Cuillère d'argent Rechercher
Tech 30 septembre 2024 10 min de lecture

Sécurité des données Zeendoc : protections, limites et vérifications à mener

Zeendoc protège les documents par une combinaison de contrôle des accès, de traçabilité, de protection des échanges et de mécanismes de sauvegarde. Mais la sécurité réelle dépend aussi de la configuration choisie, des options souscrites et des pratiques quotidiennes de l’entreprise.

Sécurité des données Zeendoc : protections, limites et vérifications à mener

Zeendoc peut sécuriser les données grâce à une approche dite de défense en profondeur : authentification des utilisateurs, droits d’accès par rôle, échanges protégés, hébergement encadré, traçabilité et sauvegardes. Cette protection n’est toutefois jamais automatique : le niveau réel dépend du périmètre contractuel, du mode d’hébergement, des fonctionnalités activées et, surtout, de la rigueur avec laquelle l’entreprise gère ses comptes, ses droits et ses postes de travail.

La réponse courte : une sécurité construite par couches

Dans une gestion électronique de documents comme Zeendoc, la confidentialité ne repose pas sur une unique barrière. Le premier niveau consiste à identifier précisément la personne qui se connecte. Le second limite ce qu’elle peut consulter, modifier, télécharger, partager ou supprimer. Les couches suivantes concernent la protection des données durant leur circulation et leur stockage, la disponibilité du service en cas d’incident, ainsi que la capacité à comprendre a posteriori qui a fait quoi.

Concrètement, une entreprise doit pouvoir organiser ses utilisateurs en groupes — direction, comptabilité, ressources humaines, agence, prestataires — puis attribuer des autorisations adaptées aux espaces, dossiers et types de documents. Un salarié des ventes n’a, par exemple, aucune raison d’ouvrir les bulletins de paie ; inversement, le service RH ne doit pas nécessairement accéder aux dossiers commerciaux. C’est le principe du moindre privilège : donner le minimum de droits permettant d’exécuter une mission.

3 objectifs indissociables : confidentialité, intégrité et disponibilité
1 compte nominatif par utilisateur, jamais un identifiant partagé
2 facteurs d’authentification à privilégier pour les comptes sensibles
0 droit d’accès accordé par défaut à un nouveau collaborateur

Les mécanismes techniques à contrôler dans votre environnement Zeendoc

La protection des données commence par les connexions. L’accès à une plateforme documentaire en ligne doit passer par un canal chiffré, généralement HTTPS avec TLS, afin qu’un tiers ne puisse pas lire les documents ou les identifiants lors de leur transit. La protection des données stockées est un second sujet : il faut demander quelles mesures de chiffrement sont appliquées, où sont gérées les clés et dans quelles conditions les équipes techniques peuvent intervenir sur l’environnement.

La disponibilité est tout aussi importante. Des sauvegardes, une redondance éventuelle et une procédure de reprise permettent de limiter les conséquences d’une erreur humaine, d’une panne ou d’une attaque. Mais l’expression « sauvegarde automatique » ne suffit pas : une organisation doit connaître la fréquence de sauvegarde, la durée de conservation, le lieu de stockage des copies, le délai cible de restauration et les modalités d’un test de reprise. Ces éléments peuvent varier selon l’offre souscrite ; ils doivent donc figurer dans la documentation ou les engagements contractuels applicables à votre instance.

DomaineCe que le dispositif doit apporterQuestion à poser ou réglage à vérifier
AuthentificationIdentification fiable des utilisateurs et limitation des accès non autorisésLes comptes sont-ils individuels ? Une authentification multifacteur ou un SSO est-il disponible et activé ?
Droits d’accèsLecture, modification, suppression et partage limités selon le rôleLes droits sont-ils attribués par groupe et revus à chaque arrivée, mobilité ou départ ?
ChiffrementProtection des flux et, selon l’offre, des données hébergéesQuels protocoles protègent les échanges ? Quelles garanties de chiffrement au repos sont contractuellement prévues ?
SauvegardesRécupération après erreur, incident ou indisponibilitéQuelle fréquence, quelle rétention, quel objectif de restauration et quand a eu lieu le dernier test ?
TraçabilitéCapacité à investiguer une action ou un accès suspectQuels événements sont journalisés, qui lit les journaux et combien de temps sont-ils conservés ?
ConformitéEncadrement des traitements de données personnellesL’accord de sous-traitance, les sous-traitants ultérieurs et les lieux d’hébergement sont-ils documentés ?
Grille de contrôle de la sécurité d’une solution Zeendoc

La journalisation mérite une attention particulière. Pour les documents sensibles, il doit être possible de retracer les connexions, les changements de droits et, selon les fonctions activées, les opérations importantes sur un fichier. Les journaux ne préviennent pas l’incident à eux seuls, mais ils permettent d’en mesurer l’étendue, de révoquer un accès compromis et de produire des éléments utiles lors d’un contrôle interne.

