Connexion Essayez gratuitement →
Sécurité

Mesures Techniques
et Organisationnelles.

Conformément à l’article 32 du RGPD, voici l’ensemble des mesures techniques et organisationnelles mises en œuvre par Illizeo pour protéger vos données.

Version mai 2026 Conforme art. 32 RGPD & LPD
AES-256Chiffrement au repos
TLS 1.3+Chiffrement en transit
99,9 %SLA disponibilité
24 hRévocation accès au départ

Considérations générales

Dans le cadre de la relation contractuelle entre Illizeo (sous-traitant au sens de l’article 4.8 RGPD) et ses clients (responsables de traitement, art. 4.7), chaque partie met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (art. 32 RGPD).

Engagements : Illizeo est en cours de certification ISO/IEC 27001, adhère aux standards internationaux de sécurité de l’information et s’aligne sur les recommandations EDPB (Schrems II).

🏛️ 1. Contrôles organisationnels

1.1Gouvernance interne et directives officielles

  • Politique de Sécurité de l’Information (PSI) formalisée et auditable
  • Politique de Protection des Données Personnelles applicable à tous
  • Procédures télétravail / VPN, usage IT, gestion des incidents, mots de passe
  • Documents validés par la Direction Générale, contraignants pour tous

1.2Délégué à la Protection des Données (DPO)

  • DPO externe et indépendant (art. 37 RGPD)
  • Supervise tous les traitements, participe aux DPIA et comités sécurité
  • Consulté sur toute nouvelle fonctionnalité impliquant des données personnelles
  • Interlocuteur des autorités de contrôle

1.3Confidentialité & conformité des tiers

  • Tous les collaborateurs signent un engagement de confidentialité (art. 5 & 32)
  • Engagement applicable post-contrat
  • Tiers et prestataires liés via DPA, NDA, CCT

1.4Formations & culture sécurité

  • Onboarding sécurité & protection des données dès l’arrivée
  • Sessions annuelles obligatoires (RGPD, phishing, incidents)
  • Quiz d’évaluation tracé pour audit

1.5Usage strictement professionnel

  • BYOD interdit, séparation stricte privé / pro
  • Appareils Illizeo uniquement (MDM, chiffrement disque, EDR actif)
  • Accès production limité aux collaborateurs autorisés

1.6Cycle de vie RH

  • Avant l’embauche : vérifications, clauses de confidentialité
  • Pendant l’emploi : moindre privilège, suivi des habilitations
  • Sanctions graduées en cas de non-conformité
  • Offboarding : restitution équipements, révocation droits sous 24h

2. Contrôles techniques

2.1Sécurité des équipements (postes de travail)

  • Ordinateur portable professionnel exclusif, fourni et administré par Illizeo
  • Agent EDR/XDR actif en permanence
  • MDM centralisé, politiques verrouillées (antivirus, chiffrement, pare-feu, ports USB)
  • Mises à jour de sécurité automatiques en quasi-temps réel (CI/CD IT)
  • Aucun compte admin local utilisateur, élévation temporaire validée par IT

2.2Sécurité de l’infrastructure & supervision serveurs

  • Cloud sécurisé, fournisseurs européens ISO 27001
  • HIDS sur chaque instance : logs temps réel, détection comportementale
  • Corrélation heuristique (binaires non conformes, exploits)
  • Alertes immédiates aux équipes Sécurité

2.3Sécurité réseau (Zero Trust)

  • VPN obligatoire pour accès aux ressources critiques (TLS 1.3+ ou IPsec AES-256)
  • Wi-Fi public toléré uniquement avec VPN actif
  • Cloisonnement (VPC, subnet, VLAN) + firewalls stateless/stateful
  • NACL par rôle de service, aucun port exposé sans justification documentée
  • IDS/IPS couplés à une plateforme de Threat Intelligence

3. Chiffrement des données personnelles

3.1Gestion des clés (KMS)

  • Clés générées et gérées via KMS intégré au cloud, détenues par Illizeo
  • Cycle de vie documenté (génération, rotation périodique automatisée, révocation)
  • Accès journalisés, RBAC strict, alertes en cas d’anomalie

3.2Données au repos

  • Bases de données chiffrées AES-256
  • Fichiers chiffrés au niveau du système de fichiers
  • Sauvegardes conservées chiffrées, environnements séparés

