ISO 27001:2022 — Renouvellement en cours
Audit de surveillance et de recertification en cours. Numéro de certificat actuel disponible sous NDA. Périmètre ISMS et SoA inchangés.
Centre de Confiance · Sécurité
Sécurité Flowie.
Une posture de sécurité vérifiable pour les équipes finance et achats. Certifiée ISO 27001:2022, Cybervadis Mature 878/1000, cloud souverain S3NS à Paris avec reprise d'activité en Belgique. Aucune donnée client ne sort de l'UE. Rapports d'audit complets sous NDA.
Réponse directe : Flowie est certifiée ISO 27001:2022 (certificat n°122245, délivré par Prescient Security LLC). Cybervadis nous évalue Mature à 878/1000 — 34 % au-dessus de la moyenne sectorielle de 654, évaluation du 4 octobre 2024. Nous fonctionnons sur le cloud souverain S3NS (partenariat Google et Thales), centre de données primaire à Paris, reprise d'activité en Belgique. Aucune donnée client ne sort de l'UE. L'authentification multifacteur est imposée sur tous les accès production. La cryptographie suit les directives NIST : AES-256 au repos, TLS 1.2 ou supérieur en transit, minimum RSA 2048 bits et ECC 256 bits pour l'échange de clés. Nous effectuons des tests d'intrusion indépendants annuels plus une analyse continue Detectify. Nos 9 sous-traitants nommés sont couverts par des Accords de Traitement des Données signés et des Clauses Contractuelles Types pour tout transfert hors UE. Les fournisseurs d'IA ne traitent que des textes descriptifs — jamais les montants financiers, les IBAN ou les numéros de compte — et sont contractuellement engagés à zéro ré-entraînement avec vos données. Les rapports d'audit complets sont disponibles sous NDA sur demande.
Section 01 · Vue d'ensemble
Sécurité en un coup d'œil.
Flowie traite les workflows d'approvisionnement, les données de facturation et les approbations de paiement pour les équipes financières des entreprises de taille intermédiaire et grandes. Cela exige une posture de sécurité qu'un RSSI peut vérifier — pas seulement vérifier par la confiance — avant de signer. Ci-dessous se trouve un résumé en cinq points de notre posture de sécurité actuelle, suivi de l'enregistrement technique complet.
Cybervadis Mature — 878/1000
Évaluation indépendante du 4 octobre 2024 · Moyenne sectorielle 654 · 34 % au-dessus sur 10 domaines de sécurité
Cloud Souverain S3NS
Partenariat Google et Thales · Région primaire Paris · DR en Belgique · Toutes les données client dans l'UE — sans exception
Authentification multifacteur imposée sur tous les accès production
Aucun accès production sans MFA · Modèle RBAC + privilège minimal · Processus Arrivée-Mobilité-Départ lié à la fin de contrat
Test d'intrusion indépendant annuel + analyse continue
Test d'intrusion tiers annuel · Analyse continue des vulnérabilités Detectify en production · Divulgation coordonnée à security@flowie.fr
Section 02 · Certifications
Certifications et évaluations.
ISO/IEC 27001:2022
Flowie détient la certification ISO/IEC 27001:2022. Les détails et dates de validité du certificat sont réédités à la conclusion de l'audit de surveillance et de recertification 2026. Le renouvellement est en cours — le numéro de certificat actuel est disponible sous NDA sur demande. Notre périmètre ISMS, Déclaration d'Applicabilité, et rapports d'audit Étape 1 et Étape 2 restent en dossier et inchangés.
ISO 27001:2022 est la révision actuelle de la norme (remplaçant ISO 27001:2013). La révision 2022 a restructuré les contrôles en quatre catégories — Organisationnelle, Personnes, Physique et Technologique — et a ajouté 11 nouveaux contrôles couvrant le renseignement sur les menaces, la sécurité de l'information pour les services cloud, le masquage des données, la prévention de la fuite de données, la surveillance des activités, le filtrage web, la codification sécurisée et la gestion de la configuration. L'ISMS de Flowie a été certifié directement contre la norme 2022, pas migré à partir de la version 2013.