Ce que couvre la plateforme, et ce qui reste à la charge de l’entreprise

L’évaluation de Zeendoc ne doit pas se limiter aux fonctions visibles dans l’interface. Une solution documentaire s’inscrit dans une chaîne complète : navigateur ou application de l’utilisateur, connexion internet, poste de travail, annuaire d’entreprise, messagerie, éventuelles intégrations et processus métier. Le maillon le moins bien protégé suffit souvent à exposer un document. Un PDF parfaitement stocké peut être copié sur un ordinateur non chiffré, envoyé par erreur par courriel ou téléchargé par un collaborateur dont le compte a été hameçonné.

Répartition pratique des responsabilités de sécurité

Plateforme, éditeur et hébergeur

  • Maintenir l’infrastructure, les logiciels et les mécanismes de protection prévus par l’offre.
  • Proposer des fonctions d’authentification, de droits, de traçabilité et de sauvegarde selon le périmètre souscrit.
  • Documenter les engagements de service, le traitement des incidents et les mesures applicables aux données hébergées.
  • Encadrer les interventions techniques et les sous-traitants impliqués dans l’exploitation du service.

Entreprise cliente et utilisateurs

  • Créer des comptes individuels, supprimer sans délai les accès des sortants et revoir les habilitations.
  • Choisir des mots de passe robustes, activer l’authentification renforcée et protéger les postes de travail.
  • Définir quels documents peuvent être partagés, exportés ou conservés, et pendant combien de temps.
  • Former les équipes au phishing, aux erreurs de destinataire et au signalement rapide d’une activité anormale.

Comment paramétrer Zeendoc pour réduire réellement les risques

La meilleure configuration est rarement celle qui donne le plus de liberté à tous. Elle est celle qui concilie fluidité de travail et restriction raisonnable des actions à risque. Avant un déploiement ou une remise à plat, cartographiez les familles de documents : factures, contrats, dossiers salariés, pièces d’identité, documents clients, données médicales éventuelles ou secrets de fabrication. Plus la sensibilité est élevée, plus le cercle de lecture, d’export et de suppression doit être restreint.

  1. Inventoriez les espaces documentaires
    Listez les armoires, dossiers, workflows et connecteurs utilisés. Associez à chacun un propriétaire métier capable de valider les droits nécessaires et la durée de conservation.
  2. Construisez des rôles plutôt que des exceptions
    Créez des groupes cohérents, par exemple Comptabilité, RH, Managers ou Agences. Évitez d’accorder des droits au cas par cas, difficiles à contrôler lorsqu’un collaborateur change de fonction.
  3. Sécurisez les comptes privilégiés
    Réservez les droits d’administration à un nombre limité de personnes, avec des comptes nominatifs distincts si possible. Activez l’authentification multifacteur ou l’intégration à l’identité d’entreprise lorsqu’elles sont proposées dans votre configuration.
  4. Cadrez le partage externe
    Définissez qui peut envoyer un document hors de l’organisation, pour quelle durée et avec quelles protections. Privilégiez les accès temporaires, protégés et révoqués à l’issue du besoin plutôt que les copies permanentes.
  5. Testez et consignez
    Essayez de restaurer un document, contrôlez un échantillon de droits et examinez les journaux après un départ de salarié ou un incident simulé. Conservez la preuve de ces vérifications dans votre dossier de sécurité.

Sauvegarde, archivage et partage : trois notions à ne pas confondre

Une sauvegarde sert à restaurer des données après une suppression, une corruption ou une indisponibilité. Elle ne constitue pas nécessairement un archivage réglementaire. L’archivage à valeur probante répond à des exigences différentes : intégrité dans le temps, traçabilité, politiques de conservation, scellement éventuel et preuve. De même, le fait qu’un document soit correctement classé dans Zeendoc ne garantit pas qu’il est adapté à tous les usages de conservation légale ou contractuelle.

