non autorisés (physiques et logiques)	Chiffrement données, pare-feu, 2FA, gestion des accès, pentests
Disponibilité	Le système est opérationnel et utilisable comme convenu	Monitoring 24/7, redondance infrastructure, plan reprise, SLA 99.9%
Intégrité du traitement	Le traitement est complet, valide, précis et autorisé	Validation données, contrôles qualité, logs d'audit, gestion erreurs
Confidentialité	Les informations désignées comme confidentielles sont protégées	Classification données, chiffrement, accès restreints, NDA employés
Vie privée	Les renseignements personnels sont collectés, utilisés et détruits conformément aux engagements	Politique confidentialité, consentement utilisateurs, rétention données, conformité Loi 25/RGPD

Processus d'audit SOC 2

Notre certification SOC 2 Type II est renouvelée annuellement selon le processus suivant :

1. Sélection auditeur indépendant : Nous faisons appel à un cabinet CPA certifié AICPA (actuellement Deloitte Canada)
2. Phase de planification (1 mois) : Définition du périmètre d'audit, identification des contrôles clés
3. Phase de test (6-12 mois) : L'auditeur teste nos contrôles de manière continue sur toute la période
   • Revue de la documentation (politiques, procédures, architectures)
   • Inspection des preuves (logs, tickets, configurations système)
   • Entretiens avec le personnel clé (CISO, développeurs, support)
   • Tests techniques (simulation d'attaques, vérification chiffrement)
4. Phase de rapport (1 mois) : Rédaction du rapport SOC 2 Type II détaillant :
   • Description de notre système et des contrôles
   • Opinion de l'auditeur sur l'efficacité des contrôles
   • Exceptions ou déficiences identifiées (le cas échéant)
   • Tests effectués et résultats
5. Remédiation et surveillance continue : Correction immédiate de toute déficience, amélioration continue des processus

Résultats de notre dernier audit SOC 2 Type II (période du 1er janvier au 31 décembre 2024) :

• ✅ Opinion sans réserve (unqualified opinion) de l'auditeur
• ✅ Zéro exception matérielle sur les contrôles testés
• ✅ 100% des contrôles opérant efficacement sur toute la période
• ✅ Aucune déficience significative identifiée

ISO 27001:2022 - Système de management de la sécurité de l'information

Qu'est-ce que ISO 27001 ?

ISO 27001 est la norme internationale de référence pour les systèmes de management de la sécurité de l'information (SMSI). Contrairement à SOC 2 qui est un rapport d'audit, ISO 27001 est une certification qui atteste que votre organisation a mis en place un SMSI conforme aux meilleures pratiques mondiales.

Comulead a obtenu sa certification ISO 27001:2022 (dernière version) en mars 2024, délivrée par BSI (British Standards Institution), l'un des organismes de certification les plus reconnus au monde.

Pourquoi ISO 27001:2022 (et pas la version 2013) ?

La version 2022 d'ISO 27001 (publiée en octobre 2022) apporte des améliorations significatives :

• 11 nouveaux contrôles : Incluant la sécurité du cloud, le renseignement sur les menaces, la sécurité physique renforcée
• Contrôles modernisés : Adaptation aux nouvelles menaces (ransomware, supply chain attacks, compromission identités)
• Approche risque améliorée : Meilleure intégration de la gestion des risques cybersécurité
• Focus développement sécurisé : Renforcement des exigences pour le développement applicatif (DevSecOps)

En choisissant de nous certifier directement sur la version 2022 (plutôt que de migrer depuis 2013), nous démontrons notre engagement envers les standards de sécurité les plus récents.

Les 93 contrôles ISO 27001:2022

La norme ISO 27001:2022 comprend 93 contrôles organisés en 4 thèmes (contre 114 dans la version 2013, consolidés pour plus d'efficacité) :

Thème	Nombre de contrôles	Exemples de contrôles
Contrôles organisationnels	37 contrôles	Politique sécurité, gestion des actifs, gestion des risques, classification information, relations fournisseurs
Contrôles humains	8 contrôles	Sélection personnel, sensibilisation sécurité, procédures disciplinaires, responsabilités après départ
Contrôles physiques	14 contrôles	Périmètres sécurité physique, contrôles accès physique, protection contre menaces physiques, sécurité équipements
Contrôles technologiques	34 contrôles	Contrôle accès logique, cryptographie, sécurité développement, gestion vulnérabilités, journalisation, surveillance

Applicabilité des contrôles chez Comulead : Sur les 93 contrôles, nous avons déterminé que 91 sont applicables à notre contexte (les 2 non applicables concernent la sécurité physique de datacenters que nous ne gérons pas directement - responsabilité d'OVH).

