Déclaration des bonnes pratiques en sécurité informatique
Les pratiques de sécurité appliquées par LS2 Innovation à ses produits et à ses opérations.
Dernière mise à jour : avril 2026
1. Gouvernance de la sécurité
LS2 Innovation maintient un cadre de sécurité informatique aligné sur les normes ISO 27001 et les exigences de la Loi 25 du Québec. Le cadre est revu annuellement et après tout incident significatif.
2. Gestion des accès
- Authentification multifacteur obligatoire pour tout accès aux environnements de production et aux données clients.
- Principe du moindre privilège — chaque employé a uniquement les accès nécessaires à son rôle.
- Révision trimestrielle des accès pour détecter et retirer les droits obsolètes.
- Journalisation centralisée des connexions et des actions administratives (voir Politique de consignation).
3. Chiffrement
Toutes les données clients sont chiffrées :
- Au repos — AES-256 pour les bases de données et les stockages d'objets.
- En transit — TLS 1.2 minimum pour toutes les connexions réseau, TLS 1.3 lorsque disponible.
- Les clés de chiffrement sont gérées dans un coffre-fort à HSM avec rotation automatique.
4. Protection des données clients
Les données des institutions clientes (Teaméo, Classéo, Calendo) restent dans le tenant Microsoft 365 ou l'instance Moodle de l'institution. Nos produits lisent et écrivent dans ces environnements mais n'entreposent pas de copie persistante de données étudiantes à l'extérieur.
5. Développement sécurisé
- Revue de code obligatoire avant toute mise en production.
- Analyse statique et dépendances scannées automatiquement à chaque build.
- Tests de pénétration annuels par une firme tierce indépendante.
- Pipeline CI/CD avec séparation stricte des environnements dev / staging / prod.
6. Gestion des incidents
Nous maintenons un plan de réponse aux incidents de sécurité avec :
- Notification aux clients affectés dans les 72 heures suivant la confirmation d'un incident.
- Rapport post-mortem public pour tout incident de sécurité majeur.
- Coordination avec la Commission d'accès à l'information du Québec si requis par la Loi 25.
7. Sensibilisation et formation
Tous les employés de LS2 reçoivent une formation en sécurité informatique annuelle obligatoire, incluant des simulations d'hameçonnage. Les employés ayant accès aux données clients reçoivent une formation supplémentaire sur la Loi 25 et les obligations de confidentialité contractuelles.
8. Contact
Pour signaler une vulnérabilité ou poser une question de sécurité : info@ls2.io (mentionnez « Sécurité » dans l'objet).