Sécurité

Vos clés fournisseur (Anthropic, OpenAI, Google, Mistral, DeepSeek, etc.) sont chiffrées au repos avec AES-256-GCM via une dérivation de clé HKDF-SHA256 par workspace. Chaque opération cryptographique inclut une authentication additional data (AAD) liant le ciphertext au couple workspace_id:provider, ce qui rend impossible la réutilisation d'un ciphertext entre tenants même en cas d'accès direct à la base.

La clé maître de chiffrement (HIWAY_MASTER_KEY) n'est jamais stockée en base, n'apparaît jamais dans les logs, et est injectée au container via variable d'environnement. Un backup off-site de la clé maître est maintenu en dehors du VPS.

En clair : un dump brut de notre base Postgres ne permet pas à un attaquant de déchiffrer une seule clé BYOK.

Chaque workspace est isolé par :

• Row-Level Security Postgres sur les tables critiques (workspace_members, api_keys, workspace_api_keys, invoices).
• Dérivation cryptographique par workspace (HKDF avec workspace_id comme salt) pour le vault BYOK.
• Clés API HiWay (hw_live_) stockées uniquement sous forme de hash SHA-256 ; la clé claire est montrée une seule fois à la création.
• Audit log immuable de toute action administrateur (impersonation, suspension, révocation) avec raison, IP, user-agent, conservé 5 ans.

Les prompts envoyés via HiWay2LLM ne sont pas loggés sur nos serveurs. Nos systèmes d'analytique (ClickHouse) enregistrent uniquement les métadonnées : request_id, horodatage, provider retenu, modèle retenu, compte de tokens (input/output), coût estimé, latence, code HTTP. Le contenu des messages n'apparaît à aucun moment en disque.

Le seul cas où du contenu est stocké côté HiWay est si le Client active explicitement le Semantic Cache (plans Scale+) : les prompts passés au cache sont hachés puis stockés vectoriellement dans Qdrant avec chiffrement transit + repos. Le masquage PII optionnel (regex sur emails, téléphones, CB, IBAN, clés API) peut être activé pour que même le cache ne voie jamais les identifiants réels.

Le Client peut purger son cache à tout moment depuis le dashboard ou l'API.

L'infrastructure HiWay2LLM tourne sur un VPS dédié hébergé chez OVH (France), sous notre contrôle exclusif. Les contrôles en place à date :

• Firewall UFW - seuls 22 (SSH), 80 (redirect HTTPS), 443 (HTTPS) exposés.
• SSH - clé publique uniquement, root désactivé, port fail2ban protégé.
• Unattended-upgrades actif pour les correctifs de sécurité OS.
• Headers HTTPS - HSTS 1 an avec preload, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin, Permissions-Policy verrouillée.
• Containers Docker - tous les services backend écoutent sur 127.0.0.1 only (pas d'exposition réseau directe).
• Backups quotidiens - Postgres (dump chiffré 03h00 UTC, rétention 30 jours), Redis (snapshot quotidien, rétention 14 jours), secrets .env versionnés off-site.

Comptes protégés par :

• bcrypt + salt sur les mots de passe (jamais SHA ou MD5).
• 2FA TOTP optionnel pour tous les users, obligatoire pour les admins. Secret TOTP chiffré AES-GCM per-user. QR code pour enrollment (compatible Authy, 1Password, Google Authenticator, Bitwarden).
• 10 codes de secours générés à l'enrollment, hashés en base, usage unique.
• Tokens JWT HS256 avec expiration, révocation via JTI + Redis.
• Protection anti-énumération : après 10 tentatives de clé hw_live_ échouées par IP sur 2 minutes, l'IP est bloquée 1 heure.

Plusieurs couches de protection sont actives par défaut :

• Guardian Anti-Loop - 5 règles (détection de doublons, pic de coût, bloat de contexte, agent zombie, rate-limit) en mémoire, < 0,5 ms par requête. Configurable par workspace.
• Budget Control - cap mensuel sur le coût upstream BYOK estimé, verdicts BLOCK / DOWNGRADE / LIGHT_ONLY. Évite qu'une clé compromise brûle votre facture provider.
• Burn-rate alerting - email automatique à 50 / 80 / 95 % du quota plan.
• Rate limits - par workspace (en fonction du plan) et par clé HiWay (configurable).
• Admin audit log - toute action admin est loggée avec motif obligatoire, rétention 5 ans.

RGPD - Hiway2llm.com est contrôleur des données de compte (email, abonnement, facturation) et sous-traitant des données contenues dans les prompts routés. Hébergement 100 % France (UE). Aucun transfert hors UE pour les données de compte. Les requêtes routées peuvent être envoyées aux fournisseurs LLM tiers (Anthropic US, OpenAI US, etc.) ; la liste et les conditions de chaque fournisseur sont listées dans notre Politique de confidentialité.

Data Processing Agreement (DPA) - disponible sur demande pour Scale et Enterprise. Contactez [email protected].

SOC 2 Type II - audit lancé T2 2026 avec Drata, rapport prévu T4 2026. Nous partageons un rapport d'étape bridge sur demande pour les prospects enterprise qui en ont besoin.

Pas de HIPAA ni BAA à ce jour - le service n'est pas destiné à traiter des données de santé protégées.

Nous maintenons un processus d'incident sécurité et de divulgation :

• Remontée - envoyez votre rapport à [email protected]. Nous accusons réception sous 2 jours ouvrés.
• Triage - classement sévérité (P0 critique / P1 élevé / P2 moyen / P3 faible) sous 3 jours ouvrés.
• Correction - P0 sous 24 h, P1 sous 7 jours, P2 sous 30 jours, P3 best-effort.
• Divulgation - pour les incidents affectant des données Client, notification directe par email sous 72 heures (conforme RGPD art. 33) avec nature, volume concerné, mesures prises et mesures recommandées.
• Bug bounty - pas de programme formel à ce jour. Les chercheurs qui signalent de bonne foi reçoivent des remerciements publics (avec accord) et, pour les vulnérabilités P0/P1, un bounty discrétionnaire.

Scope in : code HiWay2LLM propre, infrastructure VPS, dashboard, API. Out of scope : vulnérabilités dans les providers LLM tiers (Anthropic, OpenAI, etc.), social engineering, DoS volumétrique, exploits physiques.