L'ISMS n'est pas une checklist. C'est un système opérationnel : les politiques sont examinées selon un calendrier, les risques sont réévalués quand le paysage des menaces change, les non-conformités issus des audits alimentent une procédure d'action corrective documentée, et les réunions d'examen de la direction sont consignées. Si vous voulez comprendre si la sécurité d'un fournisseur est structurelle ou performative, demandez à voir les fiches de constatations d'audit — les nôtres sont disponibles sous NDA.
Cybervadis — Évaluation Mature, 878/1000
Cybervadis est une plateforme d'évaluation de sécurité indépendante qui évalue les fournisseurs sur 10 domaines : Politiques de Sécurité, Gestion des Actifs, Sécurité de l'Infrastructure IT, Sécurité des Applications, Contrôle d'Accès, Sécurité des Personnes, Sécurité Physique, Sécurité Opérationnelle, Gestion de la Continuité d'Activité et Conformité. Les évaluations vont de 0 à 1000.
L'évaluation Cybervadis la plus récente de Flowie, complétée le 4 octobre 2024, a retourné un score de 878/1000, portant la classification Mature. La moyenne sectorielle pour les organisations comparables est 654. Notre score est 34 % au-dessus de cette moyenne sectorielle.
Cybervadis Mature · 878/1000 · Évalué 2024-10-04 · Moyenne sectorielle 654
Le rapport exécutif Cybervadis complet est disponible sur demande dans notre dossier de sécurité. Il inclut la décomposition par domaine et les preuves spécifiques que Cybervadis a examinées.
Note transparente sur SOC 2
Nous ne détenons actuellement pas la certification SOC 2 Type II. Nous sommes en cours de préparation d'un programme SOC 2 Type II pour achèvement au T3 2026. Si votre processus d'approvisionnement exige SOC 2 comme exigence absolue aujourd'hui, la réponse honnête est : nous ne pouvons pas la satisfaire par certificat, mais nous pouvons satisfaire l'intention sous-jacente.
Ce que nous offrons en interim : notre certification ISO 27001:2022 avec rapports d'audit complets sous NDA, notre score Cybervadis 878/1000 avec la décomposition détaillée par domaine, et accès direct à notre équipe de sécurité pour un échange structuré. La certification ISO 27001 mappe substantiellement aux Critères de Services de Confiance SOC 2 — particulièrement dans les domaines de sécurité, disponibilité et confidentialité. Les équipes d'approvisionnement qui ont examiné les deux confirment généralement que la combinaison ISO 27001 + Cybervadis + accès aux rapports d'audit est suffisante pour approbation du fournisseur pendant que SOC 2 est en cours. Nous fournirons une mise à jour écrite quand le programme SOC 2 atteindra l'achèvement.
Section 03 · Infrastructure
Infrastructure et hébergement.
Cloud souverain S3NS
Flowie fonctionne sur S3NS, la plateforme cloud souveraine construite à travers le partenariat entre Google Cloud et Thales. S3NS est conçue pour répondre aux exigences de résidence et souveraineté des données françaises et européennes, avec des clés de chiffrement contrôlées par la France et des contrôles opérationnels alignés sur les exigences de l'ANSSI (Agence nationale de la sécurité des systèmes d'information).
La conséquence pratique pour les clients de Flowie : vos données sont hébergées dans une infrastructure qui combine l'ingénierie de Google avec les contrôles souverains français de Thales, opérés en France, assujettis à la loi française et européenne. C'est un choix structurel, pas contractuel — l'architecture empêche physiquement les données d'être routées en dehors de l'UE pendant les opérations normales.
Résidence des données
| Attribut | Valeur |
|---|---|
| Région primaire | Paris, France |
| Région de reprise d'activité | Belgique |
| Résidence des données | Union Européenne — toutes les données client |
| Stockage de sauvegarde | Géographiquement redondant : France + Belgique, stocké séparément |
| Infrastructure des sous-traitants | 9 sous-traitants nommés — voir /trust/subprocessors |
Aucune donnée client n'est transférée en dehors de l'Union Européenne dans le cadre des opérations de la plateforme. Pour les sous-traitants situés en dehors de l'UE (SendGrid, Sentry, Intercom, Fivetran, OpenAI, Anthropic — six au total), les Clauses Contractuelles Types sont en place. La liste complète des sous-traitants avec mécanismes de transfert est publiée à /trust/subprocessors.
