Woop Logo

Sécurité, Conformité & Résilience

Nos engagements pour une architecture au rendez vous de vos enjeux métiers.

En bref.

Ce document constitue une synthèse des mesures techniques et organisationnelles mises en œuvre par Woop. Les documents de référence détaillés (PSSI, PRA, Rapports d'audit, Architectures détaillées) sont consultables sur demande, conditionnés à la signature d'un accord de confidentialité (NDA).

Chez Woop, la sécurité n'est pas une simple case à cocher, c'est le socle immuable de notre promesse opérationnelle. Dans un monde logistique où chaque minute compte, nous avons bâti une forteresse numérique capable de protéger vos flux les plus critiques.

Pro-activité Totale

Une surveillance métier et technique 24/7 qui nous permet souvent d'identifier et de résoudre une anomalie avant même que vos équipes ne la détectent.

Isolation Maximale

Vos données ne sont pas seulement stockées, elles sont chiffrées avec une clé qui vous est exclusivement dédiée, rendant tout accès croisé impossible.

Liberté de la Donnée

Pas de "Vendor Lock-in". Votre donnée est enrichie, disponible en temps réel via API, et sa réversibilité est garantie contractuellement.

Résilience Éprouvée

Face aux pires scénarios, nous nous engageons contractuellement sur un redémarrage rapide (RTO < 4h) pour minimiser l'impact sur votre business.

01. Privacy by Design : Confidentialité et Conformité

En choisissant Woop, vous nous confiez le traitement de données personnelles. Nous prenons ce mandat très au sérieux en adoptant une approche Privacy First.

Rôle et Responsabilité (RGPD)

Dans le cadre du RGPD, vous conservez le rôle de Responsable de Traitement (Data Controller) tandis que Woop agit en tant que Sous-traitant (Data Processor). À ce titre, nous ne traitons vos données que sur vos instructions documentées et pour la seule finalité d'exécution du service de livraison.

Chiffrement et Isolation (Clé dédiée - Vault)

Bien que notre architecture soit SaaS multi-tenant, nous appliquons une ségrégation stricte. Nous utilisons un mécanisme de double chiffrement : les données sensibles sont chiffrées avec une clé unique par client, gérée dans un coffre-fort numérique (Vault). Il est techniquement impossible pour un client A d'accéder aux données du client B.

Souveraineté des Données 🇪🇺

Vos données résident exclusivement sur Google Cloud Platform (GCP) dans la région Europe-West (Belgique & France). Nous garantissons ainsi la conformité RGPD et la souveraineté des données, sans transfert hors UE.

Sous-traitance Maîtrisée

Nous ne travaillons qu'avec des partenaires de confiance (ex: Mailjet, Link Mobility, Brevo, Vonage, Here Technologies, ... ), tous audités et conformes aux exigences européennes.

Droit à l'oubli

La rétention des données est paramétrable (ex: 3 ans max) et nous garantissons une suppression définitive et sécurisée sous 30 jours après la fin du contrat.

02. Souveraineté et Propriété de la Donnée Client

Au-delà de la sécurité, nous garantissons la pleine souveraineté sur vos informations stratégiques. Chez Woop, la donnée vous appartient : nous ne sommes que le vecteur de son enrichissement.

Restitution Temps Réel

Au cœur de notre philosophie, la donnée traitée par Woop n'est pas captive. Elle est enrichie et vous est renvoyée directement en temps réel via des mécanismes de Webhooks/Callbacks. Votre SI reste ainsi le maître de la donnée à jour.

Accès Analytique Direct

Nous ne vous forçons pas à utiliser nos seuls tableaux de bord. Nous mettons à disposition des API Data spécifiques vous permettant d'accéder directement à vos données analytiques brutes pour alimenter vos propres outils de BI ou Data Lakes.

Réversibilité Garantie

Si notre collaboration venait à se terminer, nous nous engageons contractuellement à assurer une réversibilité complète des données. Vous récupérez l'intégralité de votre historique sans friction technique.

03. Utilisation Sécurisée & Contrôle d'Accès

L'accès à vos données est verrouillé par des mécanismes d'authentification à l'etat de l'art.

Pour vos utilisateurs

  • Authentification Forte (SSO) : Intégration SAML/OIDC avec votre annuaire entreprise recommandée : vos iutilisateurs utilisent le même identifiant que pour ouvrir leur PC. (Azure AD, Google Auth, Okta, ...)
  • Politique de Mots de Passe : 10+ caractères, complexité forcée, hachage avec sallage irréversible.