3.3Données en transit

  • TLS 1.3+ avec suites robustes (RSA/ECC longues clés)
  • VPN dédiés Illizeo pour administration distante & sauvegardes
  • Aucun fournisseur VPN tiers/public utilisé

3.4Supports & échanges chiffrés

  • USB et stockage externe interdits
  • Cloud personnel (Google Drive, Dropbox non administré) prohibé
  • Échanges fichiers via plateforme HTTPS, fallback SFTP avec auth forte
  • Emails TLS, PGP/S/MIME pour les pièces sensibles

4. Suppression des données

4.1Suppression dans les SI

  • Délai de grâce de 30 jours après résiliation/expiration
  • Suppression automatique (purge logique + physique + nettoyage des index)
  • Intervention manuelle documentée si l’auto n’est pas possible
  • Preuve d’effacement (log horodaté) archivée pour audit

4.2Supports physiques

  • Destruction par prestataire tiers certifié (ISO/IEC 15408, EAL3+, NCSC)
  • Surécriture multiple + déchiquetage / destruction physique

4.3Documents imprimés

  • Impression fortement déconseillée et restreinte
  • Destruction par déchiqueteuse cross-cut DIN 66399 P-4 minimum
  • Incinération sécurisée pour les volumes importants

5. Contrôles physiques

5.1Accès aux locaux

  • Locaux verrouillés en permanence, contrôle d’accès électronique
  • Badges nominatifs, ouvertures horodatées et tracées
  • Revues d’habilitation trimestrielles

5.2Visiteurs & intervenants externes

  • Autorisation préalable + inscription accueil + pièce d’identité
  • Accompagnement permanent par un collaborateur habilité
  • Badge « VISITEUR », traçabilité entrées/sorties

5.3Zones segmentées

  • Zone publique : accès libre/surveillé
  • Zone contrôlée : collaborateurs uniquement
  • Zone à haut risque : badge + code/biométrie, vidéosurveillance permanente
  • Films de confidentialité sur écrans/documents

5.4Clear Desk / Clear Screen

  • Verrouillage écran auto après 5–10 min
  • Documents sensibles rangés sous clé ou détruits
  • Contrôles aléatoires internes

6. Contrôles d’accès & authentification

6.1Authentification renforcée

  • SSO centralisé pour toutes les plateformes internes
  • MFA obligatoire (mot de passe + code temporaire/biométrie)
  • Privilèges élevés : double validation managériale, sessions limitées dans le temps

6.2Politique mots de passe (NIST SP 800-63 / ANSSI)

  • Min. 12 caractères, complexité obligatoire
  • Renouvellement tous les 90 jours max
  • Historique des 5 derniers bloqué
  • Hachage bcrypt avec salage aléatoire

6.3Comptes & journalisation

  • Comptes partagés/génériques interdits
  • Logs : utilisateur, IP, action, succès/échec, horodatage
  • Conservation 30 jours min en SIEM sécurisé

6.4Modèle RBAC

  • Droits attribués selon rôle & besoins métiers documentés
  • Revue annuelle des habilitations
  • Mise à jour immédiate en cas de changement de fonction
  • Révocation sous 24h au départ via SSO

6.5Accès Illizeo aux comptes clients

  • Activation/désactivation par le client via interface admin
  • Aucun accès par défaut sans activation explicite (sauf cas contractuels)

7. Séparabilité & isolation

7.1Cloisonnement Dev / Test / Prod

  • Cycle de validation : dev → recette → prod
  • Environnements strictement séparés, infra dédiée
  • Debug en prod : Change Management, autorisation, journalisation, réversibilité

7.2Cloisonnement réseau

  • Segments : Production, Développement, Test/Recette, Réseau interne, Réseau invité
  • Réseaux physiques distincts ou VLAN/VPC avec filtrage inter-sous-réseaux

7.3Multi-tenancy sécurisé

  • Identifiant unique par client (company ID/UUID) intégré à toutes les couches
  • Validation explicite côté SQL, API, exports, routines
  • Tests d’intégration automatisés en continu

8. Intégrité, transport & traçabilité

8.1Pseudonymisation & anonymisation

  • Aucune donnée client réelle en dev/test (jeux simulés/anonymisés)
  • Si bug nécessitant des données réelles : processus exceptionnel tracé sur données pseudonymisées

