Notre propre posture sécurité — auditable publiquement
DataSouv vend la conformité et la sécurité. Le minimum est de les appliquer à nous-mêmes, et de le rendre vérifiable. Cette page documente notre posture publique : en-têtes HTTP, hébergement, trackers, canal de divulgation responsable. Aucune mise en scène : un curl -I https://datasouv.ma vous donne les mêmes en-têtes que ceux listés ici.
Posture
Huit engagements vérifiables
Chacun de ces points est observable depuis l'extérieur, sans accès privilégié à notre infrastructure. Si l'observation ne correspond pas, signalez-nous-le : c'est qu'on a régressé.
Content-Security-Policy stricte
Aucun script externe autorisé. Pas de Google Tag Manager, pas de pixel Meta, pas de chat tiers, pas d'A/B testing externe. Toute ressource hors origine est bloquée par défaut.default-src 'self'
HSTS preload
Strict-Transport-Security avec includeSubDomains et preload : aucune chance pour un downgrade HTTPS → HTTP, y compris au premier contact avec le navigateur, y compris sur sous-domaines futurs.max-age=63072000; includeSubDomains; preload
Zéro tracker, zéro cookie analytique
Aucun cookie de suivi, aucune analytique tierce (Google Analytics, Plausible cloud, Matomo cloud, etc.). Uniquement un cookie strictement nécessaire pour la préférence de langue.0 tracker tiers
Hébergement UE
Site hébergé chez Vercel avec fonctions exécutées en régions UE (Frankfurt/Paris/Dublin/Stockholm). Control plane Vercel US encadré par SCC. Aucun transfert systématique hors UE pour le contenu public, aucune dépendance opérationnelle à un CDN US ou un SaaS hors UE.europe-west4 / Pays-Bas
Cross-Origin Isolation
Cross-Origin-Opener-Policy: same-origin, Cross-Origin-Embedder-Policy: credentialless, Cross-Origin-Resource-Policy: same-origin. Le site est isolé du contexte navigateur croisé.COOP + COEP + CORP
Email anti-spoofing
Configuration SPF, DKIM et DMARC sur le domaine datasouv.ma. Politique DMARC visible publiquement, conforme à ce que nous exigeons de nos clients dans les audits.SPF + DKIM + DMARC
security.txt RFC 9116
Fichier public de divulgation responsable conforme à la RFC 9116. Canal sécurisé dédié, langues supportées, politique de divulgation publiée./.well-known/security.txt
Permissions-Policy verrouillée
Toutes les API sensibles (caméra, micro, géolocalisation, capteurs, paiement, USB, MIDI, accelerometer, etc.) sont explicitement désactivées au niveau du navigateur, indépendamment du code.17 API désactivées
En-têtes HTTP en clair
Ce que votre navigateur reçoit, ligne par ligne
Configuration appliquée à toutes les routes du site via next.config.ts. Vérifiable d'un curl. Aucun en-tête promotionnel, aucun X-Powered-By, aucun Server: …
| En-tête | Valeur |
|---|---|
| Content-Security-Policy | default-src 'self'; … |
| Strict-Transport-Security | max-age=63072000; includeSubDomains; preload |
| X-Content-Type-Options | nosniff |
| X-Frame-Options | DENY |
| Referrer-Policy | strict-origin-when-cross-origin |
| Permissions-Policy | camera=(), microphone=(), geolocation=(), … |
| Cross-Origin-Opener-Policy | same-origin |
| Cross-Origin-Embedder-Policy | credentialless |
| Cross-Origin-Resource-Policy | same-origin |
| X-DNS-Prefetch-Control | off |
| X-Permitted-Cross-Domain-Policies | none |
Ce que nous nous engageons à tenir, durablement
Ces engagements sont publics et opposables. Si nous y dérogeons, vous pouvez nous le reprocher publiquement — y compris en signalant le manquement à la CNDP s'il a un caractère réglementaire.
- Score Mozilla Observatory visé : A+
- Aucun tracker tiers, aucun cookie analytique externe
- Registre des traitements publié et tenu à jour
- Divulgation responsable encadrée (RFC 9116)
- Bug bounty informel : safe harbor pour chercheurs de bonne foi
- Mise à jour mensuelle des dépendances, audit npm hebdomadaire
- Données serveur uniquement chez prestataires UE avec DPA signé
- Pas d'envoi systématique vers Cloudflare, Google Fonts runtime, ou autre CDN tiers
Questions fréquentes
Sur cette posture publique
Pourquoi publier votre propre posture sécurité ?
Parce qu'on ne peut pas vendre la conformité et la sécurité en restant opaque sur ses propres pratiques. Le marché marocain manque de transparence technique : la majorité des sites d'agences sécurité utilisent Google Analytics, Google Fonts en runtime, et n'ont pas de CSP. Notre exemplarité est un contrat moral envers nos clients.
Avez-vous identifié des limites ?
Oui, et c'est public. (1) Le 'unsafe-inline' sur style-src est requis tant que Tailwind v4 injecte du CSS inline ; nous basculerons vers nonce/hash dès que possible. (2) L'API d'audit appelle un fournisseur LLM, encadré par SCC. (3) Notre déclaration CNDP est en cours d'instruction, le récépissé sera publié dès réception. Tout est documenté dans le registre des traitements.
Comment vérifier vous-même ces engagements ?
Trois moyens. (1) Inspectez les en-têtes HTTP avec un curl -I sur datasouv.ma. (2) Lancez Mozilla Observatory sur le domaine, le score est public. (3) Auditez le code source du site (ouvert sous conditions) ou consultez le registre public des traitements. Si vous identifiez une faille, écrivez à security@datasouv.ma.
Que se passe-t-il si vous découvrez une vulnérabilité chez vous ?
Réponse sous 72 heures, correction sous délai raisonnable (selon sévérité CVSS), publication d'un post-mortem si l'incident a un impact public. Aucune poursuite envers les chercheurs agissant de bonne foi dans le respect des Rules of Engagement publiées. C'est la même posture que nous exigeons des organisations que nous accompagnons.
Vos clients ont-ils accès à votre posture détaillée ?
Oui. Sous NDA, nous partageons l'architecture détaillée, les politiques internes, les contrats sous-traitants, et la liste exhaustive des en-têtes en place. C'est un signal de confiance et un outil de comparaison pour les clients qui veulent calibrer leur propre niveau.
Une vulnérabilité ? Écrivez à security@datasouv.ma
Safe harbor pour les chercheurs de bonne foi, accusé de réception sous 72 heures, post-mortem public si l'impact le justifie. C'est exactement la posture que nous demandons aux clients que nous accompagnons.