Sécurité
Notre engagement de sécurité
Chez Zylior, ta croissance passe par tes données : campagnes publicitaires, leads, contenus, calendriers de rendez-vous, accès à tes outils. On en a parfaitement conscience. La sécurité n'est pas une case que l'on coche une fois pour toutes, c'est une discipline que l'on applique à chaque ligne de code, chaque déploiement et chaque accès. Cette page t'explique concrètement comment on protège ton poste de commande de croissance et les informations qui y transitent.
On privilégie une approche « managed-first » : on s'appuie sur des fournisseurs d'infrastructure reconnus et certifiés, on réduit la surface que l'on opère nous-mêmes, et on applique systématiquement le principe du moindre privilège. Moins de complexité inutile, c'est moins de risques pour toi.
Chiffrement des données
En transit
Toutes les communications entre ton navigateur, nos applications et nos services sont chiffrées via TLS 1.2 ou supérieur. Le trafic non chiffré est refusé : aucune donnée ne circule en clair sur le réseau. Nous appliquons la redirection HTTPS stricte (HSTS) et utilisons des suites cryptographiques modernes.
Au repos
Les données stockées sur nos bases et nos volumes sont chiffrées au repos avec l'algorithme AES-256. Cela vaut pour les bases de données, les sauvegardes et les fichiers déposés sur la plateforme. Les clés de chiffrement sont gérées par notre fournisseur d'infrastructure via un service dédié, avec rotation régulière, et ne sont jamais exposées dans le code ou les journaux.
Secrets et identifiants tiers
Les jetons d'accès et identifiants que tu connectes à Zylior (régies publicitaires, messageries, CRM, agendas) sont chiffrés et stockés dans un coffre de secrets isolé. Ils ne sont déchiffrés qu'au moment strictement nécessaire à l'exécution d'une automatisation, et jamais affichés en clair dans l'interface.
Hébergement et localisation des données
L'ensemble de l'infrastructure de Zylior est hébergée au sein de l'Union européenne, chez des fournisseurs d'infrastructure cloud reconnus disposant de certifications de sécurité de premier plan (notamment ISO 27001 et SOC 2). Tes données de production et leurs sauvegardes restent dans l'UE.
Lorsque le traitement d'une fonctionnalité implique un sous-traitant situé hors de l'UE, nous l'encadrons par les garanties appropriées prévues par le RGPD (clauses contractuelles types) et nous le documentons dans notre registre de sous-traitants.
Isolation des données par client
Zylior pilote un portefeuille de plusieurs micro-SaaS pour des fondateurs et des agences. La séparation entre les données de chaque client est une exigence fondamentale de notre architecture.
- Chaque enregistrement est rattaché à un identifiant de compte (tenant), et toutes les requêtes sont filtrées à ce niveau par défaut.
- Le contrôle d'isolation est appliqué au plus bas niveau possible de la couche d'accès aux données, et non laissé à la discrétion de chaque écran.
- Les environnements de production, de test et de développement sont strictement séparés. Aucune donnée client réelle n'est utilisée pour le développement ou les tests.
- Les traitements IA s'exécutent dans le périmètre du compte concerné : les données d'un client ne servent jamais à enrichir, entraîner ou alimenter le compte d'un autre.
Contrôle d'accès et moindre privilège
L'accès aux systèmes de Zylior est strictement encadré et limité aux personnes qui en ont réellement besoin pour leur fonction.
- Moindre privilège : chaque membre de l'équipe et chaque service ne dispose que des droits indispensables à sa tâche, rien de plus.
- Authentification forte : l'authentification multifacteur (MFA) est obligatoire sur tous les accès aux outils d'administration et à l'infrastructure.
- Accès nominatifs : les accès sont individuels et traçables. Les comptes partagés sont proscrits.
- Revue régulière : les droits d'accès sont revus périodiquement et révoqués immédiatement au départ d'un collaborateur.
- Côté plateforme : au sein de ton espace, tu gères les rôles et permissions de ton équipe pour contrôler qui peut voir et faire quoi.
Sauvegardes et reprise d'activité
Tes données sont sauvegardées de façon automatique et régulière afin de pouvoir être restaurées en cas d'incident.
