Plan de réponse aux incidents
Dernière mise à jour : 1er juillet 2026 · Version 1.0 · Usage interne et public
Engagement Nunya Academy : En cas de violation de données personnelles, nous nous engageons à notifier les utilisateurs concernés dans un délai maximum de 72 heures, conformément au RGPD européen et aux réglementations applicables dans tous les pays où nous opérons.
1. Définition d'un incident
Un incident de sécurité est tout événement qui compromet ou est susceptible de compromettre la confidentialité, l'intégrité ou la disponibilité des données personnelles des utilisateurs de Nunya Academy.
Exemples d'incidents :
- Accès non autorisé à la base de données
- Vol ou fuite de données utilisateurs
- Attaque par ransomware sur nos serveurs
- Exposition accidentelle de clés API
- Compromission du compte SuperAdmin
- Perte de disponibilité prolongée de la plateforme (plus de 24h)
2. Procédure de réponse — Chronologie
Détection et confinement immédiat
- Identifier la nature et l'étendue de l'incident
- Couper immédiatement l'accès compromis (révoquer clés API, suspendre comptes)
- Documenter l'heure et la nature de l'incident
- Contacter support@nunya.academy pour déclencher la procédure
Évaluation et notification interne
- Évaluer le nombre d'utilisateurs affectés
- Identifier les données compromises (emails, mots de passe, données de progression)
- Préparer la communication aux utilisateurs
- Consulter un expert juridique si nécessaire
Notification obligatoire
- Notifier les utilisateurs affectés par email via Resend
- Notifier la CNIL (si utilisateurs européens affectés) — cnil.fr
- Notifier les autorités gabonaises compétentes
- Publier un avis sur nunya.academy si l'incident est majeur
Remédiation et rapport final
- Corriger la faille de sécurité
- Renforcer les mesures de sécurité
- Documenter les leçons apprises
- Mettre à jour le présent plan si nécessaire
3. Contacts en cas d'incident
- Responsable sécurité Nunya Academy : support@nunya.academy
- CNIL (France) : notifications@cnil.fr — cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
- Supabase (hébergeur) : security@supabase.io
- Cloudflare (CDN/DDoS) : cloudflare.com/abuse
4. Communication aux utilisateurs
En cas de violation de données, le message envoyé aux utilisateurs affectés contiendra :
- La nature de l'incident et les données potentiellement concernées
- Les mesures prises par Nunya Academy pour contenir l'incident
- Les actions recommandées pour les utilisateurs (changer mot de passe, etc.)
- Un contact direct pour toute question : support@nunya.academy
Important : Nunya Academy ne demandera JAMAIS votre mot de passe par email. Si vous recevez un email suspects prétendant venir de Nunya Academy et demandant vos identifiants, ne cliquez pas et signalez-le à support@nunya.academy.
5. Prévention
- Audit de sécurité trimestriel des accès et configurations
- Rotation des clés API tous les 6 mois
- Backup manuel hebdomadaire des données critiques
- Veille sur les vulnérabilités des dépendances (npm audit)
- Test de pénétration annuel prévu dès que le budget le permet