Argon2id (paramètres OWASP 2026)
Hachage des mots de passe avec Argon2id — algorithme recommandé par l’OWASP pour 2026. Paramètres calibrés pour résister aux attaques par cartes graphiques.
Architecture de sécurité
Sécurité — cloisonnement strict, journal d’audit immuable.
Cocon est conçu pour résister à un audit du CA, du ministère et de la CAI le même mois.
Cloisonnement strict des CPE Forcé par la base de données Journal d’audit 7 ans Test d’intrusion annuel
Cloisonnement
forcé sur toutes les tables
7 ans
conservation du journal d’audit
TLS 1.3
chiffrement en transit
AES-256
chiffrement au repos
Cloisonnement des CPE
Un CPE ne voit jamais les données d’un autre.
L’isolation entre CPE n’est pas une promesse — c’est une règle vérifiée automatiquement à chaque changement de code.
| Cloisonnement Postgres forcé (Row-Level Security) | Sécurité au niveau des lignes activée sur toutes les tables qui contiennent des données client. Chaque requête est filtrée par identifiant de CPE. Impossible de lire les données d’un autre CPE. |
| Isolation vérifiée à chaque mise à jour du code | Un test d’isolation s’exécute automatiquement à chaque proposition de changement de code. Un CPE ne peut jamais accéder aux données d’un autre — vérifié automatiquement. |
| Vérification automatique des requêtes | Toute requête qui ne précise pas le CPE concerné est bloquée avant intégration au code de production. |
| Cloisonnement appliqué partout dans le code | Chaque couche applicative (API, base de données, Aube) propage l’identifiant de CPE. Aucun « mode admin global » sans journal d’audit explicite. |
Authentification
Aucun service tiers — géré directement par Cocon.
Mots de passe, sessions et authentification à deux facteurs gérés directement dans la base de données Cocon. Aucune dépendance à Clerk, Auth0 ou Cognito.
Cookies de session sécurisés
Cookies de session inaccessibles en JavaScript (HTTP-only). Protection contre les attaques inter-sites (SameSite=Lax). Durée de session configurable par rôle.
Authentification à deux facteurs optionnelle
Authentification à deux facteurs (par application authentificatrice) disponible pour les rôles directrice et RPRP. Recommandée, pas obligatoire à la mise en service.
Aucun service tiers d’authentification
Aucun Clerk, Auth0, Cognito ou Supabase Auth. L’authentification est gérée par Cocon directement dans la base de données à Beauharnois — voir souveraineté.
Chiffrement
Au repos, en transit, et au niveau applicatif.
Trois couches de chiffrement — disque, transport et champs sensibles — avec clés gérées au Québec.
| Au repos : AES-256, clés gérées au Québec | Chiffrement disque AES-256 chez OVH Beauharnois. Clés gérées par le service de gestion de clés d’OVH, centre de données de Beauharnois. |
| En transit : TLS 1.3, HSTS | Toutes les communications chiffrées avec la dernière version de TLS (1.3). Forçage HTTPS activé — aucun retour à HTTP non chiffré possible. |
| Champs sensibles : chiffrement applicatif | NAS, dossiers santé, allergies — chiffrement applicatif additionnel (AES-256) qui s’ajoute au chiffrement disque. Clés séparées par type de donnée. |
Journal d’audit immuable
Chaque action, tracée, immuable, 7 ans.
Le journal d’audit n’est pas une fonctionnalité optionnelle — c’est le fondement de la confiance entre Cocon, la directrice et le Ministère.
Registre Postgres en ajout seul
Le journal d’audit est protégé par la base de données : toute tentative de modification ou de suppression est rejetée. Seules les insertions sont permises.
Conservation 7 ans
Conservation conforme aux exigences du Ministère de la Famille et de Revenu Québec. Archivage froid sur OVH Object Storage Beauharnois après 2 ans.
Chaque action d’Aube journalisée
Brouillon produit, correction directrice, signature, refus, expiration — chaque événement avec horodatage, auteur, identifiant de CPE et contenu complet.
Inspection signée par le RPRP
Le RPRP Cocon inspecte l’intégrité du journal d’audit trimestriellement. Rapport d’inspection disponible sur demande.
Sauvegardes
Sauvegardes chiffrées, testées, conservées 7 ans.
Sauvegardes incrémentales sur OVH Object Storage Beauharnois. Restauration testée chaque trimestre. Conservation conforme au Ministère.
| Sauvegardes incrémentales chiffrées | Sauvegardes Postgres incrémentales, chiffrées AES-256, stockées sur OVH Object Storage Beauharnois — même centre de données que la production. |
| Tests de restauration trimestriels | Restauration complète testée chaque trimestre dans un environnement isolé. Résultat documenté et disponible sur demande. |
| Conservation 7 ans | Conforme aux exigences du Ministère pour les documents administratifs et fiscaux. Politique de conservation configurable par type de document. |
Contrôle d’accès
Accès par rôle, granulaire — chaque rôle voit ce qu’il doit voir.
