Sécurité

Judi-Expert est conçu avec la sécurité comme priorité absolue pour protéger les données sensibles d'expertise judiciaire.

🔒 Isolation réseau de l'application locale

Les conteneurs IA (LLM, OCR, RAG) fonctionnent dans un réseau Docker interne sans aucun accès à Internet. Les données d'expertise ne peuvent physiquement pas fuiter vers l'extérieur, même en cas de compromission d'un conteneur ou de présence d'un logiciel malveillant sur le PC.

Seul le backend communique avec le Site Central pour la vérification des tickets d'activation. Aucune donnée d'expertise ne transite par cette connexion.

🛡️ Chiffrement des données

  • Au repos : BitLocker (Windows 11 Pro) ou FileVault (macOS) obligatoire
  • En transit : HTTPS/TLS 1.3 pour les communications avec le Site Central
  • Intégrité : hash SHA-256 de l'archive finale de chaque dossier

🏗️ Intégrité des conteneurs

  • Images Docker épinglées par version (pas de tag latest en production)
  • Images personnalisées construites localement depuis le code source
  • Images tierces (Ollama, Qdrant) depuis les registres officiels Docker Hub
  • Scan de vulnérabilités via AWS ECR en production

🤖 IA locale et souveraine

Le modèle d'IA (Mistral 7B) tourne entièrement en local sur le PC de l'expert via Ollama. Aucune requête n'est envoyée à un service cloud d'IA (OpenAI, Google, etc.). Le modèle est open-source (licence Apache 2.0) et auditable.

🔐 Authentification

  • Site Central : AWS Cognito (OAuth 2.0 / OpenID Connect), MFA recommandé
  • Application locale : JWT local (HS256) avec vérification via le Site Central
  • Pas de stockage de mot de passe en local

📋 Conformité

  • RGPD : données traitées localement, droit à l'effacement, minimisation des données
  • AI Act européen : IA comme assistant, validation humaine à chaque étape
  • Expertise judiciaire : traçabilité, horodatage, hash d'intégrité

🏢 Sécurité du Site Central (AWS)

  • Hébergement AWS (ECS Fargate, RDS PostgreSQL) en région eu-west-3 (Paris)
  • HTTPS obligatoire via CloudFront + certificat ACM
  • Base de données chiffrée au repos (AES-256)
  • Secrets gérés via AWS Secrets Manager
  • Paiements sécurisés via Stripe (PCI DSS)
  • Protection anti-bot : reCAPTCHA sur les formulaires
  • Logs et monitoring via CloudWatch