Sécurité Noryo

On parle ouvertement de ce qu'on protège. Et comment.

Pas de discours abstrait. Chaque mécanisme listé ci-dessous est implémenté dans le code de Noryo, documenté, et nous pouvons en parler ouvertement à quiconque le demande.

Ce qu'on protège

Dix mécanismes concrets, vérifiables dans le code.

Chaque protection ci-dessous est implémentée et active aujourd'hui. Pas une roadmap, pas un slogan.

Hébergement

Hébergement souverain français

Vos documents sont stockés à Paris, sur Scaleway, infrastructure française soumise au droit français. Pas un serveur sur le sol américain comme la plupart des fintech.

Connexion bancaire

PSD2 en lecture seule, partenaire agréé ACPR

La connexion à votre banque passe par Atto, prestataire agréé par l'Autorité de Contrôle Prudentiel. Vos identifiants ne quittent jamais le site de votre banque, et Noryo n'a qu'un accès en lecture aux données autorisées.

Transport

TLS 1.3, HSTS preload, CSP stricte

Toutes les connexions à noryo.fr sont chiffrées en TLS 1.3 avec HSTS preload (un an, inclus dans la liste préchargée des navigateurs) et une politique de sécurité de contenu qui bloque les attaques par injection et iframe-jacking.

Stockage

URLs de téléchargement à usage unique signées cryptographiquement

Chaque document que vous téléchargez est servi via une URL signée AWS Signature V4, valable quelques minutes seulement. Aucune clé d'accès au stockage n'est exposée à votre navigateur.

Autorisation

Triple vérification d'accès à vos documents

Avant de servir un document, Noryo vérifie trois fois : l'authentification Supabase, la politique RLS au niveau base, et le préfixe physique du chemin du fichier. Même si quelqu'un devinait un identifiant, l'accès serait refusé.

Webhook bancaire

Notifications bancaires authentifiées par signature

Quand votre banque envoie une notification à Noryo, elle est authentifiée par un JWT signé HS256 vérifié en temps constant. Un identifiant unique par évènement empêche tout rejeu, et les IPs source sont filtrées sur la liste d'autorisation Atto.

iOS

Verrouillage biométrique Face ID natif

Sur iPhone, Noryo se verrouille avec Face ID ou Touch ID à chaque lancement. Vos données ne sont visibles qu'avec votre visage ou votre empreinte.

Stockage iOS

Secrets dans le Secure Enclave Apple

Sur iPhone, vos jetons de session sont stockés dans le Keychain partagé d'Apple, protégé par le Secure Enclave (puce A12 et supérieures). Inaccessibles même sur un téléphone modifié sans votre code de déverrouillage.

Sync multi-appareils

Synchronisation chiffrée AES-256 GCM

Quand vous vous reconnectez sur un autre appareil, votre session transite chiffrée en AES-256 GCM, le standard utilisé par les banques pour leurs propres communications internes.

Isolation

Isolation des données au niveau base

Chaque ligne de la base est filtrée au niveau du moteur Postgres avec une politique RLS individuelle. Même un bug dans le code ne pourrait pas exposer les données d'un autre utilisateur.

Ce qu'on dit aussi

Aucune fintech n'est invulnérable. On le sait.

Promettre une sécurité absolue serait mentir. Ce que vous trouvez ci-dessus, ce sont les mécanismes en place et qu'on peut documenter. Si vous découvrez une faille ou un comportement louche, contactez-nous à security@noryo.fr.

Sur quelques sujets précis, nous sommes en train de durcir : pinning de certificats sur iOS (en mode collecte), authentification à deux facteurs (TOTP, optionnelle, déjà disponible dans les paramètres), et certifications externes (ISO 27001, SOC 2) sur lesquelles nous travaillerons à mesure que nous grandirons.

Notre engagement : continuer à publier ces évolutions ici, plutôt que sur une page commerciale vague. Vous saurez ce qu'on protège, et comment.