Documentation Index
Fetch the complete documentation index at: https://snakysec.mintlify.app/llms.txt
Use this file to discover all available pages before exploring further.
Politique de continuité et de reprise d’activité (DR Policy)
1. Objet
Cette politique formalise la stratégie de continuité d’activité (PCA) et de
reprise d’activité (PRA) de la plateforme MSSP SnakySec. Elle s’applique à
tous les actifs informationnels hébergés et exploités par SnakySec, ainsi
qu’aux processus métier liés à la prestation de services audit/conformité
M365 multi-tenants.
Document opposable à un auditeur externe (ANSSI, pentest, RFP client). Revu
annuellement par le dirigeant fondateur. Toute évolution majeure (nouveau
fournisseur cloud, nouveau périmètre, changement statut juridique) déclenche
une mise à jour anticipée.
2. Périmètre
2.1 Couvert
- Infrastructure de production hébergée sur VPS OVH (région Gravelines)
- Stack applicative Docker Compose (Next.js, PostgreSQL, Redis, Vault, Traefik)
- Données clients : configurations Entra, résultats d’audits CIS/SCuBA, rapports GRC, audit log scellé Ed25519
- Secrets sensibles : credentials Entra clients, clés de chiffrement plateforme, anchors Ed25519
- Documentation et code source (GitLab self-hosted ou GitLab.com)
2.2 Hors périmètre
- Postes de travail Nicolas (responsabilité individuelle, sauvegardes iCloud/OneDrive personnelles)
- Tenants Microsoft 365 des clients (responsabilité Microsoft + client final)
- GitLab.com SaaS (responsabilité GitLab Inc., couvert par leur SLA)
- Sentry SaaS EU (responsabilité Functional Software, couvert par leur SLA)
- Services tiers utilisés par les clients (CISO Assistant, OpenProject, etc.)
3. Statut juridique et obligations applicables
3.1 SnakySec et la directive NIS2
SnakySec, en tant qu’entité juridique au lancement, n’est pas qualifiée
“entité essentielle” ni “entité importante” au sens de la directive NIS2
(transposition française décret octobre 2024) car elle se situe sous les
seuils de taille (>50 ETP ou >10 M€ CA, art. 2 §1 NIS2).
Toutefois, en qualité de fournisseur de services managés de cybersécurité
(MSSP) servant des PME potentiellement régulées NIS2, SnakySec adopte une
posture NIS2-ready par exigence cascade. Les engagements contractuels
clients (DPA, annexes sécurité) sont alignés sur les exigences NIS2 art. 21
§2 (mesures de gestion des risques) et art. 23 (notification d’incident).
3.2 Obligations légales applicables
| Norme | Applicabilité | Justification |
|---|
| RGPD (Règlement UE 2016/679) | Obligatoire | SnakySec sous-traitant au sens art. 28, traite les données des audits clients |
| LCEN (Loi 2004-575) | Obligatoire | Hébergeur de contenu pour les portails clients |
| NIS2 (Directive UE 2022/2555) | Volontaire (cascade) | Posture ready pour servir clients eux-mêmes NIS2 |
| ISO 22301 (BCMS) | Référentiel | Inspiration pour la structure de cette politique, certif non visée V1 |
| ISO 27001 (SMSI) | Référentiel | Posture alignée, certif visée Phase 2 (5+ clients récurrents) |
| SecNumCloud (référentiel ANSSI) | Hors V1 | Démarche reportée Phase 3 (clients OIV/banques) |
4. Niveau de maturité visé : Tier 2
| Tier | Critères | Notre statut |
|---|
| Tier 1 — Doc only | Politiques rédigées, aucun test | Insuffisant |
| Tier 2 — Doc + tests annuels | Politiques + procédures + tests réels documentés au moins 1×/an | Cible V1 |
| Tier 3 — Doc + tests trimestriels + audit externe | Tier 2 + exercices trimestriels + pentest annuel + audit externe certifié | Reporté Phase 2-3 |
5. Objectifs RPO / RTO
Cf. matrice détaillée 04-rto-rpo-matrix.md.
Objectifs globaux plateforme :
- RPO global (Recovery Point Objective) : 5 minutes (perte de données acceptable maximale)
- RTO global (Recovery Time Objective) : 4 heures (durée de restauration acceptable maximale)
- MTPD (Maximum Tolerable Period of Disruption) : 12 heures avant impact contractuel client significatif
6. Gouvernance
6.1 Rôles et responsabilités
| Rôle | Titulaire | Responsabilité |
|---|
| DR Owner | Nicolas Schiffgens (dirigeant fondateur) | Décision activation, exécution runbooks, communication client |
| Trustee Shamir | Notaire mandaté (cf. 01-keyholders.md) | Détention enveloppe scellée 2 shares Vault, activation conditionnelle |
| DPO externalisé | À désigner Phase 1 (cabinet Dastra ou Captain DPO) | Gestion violations RGPD, notif CNIL |
| Mandataire SASU | Désigné dans statuts SASU SnakySec | Pouvoir d’accéder aux shares trustee en cas d’incapacité du dirigeant |
6.2 Activation du plan
Le plan DR est activé sur décision du DR Owner après triage d’incident
selon la procédure incident-response/01-detection-triage.md.
Critères d’activation :
- Indisponibilité totale plateforme >30 min
- Suspicion de compromission (ransomware, accès non autorisé, fuite secrets)
- Demande explicite client en cas d’incident impactant ses données
- Activation préventive sur instruction CSIRT-FR
6.3 Communication
- Interne : aucune (solo founder V1)
- Clients : email transactionnel + statut sur portail dédié, délai contractuel de notification respecté (cf. CGU et DPA)
- Autorités : notification CSIRT-FR sous 24h (early warning) si incident significatif, notif CNIL sous 72h si violation données personnelles
- Public : page status.snakysec.com (Phase 2)
7. Tests et amélioration continue
7.1 Calendrier de tests
Cf. test-schedule.md. Cycle annuel obligatoire :
- Q1 : test restauration PostgreSQL PITR + vérification chaîne Ed25519
- Q2 : test restauration Vault + procédure unseal Shamir réelle
- Q3 : rotation Shamir + récupération enveloppe trustee + vérification intégrité
- Q4 : exercice de simulation incident complet (breach data + notif CSIRT-FR + notif CNIL en mode “blanc”)
Chaque test produit un procès-verbal dans docs/dr/test-results/ (template :
templates/post-incident-report.md).
7.2 Revue de la politique
Cette politique est revue annuellement par le DR Owner, ou à l’occasion :
- D’un incident majeur ayant nécessité l’activation du plan
- D’un changement architectural significatif
- D’une évolution réglementaire (NIS2, RGPD, SecNumCloud)
- D’un retour d’auditeur externe ou client RFP
8. Références
- 01-keyholders.md — Détenteurs des shares Shamir Vault
- 02-asset-inventory.md — Inventaire des actifs et BIA
- 03-backup-strategy.md — Stratégie 3-2-1 OVH+Scaleway
- 04-rto-rpo-matrix.md — Matrice RPO/RTO par actif
- README.md — Index navigable de tout le répertoire DR
- ISO 22301:2019 — Sécurité et résilience — Systèmes de management de la continuité d’activité
- NIS2 art. 21 §2 (a)(c)(e)(h) — Mesures de gestion des risques cyber
- RGPD art. 32, 33, 34 — Sécurité, notification CNIL, communication aux personnes concernées
9. Validation
| Version | Date | Auteur | Approbateur |
|---|
| 1.0 | 2026-04-26 | Nicolas Schiffgens | Nicolas Schiffgens |
