Tous services nominaux · 99,97%
05 · Le seul KPI

30 ans, zéro faille.
C'est notre seul KPI.

Pas de superlatifs, pas de schémas marketing, pas de promesse en l'air. Juste les faits, vérifiables sur demande par votre DSI.

0Faille publiée depuis 1995
6 hDowntime cumulé 10 ans
99,97 %Uptime moyen 30 jours
100 %Données hébergées FR
01 · Hébergement & juridiction

OVH France en production.

Nos serveurs de production sont chez OVH à Roubaix et Strasbourg, sous droit français. Les sauvegardes chiffrées sont sur AWS régions européennes uniquement (Paris, Francfort). Aucune donnée client ne transite par un cloud non européen sans anonymisation préalable.

H1

OVH Roubaix

Datacenter principal. Production des SaaS et de la majorité des logiciels sur-mesure. ISO 27001, ISO 27017, HDS.

H2

OVH Strasbourg

Datacenter secondaire pour réplication et PRA. Géographiquement distant pour résilience.

H3

AWS régions UE uniquement

AWS pour les sauvegardes chiffrées, régions européennes exclusivement (Paris, Francfort). Aucune donnée de production chez GCP ou Azure. Production primaire sur OVH France.

H4

Anthropic via API anonymisée

Le seul appel sortant US est vers l'API Claude, et uniquement sur données déjà anonymisées par notre routeur.

02 · Chiffrement & secrets

AES-256-GCM partout.

Aucun secret n'est stocké en clair. Aucun mot de passe n'est stocké hashé naïvement. Aucune connexion réseau ne se fait sans TLS 1.2 minimum.

  • Mots de passe : bcrypt cost factor 12. Hash par utilisateur. Salt par défaut.
  • Credentials externes (IMAP, OAuth tokens, API keys) : AES-256-GCM avec clé maître sur fichier serveur sécurisé, IV unique par credential.
  • BDD : TLS 1.2 obligatoire pour toutes les connexions SQL Server. Tables sensibles avec colonnes chiffrées au niveau applicatif.
  • Webhooks : signature HMAC-SHA256 obligatoire sur tous nos webhooks sortants (Ediflo, Stripe, Mailjet).
  • Cookies : flags HttpOnly, Secure, SameSite=Strict par défaut.
  • Archivage probant : S3 OVH horodaté à la seconde, conservation 10 ans, hash SHA-256 pour intégrité.
03 · RGPD & conformité

Conformité native, pas en sticker.

G1

Droit à l'oubli

Procédure documentée, exécutable en moins de 72h sur demande client. Soft-delete + purge effective des données associées.

G2

Droit à la portabilité

Export complet des données au format CSV / JSON sur demande, sans restriction. Aucun lock-in technique.

G3

Registre de traitement

Tenu à jour pour chaque SaaS et logiciel sur-mesure. Communicable à la CNIL si demandé.

G4

DPO interne

Délégué à la Protection des Données interne (et non externalisé). Réponse aux demandes sous 72h.

G5

Audit complet

Logs 10 ans horodatés. Tracabilité complète : qui a accédé à quoi et quand. Accessible aux DSI prudents sur demande.

G6

Notification violation

Procédure de notification de violation de données documentée. Engagement contractuel CNIL + clients sous 72 h max.

04 · PRA testé

Le PRA ne sert que s'il est testé.

Notre Plan de Reprise d'Activité couvre les trois scénarios majeurs : perte d'un datacenter, compromission d'un compte privilégié, perte de données massive. Chacun est testé tous les six mois en condition réelle.

  • RPO (Recovery Point Objective) : 15 minutes maximum de perte de données.
  • RTO (Recovery Time Objective) : 2 heures maximum pour les SaaS critiques, 4 heures pour les logiciels sur-mesure.
  • Backups : full hebdomadaire + différentiels quotidiens + transaction logs toutes les 15 min. Stockés en double, datacenters distincts.
  • Test de restauration : tous les six mois, sur environnement isolé, avec validation fonctionnelle.
05 · Audit-ready

Tout est documenté. Tout est communicable.

Si votre DSI veut auditer, elle peut. Nous communiquons sur demande et sous accord de confidentialité :

  • Architecture détaillée par SaaS et par logiciel sur-mesure
  • Politique de gestion des accès, séparation des environnements (dev / staging / prod)
  • Liste des dépendances externes et leur évaluation sécurité
  • Procédures de déploiement, de rollback, et de gestion d'incident
  • Registre des incidents de sécurité (vide depuis 1995, vérifiable)
  • Tests d'intrusion externes annuels (rapports communicables)
  • Configuration TLS, headers HTTP, scores Mozilla Observatory et SSL Labs
Et maintenant

Votre DSI veut vérifier ? Excellente nouvelle.

Nous accueillons les audits, les questions techniques, les RFP de sécurité. Plus c'est précis, mieux c'est. Écrivez-nous, on prend le temps.

Demander un audit Architecture IA