Sécurité & conformité

Vos données
restent en France.
Point.

Infrastructure souveraine, outils open source auto-hébergés, conformité RGPD — la sécurité n'est pas une option, c'est notre fondation.

Nos principes
de sécurité

Souveraineté des données

Tous les serveurs sont hébergés en France chez OVHcloud (datacenters de Gravelines et Roubaix). Aucun transfert de données hors UE/EEE. Aucun outil SaaS tiers n'accède à vos données — notre stack de supervision est 100 % open source et auto-hébergée sur notre infrastructure.

Chiffrement partout

TLS/HTTPS pour tous les accès. SSH par clé uniquement — pas de mot de passe. Sauvegardes chiffrées en transit et au repos.

Moindre privilège

Chaque accès est limité au strict nécessaire. MFA activé sur tous les comptes d'administration. Journaux d'accès conservés et auditables.

Open source only

Prometheus, Grafana, Ansible, Proxmox Backup Server — des outils éprouvés, auditables, sans dépendance propriétaire. Pas de boîte noire.

Hardening systématique

Chaque serveur pris en gestion passe par un durcissement initial : désactivation des services inutiles, pare-feu nftables/UFW, fail2ban, configuration SSH renforcée, audit des permissions.

Mesures techniques

La sécurité repose sur des mesures concrètes, pas sur des promesses. Voici ce que nous mettons en place sur chaque serveur géré.

Chiffrement en transit TLS/HTTPS pour tous les accès
Contrôle d'accès SSH par clé uniquement, MFA, moindre privilège
Journalisation Logs d'accès et d'opérations conservés
Pare-feu nftables/UFW + fail2ban
Supervision Monitoring 24/7 (Prometheus/Grafana auto-hébergés)
Sauvegarde Quotidienne, locale + offsite FR (selon pack)
Patching Mensuel à hebdomadaire + CVE critiques en urgence
Anti-DDoS Protection OVHcloud intégrée

Conformité
réglementaire

RGPD — Article 28

Un Accord de traitement des données (DPA) conforme à l'article 28 du RGPD et aux clauses types CNIL est systématiquement annexé à nos contrats d'infogérance. Il détaille la nature du traitement, les mesures de sécurité, les sous-traitants autorisés et les procédures de notification de violation.

NDA bilatéral

Un accord de confidentialité protège les informations échangées dans les deux sens. Durée : 3 ans après la fin du contrat. Obligations RGPD sans limitation de durée.

Notification de violation

En cas de violation de données, notification au client sous 24 heures. Contenu structuré : nature, personnes concernées, conséquences, mesures correctives. Le client reste responsable de la notification CNIL (72h).

Droit d'audit

Vous pouvez auditer nos pratiques à tout moment avec un préavis de 15 jours ouvrables. Nous mettons à disposition toutes les informations nécessaires pour démontrer notre conformité.

Réversibilité

En fin de contrat, vous récupérez toutes vos données dans un format standard et ouvert sous 30 jours. Documentation technique, credentials et accès inclus. Pas de lock-in.

Sous-traitants autorisés

Transparence totale sur notre chaîne de sous-traitance. Tout changement de sous-traitant est notifié 30 jours à l'avance.

OVHcloud SAS Hébergement serveurs dédiés — France (Gravelines/Roubaix)
Outils open source Prometheus, Grafana, Ansible, PBS — auto-hébergés, aucun accès tiers

Certifications

Datacenter OVHcloud ISO 27001, SOC 1/2 Type II, HDS
Arthen En cours d'obtention
Assurance RC Pro En cours de souscription

Des questions sur notre sécurité ?

On préfère la transparence aux plaquettes marketing. Posez vos questions — on répond avec des faits.

Voir les packs infogérance → Nous contacter