Pour vos systèmes (API)

  • Sécurisation M2M : Authentification via API Key ou OAuth (Client Credentials).
  • Traçabilité : Chaque appel API est logué et attribué à un compte de service unique.
Pour nos collaborateurs (Woop) : Accès à la production limité au strict nécessaire (Moindre Privilège), tracé, et uniquement via connexion sécurisée (VPN/Bastion).

04. Architecture Technique (vue d'ensemble)

Notre plateforme SaaS agit comme un Hub sécurisé et centralisateur, orchestrant les échanges complexes entre les différents acteurs de la chaîne de livraison.

👤
Utilisateurs
Back-Office Web
🏢
IT Client
API / EDI
📱
Destinataire
Tracking Page
🇪🇺 UE
GCP Europe West (Be & Fr)
Transporteurs
Échanges de données
🇪🇺 UE
Notifications
SMS / Email (Partenaires)

Architecture interne

Flux Utilisateur Client : Vos équipes accèdent au Back-Office Woop via des connexions HTTPS sécurisées. L'intégralité de ces accès traverse notre WAF Cloudflare.

Flux Client Final (Consommateur) : Le destinataire final accède à sa Tracking Page (suivi de livraison) hébergée sur notre infrastructure sécurisée. Les communications transactionnelles (SMS, Email) lui sont délivrées via nos intermédiaires de confiance.

Intermédiaires de Notification : Pour assurer une délivrabilité maximale des messages au client final, nous nous appuyons sur des routeurs spécialisés et audités :

  • SMS : Linkmobility / Vonage
  • Email : Mailjet / Brevo

Flux Transporteurs : Woop standardise les échanges avec les transporteurs via des connecteurs API ou SFTP sécurisés. Nous agissons comme une passerelle unique, masquant la complexité technique des transporteurs pour votre SI.

Sécurisation des Interfaces (API Security) : Usage strict de Tokens JWT et d'API Keys. Chiffrement systématique des flux en transit (mTLS). Documentation Technique.

Client
Vos utilisateurs
🛡️ Cloudflare WAF
Pare-feu anti-attaques (DDoS, injections)
Zone Infrastructure Woop (GCP Europe West-1 - Belgique)
API Gateway
Porte d'entrée sécurisée (Auth, Rate Limiting)
GKE (Kubernetes Pods)
Moteur applicatif architecture Microservices
Node JS
Chiffrement AES-256 (Clé dédiée)
Cloud SQL / Mongo DB Atlas / Storage
Bases de données chiffrées au repos + en transit
Chiffrement double couche : GCP + Clé client unique (Vault)

05. Surveillance Pro-active (24/7)

La stabilité de vos opérations de livraison repose sur notre capacité à anticiper l'invisible. Nous ne surveillons pas uniquement l'état de nos serveurs, nous surveillons la santé de votre activité en temps réel.

Surveillance Métier (BAM - Business Activity Monitoring)

Au-delà de la technique (CPU/RAM), nous surveillons les indicateurs vitaux de votre business : flux de commandes entrants, taux de succès des appels API transporteurs, génération d'étiquettes. Une baisse anormale de ces courbes déclenche une alerte immédiate, même si les serveurs semblent "verts". C'est l'assurance d'une détection avant impact client.

Alerting, Astreinte et Réaction 24/7

La technologie ne suffit pas. Toute anomalie critique détectée par nos sondes déclenche automatiquement une procédure d'escalade vers notre équipe d'astreinte, mobilisable 24h/24 et 7j/7. Nos ingénieurs SRE interviennent immédiatement pour garantir la continuité du service.

06. Gestion des Vulnérabilités (Failles)

WOOP dispose d'un processus de veille et de gestion proactive des vulnérabilités de sécurité.

Sécurisation Structurelle & Isolation

  • Isolation des Environnements : Séparation stricte (réseau et logique) entre les environnements de Développement, de Recette (Staging) et de Production. Aucune donnée de production n'est utilisée pour les tests.
  • OS Durci : Nos serveurs utilisent Google Container-Optimized OS (COS), un système minimaliste mis à jour automatiquement par Google, réduisant drastiquement la surface d'attaque.

Détection Continue

  • Analyse de Code (SAST) : Scan automatique via SonarCloud à chaque modification de code.
  • Analyse des Dépendances (SCA) : Surveillance continue des librairies tierces via Dependency-Track.
  • Pentests : Audits annuels par cabinet certifié (Claranet)

Classification et remédiation

La classification des vulnérabilités est réalisée en s'appuyant sur des standards reconnus (tels que le score CVSS) et une analyse de leur impact métier. Nous nous engageons à respecter les délais de correction suivants :

Niveau de Criticité Description de l'Action Priorité de Traitement
! Critique
Isolation immédiate du système et remédiation d'urgence. P0
Élevée
Isolation ou protection et remédiation prioritaire.
P0 / P1
i Moyenne
Correction planifiée selon l'évaluation des risques. Planifiée

07. Résilience (PRA/PCA)

Votre activité logistique ne s'arrête jamais, et les aléas ne doivent pas la stopper.

