> ## Documentation Index > Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt > Use this file to discover all available pages before exploring further. # 00 policy # Politique de continuité et de reprise d'activité (DR Policy) ## 1. Objet Cette politique formalise la stratégie de continuité d'activité (PCA) et de reprise d'activité (PRA) de la plateforme MSSP SnakySec. Elle s'applique à tous les actifs informationnels hébergés et exploités par SnakySec, ainsi qu'aux processus métier liés à la prestation de services audit/conformité M365 multi-tenants. Document opposable à un auditeur externe (ANSSI, pentest, RFP client). Revu annuellement par le dirigeant fondateur. Toute évolution majeure (nouveau fournisseur cloud, nouveau périmètre, changement statut juridique) déclenche une mise à jour anticipée. ## 2. Périmètre ### 2.1 Couvert * Infrastructure de production hébergée sur VPS OVH (région Gravelines) * Stack applicative Docker Compose (Next.js, PostgreSQL, Redis, Vault, Traefik) * Données clients : configurations Entra, résultats d'audits CIS/SCuBA, rapports GRC, audit log scellé Ed25519 * Secrets sensibles : credentials Entra clients, clés de chiffrement plateforme, anchors Ed25519 * Documentation et code source (GitLab self-hosted ou GitLab.com) ### 2.2 Hors périmètre * Postes de travail Nicolas (responsabilité individuelle, sauvegardes iCloud/OneDrive personnelles) * Tenants Microsoft 365 des clients (responsabilité Microsoft + client final) * GitLab.com SaaS (responsabilité GitLab Inc., couvert par leur SLA) * Sentry SaaS EU (responsabilité Functional Software, couvert par leur SLA) * Services tiers utilisés par les clients (CISO Assistant, OpenProject, etc.) ## 3. Statut juridique et obligations applicables ### 3.1 SnakySec et la directive NIS2 SnakySec, en tant qu'entité juridique au lancement, **n'est pas qualifiée "entité essentielle" ni "entité importante"** au sens de la directive NIS2 (transposition française décret octobre 2024) car elle se situe sous les seuils de taille (>50 ETP ou >10 M€ CA, art. 2 §1 NIS2). Toutefois, en qualité de **fournisseur de services managés de cybersécurité (MSSP)** servant des PME potentiellement régulées NIS2, SnakySec adopte une posture **NIS2-ready par exigence cascade**. Les engagements contractuels clients (DPA, annexes sécurité) sont alignés sur les exigences NIS2 art. 21 §2 (mesures de gestion des risques) et art. 23 (notification d'incident). ### 3.2 Obligations légales applicables | Norme | Applicabilité | Justification | | ------------------------------- | -------------------- | ----------------------------------------------------------------------------- | | RGPD (Règlement UE 2016/679) | **Obligatoire** | SnakySec sous-traitant au sens art. 28, traite les données des audits clients | | LCEN (Loi 2004-575) | Obligatoire | Hébergeur de contenu pour les portails clients | | NIS2 (Directive UE 2022/2555) | Volontaire (cascade) | Posture ready pour servir clients eux-mêmes NIS2 | | ISO 22301 (BCMS) | Référentiel | Inspiration pour la structure de cette politique, certif non visée V1 | | ISO 27001 (SMSI) | Référentiel | Posture alignée, certif visée Phase 2 (5+ clients récurrents) | | SecNumCloud (référentiel ANSSI) | Hors V1 | Démarche reportée Phase 3 (clients OIV/banques) | ## 4. Niveau de maturité visé : Tier 2 | Tier | Critères | Notre statut | | ----------------------------------------------------- | ------------------------------------------------------------------------- | ----------------- | | **Tier 1** — Doc only | Politiques rédigées, aucun test | Insuffisant | | **Tier 2** — Doc + tests annuels | Politiques + procédures + tests réels documentés au moins 1×/an | **Cible V1** | | **Tier 3** — Doc + tests trimestriels + audit externe | Tier 2 + exercices trimestriels + pentest annuel + audit externe certifié | Reporté Phase 2-3 | Posture sales et auditeur : "Documentation DR complète, Tier 