Cycle de surveillance et re-certification

Notre certification ISO 27001 est valide 3 ans, mais fait l'objet d'audits de surveillance annuels :

• Année 1 (2024) : Audit de certification initial (4 jours, passage complet des 91 contrôles) ✅ Certification obtenue
• Année 2 (2025) : Audit de surveillance 1 (2 jours, échantillon de contrôles + revue des changements) - Prévu mars 2025
• Année 3 (2026) : Audit de surveillance 2 (2 jours, échantillon différent + préparation re-certification)
• Année 4 (2027) : Audit de re-certification (4 jours, passage complet) pour renouveler le certificat 3 ans

Entre les audits, nous effectuons des audits internes trimestriels pour vérifier le maintien de la conformité et identifier proactivement les écarts avant l'audit externe.

PCI DSS Level 1 - Payment Card Industry Data Security Standard

Conformité via Stripe

Comulead ne stocke, ne traite et ne transmet jamais directement de données de cartes de crédit. Nous utilisons Stripe comme processeur de paiement, qui est certifié PCI DSS Level 1 (le niveau le plus strict).

Comment cela fonctionne :

1. Lorsque vous ajoutez une carte de crédit sur Comulead, le formulaire de paiement est hébergé et sécurisé par Stripe (iframe sécurisé)
2. Les informations de carte sont envoyées directement aux serveurs de Stripe (jamais par nos serveurs)
3. Stripe nous retourne un token (jeton) unique et non-sensible que nous stockons
4. Pour facturer, nous utilisons ce token - nous ne voyons jamais le numéro de carte complet

Avantages de cette approche :

• ✅ Sécurité maximale : Les données de carte sont protégées par l'expertise de Stripe (processer 100+ milliards $ annuellement)
• ✅ Compliance simplifiée : Nous ne sommes pas soumis aux audits PCI DSS complets (très coûteux et complexes)
• ✅ Risque réduit : Même en cas de compromission totale de nos systèmes, aucune donnée de carte ne serait exposée
• ✅ Conformité automatique : Stripe maintient sa certification PCI DSS - nous bénéficions automatiquement des mises à jour

Notre attestation de conformité PCI : Comulead est qualifié de "SAQ A" (Self-Assessment Questionnaire A), le niveau le plus simple de conformité PCI, car nous externalisons 100% du traitement des paiements. Notre questionnaire SAQ A validé est disponible sur demande.

Programme Bug Bounty

Qu'est-ce qu'un Bug Bounty ?

Un programme Bug Bounty (chasse aux bogues) est un système de récompenses pour les chercheurs en sécurité qui découvrent et signalent des vulnérabilités dans nos systèmes de manière responsable. C'est une approche proactive et collaborative de la sécurité.

Notre programme Bug Bounty Comulead

Lancé en juin 2023, notre programme Bug Bounty est hébergé sur la plateforme HackerOne (leader mondial des programmes de divulgation coordonnée de vulnérabilités).

Périmètre du programme :

• ✅ Application web Comulead (*.comulead.com)
• ✅ API REST publique (api.comulead.com)
• ✅ Applications mobiles iOS et Android
• ✅ Intégrations tierces (webhooks, OAuth)
• ❌ Infrastructure sous-jacente (géré par OVH)
• ❌ Services tiers (Stripe, SendGrid, etc.)

Types de vulnérabilités éligibles :

Sévérité	Exemples de vulnérabilités	Récompense
Critique	Exécution code à distance (RCE), injection SQL conduisant à exfiltration données, contournement authentification	2,000$ - 5,000$
Haute	Élévation de privilèges, accès non autorisé données sensibles, XSS stocké avec impact élevé	1,000$ - 2,000$
Moyenne	XSS réfléchi, CSRF avec impact modéré, divulgation informations sensibles (configs, tokens)	500$ - 1,000$
Basse	Divulgation informations mineures, clickjacking, problèmes configuration SSL/TLS mineurs	100$ - 500$
Informationnelle	Bonnes pratiques de sécurité non respectées mais sans exploitation immédiate	Reconnaissance publique (Hall of Fame)

Statistiques de notre programme (depuis juin 2023) :

• 342 rapports reçus (moyenne ~20 rapports/mois)
• 89 rapports valides (taux de validité 26% - excellent dans l'industrie)
• 12 vulnérabilités critiques/hautes corrigées (toutes sous 24-48h)
• 77 vulnérabilités moyennes/basses corrigées (toutes sous 7-30 jours)
• 47,800$ versés en récompenses à 34 chercheurs différents
• Temps moyen de première réponse : 4.2 heures
• Temps moyen de résolution : 8.7 jours

Comment signaler une vulnérabilité ?

