FAQ — Sécurité et hébergement
Cette page synthétise les points les plus fréquents en sécurité et hébergement. Pour une description exhaustive, Omniscol fournit sur demande (ou sous NDA selon les cas) les documents officiels :
SECURITY_OVERVIEW.md— vue d'ensemble publique,SECURITY_ONE_PAGER.md— synthèse pour CISO / RSSI,SECURITY_FULL.md— documentation complète (gouvernance, infra, contrôles, conformité, incident response),ISO27001_MAPPING.md— mapping aux contrôles ISO 27001,SSI_QUESTIONNAIRE_STANDARD.md— réponses au questionnaire SSI standard.
Pour toute question sécurité : security@omniscol.com.
Où sont hébergées mes données ?
Les mentions légales indiquent un hébergement dans l'Union européenne, sur AWS Paris et Scaleway. Les engagements précis de redondance, sauvegarde, rétention et disponibilité dépendent du cadre contractuel applicable à votre compte.
Omniscol est-il conforme RGPD ?
Omniscol est conçu pour un usage conforme au RGPD. Conséquences pratiques :
- Hébergement exclusif en UE (France).
- Isolation logique par client : aucun accès croisé possible entre comptes.
- Aucun profilage, aucune revente de données, aucun usage secondaire des contenus de votre école.
- Réversibilité : export complet en JSON depuis Télécharger.
- Traitement des demandes des personnes concernées selon le cadre contractuel et réglementaire applicable.
Est-ce qu'Omniscol est certifié ISO 27001 ?
Pas certifié à ce jour, mais les pratiques sont alignées sur les principes du référentiel et suivent une approche basée sur les risques et continuellement revue. Le détail des contrôles peut être fourni dans le cadre contractuel ou sécurité adapté.
Comment sont protégés les mots de passe ?
Omniscol protège les mots de passe de la manière suivante :
- Pré-hashage côté client avec scrypt — votre mot de passe en clair n'arrive jamais sur les serveurs.
- Stockage serveur sous forme de hash salé.
- Aucun mot de passe en clair n'est jamais transmis ni stocké.
- Aucun administrateur Omniscol ne peut lire, retrouver ou récupérer un mot de passe utilisateur.
En cas de doute sur la compromission d'un compte, le changement du mot de passe invalide les accès dérivés qui dépendent de ce secret, notamment les liens de partage liés au mot de passe du créateur.
Les communications sont-elles chiffrées ?
Les accès applicatifs publics passent par HTTPS. La configuration d'exposition réseau dépend du déploiement retenu et doit être vérifiée dans le cadre sécurité ou contractuel du compte concerné.
Comment fonctionne l'authentification ?
Les sessions Omniscol utilisent des jetons signés avec une durée de vie limitée ; l'accès est renouvelé pendant que l'utilisateur travaille dans l'interface.
Les liens de partage et les jetons API suivent des règles séparées :
- un lien de partage peut avoir une date d'expiration et dépend aussi du compte qui l'a créé ; changer le mot de passe de ce compte ou le désactiver invalide les accès concernés ;
- un jeton API dépend d'une clé créée dans l'interface ; supprimer cette clé ou atteindre sa date d'expiration invalide les jetons associés.
Voir aussi Lien de partage et API Omniscol.
API : clés et jetons
L'accès API se gère depuis l'interface avec deux objets visibles :
- Clé — créée avec un libellé et, si besoin, une date d'expiration. Cette expiration peut être modifiée plus tard.
- Jeton — généré depuis une clé, avec une liste de points d'accès API autorisés et une expiration propre. Cette expiration ne se modifie pas après génération ; il faut créer un nouveau jeton.
Bonne pratique : une clé par intégration, avec un libellé explicite et une expiration adaptée au besoin. En cas de doute, supprimez la clé et créez-en une nouvelle.
Voir API Omniscol.
Mes utilisateurs peuvent-ils utiliser leur compte d'entreprise (SSO) ?
Oui, via OIDC / SSO, quand la configuration est activée sur le compte. Omniscol prend en charge Google Workspace, Microsoft Entra ID et les fournisseurs OIDC génériques.
Chaque utilisateur se connecte alors avec son identité d'entreprise et conserve les droits configurés dans Omniscol.
Quelles protections contre les tentatives de connexion abusives ?
- Les réponses d'authentification échouée sont volontairement ralenties.
- Les écrans d'administration bénéficient de protections renforcées.
- Omniscol n'indique pas si l'identifiant existe ou non : le message reste générique.
Cycle de vie des comptes utilisateurs
- Désactivation sans suppression — un compte désactivé ne peut plus se connecter, mais ses données associées sont préservées.
- Changement obligatoire au premier accès — quand un mot de passe est défini manuellement, l'utilisateur doit le changer à la première connexion.
- Réinitialisation — un administrateur peut déclencher une remise à zéro sans connaître le mot de passe existant.
Sécurité réseau et exploitation
Les documents sécurité fournis sur demande détaillent l'hébergement, la séparation réseau, les règles d'accès aux données et les procédures opérationnelles applicables au compte concerné.
Existe-t-il un journal d'audit ?
Oui lorsque l'option de logs et la rétention correspondante sont activées pour le compte. Le périmètre visible dépend des opérations journalisées et de la profondeur configurée par Omniscol. Voir Journaux d'activité (logs).
OWASP Top 10
Omniscol applique des contrôles alignés avec les risques OWASP Top 10 : contrôle d'accès, chiffrement, validation des entrées, configuration sécurisée, suivi des dépendances, protection des sessions et journalisation. Le périmètre exact peut être détaillé dans les documents sécurité fournis sur demande.
Tests de sécurité automatisés
Des contrôles automatisés sont intégrés au processus de développement et de déploiement d'Omniscol. Leur périmètre évolue avec le produit ; les éléments détaillés peuvent être fournis dans le cadre sécurité adapté.
Comment effectuer une sauvegarde manuelle ?
Le bouton Télécharger télécharge un export complet du compte au format JSON. Le fichier doit être conservé avec soin : il contient les hashs de mots de passe et l'ensemble des données personnelles.
En cas d'incident majeur, ce fichier peut être renvoyé à l'équipe Omniscol pour réinjection.
Si l'option Snapshots est activée sur le compte, vous pouvez aussi automatiser la création de points de sauvegarde restaurables. Voir Points de sauvegarde.
Historique des incidents
Au plus récent recensement (février 2026) :
- 0 violation de données client (historique cumulé).
- 0 incident de sécurité en 2025.
Ces chiffres sont publiés dans SECURITY_ONE_PAGER.md, document
revu trimestriellement.