Comment sont sécurisées les données sur la plateforme ?

Vous vous posez des questions sur la sécurité des données stockées sur la plateforme ? Nous avons répondu ci-dessous à la plupart des questions que nos utilisateurs peuvent se poser.

Cet article présente les questions fréquentes relatives à la sécurité de la plateforme. Les sujets traités ne sont pas exhaustifs et ne constituent pas l'ensemble des mesures prises pour assurer la sécurité des données.

1. Mis à part les collaborateurs des cabinets et leurs clients, quels sont les autres utilisateurs qui ont accès "en clair" aux données stockées ? 

Aujourd'hui, seul un administrateur technique de l'éditeur (Welyb), dûment autorisé et authentifié, peut potentiellement accéder aux données en clair. Ce cas n'arrive que de très rares fois, à la demande explicite de clients, afin de résoudre un problème qu'ils auraient rencontré. 

2. Les flux client/serveur sont-ils sécurisés ? Si oui, selon quel protocole ?

Toutes les communications client/serveur, que cela soit depuis l'interface web sur votre navigateur (webapp), le lecteur réseau (WebDAV), l'application mobile ou l'application "desktop" de Chrome sont sécurisées via le protocole HTTPS, reposant sur un certificat SSL fourni par LetsEncrypt. Le stockage des fichiers est également chiffré garantissant ainsi un chiffrage de bout en bout des données stockées.

3. Dans quelle mesure les données stockées sont-elles chiffrées ? 

Pour l'heure, elles ne le sont pas. L'accès aux données est sécurisé et seul un administrateur de l'éditeur (Welyb) dûment autorisé peut accéder aux données après plusieurs étapes d'authentification forte, en dehors de leur accès sécurisé via la plateforme. Notre hébergeur ne peut pas non plus y accéder.

Ces protections sont actuellement suffisantes et un chiffrement supplémentaire n'apporterait en l'occurrence aucun bénéfice en l'état, mais un poids considérable concernant les performances (liés aux opérations de chiffrement/déchiffrement).

4. Existe-t-il un PCA / PRA ? Si oui, est-il possible d’en connaître les grandes lignes ? 

Pour l'heure, il n'existe pas de PCA/PRA, uniquement des procédures garantissant la "non perte" de données / fichiers / base de données et la remise en service de la plateforme.

5. Les serveurs subissent-ils des tâches de maintenance nocturnes ou durant le week-end qui pourraient avoir un impact si on utilise la plateforme sur fuseau horaire différent de la métropole ? Si oui, dans quelle mesure ? 

Non, les opérations de maintenance ou potentiels "batch" ne sont pas cantonnés à des plages horaires spécifiques durant lesquelles les clients de métropole ne sont pas censés utiliser la solution. Chaque opération de ce type est pensée pour limiter l'impact sur les utilisateurs.

6. Contractuellement, dans quels délais peuvent être rendus des fichiers supprimés malencontreusement ?

Chaque dossier est équipé d'une corbeille afin d'accueillir les fichiers supprimés par erreur. Les éléments placés dans la corbeille y resteront indéfiniment jusqu'à suppression définitive réalisée manuellement par un utilisateur disposant des droits suffisants. La plateforme ne videra jamais la corbeille automatiquement.

Ainsi, la suppression définitive non souhaitée d'un fichier relèverait plus d'une malveillance que d'une erreur. Nous réalisons également des sauvegardes "back-up" régulières des données afin de permettre d'éventuellement récupérer des données anciennes. Cependant, la récupération d'anciennes sauvegardes "back-up" est une opération que nous ne pouvons réaliser qu'à titre exceptionnel. La plateforme étant par nature une GED en SaaS, nous nous devons d'avoir une politique de suppression des données. Aussi bien pour des raisons économiques que des raisons écologiques ou légales.

7. Quelle est l’assurance en termes de sauvegardes / perte de données ?

Nous mettons en œuvre les mesures nécessaires à la protection de vos données. Ces mesures et conditions sont détaillées dans nos CGU aux articles 10 et 12, accessibles via les paramètres personnels sur la plateforme (La gestion de votre compte).

8. Y a-t-il une redondance des serveurs ?

Les données sont hébergées chez OVH. Le stockage associé est redondé 3 fois par OVH et nous réalisons également une sauvegarde en continu (toutes les 5min) des fichiers sur un autre stockage dans un datacenter distinct.

9. Mes fichiers peuvent-ils être modifiés à mon insu ?

Un fichier n'est jamais modifié sur la plateforme. Si une modification survient sur un fichier éditable, cela va créer une nouvelle version du fichier, et donc par nature un nouveau fichier distinct qui peut être téléchargé, supprimé, etc.

Ce fonctionnement offre une protection contre les ransomware : si le poste de travail d'un utilisateur venait à être infecté, cela créerait au pire une nouvelle version de tous les documents chiffrés. Nous pourrions alors supprimer ces nouvelles versions pour que les fichiers retrouvent leur état d'origine.

10. La plateforme est-elle conforme au RGPD ? 

En effet, la plateforme est en conformité avec le Règlement Général sur la Protection des Données. La plateforme dispose d'un DPO (Data Protection Officer) qui est inscrit à la CNIL. Nous pouvons vous mettre en relation avec lui sur demande, à effectuer à l'équipe Support sur la plateforme.