8.2Sécurisation des transferts

  • E2EE TLS 1.3+ pour réseaux publics
  • WAF + filtrage IP en entrée de chaque zone
  • IDS/IPS actifs, supervision SIEM temps réel
  • Support physique chiffré AES-256 + scellés de sécurité

8.3Pas de divulgation non autorisée

  • Communication uniquement sur instruction expresse du client
  • Sous-traitants liés par DPA art. 28 RGPD

8.4Journalisation des entrées

  • Logs systématiques : utilisateur, droits, IP, action, module, horodatage
  • Couvre : créations/suppressions de comptes, modifications de droits, exports/transferts sensibles
  • Conservation 30 jours min, environnement sécurisé chiffré

9. Disponibilité & continuité

9.1Sauvegardes

  • Sauvegarde automatique toutes les 24 h
  • Conservation 30 jours, environnements séparés et chiffrés
  • Couvre : bases de production, documents RH, images système
  • Tests de restauration réguliers + monitoring temps réel

9.2Géo-redondance

  • Données & sauvegardes hébergées dans des datacenters physiquement séparés (UE/Suisse)
  • Restauration depuis site secours selon RTO/RPO internes

9.3Capacité & supervision 24/7

  • Monitoring prédictif CPU/RAM/disques/quotas
  • Alertes temps réel aux ingénieurs d’astreinte
  • Supervision Prometheus/Datadog ou équivalent

9.4Gestion des incidents

  • Processus structuré : identification, qualification, priorisation
  • Notification violation données dans les 72 h max
  • Exercices de simulation de crise

9.5Datacenters & SLA

  • Fournisseurs ISO/IEC 27001 ou SOC 2 Type II ou BSI C5
  • Alimentation redondante (UPS + générateurs), anti-incendie, climatisation
  • SLA disponibilité > 99,9 % pour infrastructures critiques

10. Récupérabilité (PRA/PCA)

10.1Tests de restauration

  • Tests complets planifiés selon plan de continuité
  • Restauration BD complètes + intégrité documents + environnement isolé
  • Résultats documentés, plans d’amélioration continue

10.2PRA aligné ISO 22301

  • Couvre : panne technique majeure, cyberattaque, catastrophe naturelle
  • RTO/RPO définis, responsabilités assignées
  • Test minimum annuel + reporting Direction Générale

11. Conformité, audits & sous-traitance

11.1Équipe sécurité & gestion des risques

  • Équipe pluridisciplinaire (sécurité, juridique, DPO, opérations)
  • Registre de risques, classification par criticité
  • Revues périodiques + ajustements selon menaces

11.2Audits externes & pentests

  • Audits annuels indépendants (ISO 27001, ISO 27701, art. 28 RGPD)
  • Vulnérabilité automatisée + manuelle en continu
  • Pentests externes annuels avec rapport, plan de remédiation, suivi

11.3Sous-traitance encadrée

  • Traitement uniquement sur instruction écrite du client
  • Évaluation préalable des prestataires (technique, organisationnel, contractuel)
  • Vérification des certifications (ISO 27001, SOC 2)
  • Clauses art. 28 RGPD, audits réguliers

12. Transferts internationaux (post-Schrems II)

Conformément à l’article 46 RGPD et aux recommandations EDPB, Illizeo applique des mesures additionnelles pour encadrer tout transfert vers des pays tiers.

12.1Confidentialité renforcée

  • Double chiffrement : applicatif (TLS 1.3+) + réseau (Zero Trust)
  • Authentification géolocalisée, accès interdit par défaut depuis pays tiers
  • Terminaux à l’étranger : EDR strict, USB interdits

12.2Restrictions de transfert

  • Transferts vers pays tiers uniquement avec accord explicite du client
  • « Kill Switch » déclenchable depuis l’UE, testé périodiquement

12.3Administration européenne

  • Administration technique exclusivement par collaborateurs UE/Suisse
  • Toute action depuis pays tiers : supervision européenne + journalisation détaillée

Pôle juridique

Tous nos documents légaux au même endroit.

Data Processing Addendum

Le DPA standard que nous signons avec nos clients.

Voir →

Sous-traitants

Liste des tiers impliqués dans le traitement de vos données.

Voir →

Politique de confidentialité

Comment nous collectons et protégeons vos données.

Voir →