Dépendance GCP — divulgation transparente
S3NS est construit sur l'infrastructure Google Cloud Platform. En cas de perte soutenue de disponibilité GCP dans la région primaire Paris, la posture de reprise d'activité de Flowie repose sur la redondance multi-région propre de Google Cloud et notre environnement de reprise d'activité hébergé séparément en Belgique. Nous n'exploitons pas notre propre centre de données physique indépendant. Si le modèle de menace de votre organisation exige l'indépendance d'infrastructure vis-à-vis de tout hyperscalaire, c'est la divulgation honnête de notre architecture. Les engagements de disponibilité du service sont documentés dans notre SLA.
Section 04 · Contrôles d'accès
Contrôles d'accès et d'identité.
Accès production
Chaque personne qui accède à un système production chez Flowie le fait via une session vérifiée et authentifiée par plusieurs facteurs. Il n'y a pas de données d'identification partagées et pas de chemins de contournement pour les administrateurs. Ceci est imposé au niveau du fournisseur d'identité, pas par politique.
Authentification multifacteur imposée
Tous les accès production nécessitent l'authentification multifacteur. Aucune exception pour les administrateurs ou les chemins d'accès d'urgence.
RBAC — Privilège minimal
Le contrôle d'accès basé sur les rôles s'applique à tous les systèmes. Les utilisateurs reçoivent les permissions minimales requises pour leur fonction. Les permissions élevées exigent une justification documentée.
Arrivée-Mobilité-Départ (JML)
L'approvisionnement et le déprovision d'accès suivent un processus JML formel lié aux événements RH. L'off-boarding déclenche la révocation immédiate d'accès. Les comptes ne sont pas réutilisés.
Examens d'accès périodiques
Les droits d'accès sont examinés périodiquement sur tous les systèmes. Les examens couvrent à la fois les utilisateurs humains et les comptes de service.
SAML/SSO pour locataires client
Les locataires client peuvent configurer l'authentification unique basée sur SAML via Auth0. Cela signifie que votre fournisseur d'identité d'entreprise — Okta, Azure AD, Google Workspace, OneLogin — gouverne qui peut accéder à votre locataire Flowie sans que Flowie ne détienne un magasin de données d'identification séparé.
Normes de cryptographie
| Domaine | Norme |
|---|---|
| Données au repos | AES-256 |
| Données en transit | TLS 1.2 minimum, TLS 1.3 préféré |
| Échange de clés asymétrique — RSA | 2048 bits minimum |
| Échange de clés asymétrique — ECC | 256 bits minimum |
| Alignement | Directives cryptographiques NIST |
Les choix de cryptographie suivent la Politique de Cryptographie de Flowie, l'une des 14 politiques de sécurité de l'information documentées maintenues sous l'ISMS. La gestion des clés, le cycle de vie des certificats et la sélection des algorithmes sont couverts dans cette politique, disponible sous NDA.
Section 05 · ISMS
Politiques ISMS.
Flowie maintient 14 politiques de sécurité de l'information modelées sur la documentation de style BSI, plus 13 documents opérationnels ISMS numérotés (00 à 12). Tous sont maintenus sous la Déclaration d'Applicabilité ISO 27001:2022.
Les 14 politiques
- 01Politique de Sécurité de l'Information
- 02Politique de Gestion des Actifs
- 03Politique de Contrôle d'Accès
- 04Politique de Cryptographie
- 05Politique de Sécurité Opérationnelle
- 06Politique de Développement Sécurisé
- 07Plan de Réponse aux Incidents
- 08Plan de Continuité d'Activité et Reprise d'Activité
- 09Politique de Sécurité Physique
- 10Politique de Sécurité des Ressources Humaines
- 11Politique de Gestion des Tiers
- 12Politique de Gestion des Données
- 13Politique de Gestion des Risques
- 14Politique de Conformité RGPD (+ Plan de Réponse aux Incidents RGPD dédié)
Les 13 documents opérationnels ISMS
Les documents numérotés couvrent : liste maître des documents ISMS, périmètre ISMS, politique ISMS, rôles et responsabilités, processus d'évaluation et traitement des risques, contrôle des documents d'information, plan de communication de sécurité, procédure d'audit interne, procédure d'examen de la direction, procédure d'action corrective et amélioration continue, plan des objectifs de sécurité de l'information, Déclaration d'Applicabilité, et registre des lois et réglementations pertinentes.