Si vous découvrez une vulnérabilité de sécurité dans Comulead :

1. Signalement via HackerOne (préféré) : hackerone.com/comulead
2. Email sécurisé : security@comulead.com (clé PGP disponible sur demande)

Règles de divulgation responsable :

• ✅ Donnez-nous un délai raisonnable pour corriger (généralement 90 jours)
• ✅ Ne divulguez pas publiquement la vulnérabilité avant notre correction
• ✅ N'accédez qu'au minimum de données nécessaire pour démontrer la vulnérabilité
• ✅ Ne causez pas de dégradation de service intentionnelle
• ❌ Pas d'ingénierie sociale (phishing employés, etc.)
• ❌ Pas d'attaques DDoS

Assurance cyber et couverture financière

Police d'assurance cyber Comulead

Comulead détient une police d'assurance cybersécurité complète auprès de Beazley Canada (leader mondial de l'assurance cyber) avec une couverture de 5 millions CAD.

Couvertures incluses :

Type de couverture	Montant	Ce qui est couvert
Responsabilité civile cyber	5M CAD	Réclamations de tiers pour fuite de données, défaillance sécurité, transmission malware
Notification de breach	Inclus dans 5M CAD	Coûts notification clients, surveillance crédit, centre d'appel, relations publiques
Défense réglementaire	Inclus dans 5M CAD	Frais légaux pour défense face à CAI, CNIL, autorités réglementaires, amendes/pénalités
Interruption d'activité cyber	1M CAD	Perte revenus, frais supplémentaires suite à incident cyber (ransomware, attaque DDoS)
Extorsion cyber (ransomware)	500K CAD	Frais négociation, rançon (avec approbation assureur), restauration données
Restauration données	Inclus dans 5M CAD	Coûts forensiques, récupération/restauration données, reconstruction systèmes

Franchise : 50,000 CAD par incident (à notre charge)

Ce que cela signifie pour vous : En cas d'incident de sécurité affectant vos données chez Comulead, notre assurance couvre les coûts de notification, les frais légaux, les amendes réglementaires potentielles, et les réclamations de dommages. Vous n'aurez pas à supporter financièrement les conséquences d'une faille de sécurité de notre côté.

Rapports de transparence

Engagement envers la transparence

Depuis 2023, Comulead publie un Rapport de Transparence annuel détaillant nos efforts de sécurité, incidents, et demandes d'accès aux données. Notre dernier rapport (2024) est disponible publiquement sur comulead.com/transparence.

Contenu du rapport de transparence 2024 :

Section	Données divulguées
Incidents de sécurité	0 breach de données client 3 tentatives intrusion détectées et bloquées 12 attaques DDoS mitigées automatiquement
Demandes autorités	0 demande de divulgation de données par autorités canadiennes 0 demande d'autorités étrangères (toutes refusées)
Demandes d'utilisateurs (RGPD/Loi 25)	47 demandes d'accès aux données 12 demandes de suppression 8 demandes de rectification 3 demandes de portabilité Toutes traitées en moyenne sous 8 jours
Vulnérabilités découvertes	89 vulnérabilités signalées via Bug Bounty 12 critiques/hautes (toutes corrigées sous 48h) 77 moyennes/basses (toutes corrigées sous 30 jours)
Disponibilité service	99.95% uptime (objectif 99.9%) 4h12min downtime total (incident OVH résolu) 0 perte de données
Audits et certifications	SOC 2 Type II renouvelé (opinion sans réserve) ISO 27001:2022 maintenu (surveillance annuelle passée) 4 pentests externes réalisés 12 audits internes trimestriels

Politique de divulgation de vulnérabilités

Lorsqu'une vulnérabilité de sécurité est découverte et corrigée, nous suivons cette politique de divulgation :

1. Correction immédiate : Développement et déploiement du patch (24-48h pour critique)
2. Notification clients affectés : Si la vulnérabilité a pu être exploitée, notification par courriel sous 72h
3. Coordination avec chercheur : Le chercheur peut publier ses découvertes 90 jours après notre correction (ou plus tôt avec notre accord)
4. Publication dans rapport transparence : Inclusion dans le rapport annuel (anonymisée si vulnérabilité non exploitée)

Audits et tests indépendants

Calendrier annuel des audits

Comulead suit un calendrier rigoureux d'audits et tests de sécurité tout au long de l'année :