Directrice, adjointe, éducateur, parent, membre du conseil d’administration — chaque rôle a un périmètre d’accès strict, appliqué dans l’application et dans la base de données.
| Rôle | Accès | Restrictions |
|---|---|---|
| Directrice | Accès complet à l’installation — finances, personnel, enfants, Aube, conformité | Authentification à deux facteurs recommandée |
| Adjointe | Opérations quotidiennes — présences, ratios, dossiers enfants, brouillons Aube | Pas d’accès aux paramètres de facturation |
| Éducateur | Groupe assigné — présences, journal, observations, fiches enfants limitées | Pas de données financières ni NAS |
| Parent | Enfant(s) propres — présences, communications, paiements, formulaires | Aucune donnée d’autres familles |
| Conseil d’administration | Portail CA — finances agrégées, rapports Aube, conformité Sentinelle | Lecture seule, aucun dossier individuel |
Tests et audits
Test d’intrusion annuel, programme de divulgation responsable, liste de composants publiée.
La sécurité se vérifie par des tiers indépendants — pas seulement par nos propres tests.
Test d’intrusion externe annuel
Test d’intrusion réalisé par un cabinet externe indépendant. Rapport signé disponible sur demande, sous entente de confidentialité. Périmètre documenté dans l’EFVP.
Programme de divulgation responsable (année 2)
Programme prévu pour l’année 2 — récompenses pour la divulgation responsable de vulnérabilités. Liste des composants logiciels publiée pour faciliter l’audit.
Mises à jour de sécurité
Faille critique : correctif sous 7 jours. Faille de gravité élevée : sous 30 jours. Liste des composants logiciels publiée à chaque mise à jour. Dépendances analysées automatiquement.
Réponse aux incidents
Protocole documenté — CAI 72 h, clients 5 jours.
En cas d’incident, Cocon n’improvise pas. Communication de crise pré-rédigée, activation en moins de 4 heures.
Communication de crise pré-rédigée
Modèles de notification pré-approuvés pour les clients, la CAI et le public. Activation en moins de 4 heures après confirmation d’incident.
Notification CAI sous 72 h
Conforme à la Loi 25 — notification à la Commission d’accès à l’information en cas d’incident présentant un risque sérieux de préjudice.
Notification clients sous 5 jours ouvrables
Communication directe aux directrices affectées avec détails de l’incident, mesures prises et recommandations.
Communication publique
Résumé de l’incident publié sur lecocon.ca et notification directe aux directrices affectées. Page status.lecocon.ca en préparation — en attendant, courriel RPRP et [email protected].
Foire aux questions
Questions techniques fréquentes.
Comment Cocon empêche-t-il un CPE de voir les données d’un autre?
Le cloisonnement Postgres au niveau des lignes (Row-Level Security) est forcé sur toutes les tables qui contiennent des données client. Chaque requête est filtrée automatiquement par identifiant de CPE. Un test d’isolation s’exécute à chaque proposition de changement de code. Toute requête qui ne précise pas le CPE concerné est bloquée avant intégration au code de production.
Le journal d’audit peut-il être modifié ou supprimé?
Non. Le journal d’audit est protégé par la base de données : toute tentative de modification ou de suppression est rejetée. Seules les insertions sont permises. Conservation 7 ans. Le RPRP Cocon inspecte l’intégrité du journal trimestriellement.
Quels champs sont chiffrés au niveau applicatif?
Numéros d’assurance sociale (NAS), dossiers santé (allergies, médicaments, conditions) et tout champ marqué « sensible ». Chiffrement AES-256 avec clés gérées par OVH au Québec, en plus du chiffrement disque standard.
Cocon a-t-il subi un test d’intrusion?
Le premier test d’intrusion externe est planifié avant la mise en production générale. Le périmètre est documenté dans l’EFVP. Le rapport signé sera disponible sur demande, sous entente de confidentialité, pour les directrices et leur CA.
Que se passe-t-il en cas d’incident de sécurité?
Protocole en 4 étapes : (1) confinement immédiat, (2) notification à la CAI sous 72 h si risque sérieux, (3) notification clients sous 5 jours ouvrables, (4) résumé publié sur lecocon.ca. Communication de crise pré-rédigée, activation en moins de 4 h.
Puis-je obtenir le rapport de test d’intrusion ou l’EFVP?
Oui. Le rapport de test d’intrusion (après la première mise en production) et l’EFVP sont disponibles sur demande, sous entente de confidentialité. Écrivez à [email protected] avec le nom de votre CPE et le contact de votre RPRP. Réponse en moins de 5 jours ouvrables.
Documentation sécurité
Demandez le résumé du test d’intrusion ou l’EFVP.
Votre RPRP ou votre responsable TI peut obtenir le rapport de test d’intrusion (après la première mise en production), l’EFVP complète et un résumé de l’architecture de sécurité — sous entente de confidentialité, en moins de 5 jours ouvrables.