Tous les 27 documents (14 politiques + 13 docs ISMS) sont disponibles sous NDA sur demande. Fournissez une NDA signée et une liste spécifique de documents pertinents pour votre évaluation, et nous les fournirons sous cinq jours ouvrables. Nous ne partageons pas ces documents publiquement car plusieurs contiennent des détails architecturaux internes et procéduraux qui réduiraient leur valeur protectrice s'ils étaient divulgués.
Pour demander l'accès : security@flowie.fr.
Section 06 · Gestion des vulnérabilités
Gestion des vulnérabilités.
Test d'intrusion indépendant annuel
Flowie commissionne un test d'intrusion indépendant annuellement. Le test couvre la couche application, les flux d'authentification, les points de terminaison API et la configuration de l'infrastructure. ⚠️ Le fournisseur de test actuel et la date du test la plus récente seront divulgués sous NDA dans le cadre du dossier de sécurité complet — ces détails sont intentionnellement retenus de la page publique pour éviter de fournir des informations préalables à d'éventuels adversaires.
Les conclusions de chaque test annuel sont suivies jusqu'à la correction. Les constatations critiques et de haute gravité sont traitées avant que le rapport de test ne soit déposé. Le rapport complet — incluant les conclusions, les scores CVSS et les preuves de correction — est disponible sous NDA.
Analyse continue — Detectify
Detectify exécute une analyse continue automatisée des vulnérabilités contre l'environnement production de Flowie. Detectify est une plateforme de surveillance de la surface d'attaque externe qui reproduit les techniques de reconnaissance des attaquants, couvrant les vulnérabilités d'applications web, les configurations exposées et les erreurs de configuration de surface. Les analyses s'exécutent continuellement, avec les conclusions examinées par l'équipe de sécurité. Les rapports d'analyse Detectify historiques sont en dossier.
Audit interne
Flowie a complété un audit interne de la sécurité de l'information en 2023. Le rapport d'audit interne est en dossier. Les audits de surveillance annuels dans le cadre du programme ISO 27001 sont en cours.
Divulgation responsable
Si vous découvrez une vulnérabilité de sécurité dans la plateforme, l'application ou l'infrastructure de Flowie, signalez-la à security@flowie.fr. Nous accusons réception promptement et fournissons des mises à jour régulières au fur et à mesure que nous trions et remédie. Nous coordonnons les délais de correction avec le rapporteur et ne poursuivons pas en justice les divulgations de bonne foi.
⚠️ À VALIDER : confirmez les SLA spécifiques d'accusé de réception et de réponse avec l'équipe de sécurité avant publication (par exemple « accusé de réception en 1 jour ouvrable / réponse substantive en 5 jours ouvrables » a été rédigé mais pas validé par rapport aux pratiques opérationnelles réelles).
Nous n'exploitons actuellement pas un programme public de signalement des vulnérabilités. Nous sommes en cours de préparation d'un programme formel de signalement de vulnérabilités pour le Q3 2026. En attendant, la divulgation responsable via security@flowie.fr est le canal officiel. Nous reconnaissons que c'est une lacune par rapport aux fournisseurs avec des programmes publics matures, et nous la traitons selon un calendrier défini.
Section 07 · Réponse aux incidents
Réponse aux incidents et notification de violation.
Capacité de réponse 24h/24, 7j/7
Flowie maintient une équipe de réponse aux incidents de sécurité 24h/24, 7j/7. Ce n'est pas une file d'attente de support — c'est une fonction de réponse de sécurité dédiée avec autorité d'escalade et procédures de salle de crise définies. Quand un incident de sécurité est déclaré, un canal dédié est ouvert, un commandant d'incident est assigné, et la réponse procède selon notre Plan de Réponse aux Incidents documenté.