  • Pour les factures, contrats ou dossiers RH, définissez une durée de conservation validée par les équipes juridique, financière et métier.
  • Préparez une règle de purge ou d’anonymisation lorsque la conservation n’est plus justifiée, notamment pour les données personnelles.
  • Encadrez les exports massifs : ils sont pratiques pour la continuité d’activité, mais créent une copie supplémentaire difficile à maîtriser.
  • Vérifiez que les documents téléchargés sur les postes, clés USB ou espaces personnels restent eux aussi protégés.
  • Traitez les liens de partage comme des accès à part entière : propriétaire, destinataire, date d’expiration et révocation doivent être identifiables.

Audit, incident et preuves : les questions qui font la différence

Avant de choisir ou de renouveler une offre Zeendoc, sollicitez une documentation de sécurité à jour et faites-la relire par votre responsable informatique, votre délégué à la protection des données ou votre prestataire cybersécurité. Les réponses utiles sont concrètes : localisation de l’hébergement, rôles respectifs, gestion des vulnérabilités, processus de notification, politique de sauvegarde, modalités de restitution des données et suppression en fin de contrat. Une réponse vague du type « tout est sécurisé » n’est pas suffisante pour des documents RH, financiers ou clients.

Préparez également un protocole d’incident. Si un compte est suspecté d’être compromis, il faut savoir qui alerter, comment désactiver l’accès, quels journaux consulter, quels documents peuvent avoir été exposés et quand prévenir la direction, les personnes concernées ou l’autorité compétente. En matière de données personnelles, une violation susceptible d’engendrer un risque peut imposer au responsable du traitement une notification à l’autorité de contrôle dans un délai maximal de 72 heures. Ce délai court vite : la préparation est donc une mesure de sécurité à part entière.

Questions fréquentes

On répond à vos questions

Zeendoc est-il conforme au RGPD ?

Une solution logicielle ne rend pas, à elle seule, une organisation conforme au RGPD. Zeendoc peut fournir des mesures et documents utiles au rôle de sous-traitant, mais l’entreprise cliente reste responsable de la licéité du traitement, des droits d’accès, des durées de conservation et de l’information des personnes. Demandez l’accord de sous-traitance applicable, la liste des sous-traitants ultérieurs et les informations relatives aux lieux de traitement.

Les données Zeendoc sont-elles chiffrées ?

Les échanges avec une plateforme documentaire doivent être protégés par HTTPS/TLS. Pour le chiffrement des données stockées, les modalités exactes peuvent dépendre de l’offre, de l’hébergement et des options. Il faut donc demander une réponse écrite précisant la protection en transit et au repos, ainsi que les responsabilités liées à la gestion des clés et aux accès techniques.

Un administrateur Zeendoc peut-il voir tous les documents ?

Cela dépend de la configuration des rôles et des pouvoirs d’administration. Dans une politique saine, les droits les plus élevés sont limités à quelques comptes nominatifs, protégés par une authentification renforcée. Il est recommandé de séparer autant que possible l’administration technique, la gestion des habilitations et l’accès aux documents les plus sensibles, notamment RH.

Les sauvegardes protègent-elles contre un ransomware ?

Elles constituent une protection essentielle, mais pas suffisante. Une sauvegarde utile contre un ransomware doit être isolée ou difficile à altérer, conservée selon une rétention adaptée et testée par des restaurations réelles. Il faut également protéger les identifiants administrateur, détecter les comportements anormaux et limiter les droits de suppression ou d’export.

Comment partager un document Zeendoc en toute sécurité ?

Commencez par vérifier que le partage externe est nécessaire. Limitez les destinataires, utilisez une durée d’accès courte, appliquez les protections proposées par votre configuration et retirez l’accès dès que l’échange est terminé. Pour les données très sensibles, préférez un accès contrôlé à une copie jointe dans un courriel, car cette dernière échappe plus facilement au contrôle et à la révocation.

Quels éléments demander avant de signer ou renouveler un contrat Zeendoc ?

Demandez au minimum la documentation de sécurité, les conditions d’hébergement, l’accord de traitement des données, la politique de sauvegarde, les objectifs de reprise, les modalités de support en cas d’incident, la procédure de restitution des données et les conditions de suppression en fin de contrat. Faites ensuite correspondre ces engagements à la sensibilité réelle de vos documents et à vos propres obligations métier.