Retour à l'accueil

Sécurité & Infrastructure

Protection par conception (Security by Design)
ChiffrementAES-256
ConformitéRGPD certifié
Données hébergéesUnion Européenne
SurveillanceMonitoring 24/7

La protection de vos données d'entreprise et celles de vos clients est au cœur de l'architecture de FolioDesk. L'infrastructure est conçue sur des principes de "Security by Design".

Hébergement et Infrastructure

L'ensemble de nos services repose sur des infrastructures cloud de dernière génération, gérées par des leaders mondiaux de l'industrie certifiés SOC 2 Type II et ISO/IEC 27001:2022.

Supabase (Base de données)Notre base de données principale est hébergée sur l'infrastructure d'Amazon Web Services (AWS) en Europe (Francfort). AWS maintient des normes de sécurité physique et informatique exceptionnelles.
Vercel (Hébergement Front-end)L'application web est déployée via l'Edge Network global de Vercel, offrant une protection DDoS native, une isolation des conteneurs d'exécution et un routage crypté de bout en bout.

Chiffrement des données

Toutes les données transitant sur FolioDesk ou stockées sur nos serveurs sont protégées par les standards de cryptographie les plus robustes.

  • Données en transitToutes les requêtes vers nos serveurs sont forcées sur HTTPS. Les communications entre votre navigateur, notre application et les bases de données sont chiffrées avec TLS 1.3.
  • Données au reposL'intégralité de nos disques serveurs et de nos bases de données est chiffrée de manière transparente (TDE) au repos selon la norme AES-256 bits.
  • Mots de passe et SecretsNous ne stockons en aucun cas les mots de passe de nos utilisateurs en clair. Ils sont sécurisés via l'algorithme de hachage robuste bcrypt avec salage cryptographique aléatoire.
Coffre-fort à divulgation nulle (zero-knowledge, en option)

Par défaut, les identifiants confiés au coffre-fort sont chiffrés sur nos serveurs en AES-256-GCM (chiffrement au repos). Pour les espaces les plus sensibles, vous pouvez activer un niveau supérieur : un chiffrement zero-knowledge (« à divulgation nulle de connaissance »).

Lorsque ce mode est activé, une clé de chiffrement est dérivée d'une phrase de récupération que vous seul connaissez, et le chiffrement comme le déchiffrement ont lieu dans votre navigateur. Nos serveurs ne reçoivent alors que des données déjà chiffrées : nous n'avons aucun accès au contenu de ces identifiants (WordPress, hébergeur, réseaux sociaux du client…).

En contrepartie, vous gardez le contrôle total : si vous perdez votre phrase de récupération, personne, nous compris, ne peut restaurer l'accès. C'est ce qui en fait la garantie de confidentialité la plus forte. Un « kit de récupération » vous est remis au moment de l'activation, à conserver en lieu sûr.

Authentification et Accès

Le cœur de notre logique applicative repose sur le principe du "Zéro Confiance" et un cloisonnement cryptographique strict protégeant de toute fuite de données inter-entreprise.

Row Level SecurityChaque table de notre base de données est protégée par RLS. Dès le niveau bas de l'infrastructure, il est structurellement impossible qu'un utilisateur A parvienne à interroger les devis de l'entreprise B.
Sessions sécuriséesNous gérons les accès via des JSON Web Tokens (JWT) signés. Les sessions ont une durée de validité limitée et en cas de déconnexion, les tokens sont instantanément révoqués de la mémoire locale de l'appareil.

Surveillance continue 24/7

Une équipe automatisée tourne en permanence sur l'infrastructure pour détecter et neutraliser les menaces en amont. La surveillance fonctionne sans interruption, indépendamment des horaires ouvrés.

Détection automatiqueSurveillance permanente des patterns d'attaque (tentatives répétées, exfiltration anormale, anomalies comportementales). Aucune action ne nécessite l'intervention humaine pour les alertes de routine.
Réponse autonomePour les incidents critiques, des contre-mesures se déclenchent automatiquement (blocage IP malveillante, isolation de session, rotation de secrets), typiquement en quelques minutes.