Niveaux de gravité
| Gravité | Définition | Posture de réponse |
|---|---|---|
| S1 — Critique | Violation active, exfiltration de données soupçonnée, systèmes production compromis | Notification immédiate aux clients affectés, canal de salle de crise dédié, réponse tous les effectifs, forensique externe si nécessaire |
| S2 — Haute | Vulnérabilité confirmée avec potentiel d'exploitation actif, impact de disponibilité significatif | Réponse accélérée, clients affectés notifiés, correction sur calendrier accéléré |
| S3 — Moyenne | Vulnérabilité confirmée, pas d'exploitation actuelle, impact limité | Suivie jusqu'à correction, clients notifiés si les données sont en périmètre |
| S4 — Basse | Conclusions informatives, problèmes de configuration, aucun impact direct | Suivie par la gestion des changements normal |
⚠️ À VALIDER : les SLA spécifiques liés au temps par niveau de gravité (par exemple S2 4h / S3 24h / S4 5 jours ouvrables) ont été rédigés mais pas validés par rapport au Plan de Réponse aux Incidents réel. Confirmez avec l'équipe de sécurité avant publication, ou remplacez par : « Les cibles de réponse par niveau de gravité sont documentées dans notre Plan de Réponse aux Incidents, disponible sous NDA. »
Notification de violation RGPD — SLA 72 heures
C'est la disposition que la plupart des équipes d'approvisionnement des entreprises signalent en premier, et c'est justifié. Selon l'Article 33 du RGPD, les responsables du traitement doivent notifier leur autorité de contrôle compétente d'une violation de données personnelles dans les 72 heures après en avoir connaissance. Flowie, en tant que sous-traitant, doit notifier le responsable du traitement sans délai inutile.
Notre Plan de Réponse aux Incidents RGPD — un document autonome séparé du Plan de Réponse aux Incidents général — codifie un SLA de notification de violation de 72 heures à partir du moment où Flowie a connaissance d'un incident qui peut impliquer des données personnelles. La notification est envoyée au contact de sécurité ou confidentialité désigné du client, et inclut : la nature de la violation, les catégories et le nombre approximatif de personnes concernées affectées, les catégories et le nombre approximatif d'enregistrements affectés, les conséquences probables, et les mesures prises ou proposées pour traiter la violation.
Le SLA de 72 heures n'est pas aspirationnel. C'est un engagement procédural documenté et testé avec des rôles définis, des modèles de notification, et des chemins d'escalade. Le Plan de Réponse aux Incidents RGPD est disponible sous NDA.
Examen post-incident
Chaque incident S1 et S2 déclenche un examen post-incident. La conclusion alimente directement la procédure d'action corrective ISO 27001, ce qui signifie que les conclusions sont suivies, les causes profondes sont documentées, et les améliorations de contrôle sont formellement implémentées et vérifiées. Les incidents de sécurité ne se ferment pas sans enregistrement d'action corrective.
Section 08 · BC/DR
Continuité d'activité et reprise d'activité.
Le plan BC/DR de Flowie est effectif depuis 2023.
Test de reprise d'activité annuel
Nous effectuons un test de reprise d'activité annuel qui inclut la restauration complète de sauvegarde. Le test vérifie que les procédures de récupération documentées fonctionnent comme conçu — pas seulement que les sauvegardes existent. Les résultats du test sont examinés par l'équipe de sécurité et toute lacune alimente la procédure d'action corrective.
Architecture de sauvegarde
| Attribut | Valeur |
|---|---|
| Fréquence de sauvegarde | Quotidienne |
| Redondance géographique | France (primaire) + Belgique (DR) |
| Isolation du stockage | Les sauvegardes sont stockées séparément des systèmes primaires |
| Chiffrement | Les sauvegardes sont chiffrées à l'aide d'AES-256 cohérent avec la norme de plateforme |
| Test de restauration | Annuel, inclus dans le test de reprise d'activité |
| RTO | ⚠️ [RTO TBD — extraire de l'Annexe B du BC/DR] |
| RPO | ⚠️ [RPO TBD — extraire de l'Annexe B du BC/DR] |
⚠️ Les valeurs RTO et RPO doivent être extraites de l'Annexe B du BC/DR avant que cette page ne soit en direct. Ne publiez pas de texte placeholder.