Mois	Type d'audit/test	Exécutant
Janvier	Audit interne ISO 27001 Q1	Équipe conformité interne
Février	Pentest application web	Cabinet externe (rotation annuelle)
Mars	Audit surveillance ISO 27001	BSI (British Standards Institution)
Avril	Audit interne ISO 27001 Q2	Équipe conformité interne
Mai	Pentest infrastructure	Cabinet externe spécialisé
Juin	Revue mi-année SOC 2	Deloitte Canada
Juillet	Audit interne ISO 27001 Q3	Équipe conformité interne
Août	Pentest API et mobile	Cabinet externe
Septembre	Test de reprise après sinistre (DR drill)	Équipe infrastructure + observateurs externes
Octobre	Audit interne ISO 27001 Q4	Équipe conformité interne
Novembre	Pentest intégrations tierces	Cabinet externe
Décembre	Audit SOC 2 Type II (début période 12 mois)	Deloitte Canada
Continu	Scans vulnérabilités automatisés	Nessus (hebdomadaire)
Continu	Bug Bounty	Communauté HackerOne

Questions fréquentes sur les certifications

🏅 Pourquoi Comulead investit-il autant dans les certifications ?

Les certifications de sécurité représentent un investissement significatif (coûts d'audit, ressources internes, remédiation). Nous faisons ce choix pour trois raisons : (1) Confiance client : Les PME nous confient leurs données les plus sensibles - nous devons mériter cette confiance par des preuves tangibles, (2) Excellence opérationnelle : Les audits externes nous poussent à améliorer continuellement nos processus, (3) Conformité facilitée : Nos certifications vous aident dans vos propres obligations de conformité.

📄 Comment obtenir une copie de vos rapports d'audit ?

Les rapports SOC 2 Type II et ISO 27001 contiennent des informations sensibles sur notre infrastructure et nos contrôles de sécurité. Ils sont disponibles : Clients Cortex Fusion : Accès complet sous NDA (délai 2-3 jours ouvrables). Autres clients : Résumé exécutif sans détails techniques sensibles. Prospects en évaluation : Résumé exécutif après signature NDA mutuel. Contactez conformite@comulead.com pour faire une demande.

🔍 Puis-je auditer vos installations physiques (datacenter) ?

Les serveurs Comulead sont hébergés dans les datacenters OVH (Beauharnois et Montréal). OVH ne permet pas les visites non accompagnées pour des raisons de sécurité. Cependant : Clients Enterprise : Nous pouvons organiser une visite guidée du datacenter OVH Beauharnois (sur RDV, escorte OVH requise, délai 4-6 semaines). Alternative : OVH publie ses propres certifications (ISO 27001, SOC 2) et rapports de conformité que nous pouvons vous fournir. Notre infrastructure logique : Nos équipes peuvent effectuer une démonstration de nos contrôles de sécurité via screenshare sécurisé.

🛡️ Que se passe-t-il si vous perdez une certification ?

La perte d'une certification de sécurité serait un événement grave que nous prenons très au sérieux. Notre engagement : Notification immédiate : Tous les clients seraient informés par courriel sous 24h. Plan de remédiation : Publication d'un plan d'action correctif détaillé avec échéanciers. Audit indépendant : Engagement d'un cabinet tiers pour identifier les causes racines. Droit de résiliation : Les clients pourraient résilier leur contrat sans pénalité avec export complet de leurs données. Historique : Depuis 2023, nous n'avons jamais perdu une certification et maintenons des notes d'audit excellentes.

💰 L'assurance cyber couvre-t-elle vraiment tous les dommages ?

Notre assurance cyber de 5M CAD couvre la grande majorité des scénarios de sinistre, mais il existe quelques exclusions importantes à connaître : Couvert : Fuite données accidentelle, attaque externe réussie, ransomware, défaillance sécurité, réclamations clients, amendes réglementaires proportionnées. Non couvert : Actes intentionnels/frauduleux de nos employés (couverts par assurance responsabilité professionnelle séparée), guerre cyber d'État-nation (exclusion standard industrie), amendes punitives excessives (>5M CAD). Limites sous-couvertures : Certaines catégories ont des plafonds inférieurs (ransomware 500K CAD, interruption activité 1M CAD). Notre assureur (Beazley) est noté A (Excellent) par A.M. Best, garantissant sa capacité à payer les réclamations.

📅 À quelle fréquence mettez-vous à jour vos certifications ?

Nos certifications suivent des cycles de renouvellement stricts : SOC 2 Type II : Audit annuel continu (12 mois) avec rapport publié chaque janvier. ISO 27001 : Certificat valide 3 ans avec audits de surveillance annuels (prochains : mars 2025, mars 2026). Re-certification complète prévue mars 2027. PCI DSS via Stripe : Stripe maintient sa certification en continu - nous bénéficions automatiquement. Bug Bounty : Programme permanent, statistiques publiées trimestriellement. Assurance cyber : Police renouvelée annuellement (prochain renouvellement : juillet 2025). Entre les audits formels, nous effectuons des audits internes trimestriels et des tests continus pour maintenir la conformité.