RTO < 4h
Temps de rétablissement cible
RPO < 24h
Perte données maximale

Plan de Reprise d'Activité (PRA) Robuste : En cas de sinistre majeur (ex: perte totale d'un datacenter Google), nos sauvegardes chiffrées et répliquées géographiquement permettent un redémarrage rapide.

Continuité d'Activité (PCA) & Culture Remote : Woop est une entreprise "Full Remote ready". L'inaccessibilité physique de nos bureaux n'a strictement aucun impact sur le support client ou la maintenance.

Scalabilité et Auto-Healing : L'architecture Kubernetes (GKE) confère à la plateforme une capacité d'auto-réparation. Si un service tombe, il redémarre automatiquement sans intervention humaine, garantissant une haute disponibilité.

Disponibilité supérieure à 99,99%
Taux réel observé en décembre 2025

08. Gestion des Incidents

En cas d'incident, notre priorité est la maîtrise de la situation et la transparence. Nous appliquons un processus éprouvé en 8 étapes pour résoudre l'anomalie et vous tenir informé.

Le Processus de Réponse

1. Qualification
Direction technique Woop
2. Fiche Incident
Documentation précise
3. Notification Client
Selon engagement SLA
4. Analyse DPO
Impact données personnelles
5. Résolution
Actions correctives
6. Signalement (si requis)
CNIL sous 72h
7. Clôture
8. Post-Mortem
Amélioration continue
Engagement de Transparence

Nous nous engageons contractuellement à vous informer rapidement.

Incident Critique / Fort
J+1 (24h ouvrées)
Délai maximum
Incident Faible / Moyen
J+2 (48h ouvrées)
Délai maximum

09. Stack Technique & Qualité

Une architecture moderne avec la stabilité comme philosophie.

  • Backend : Node.js sur Google Kubernetes Engine (GKE).
  • Data Layer : Cloud SQL - PostgreSQL (Transactionnel) + MongoDB Atlas (Documents) + Elastic Search (Aggrégation & recherches).
  • Performance : Google Pub/Sub (Messaging) et Redis (Cache).
Notre Garantie Qualité

Avant chaque mise en production, nous vérifions automatiquement que rien ne s'est cassé. Comment ? Grâce à une batterie de plus de 2 600 contrôles automatiques qui testent chaque fonctionnalité de la plateforme.

En complément, 60 scénarios critiques reproduisent de bout en bout les parcours essentiels (création de commande, génération d'étiquette, suivi temps réel...). Si l'un d'eux échoue, le déploiement est immédiatement bloqué.

✓ Résultat : Aucune régression ne passe en production. Votre service reste stable, version après version.

10. Politique IA

Conscients des opportunités mais aussi des risques liés à l'IA, Woop applique une politique d'usage stricte et différenciée, garantissant que l'innovation ne se fait jamais au détriment de la confidentialité..

  • Comptes Entreprise Uniquement : Usage exclusif de comptes pro (ex: Gemini Enterprise). Nous garantissons que vos données ne servent jamais à l'entraînement des modèles publics.
  • Privacy by Design : Validation sécurité stricte pour toute fonctionnalité IA intégrée au produit.
  • Conformité : Interdiction stricte des outils non signataires de l'AI Act européen (ex: Deepseek, Grok).

11. Gouvernance

La sécurité chez Woop est vécue comme une responsabilité partagée, intégrée au cœur des processus techniques plutôt que déléguée à une entité isolée.

Gouvernance portée par la Direction

Le pilotage de la conformité et de la stratégie de sécurité est porté directement par le CTO. Cette implication de la direction garantit un alignement fort entre les enjeux de sécurité et les objectifs opérationnels.

Sécurité Décentralisée (DevSecOps)

Plutôt que de créer un goulot d'étranglement, la compétence de sécurité est intégrée à chaque équipe de développement ("Feature Team"). Chaque équipe est ainsi responsable de la sécurité de son périmètre, appuyée par des outils et processus communs.

Alignement ISO 27001

Nos politiques de sécurité (PSSI), notre gestion des risques et nos procédures RH sont construites sur le référentiel ISO 27001.

Facteur Humain

4 Eyes Principle : Aucun code ne part en production sans peer review. Tous nos collaborateurs sont formés au RGPD et testés par des campagnes de Phishing régulières.