Dépendance d'infrastructure — GCP
Comme noté dans la section infrastructure, notre posture de reprise d'activité pour une panne soutenue de la région Paris repose sur l'infrastructure de région Belgique et la redondance multi-région de Google Cloud. Nous sommes transparents sur cette dépendance. Le plan BC/DR contient le scénario documenté « perte de disponibilité GCP » avec des procédures de réponse spécifiques.
Section 09 · Traitement des données IA
Traitement des données IA.
Cette section justifie une attention particulière pendant l'approvisionnement des entreprises. Flowie utilise l'IA pour le traitement des documents — extraire les informations structurées des factures, classer les types de documents, soutenir les décisions d'automation des workflows. Trois sous-traitants IA sont en périmètre.
Les trois sous-traitants IA
| Fournisseur | Localisation | Résidence des données |
|---|---|---|
| OpenAI | USA | Données traitées sous CCT |
| Mistral AI | France (Paris) | Résidence données complète UE |
| Anthropic | USA | Données traitées sous CCT |
Mistral AI mérite une mention spécifique. Mistral AI est une entreprise française d'IA, basée à Paris, avec résidence complète des données EU pour les workloads API. Pour les clients français des entreprises et les organisations avec exigences strictes de souveraineté EU, Mistral AI fournit un chemin de traitement IA qui ne quitte jamais l'UE. Ce n'est pas une réclamation de marketing — cela reflète l'emplacement physique de l'infrastructure d'inférence de Mistral et l'absence de transfert de données hors UE.
Ce que l'IA traite — et ce qu'elle ne traite pas
Les trois sous-traitants IA traitent texte descriptif uniquement. C'est une contrainte architecturale délibérée, pas un paramètre de configuration.
Les modèles IA reçoivent : descriptions de documents, noms de fournisseurs, descriptions de postes de ligne, champs de date et autres métadonnées textuelles. Ils ne reçoivent pas, et sont architecturalement isolés de : montants financiers, numéros IBAN, numéros de compte bancaire, références de paiement, et toute donnée financière numérique.
Cette contrainte est maintenue à la couche préparation des données — les champs financiers sont supprimés avant que toute donnée ne soit transmise à un fournisseur IA. Ce n'est pas une politique pour les humains à suivre ; c'est une limite de système.
Engagement de zéro ré-entraînement
Les trois sous-traitants IA — OpenAI, Mistral AI et Anthropic — sont contractuellement engagés à zéro ré-entraînement avec les données client de Flowie via leurs accords API d'entreprise. Les données soumises via les points de terminaison API ne sont pas utilisées pour entraîner ou affiner les modèles sous-jacents. Les dispositions contractuelles pertinentes sont disponibles sous NDA comme partie de la documentation des sous-traitants.
Pourquoi cela compte en approvisionnement : La préoccupation que la plupart des RSSI soulèvent sur l'IA n'est pas le traitement actuel — c'est si leurs données se combinent dans le modèle et deviennent accessibles à d'autres clients. La réponse ici est : cela ne se produit pas. C'est un engagement contractuel de chaque fournisseur, pas une hypothèse opérationnelle.
Section 10 · Conformité
Posture de conformité.
| Framework ou exigence | Statut |
|---|---|
| ISO/IEC 27001:2022 | Certifiée — certificat #122245 |
| RGPD | Conforme · Accord de Traitement des Données disponible en anglais et français (mai 2025) |
| Plateforme de Dématérialisation Agréée (PA) française | Certifiée — décembre 2025 |
| Peppol BIS Billing 3.0 | Conforme |
| Clauses Contractuelles Types UE | En place pour tous les sous-traitants hors UE |
| Vanta | Rapport de confiance géré via Vanta — disponible sur demande |
| PSSI française (Politique de Sécurité des Systèmes d'Information) | Alignée — documentée dans PSSI interne |
Accord de Traitement des Données
Un Accord de Traitement des Données (DPA) bilingue est disponible en anglais et français, tous deux mis à jour en mai 2025. L'APD couvre les exigences de l'Article 28 RGPD, spécifie la liste des sous-traitants, gouverne les transferts de données internationaux via les CCT, et inclut les obligations de Flowie en matière de notification de violation, assistance aux droits des personnes concernées et suppression des données à la fin du contrat. L'APD peut être contresignée en annexe de l'accord commercial.