Les détails techniques précis du système de surveillance ne sont pas publiés ici · ils sont disponibles sous accord de non-divulgation pour les acheteurs enterprise lors de l'évaluation sécurité ou de la signature de l'accord de traitement des données (Data Processing Agreement, DPA).

Sécurité des paiements

Zéro données bancaires

FolioDesk ne détient, n'observe, ne traite et ne stocke absolument aucune information de carte bancaire primaire ou données sensibles de règlement sur ses propres serveurs, pour limiter fondamentalement les vecteurs d'attaque.

Toutes les données de facturation (votre abonnement ainsi que les portails de paiement envoyés à vos clients finaux) sont routées et sécurisées par Stripe, leader mondial des paiements vérifié et certifié rigoureusement PCI Service Provider Level 1.

Sauvegardes et Continuité

Nous sommes pleinement conscients que vos factures, données clients et suivis de devis sont le cœur vital de votre business. L'infrastructure assure une continuité redondante :

  • Backups Intégraux (WAL)La base de données est sauvegardée de façon exhaustive chaque nuit, avec rétention chiffrée sur d'autres baies de serveurs distinctes géographiquement.
  • Point-In-Time Recovery (PITR)Mécanisme exceptionnel permettant, en cas de catastrophe système inattendue, de ramener l'état exact des données à une seconde près sur une période d'historique de 7 jours.

Compliance et conformité

L'infrastructure et les processus sont conçus pour respecter les obligations légales européennes en matière de protection des données et de sécurité des systèmes d'information.

RGPD · Règlement européen 2016/679Conformité complète au Règlement Général sur la Protection des Données. Droits utilisateurs (accès, rectification, suppression, portabilité) garantis par design.Politique de confidentialité →
Sous-traitants validésListe exhaustive et à jour des prestataires ayant accès aux données. Chaque sous-traitant fait l'objet d'un audit RGPD et d'un DPA signé.Liste des sous-traitants →

Roadmap certifications · les processus internes visent les standards SOC 2 Type II et ISO/IEC 27001:2022, dans une démarche de certification formelle externe planifiée pour 2026-2027, en cohérence avec la croissance de la base clients. La certification n'est pas encore obtenue à ce jour.

En cas d'incident de sécurité

Un plan de réponse aux incidents (Incident Response Plan) est documenté, testé périodiquement, et active dès la détection d'une anomalie significative.

  • Containment immédiat · objectif sous quelques minutesPour les incidents critiques (P0/P1), les contre-mesures s'activent automatiquement (isolation, blocage IP, révocation secrets).
  • Notification à l'autorité de contrôle · 72 heuresConformément à l'article 33 du RGPD, toute violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées est notifiée à l'autorité de contrôle compétente (Andmekaitse Inspektsioon, autorité estonienne chef de file de l'Éditeur) dans le délai légal, et l'autorité du pays de résidence des personnes concernées peut être saisie le cas échéant.
  • Notification clients individuelleEn cas de risque élevé, chaque client impacté est notifié individuellement par email avec un état précis des données concernées et des actions correctives.
  • Audit forensique externeEn cas d'incident majeur, un cabinet spécialisé externe est mandaté pour reconstruire la chaîne d'événements et émettre un rapport indépendant disponible aux clients impactés.

Vous avez repéré une faille ?

La sécurité informatique exige non seulement de la conception mais de l'humilité. Si par hasard – expert cyber ou testeur de la communauté – vous identifiez la moindre faille sur notre système : merci de ne pas l'exploiter.

Nous adhérons aux principes du Responsible Disclosure. Contactez immédiatement notre équipe sécurité pour le traitement pro-actif d'un patch.

Cellule sécurité dédiée

security@foliodesk.io

Dernière révision · 1 juillet 2026

Pour les questions techniques approfondies dans le cadre d'une évaluation enterprise (DPA, due diligence sécurité), contactez l'équipe sécurité.