Documentation

Sécurité de vos applications

Protégez vos applications grâce aux scanners de sécurité, à la gestion des secrets et aux bonnes pratiques intégrées

Mis à jour le 28 mars 2026

Vue d'ensemble

Index10 intègre des outils de sécurité pour vous aider à identifier les points d'attention courants dans vos applications — du code source à la base de données en passant par le déploiement.

Important : ces outils sont fournis à titre indicatif pour vous aider à détecter des problèmes de sécurité courants, mais ils ne peuvent pas garantir une sécurité complète de votre application. Pour les applications traitant des données sensibles ou des fonctionnalités critiques, nous recommandons de faire appel à un audit de sécurité professionnel complémentaire. Vous restez responsable de la sécurité de votre application et des données de vos utilisateurs.

Scan du code

Détecte les secrets exposés et les fichiers sensibles

Scan de la BDD

Vérifie les politiques de sécurité et les accès

Protection déploiement

Bloque la publication si un risque est détecté

Scan du code

Le scanner de code analyse automatiquement tous les fichiers de votre projet pour détecter :

  • Secrets en clair — clés API, tokens, mots de passe codés en dur dans le code source
  • Fichiers sensibles — fichiers .env, clés privées, certificats exposés
  • Patterns dangereux — utilisation de credentials dans le code frontend

Gravité des alertes

CriticalSecret exposé publiquement — bloque le déploiement
HighFichier sensible accessible — correction fortement recommandée
MediumPattern suspect détecté — vérification suggérée
LowAmélioration de sécurité possible

Scan de la base de données

Si votre projet utilise Index10 Cloud, un scanner dédié vérifie la configuration de votre base de données :

  • Row Level Security (RLS) — vérifie que chaque table a des politiques de sécurité actives
  • Exposition auth.users — détecte si la table des utilisateurs est accessible publiquement
  • Données sensibles — identifie les colonnes pouvant contenir des informations personnelles non protégées

Correction via l'IA :lorsque des problèmes sont détectés, vous pouvez cliquer sur le bouton de correction. Cela envoie automatiquement un message à l'IA dans le chat avec la liste de tous les problèmes identifiés, et l'IA tente de les corriger pour vous. Vous pouvez aussi décrire manuellement le problème dans le chat pour demander une correction.

Gestion des secrets

Les secrets (clés API, tokens d'accès, mots de passe de services) ne doivent jamais être écrits directement dans votre code. Index10 fournit un coffre-fort de secrets sécurisé :

Fonctionnement

1Activez Index10 Cloud pour votre projet
2Rendez-vous dans l'onglet Cloud > Secrets de votre projet
3Ajoutez vos secrets (clé = nom, valeur = secret)
4L'IA et votre application accèdent aux secrets de façon sécurisée

Important :les secrets stockés dans le coffre-fort ne sont jamais visibles dans le code source ni dans les fichiers de votre projet. Ils sont injectés de manière sécurisée au moment de l'exécution.

Sécurité des données (RLS)

Row Level Security(RLS) est un mécanisme qui garantit que chaque utilisateur de votre application ne voit que ses propres données. Par exemple, un utilisateur ne pourra pas consulter les commandes d'un autre.

Lorsque l'IA crée des tables dans votre base de données, elle active automatiquement RLS et génère les politiques de sécurité appropriées. Vous pouvez demander à l'IA de modifier ces politiques si nécessaire.

Vérifications au déploiement

Avant chaque publication, Index10 effectue des vérifications de sécurité automatiques. Si un problème critique est détecté, le déploiement est bloqué jusqu'à sa résolution.

VérificationImpact
Secrets détectés dans le codeBloque le déploiement
Tables sans RLS actifAvertissement affiché
Fichiers .env exposésBloque le déploiement
Headers de sécurité manquantsAvertissement affiché

Protection des mots de passe

Si votre application utilise l'authentification par e-mail et mot de passe, Index10 intègre une vérification Have I Been Pwned (HIBP) qui alerte vos utilisateurs si leur mot de passe a été compromis dans une fuite de données.

Recommandations

Ne codez jamais de secrets en dur

Utilisez toujours le coffre-fort de secrets d'Index10 Cloud.

Activez RLS sur chaque table

L'IA le fait automatiquement, mais vérifiez toujours si vous créez des tables manuellement.

Lancez un scan avant chaque publication

Le scanner intégré détecte les problèmes que vous pourriez ignorer.

Activez l'authentification

Si votre app gère des données utilisateurs, protégez-les avec un système de connexion.

Vérifiez les permissions

Assurez-vous que les données sensibles ne sont accessibles qu'aux utilisateurs autorisés.

Les scanners de sécurité d'Index10 sont des outils d'aide à la détection. Ils ne remplacent pas un audit de sécurité professionnel. Pour les applications manipulant des données personnelles, des paiements ou des informations sensibles, nous vous recommandons fortement de faire réaliser un audit complémentaire par un professionnel de la sécurité.