Hébergement
Hébergement souverain français
Vos documents sont stockés à Paris, sur Scaleway, infrastructure française soumise au droit français. Pas un serveur sur le sol américain comme la plupart des fintech.
Pas de discours abstrait. Chaque mécanisme listé ci-dessous est implémenté dans le code de Noryo, documenté, et nous pouvons en parler ouvertement à quiconque le demande.
Ce qu'on protège
Chaque protection ci-dessous est implémentée et active aujourd'hui. Pas une roadmap, pas un slogan.
Hébergement
Vos documents sont stockés à Paris, sur Scaleway, infrastructure française soumise au droit français. Pas un serveur sur le sol américain comme la plupart des fintech.
Connexion bancaire
La connexion à votre banque passe par Atto, prestataire agréé par l'Autorité de Contrôle Prudentiel. Vos identifiants ne quittent jamais le site de votre banque, et Noryo n'a qu'un accès en lecture aux données autorisées.
Transport
Toutes les connexions à noryo.fr sont chiffrées en TLS 1.3 avec HSTS preload (un an, inclus dans la liste préchargée des navigateurs) et une politique de sécurité de contenu qui bloque les attaques par injection et iframe-jacking.
Stockage
Chaque document que vous téléchargez est servi via une URL signée AWS Signature V4, valable quelques minutes seulement. Aucune clé d'accès au stockage n'est exposée à votre navigateur.
Autorisation
Avant de servir un document, Noryo vérifie trois fois : l'authentification Supabase, la politique RLS au niveau base, et le préfixe physique du chemin du fichier. Même si quelqu'un devinait un identifiant, l'accès serait refusé.
Webhook bancaire
Quand votre banque envoie une notification à Noryo, elle est authentifiée par un JWT signé HS256 vérifié en temps constant. Un identifiant unique par évènement empêche tout rejeu, et les IPs source sont filtrées sur la liste d'autorisation Atto.
iOS
Sur iPhone, Noryo se verrouille avec Face ID ou Touch ID à chaque lancement. Vos données ne sont visibles qu'avec votre visage ou votre empreinte.
Stockage iOS
Sur iPhone, vos jetons de session sont stockés dans le Keychain partagé d'Apple, protégé par le Secure Enclave (puce A12 et supérieures). Inaccessibles même sur un téléphone modifié sans votre code de déverrouillage.
Sync multi-appareils
Quand vous vous reconnectez sur un autre appareil, votre session transite chiffrée en AES-256 GCM, le standard utilisé par les banques pour leurs propres communications internes.
Isolation
Chaque ligne de la base est filtrée au niveau du moteur Postgres avec une politique RLS individuelle. Même un bug dans le code ne pourrait pas exposer les données d'un autre utilisateur.
Ce qu'on dit aussi
Promettre une sécurité absolue serait mentir. Ce que vous trouvez ci-dessus, ce sont les mécanismes en place et qu'on peut documenter. Si vous découvrez une faille ou un comportement louche, contactez-nous à security@noryo.fr.
Sur quelques sujets précis, nous sommes en train de durcir : pinning de certificats sur iOS (en mode collecte), authentification à deux facteurs (TOTP, optionnelle, déjà disponible dans les paramètres), et certifications externes (ISO 27001, SOC 2) sur lesquelles nous travaillerons à mesure que nous grandirons.
Notre engagement : continuer à publier ces évolutions ici, plutôt que sur une page commerciale vague. Vous saurez ce qu'on protège, et comment.