Vos données méritent la même protection que vos collections
Sécurité, hébergement et conformité
Toutes les mesures techniques et organisationnelles mises en place pour protéger les données de votre établissement.
99,5 %
SLA disponibilité
< 30 min
RTO restauration
24 h
RPO backup
0
Tracker / cookie publicitaire
Hébergement souverain
Vos données restent en France, soumises au droit français et au RGPD — sans exception.
- OVHcloud, datacenters situés exclusivement en France
- VPS principal + serveur secondaire de secours
- Aucun recours à AWS, Azure, GCP ou cloud extra-européen
- Données soumises au droit français et au RGPD uniquement
- Aucun transfert hors-UE — ni données, ni métadonnées
Authentification et contrôle d'accès
Chaque compte est protégé par les standards les plus exigeants du marché.
- Hachage Argon2id — standard le plus résistant (vainqueur PHC)
- Double authentification (2FA TOTP) avec codes de secours chiffrés
- Sessions sécurisées : expiration automatique, invalidation, rotation
- Contrôle d'accès multi-niveaux (RBAC) : admin, coordinateur, équipier, lecteur
- Journalisation de toutes les actions sensibles (audit trail)
Protection réseau et transport
Chaque échange entre votre navigateur et nos serveurs est chiffré et vérifié.
- TLS 1.3 — chiffrement de bout en bout
- HSTS Preload (2 ans) — inscrit dans la liste de préchargement des navigateurs
- Content Security Policy restrictive avec nonces dynamiques
- Protection CSRF double-couche : token synchronisé + injection automatique
- Headers complets : X-Frame-Options, Permissions-Policy, Referrer-Policy
Conformité RGPD
Chaque fonctionnalité est conçue pour respecter le Règlement Général sur la Protection des Données.
- Droit d'accès (art. 15) : export complet des données utilisateur
- Droit à l'effacement (art. 17) : suppression et anonymisation en cascade
- Politique de confidentialité détaillée en 8 sections
- Purge automatique à la clôture des exercices et des comptes
- Zéro tracking : pas de Google Analytics, pas de cookie publicitaire
- 41 tests automatisés de conformité RGPD en intégration continue
Sécurité applicative
Une architecture volontairement simple, sans dépendance externe superflue, pour réduire la surface d'attaque.
- Vanilla JS uniquement — aucune dépendance npm / node_modules
- Pas de risque supply chain (cf. Log4j, Polyfill.io, XZ Utils)
- CodeQL (SAST) : analyse statique de sécurité hebdomadaire
- CI/CD GitHub Actions avec tests automatisés à chaque commit
- Framework Flask (Python) — code source versionné et documenté
- Chiffrement AES-GCM côté client pour le mode hors-ligne
Sauvegarde et continuité
Des procédures éprouvées pour garantir la disponibilité de vos données en toute circonstance.
- Double backup : snapshot OVH + script automatisé quotidien
- Vérification d'intégrité SHA-256 sur chaque sauvegarde
- RTO inférieur à 30 minutes — restauration testée et documentée
- RPO 24 h — perte de données maximale en cas de sinistre
- Runbooks opérationnels : procédures pas-à-pas de restauration
- SLA 99,5 % de disponibilité hors maintenance programmée
Pérennité et réversibilité
Aucune dépendance technologique : vous restez libre de partir à tout moment, avec toutes vos données.
- Code source versionné sur GitHub — accessible en cas de reprise
- Documentation technique complète : architecture, déploiement, opérations
- Stack standard : Flask/Python, PostgreSQL, Nginx, Gunicorn
- Pas de technologie propriétaire verrouillante (vendor lock-in)
- Export complet des données en XLSX et JSON à tout moment
- Clause de réversibilité : formats ouverts, données restituées sous 30 jours
- Reprise possible par tout prestataire Python/Flask qualifié
Architecture
Vue d'ensemble technique
Une architecture simple, lisible et auditable — sans boîte noire.
Navigateur client
Vanilla JS — zéro dépendance externe
Vanilla JS — zéro dépendance externe
Reverse proxy
Nginx + TLS 1.3 + HSTS Preload
Nginx + TLS 1.3 + HSTS Preload
Application
Flask / Gunicorn — Python 3.12
Flask / Gunicorn — Python 3.12
Base de données
PostgreSQL — chiffrement au repos
PostgreSQL — chiffrement au repos
Sauvegarde
Snapshots OVH + scripts automatisés
Snapshots OVH + scripts automatisés
Mode hors-ligne sécurisé
Consultez les fiches de vos collections même sans réseau — avec un chiffrement de niveau militaire.
- Chiffrement AES-GCM côté client avec clé dérivée du PIN
- Expiration automatique des données locales
- Révocation à distance possible par l'administrateur
- Synchronisation automatique au retour réseau
- Fonctionnalité unique sur le marché PSBC
Questions fréquentes
Ce que votre DSI va nous demander
Les réponses aux questions les plus courantes lors d'un audit technique.
99,5 % de disponibilité hors maintenance programmée. Les maintenances sont annoncées 48 h à l'avance et planifiées en heures creuses (nuit, week-end).
Oui. Backup quotidien double couche (snapshot OVH + script automatisé), RTO inférieur à 30 minutes, RPO 24 h. Procédures de restauration documentées et testées. Document formel disponible sur demande.
Non requise pour notre segment de marché. Les mesures techniques mises en place (Argon2id, CSP, 2FA, audit trail, tests automatisés) dépassent les exigences de nombreux SaaS certifiés. Notre hébergeur OVHcloud est certifié ISO 27001.
Analyse SAST hebdomadaire via GitHub CodeQL (Python + JavaScript). Tests de sécurité automatisés à chaque commit. Pentest externe planifié — rapport communiqué sur demande.
Export XLSX et JSON natif. API REST documentée pour intégration avec votre SIAM, GED ou logiciel d'inventaire. Formats ouverts exclusivement — aucun format propriétaire.
Le code source est documenté et versionné sur GitHub. La stack est standard (Python, Flask, PostgreSQL). L'export complet de vos données est disponible à tout moment en XLSX et JSON. Un prestataire Python/Flask qualifié peut reprendre l'exploitation sans difficulté.
Personne en dehors de votre établissement. Aucun tracking, aucun analytics tiers, aucune revente de données. Zéro cookie publicitaire. L'accès aux serveurs est limité à l'administrateur système via connexion SSH authentifiée par clé.
La plateforme implémente le référentiel national PSBC et produit des plans conformes aux obligations légales (article L. 452-3 du Code du Patrimoine). Les exercices de crise respectent les recommandations du Bouclier Bleu et de la Direction Générale des Patrimoines.
Besoin de plus de détails ?
Téléchargez notre fiche sécurité DSI ou contactez-nous pour un échange technique.