Compte-rendu d'audit Infoclip
CRM Artisan · Template métier 1arc
1 Ce qui a été vérifié
- Sécurité applicative — toutes les requêtes paramétrées (pas d'injection SQL), validation serveur stricte sur /__api/db avant écriture, pas de commande shell exposée.
- Authentification & autorisation — hash bcrypt côté plateforme, cookies HttpOnly + Secure + SameSite=Lax, rate-limit 5 fails / 5 min, vérification d'ownership sur chaque ressource (les clients de l'utilisateur A ne sont jamais accessibles à B).
- Secrets — aucune clé API en clair dans le code, scan gitleaks vert, .env hors repository.
- Headers HTTP de sécurité — CSP par défaut, X-Frame-Options DENY, X-Content-Type-Options nosniff, HSTS sur le domaine 1arc.app.
- RGPD — pas de PII en clair côté client, pas de localStorage avec données sensibles, droit à l'effacement et portabilité via les endpoints /api/export-my-data et DELETE compte.
- Performance — LCP < 1,5 s sur 3G simulé, requêtes optimisées (pas de N+1), gestion d'erreurs propre avec fallback UI.
- Accessibilité (WCAG AA) — alt text complet, navigation clavier fluide, focus visible, contraste 4,5:1 minimum, HTML sémantique correct.
- Responsive — vérifié sur mobile (375 px), tablette (768 px) et desktop (1280 px) sans régression.
2 Observations & recommandations
OBSERVATION
Performance — pagination
Pagination non implémentée — acceptable jusqu'à ~500 clients. À ajouter en V2 pour les volumes plus élevés (LIMIT/OFFSET côté DB et virtualisation côté UI).
OBSERVATION
Métier — export PDF
Pas d'export PDF des fiches clients ni des interventions. À ajouter via jsPDF ou puppeteer côté serveur si demandé. Non bloquant pour la mise en production.
OK
Synthèse
Template approuvé pour mise en production immédiate. Badge « Audité Infoclip » activé. Réaudits recommandés à chaque évolution majeure (ajout de collection, changement de modèle de données, intégration externe).
3 Engagement de responsabilité
Cet outil a été audité par un ingénieur Infoclip avant sa mise à disposition comme template 1arc. Il est livré tel quel, mais Infoclip s'engage à corriger toute régression de sécurité ou de conformité identifiée sur la base auditée pendant la durée d'abonnement du client. En cas d'évolution apportée par le client via Claude, un nouvel audit est recommandé avant remise en production publique.
Audité par Infoclip
Infoclip est une ESN française fondée à La Rochelle, opérant des systèmes d'information critiques pour plus de 500 clients depuis 1991. Nous engageons notre nom sur chaque audit livré.
Équipe Audit Infoclip
audit-1arc@infoclip.fr · La Rochelle, France