qonto.frwww.qonto.fr
Dernier scan : 2026-06-08 à 15:44 · trackers : 2026-06-08 à 15:44
Hygiène technique (intégrité DNS, anti-usurpation mail). N'entre PAS dans la note de souveraineté.
Analyse cloud des sous-domaines applicatifs non encore disponible. Le scan (énumération Certificate Transparency → résolution → classification ASN) est mis en file et traité par lots.
Cette fiche mesure une exposition souveraineté observable publiquement. Elle ne constitue pas un audit contractuel, juridique ou technique complet de l'organisation. Les informations sont issues de signaux publics (DNS, IP, ASN, certificats, messagerie, CDN, headers HTTP, scripts tiers, sources ouvertes). Des éléments critiques — contrats, accès support, clés de chiffrement, sauvegardes, localisation exacte des bases de données — ne sont pas observables publiquement.
Souveraineté observable faible selon les signaux publics · confiance globale : moyenne · 5 inconnue(s) critique(s) · facteurs : messagerie, fournisseur d'identité, origine applicative, DNS, hébergement frontal
Les sous-scores « opérationnel » et « réversibilité » dépendent d'éléments non observables publiquement (contrats, accès support, gouvernance) : ils restent volontairement marqués « non observable ».
Les inconnues sont affichées telles quelles : elles ne sont pas masquées.
Aucune certification renseignée pour le moment (saisie via le back-office).
Une certification de sécurité ou de conformité (ISO 27001, SOC 2, HDS) ne garantit pas à elle seule une souveraineté juridique, opérationnelle ou complète. Elle doit être interprétée selon son périmètre exact.
Chiffrement en transit/au repos, BYOK/HYOK, localisation et gestion des clés, accès administrateur : non observables publiquement. Ces éléments peuvent être fournis et vérifiés par l'organisation.
Cette analyse ne permet pas de confirmer la localisation exacte des bases de données internes, les clauses contractuelles, la localisation des sauvegardes, les accès support et administrateur, la gestion des clés de chiffrement, les sous-traitants non exposés publiquement, ni les mesures internes de segmentation ou de chiffrement.
L'organisation peut transmettre des éléments vérifiables pour corriger ou compléter cette fiche : certifications, localisation des données, sous-traitants critiques, politique de chiffrement, gestion des clés, clauses de support, architecture de réversibilité ou documentation publique.
Signaler une correction ou fournir des informations vérifiablesL'absence de preuve publique de souveraineté n'est pas une preuve de non-souveraineté complète, mais elle réduit le niveau de confiance attribuable depuis une analyse externe.
→ Méthodologie complète de l'observatoireTous les enregistrements (A/AAAA/NS/MX/TXT/SOA/CAA) + expansion SPF + sous-domaines applicatifs (lignes A·sous-dom, énumérés via Certificate Transparency), avec reverse DNS (PTR) et opérateur (ASN) / pays résolus sur chaque IP. C'est la preuve vérifiable derrière la classification « cloud applicatif » du score.
Méthode : chargement de la page d'accueil dans Chromium headless, consentement cookies accepté (y compris dans les iframes CMP), puis classification des domaines tiers contactés (Google Analytics, Meta, etc.). Porte sur l'accueil, pas sur l'ensemble du site.
Énumération des sous-domaines (Certificate Transparency) non encore disponible : le scan est mis en file et traité par lots. La surface d'attaque apparaîtra ici une fois l'analyse effectuée.
Un relevé par jour de scan. Les changements d'hébergeur, de pays ou de DNSSEC sont signalés.
• Hébergement : résolution DNS → IP → ASN (base GeoIP/ASN hors-ligne), classification de l'opérateur. • Sous-domaines : Certificate Transparency (CertSpotter), puis résolution des actifs. • Cloud applicatif : ASN de chaque sous-domaine → souverain vs cloud US (CLOUD Act).
• Trackers : Chromium headless, consentement accepté, domaines tiers classés. • DNS/mail : NS, DNSSEC, SPF, DMARC, CAA lus en DNS public. • Horodatage : dernier scan 2026-06-08 à 15:44. Données ré-auditées périodiquement.