Pour demander l'APD : security@flowie.fr ou via /contact?intent=security.
Certification PA française
Flowie a obtenu la certification PA (Plateforme Agréée) en décembre 2025, qualifiant la plateforme pour les workflows de facturation électronique français selon la norme technique XP Z12-014 et le mandat réglementaire 2026. Cette certification est indépendante d'ISO 27001 mais démontre que les pratiques de traitement et de transmission des données de Flowie ont été évaluées par un organisme de certification compétent selon la réglementation fiscale française et de facturation électronique.
Section 11 · FAQ
Questions fréquemment posées.
Flowie est-elle certifiée SOC 2 ?
Non. Nous ne détenons actuellement pas la certification SOC 2 Type II. Nous sommes en cours de préparation d'un programme SOC 2 Type II ciblant l'achèvement au Q3 2026. En interim, nous détenons la certification ISO/IEC 27001:2022 (certificat #122245), une évaluation Cybervadis Mature de 878/1000, et des rapports d'audit Étape 1 et Étape 2 disponibles sous NDA. La certification ISO 27001 couvre substantiellement le même territoire de contrôle de sécurité que les Critères de Services de Confiance SOC 2. Nous fournirons une mise à jour écrite quand le programme SOC 2 se complète.
Où nos données sont-elles stockées ?
Toutes les données client sont stockées dans l'UE. Centre de données primaire : Paris, France, sur le cloud souverain S3NS (partenariat Google et Thales). Centre de données de reprise d'activité : Belgique. Les sauvegardes sont géographiquement redondantes entre la France et la Belgique, stockées séparément des systèmes primaires. Aucune donnée client n'est routée en dehors de l'UE pendant les opérations normales de la plateforme. Pour les 6 sous-traitants situés en dehors de l'UE (SendGrid, Sentry, Intercom, Fivetran, OpenAI, Anthropic), les transferts de données sont gouvernés par les Clauses Contractuelles Types. La liste complète des sous-traitants avec mécanismes de transfert est à /trust/subprocessors.
Vous ré-entraînez les modèles IA sur nos données ?
Non. Les trois sous-traitants IA que Flowie utilise — OpenAI, Mistral AI et Anthropic — sont contractuellement engagés à zéro ré-entraînement avec les données soumises via leurs API d'entreprise. Vos données de facturation ne contribuent pas à l'entraînement ou à l'affinage de modèle. En outre, les sous-traitants IA ne reçoivent que des champs texte descriptif. Les montants financiers, les IBAN et les numéros de compte sont supprimés à la couche préparation des données et jamais envoyés à aucun fournisseur IA. Les engagements contractuels sont disponibles pour examen sous NDA.
Quel est votre temps de réponse aux incidents ?
Les incidents de Sévérité 1 (critique) déclenchent une notification immédiate du client et une réponse dédiée en salle de crise de notre équipe de sécurité 24h/24, 7j/7. Pour les incidents impliquant des données personnelles, notre Plan de Réponse aux Incidents RGPD impose une notification du client dans les 72 heures à partir du moment où Flowie a connaissance de l'incident, conforme à l'Article 33 RGPD. ⚠️ À VALIDER : les SLA spécifiques par niveau de gravité (S2/S3/S4) sont documentés dans notre Plan de Réponse aux Incidents, disponible sous NDA — confirmez avec l'équipe de sécurité avant de publier des numéros liés au temps spécifiques. Les engagements de disponibilité du service sont documentés séparément dans notre SLA.
Quelle est votre norme de chiffrement ?
