Sécurité

Les sites Web produits avec Osuny sont des sites précompilés, générés avec Hugo (lien externe). Cela signifie qu'il n'y a ni langage serveur, ni base de données, mais juste un ensemble de fichiers HTML, CSS et JS à héberger. On utilise un serveur NGINX ou Apache pour servir les fichiers, au sein de l'infrastructure de l'Université ou de l'École. Le site statique ne présente pas de vulnérabilité au niveau applicative, parce qu'il n'y a pas de couche applicative. 

Là où un site produit avec une autre solution nécessite une base de données (Postgresql, Mysql...) et un langage serveur (PHP, Java...), éventuellement un système de cache pour accélérer les traitements, les sites précompilés diminuent l'empreinte écologique et le poids financier de l'hébergement.

Les comptes à privilèges sont techniquement séparés des sites Web, et concernent uniquement l'outil de gestion de contenu (back-office). Cet outil intègre par défaut l'authentification multi-factorielle (MFA), et le respect du règlement général sur la protection des données (RGPD).

Nous surveillons en continu la qualité du code d'Osuny (lien externe) avec l'outil Code Climate. Nous veillons à maintenir la dette technique aussi proche de zéro que possible. Par ailleurs, nous utilisons Github pour déceler en continu les vulnérabilités des composants logiciels (lien externe) que nous utilisons.

Nous avons conçu, développé et nous maintenons la plateforme web Software as a Service (SaaS) B2bylon (lien externe), utilisée par de nombreuses marques de cosmétique (Guerlain, Shiseido, Filorga...). Dans ce contexte, nous avons bénéficié de plusieurs audits de sécurité avec tests de pénétration, qui nous ont permis d'améliorer nos méthodes de développement.