Politique de sécurité

Application GestFormation
Dernière mise à jour : 29/12/2025 Document de confiance

1. Objet

Cette politique décrit les mesures techniques et organisationnelles mises en œuvre afin d’assurer la confidentialité, l’intégrité et la disponibilité des données traitées par GestFormation.

2. Périmètre

La politique couvre :

  • l’authentification des utilisateurs,
  • la gestion des sessions,
  • la protection contre les accès non autorisés,
  • la sécurisation des échanges par email,
  • la journalisation des événements sensibles.

Elle ne couvre pas :

  • la sécurité des équipements personnels des utilisateurs,
  • les accès depuis des environnements compromis (poste infecté, email piraté, etc.).

3. Authentification & contrôle d’accès

3.1 Authentification OTP
  • Identification par adresse email.
  • Envoi d’un code OTP à durée limitée (ex. 5 minutes).
  • Usage unique.
  • Aucun mot de passe permanent stocké.
3.2 Authentification renforcée (2FA)

Un second facteur d’authentification peut être appliqué aux comptes à privilèges élevés (ex. webmaster), avec une durée de validité limitée.

3.3 Gestion des rôles

L’application s’appuie sur un modèle par rôles (Administrateur, Formateur, Client, Webmaster) avec un périmètre fonctionnel strictement limité.

4. Protection contre les attaques

4.1 Tentatives abusives
  • Limitation par email et/ou adresse IP.
  • Blocage temporaire automatique en cas d’abus.
  • Journalisation des événements de sécurité.
4.2 Sécurisation des sessions
  • Cookies de session HttpOnly et Secure lorsque possible.
  • Expiration automatique de session.
  • Rotation/renouvellement d’identifiants de session.
  • Contrôles de cohérence (selon configuration : IP, UA, etc.).

5. Sécurité des emails

  • Envoi via serveur SMTP authentifié (selon configuration).
  • Les OTP sont temporaires, à usage unique.
  • Aucun lien de connexion « magique » n’est requis.

6. Données traitées

Données typiquement traitées :

  • Nom, prénom, email, rôle utilisateur.
  • Données de gestion des formations, sessions, inscriptions et questionnaires.

Aucune donnée bancaire n’est stockée ou traitée.

7. Journalisation & traçabilité

GestFormation peut journaliser, selon configuration :

  • tentatives de connexion,
  • échecs / succès OTP,
  • blocages de sécurité,
  • envois email techniques (convocations, notifications, etc.).

8. Maintenance & mises à jour

  • Correctifs de sécurité et corrections de bugs.
  • Mise à jour des dépendances lorsque nécessaire.

9. Limites

Aucun système n’est inviolable. L’utilisateur reste responsable de la sécurité de sa messagerie et de son environnement. L’éditeur ne peut être tenu responsable en cas de négligence utilisateur ou d’environnement compromis.

Application GestFormation ©