- Sauvegardes chiffrées et automatisées des bases de données, conservées sur une période glissante.
- Stockage des sauvegardes dans l'UE, séparé de l'environnement de production.
- Tests de restauration réalisés périodiquement pour garantir que les sauvegardes sont exploitables, et pas seulement présentes.
- Plan de reprise d'activité documenté, avec des objectifs de temps de reprise (RTO) et de perte de données maximale (RPO) définis.
Journalisation et supervision
Nos systèmes sont surveillés en continu pour détecter au plus tôt les comportements anormaux.
- Journalisation des accès, des actions sensibles et des événements d'authentification.
- Supervision de la disponibilité et des performances, avec alertes automatiques en cas d'anomalie.
- Centralisation des journaux et conservation sur une durée définie, avec protection contre la modification.
- Les journaux sont conçus pour ne pas contenir de secrets ni de données personnelles superflues.
Gestion des incidents
Malgré toutes les précautions, aucun système n'est infaillible. Nous avons donc un processus clair pour réagir vite et bien.
- Détection et qualification : tout événement suspect est analysé et classé selon sa gravité.
- Confinement et résolution : nous isolons la cause, corrigeons la faille et rétablissons le service.
- Notification : en cas de violation de données à caractère personnel, nous notifions l'autorité de contrôle compétente dans les 72 heures et informons les clients concernés sans délai injustifié, conformément au RGPD.
- Analyse post-incident : chaque incident significatif fait l'objet d'un retour d'expérience documenté pour éviter qu'il ne se reproduise.
Conformité au RGPD
Zylior traite des données à caractère personnel dans le strict respect du Règlement général sur la protection des données (RGPD).
- Bases légales et finalités : nous ne traitons les données que pour des finalités déterminées et légitimes liées à la fourniture du service.
- Minimisation : nous ne collectons que les données nécessaires au fonctionnement de la plateforme.
- Rôle de sous-traitant : pour les données de tes propres prospects et clients, tu es responsable de traitement et Zylior agit en tant que sous-traitant, dans le cadre d'un accord de traitement des données (DPA).
- Droits des personnes : nous t'aidons à répondre aux demandes d'accès, de rectification, d'effacement et de portabilité.
- Sous-traitants ultérieurs : nous tenons à jour la liste de nos sous-traitants et les encadrons contractuellement.
- Conservation : les données sont conservées le temps nécessaire à la fourniture du service, puis supprimées ou anonymisées.
Pour toute question relative à la protection des données ou pour exercer tes droits, écris-nous à hello@zylior.com.
Aperçu des mesures de sécurité
| Domaine | Mesure appliquée |
|---|---|
| Chiffrement en transit | TLS 1.2+, HTTPS strict (HSTS) |
| Chiffrement au repos | AES-256 (bases, sauvegardes, fichiers) |
| Hébergement | Union européenne, fournisseurs certifiés ISO 27001 / SOC 2 |
| Isolation | Cloisonnement des données par compte client |
| Contrôle d'accès | Moindre privilège, MFA obligatoire, accès nominatifs |
| Sauvegardes | Automatisées, chiffrées, restauration testée |
| Supervision | Journalisation, alertes, conservation protégée |
| Conformité | RGPD, DPA, registre des sous-traitants |
Divulgation responsable
La sécurité est un travail d'équipe, et la communauté des chercheurs en sécurité y contribue. Si tu découvres une vulnérabilité potentielle dans Zylior, on compte sur toi pour nous la signaler de manière responsable plutôt que de la divulguer publiquement.
- Écris-nous à security@zylior.com avec une description détaillée et les étapes permettant de reproduire le problème.
- Laisse-nous un délai raisonnable pour analyser et corriger la faille avant toute divulgation publique.
- N'accède pas aux données d'autres clients, ne dégrade pas le service et ne réalise aucune action destructrice durant tes tests.
- Nous nous engageons à accuser réception de ton signalement, à te tenir informé de son traitement et à reconnaître ta contribution si tu le souhaites.
Les chercheurs qui respectent cette démarche de bonne foi ne feront l'objet d'aucune poursuite de notre part.