DroneEye — The Sky Where Every Flight Becomes a Mission
Sécurité

Sécurité chez DroneEye

Nous prenons au sérieux la sécurité de vos données, documents et compte. Voici comment nous protégeons la plateforme.

Dernière révision : avril 2026

Pratiques de sécurité

Authentification

  • Jetons d'accès JWT avec courte expiration
  • Jetons de rafraîchissement stockés dans des cookies HttpOnly
  • Rotation des jetons à chaque actualisation
  • Déconnexion automatique à l'expiration ou signature invalide
  • Contrôle d'accès basé sur les rôles (CLIENT, PILOTE, ADMIN)

Chiffrement des données

  • Toutes les données en transit sont chiffrées via TLS 1.2+
  • Les mots de passe sont hachés avec bcrypt avant stockage
  • Les cookies de session sont marqués Secure et HttpOnly
  • Les fichiers de documents sensibles sont stockés avec des contrôles d'accès

Infrastructure

  • Les services backend s'exécutent dans des conteneurs isolés
  • La base de données n'est pas directement accessible depuis Internet
  • Les fichiers téléchargés sont validés pour le type et la taille avant stockage
  • Limitation de débit appliquée aux points d'authentification

Confidentialité dès la conception

  • Seules les données minimales requises sont collectées par opération
  • Les données de profil ne sont visibles que pour les utilisateurs authentifiés et autorisés
  • L'accès administrateur aux données utilisateur est enregistré et auditable
  • La suppression douce est utilisée — les données sont conservées brièvement avant suppression permanente

Sécurité des documents

  • Les documents de qualification des pilotes sont stockés côté serveur, non exposés publiquement
  • Les URL des documents sont limitées et validées côté serveur avant d'être servies
  • Les admins examinent tous les documents soumis — pas de confiance automatique

Sécurité des applications

  • Tous les inputs API sont validés avec Bean Validation (Jakarta)
  • L'injection SQL est évitée via les requêtes paramétrées JPA
  • CORS est configuré pour restreindre l'accès cross-origin
  • Protection CSRF via la politique de cookies SameSite

Divulgation responsable

Si vous découvrez une vulnérabilité de sécurité dans DroneEye, nous vous demandons de nous la signaler en privé avant toute divulgation publique.

Veuillez ne pas tenter d'accéder aux données d'autres utilisateurs ou d'exécuter des scanners automatisés contre nos systèmes.

Nos engagements envers les chercheurs

  • Nous examinons tous les rapports de sécurité dans les 2 jours ouvrables
  • Nous ne prendrons pas de mesures légales contre les chercheurs de bonne foi
  • Nous reconnaîtrons les problèmes confirmés et décrirons la correction une fois résolus
  • Nous vous demandons de ne pas divulguer publiquement les problèmes jusqu'à ce que nous les ayons corrigés

Signaler une vulnérabilité

Envoyez une description détaillée du problème à notre équipe de sécurité via le formulaire de contact.

Signaler un problème de sécurité