Les données au repos sont chiffrées avec AES-256. Les données en transit utilisent TLS 1.2 minimum, avec TLS 1.3 préféré. Les opérations de clés asymétriques utilisent RSA avec une longueur de clé minimale de 2048 bits ou ECC avec une longueur de clé minimale de 256 bits. Les normes cryptographiques suivent les directives NIST et sont documentées dans la Politique de Cryptographie de Flowie, partie de l'ensemble de 14 politiques ISMS disponible sous NDA.
Comment gérez-vous l'accès pour les ex-employés ?
La révocation d'accès suit un processus JML (Arrivée-Mobilité-Départ) formel. Quand un contrat d'employé se termine — peu importe si le départ est planifié ou immédiat — l'accès à tous les systèmes production, outils internes et environnements client est révoqué. La procédure JML est liée aux événements de fin de contrat RH, pas à une checklist ad-hoc. Les comptes de service et les jetons API associés à un employé qui se retire sont aussi renouvelés. Le processus JML est gouverné par la Politique de Sécurité des Ressources Humaines de Flowie et la Politique de Contrôle d'Accès, tous deux disponibles sous NDA.
Vos sous-traitants sont-ils certifiés ?
Oui, tous les 9 sous-traitants nommés détiennent des certifications de sécurité indépendantes. GCP/S3NS détient ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II, et certification SecNumCloud de l'ANSSI. Auth0 (Okta) détient ISO 27001 et SOC 2 Type II. OpenAI détient SOC 2 Type II. Mistral AI est conforme RGPD avec résidence complète des données UE. Anthropic détient SOC 2 Type II. La liste complète des sous-traitants avec certifications, détails de résidence des données, et mécanismes de transfert est à /trust/subprocessors.
Pouvez-vous partager votre rapport d'audit complet ?
Oui, sous NDA. Rapport d'audit Étape 1, rapport d'audit Étape 2, fiche de conclusions Étape 1, fiche de conclusions Étape 2, rapport d'audit interne (2023), rapport d'analyse Detectify, et rapport exécutif Cybervadis (878/1000) sont tous en dossier et disponibles aux prospects et clients qualifiés sous une NDA signée. Pour demander l'accès, contactez security@flowie.fr ou soumettez une demande à /contact?intent=security. ⚠️ À VALIDER : confirmez le SLA de réponse pour les demandes de dossier de sécurité avec l'équipe ops avant de publier un nombre spécifique.
Comment signaler une vulnérabilité de sécurité ?
Envoyez un email à security@flowie.fr avec une description de la vulnérabilité, le composant affecté, les étapes pour reproduire si possible, et vos coordonnées de suivi. Nous accusons réception promptement et fournissons des mises à jour régulières au fur et à mesure que nous trions et remédie. Nous coordonnons les délais de correction avec le rapporteur et suivons les principes de divulgation responsable de vulnérabilités. Nous ne poursuivons pas en justice les recherches de sécurité de bonne foi. Un programme formel public de signalement de vulnérabilités est prévu pour le Q3 2026.
Quel est votre calendrier de test d'intrusion ?
Nous effectuons un test d'intrusion indépendant annuel. Le test couvre les vulnérabilités au niveau application, les mécanismes d'authentification, les points de terminaison API, et la configuration de l'infrastructure. Le fournisseur de test spécifique et les dates de test les plus récentes sont divulgués sous NDA comme partie du dossier de sécurité complet — les retenir de la page publique réduit l'asymétrie d'information avec d'éventuels adversaires. Les conclusions critiques et de haute gravité de chaque test sont remédiées avant que le rapport ne soit déposé. Les rapports de test complets incluant les conclusions, les scores CVSS et les preuves de correction sont disponibles sous NDA.
Vérifiez, ne faites pas que faire confiance.
Demandez le dossier de sécurité complet — certificat ISO 27001, rapports d'audit Étape 1 et Étape 2, rapport exécutif Cybervadis, résumé pentest, DPA RGPD et extraits de politique ISMS — tous disponibles sous NDA.
ISO 27001
RGPD
CyberVadis
PA Certifié
Peppol
Ou signaler directement une vulnérabilité de sécurité : security@flowie.fr