Skip to main content
Ce guide documente les exigences et recommandations de sécurité pour intégrer l’API CaurisFlux.

Principes fondamentaux

  1. Confidentialité des clés : Les clés secrètes ne doivent jamais être exposées
  2. Vérification systématique : Toujours vérifier les signatures webhook
  3. Moindre privilège : N’utiliser que les permissions nécessaires
  4. Traçabilité : Logger les événements de sécurité

Protection des clés API

1. Variables d’environnement

Stockez vos clés dans des variables d’environnement, jamais dans le code :

2. Fichier .gitignore

Assurez-vous que les fichiers sensibles sont ignorés :

3. Gestionnaire de secrets

En production, utilisez un gestionnaire de secrets :
ServiceProvider
AWS Secrets ManagerAWS
Azure Key VaultAzure
Google Secret ManagerGCP
HashiCorp VaultMulti-cloud

4. Rotation régulière

1

Générez une nouvelle clé

Dans le Dashboard, allez dans Paramètres > Clés API
2

Mettez à jour vos variables

Modifiez vos variables d’environnement
3

Déployez les changements

Redéployez votre application
4

Révoquez l'ancienne clé

Une fois le déploiement confirmé, supprimez l’ancienne clé
Planifiez une rotation de vos clés tous les 90 jours.

Sécurisation des webhooks

1. Toujours vérifier la signature

2. Vérifier l’événement avant traitement

3. Idempotence

Traitez chaque webhook une seule fois en utilisant l’identifiant unique :

4. Timeout et retries

Répondez rapidement aux webhooks (< 5 secondes) :

Sécurisation du backend

1. HTTPS uniquement

Utilisez toujours HTTPS pour vos endpoints :
nginx.conf
server {
    listen 443 ssl;
    server_name api.votresite.com;

    ssl_certificate /etc/ssl/certs/certificate.crt;
    ssl_certificate_key /etc/ssl/private/private.key;

    # Redirection HTTP vers HTTPS
    if ($scheme != "https") {
        return 301 https://$server_name$request_uri;
    }
}

2. Rate limiting

Protégez vos endpoints avec du rate limiting :

3. Validation des entrées

Validez toujours les données reçues :

Sécurisation du frontend

1. Clé publique uniquement

N’utilisez que la clé publique côté client :

2. Content Security Policy

Configurez CSP pour autoriser uniquement CaurisFlux : 
<meta http-equiv="Content-Security-Policy"
  content="
    default-src 'self';
    script-src 'self' https://js.caurisflux.com;
    frame-src 'self' https://pay.caurisflux.com;
    connect-src 'self' https://prod-api.caurisflux.com;
  "
>

3. Protection CSRF

Utilisez des tokens CSRF pour vos formulaires :

Logs et monitoring

1. Logger les événements importants

2. Alertes en temps réel

Configurez des alertes pour :
  • Échecs d’authentification répétés
  • Signatures webhook invalides
  • Erreurs de paiement anormales
  • Taux d’échec élevé

3. Audit trail

Conservez un historique des actions sensibles :

Checklist de sécurité

Avant de passer en production, vérifiez :

Support

Si vous suspectez une faille de sécurité, contactez immédiatement :
En cas de clé compromise, régénérez-la immédiatement depuis le Dashboard.