2 maturité (Doc \+ tests annuels), démarche ISO 27001 prévue Phase 2." ## 5. Objectifs RPO / RTO Cf. matrice détaillée [04-rto-rpo-matrix.md](./04-rto-rpo-matrix.md). **Objectifs globaux plateforme :** * **RPO global (Recovery Point Objective)** : 5 minutes (perte de données acceptable maximale) * **RTO global (Recovery Time Objective)** : 4 heures (durée de restauration acceptable maximale) * **MTPD (Maximum Tolerable Period of Disruption)** : 12 heures avant impact contractuel client significatif ## 6. Gouvernance ### 6.1 Rôles et responsabilités | Rôle | Titulaire | Responsabilité | | ------------------- | ------------------------------------------------------------ | --------------------------------------------------------------------- | | **DR Owner** | Nicolas Schiffgens (dirigeant fondateur) | Décision activation, exécution runbooks, communication client | | **Trustee Shamir** | Notaire mandaté (cf. [01-keyholders.md](./01-keyholders.md)) | Détention enveloppe scellée 2 shares Vault, activation conditionnelle | | **DPO externalisé** | À désigner Phase 1 (cabinet Dastra ou Captain DPO) | Gestion violations RGPD, notif CNIL | | **Mandataire SASU** | Désigné dans statuts SASU SnakySec | Pouvoir d'accéder aux shares trustee en cas d'incapacité du dirigeant | ### 6.2 Activation du plan Le plan DR est activé sur décision du DR Owner après triage d'incident selon la procédure [incident-response/01-detection-triage.md](./incident-response/01-detection-triage.md). Critères d'activation : * Indisponibilité totale plateforme >30 min * Suspicion de compromission (ransomware, accès non autorisé, fuite secrets) * Demande explicite client en cas d'incident impactant ses données * Activation préventive sur instruction CSIRT-FR ### 6.3 Communication * **Interne** : aucune (solo founder V1) * **Clients** : email transactionnel + statut sur portail dédié, délai contractuel de notification respecté (cf. CGU et DPA) * **Autorités** : notification CSIRT-FR sous 24h (early warning) si incident significatif, notif CNIL sous 72h si violation données personnelles * **Public** : page status.snakysec.com (Phase 2) ## 7. Tests et amélioration continue ### 7.1 Calendrier de tests Cf. [test-schedule.md](./test-schedule.md). Cycle annuel obligatoire : * **Q1** : test restauration PostgreSQL PITR + vérification chaîne Ed25519 * **Q2** : test restauration Vault + procédure unseal Shamir réelle * **Q3** : rotation Shamir + récupération enveloppe trustee + vérification intégrité * **Q4** : exercice de simulation incident complet (breach data + notif CSIRT-FR + notif CNIL en mode "blanc") Chaque test produit un procès-verbal dans `docs/dr/test-results/` (template : [templates/post-incident-report.md](./templates/post-incident-report.md)). ### 7.2 Revue de la politique Cette politique est revue annuellement par le DR Owner, ou à l'occasion : * D'un incident majeur ayant nécessité l'activation du plan * D'un changement architectural significatif * D'une évolution réglementaire (NIS2, RGPD, SecNumCloud) * D'un retour d'auditeur externe ou client RFP ## 8. Références * [01-keyholders.md](./01-keyholders.md) — Détenteurs des shares Shamir Vault * [02-asset-inventory.md](./02-asset-inventory.md) — Inventaire des actifs et BIA * [03-backup-strategy.md](./03-backup-strategy.md) — Stratégie 3-2-1 OVH+Scaleway * [04-rto-rpo-matrix.md](./04-rto-rpo-matrix.md) — Matrice RPO/RTO par actif * [README.md](./README.md) — Index navigable de tout le répertoire DR * ISO 22301:2019 — Sécurité et résilience — Systèmes de management de la continuité d'activité * NIS2 art. 21 §2 (a)(c)(e)(h) — Mesures de gestion des risques cyber * RGPD art. 32, 33, 34 — Sécurité, notification CNIL, communication aux personnes concernées ## 9. Validation | Version | Date | Auteur | Approbateur | | ------- | ---------- | ------------------ | ------------------ | | 1.0 | 2026-04-26 | Nicolas Schiffgens | Nicolas Schiffgens |