Réserver une démo
Document B2B.03 · Centre légal

Charte sécurité.

Mesures techniques et organisationnelles que nous mettons en place pour protéger les données et les équipements Neolia. Document vivant, mis à jour quand nos pratiques évoluent. Audité chaque année par un tiers indépendant.

Version2026.1
Dernière revue15 janvier 2026
Dernier pentestQ4 2025
RéférentielISO 27001 (en cours), OWASP ASVS L2

01Principes directeurs

Neolia opère une infrastructure qui touche à des éléments sensibles du logement : qui ouvre la porte, qui sonne à l'interphone, comment l'énergie est consommée. Nous traitons la sécurité comme une feature produit, pas comme une couche de conformité ajoutée après coup. Cinq principes guident nos décisions :

  • Privacy & security by design — chaque feature est conçue avec le seuil de données minimum.
  • Moindre privilège — partout : humains, services, microservices, équipements.
  • Defense in depth — pas de point unique de défaillance, plusieurs couches indépendantes.
  • Zero trust — chaque requête est authentifiée et autorisée, y compris à l'intérieur du périmètre.
  • Souveraineté suisse — données et opérations de production en Suisse, par défaut.

02Hébergement et localisation

L'infrastructure de production est hébergée chez deux fournisseurs suisses indépendants, dans des datacentres situés en Suisse romande et en Suisse alémanique. La séparation géographique permet une bascule transparente en cas de sinistre régional.

Hébergeur principal
Infomaniak Network SA — Genève
Hébergeur secondaire
Exoscale (A1 Telekom) — Genève & Zurich
Datacentres
Tier III ou supérieur, certifiés ISO 27001 et ISO 50001
Localisation données identifiantes
100 % Suisse
Réplication
Synchrone intra-DC, asynchrone inter-DC

03Chiffrement

CoucheAlgorithme
Transit web (HTTPS)TLS 1.3, suites AEAD uniquement, HSTS preload
API mobile (app résident)TLS 1.3 + certificate pinning
Flux audio/vidéo interphoneSRTP avec DTLS, clés rotatives par appel
Liaison équipement ↔ backendmTLS 1.3, certificats émis par PKI privée Neolia
Bases de données au reposAES-256-GCM, clés rotatives 90 jours
Stockage objet (snapshots, exports)AES-256, chiffrement par enveloppe
SauvegardesAES-256, clés distinctes du stockage primaire
Mots de passe résidentArgon2id, paramètres OWASP 2024

04Gestion des accès

Côté Neolia (collaborateurs)

  • Authentification SSO d'entreprise + 2FA matérielle (clé FIDO2) obligatoire pour la production.
  • Accès à la production limité à un cercle restreint (3 personnes au moment de la dernière revue), avec rotation et journalisation immuable.
  • Aucun accès direct aux données identifiantes en clair pour le développement : environnements pré-production sur jeux de données pseudonymisées.
  • Revue trimestrielle des accès, off-boarding sous 4 heures.

Côté Client (régies)

  • 2FA obligatoire (TOTP ou WebAuthn). SSO entreprise (SAML 2.0, OIDC) sur demande.
  • Profils granulaires (admin, technique, support) avec audit complet des actions sensibles.

Côté résident

  • Mot de passe + 2FA SMS optionnel (recommandé), passkeys (WebAuthn) en cours de déploiement.
  • Détection des connexions inhabituelles (nouveau device, géo) avec confirmation par email.

05Sécurité des équipements physiques

  • Boot vérifié sur les contrôleurs et le panneau d'interphone : chaîne de confiance ancrée dans un secure element.
  • Firmware signé : aucune mise à jour non signée n'est exécutée. Rollback automatique en cas d'échec d'intégrité.
  • Communications mTLS entre l'équipement et le backend, jamais de port ouvert sortant ni entrant à un service tiers.
  • Détection d'ouverture du boîtier : événement remonté en temps réel à la régie.
  • Mode dégradé local : en cas de coupure réseau, l'interphonie inter-résidents reste fonctionnelle hors-ligne pendant au moins 24 heures.

06Cycle de développement sécurisé

  • Code review obligatoire avec deux validateurs sur les modules critiques (auth, accès, paiement).
  • Analyse statique (SAST), analyse de dépendances (SCA) et scan de secrets sur chaque pull request.
  • Pipelines de déploiement immuables, infrastructure-as-code versionnée.
  • Aucune donnée de production ne sort des environnements de production. Pas de copie sur poste de travail.
  • Modèle de menace formalisé pour chaque feature touchant aux accès, à la vidéo ou aux paiements.

07Tests de sécurité & bug bounty

  • Pentest externe annuel par un cabinet indépendant suisse — rapport synthétique disponible sous NDA.
  • Bug bounty privé auprès de chercheurs de sécurité européens, périmètre incluant le site, l'app, le backend et les équipements.
  • Scans automatisés en continu (DAST sur les endpoints exposés, SCA sur les dépendances).
  • Tests de charge trimestriels pour valider la résistance aux pics et aux abus.

08Continuité et sauvegardes

IndicateurCible
RPO (perte maximale acceptable)1 heure pour les données critiques
RTO (temps maximal de reprise)4 heures pour les services critiques
SauvegardesQuotidiennes complètes, incrémentales horaires
Rétention des sauvegardes30 jours en ligne, 12 mois en archive froide
Réplication géographiqueRomandie ↔ Alémanique
Test de restaurationTrimestriel, documenté, sur jeu réel
Plan de continuitéDocumenté, exercice annuel sans préavis

09Gestion d'incident

Notre processus d'incident s'appuie sur un schéma Detect → Contain → Eradicate → Recover → Learn, avec une cellule de crise activable en moins d'une heure. Chaque incident donne lieu à un post-mortem partagé en interne, et à un résumé public si l'impact dépasse un cercle restreint.

Notification

  • Clients (régies) : notification dans l'heure suivant la confirmation, par email du compte technique et alerte sur le portail régie.
  • Personnes concernées : si la violation présente un risque élevé, notification individuelle avec recommandations pratiques.
  • PFPDT / autorités : notification dans les délais de l'art. 24 nLPD et de l'art. 33 RGPD.

10Divulgation responsable

Si vous avez identifié une vulnérabilité dans nos services, nous vous remercions de nous la signaler de manière coordonnée.

security@neolia.ch

Envoyez votre rapport à security@neolia.ch, idéalement chiffré avec notre clé PGP publique. Décrivez la vulnérabilité, sa reproduction et son impact estimé.

Nos engagements : accusé de réception sous 48 heures, premier diagnostic sous 5 jours, correctif aligné sur la criticité, mention publique avec votre accord, et — pour les vulnérabilités significatives — une récompense via notre programme bug bounty privé.

Règles du jeu

  • Pas d'attaque sur des données réelles (utilisez les comptes de test fournis sur demande).
  • Pas de DoS, pas d'ingénierie sociale visant nos collaborateurs ou partenaires.
  • Pas de divulgation publique avant correctif ou avant 90 jours, sauf exposition active.

11Certifications et référentiels

  • ISO/IEC 27001 : démarche de certification engagée, audit blanc planifié au S2 2026.
  • OWASP ASVS niveau 2 : référentiel applicatif appliqué au site et à l'app.
  • BSI / NCSC Cyber Essentials : alignement opérationnel.
  • SUVA / OFEN : conformité électrique pour le matériel installé en immeuble.

Les attestations et rapports synthétiques sont fournis aux Clients sur demande, sous NDA.