Sécurité de vos données

Les données sont hébergées en France, chez OVH à Roubaix, dans un DataCenter sécurisé (sécurisé 24heures sur 24, 7 jours sur 7, et conforme aux exigences des normes et certifications en matière de sécurité des données).

Le prestataire mandaté par la Région Nouvelle-aquitaine recueille, heberge et traite ces données, conformément aux dispositions légales et en particulier conformément au RGPD. Aucune autre utilisation ne peut être faite de ces données.

Conformément au SDET (Schéma Directeur des Espaces Numériques de Travail), 90 jours après la fermeture d'un compte, les données sont automatiquement et définitivement supprimées.

Contrôle d'accès des utilisateurs

La gestion de l’authentification est basée sur un serveur Oauth2 accessible de façon sécurisée (https). Chaque module applicatif de la plateforme embarque un client Oauth2 qui permet la propagation sécurisée des preuves d’authentification au sein de la solution.

Le contrôle d’accès logique se fait par un mot de passe qui doit être personnalisé à la première connexion, de minimum 8 caractères et assujetti à une politique de mot de passe configurable. Exemple de politique de mot de passe : 8 caractères minimum, en mélangeant les majuscules et les minuscules.

Toutes les routes, à l’exception des accès publics (formulaire d’authentification, d’activation ou de perte de mot de passe par exemple) sont sécurisées et accessibles en fonction des habilitations de l’utilisateur.

Le registre d’application offre une gestion homogène des autorisations (habilitation d’accès aux applications).

 

Mesures de traçabilité

Précisez la nature des traces (exemple : journalisation des accès des utilisateurs), les données enregistrées (exemple : identifiant, date et heure de connexion, etc.) et leur durée de conservation :

Mesures de traçabilité à trois niveaux :

  • Journalisation des accès HTTP : le module Nginx gère cela nativement et trace pour chaque requête traitée la date, l’adresse IP, la page consultée et quelques informations techniques supplémentaires ;
  • Journalisation des accès aux serveurs : les systèmes d’exploitation permettent de suivre tous les accès au serveur (utilisateur, date et actions réalisées) ;
  • Journalisation applicative : cela consiste à enregistrer dans des fichiers de trace et en base de données les accès à la plateforme et le actions effectuées au sein des applications, notamment au niveau des composants critiques : alimentation, annuaire, portail, scolarité, console d’administration, accès aux ressources, …

Les logs applicatifs sont conservés deux semaines sur les serveurs, puis sont archivés sur l’outil d'agrégation des logs pendant une durée d’un an glissant (conforme à la législation française, décret du 24 mars 2006).

 

 

Les partenaires

Lycées Nouvelle Aquitaine - académie de Poitiers
Lycées Nouvelle Aquitaine - académie de Limoges
Lycées Nouvelle Aquitaine - académie de Bordeaux
DRAAF