Êtes-vous certifié SOC 2 ?

SOC 2 Type I est en cours (objectif T4 2026). Nous sommes alignés sur les Trust Services Criteria aujourd'hui — revues d'accès, scans de vulnérabilités, chiffrement — mais nous ne revendiquerons pas la certification avant la clôture de l'audit. Pour les achats, nous fournissons le dossier de preuves en cours sur demande.

Êtes-vous conforme RGPD ?

Oui. Nous signons des accords de traitement de données avec les clients UE, hébergeons les données UE en régions UE et documentons les sous-traitants et leurs localisations. Les demandes des personnes concernées (accès, rectification, suppression) sont honorées dans les délais légaux RGPD.

Que se passe-t-il si un sous-traitant a une brèche ?

Nous surveillons la posture sécurité des sous-traitants en continu. Dans un scénario confirmé impactant des données clients, nous notifions les clients impactés sous 72 heures, conformément à l'article 33 RGPD et à la politique de support technique.

Pouvons-nous auditer votre environnement ?

Oui. Les clients Enterprise peuvent mener un audit sécurité annuel documenté contre notre environnement avec 30 jours de préavis. Le périmètre et tout contrôle compensatoire sont convenus par écrit avant le travail terrain.

Quelles données conservez-vous après la fin du contrat ?

Les données clients sont restituées au format de sauvegarde Odoo documenté sous 30 jours, puis supprimées de la production sous 90 jours et des sauvegardes sous 12 mois. Les spécificités de rétention sont inscrites dans chaque SOW.

Sécurité & Conformité

Comment nous protégeons vos données Odoo

Ce dont les équipes achats entreprise ont besoin pour évaluer Octura — infrastructure d'hébergement, chiffrement, contrôles d'accès, sous-traitants et notre approche de ce que nous ne pouvons pas encore certifier.

Parler à un consultant senior Lire le SLA

Les quatre piliers

Notre modèle de sécurité repose sur quatre engagements — chaque engagement est construit contre ceux-ci, et chaque écart (intentionnel ou non) est documenté pour les achats.

Chiffrement partout

TLS 1.2+ en transit. AES-256 au repos. Clés gérées par le client disponibles sur les niveaux Enterprise.

Résidence des données

Région d'hébergement de votre choix — AWS ou GCP aux US, au Canada ou en UE. Vos données ne franchissent pas de frontières sans approbation écrite.

Accès au moindre privilège

Accès par rôles dans Odoo et notre infrastructure. MFA sur tous les comptes ingénieurs. Logs d'audit pour chaque action en production.

Posture de conformité honnête

Aligné RGPD aujourd'hui, SOC 2 Type I en cours, ISO 27001 dans la roadmap. Nous disons ce qui est fait versus en cours — pas de certifications par sous-entendu.

Catégories de contrôles

Accès & Identité

Qui peut faire quoi, quand et d'où — dans Odoo et la couche d'hébergement.

MFA obligatoire sur chaque compte ingénieur Octura
Accès par rôles dans Odoo (ventes, finance, technique) avec groupes nommés
Accès break-glass à durée limitée en production avec auto-expiration 24h
Revue d'accès trimestrielle et suppression des comptes dormants

Réseau & Infrastructure

Hébergement durci aux standards d'entreprise sur AWS ou GCP.

VPC privé avec sous-réseaux séparés app, base et management
WAF (Cloudflare ou AWS WAF) avec rate limiting et anti-bot
Allow-list IP optionnelle et VPN site-à-site pour la production
Protection DDoS via Cloudflare Magic Transit sur niveaux Enterprise

Protection des Données

Chiffrement, sauvegardes et gestion de cycle de vie pour les données qui comptent.

Chiffrement AES-256 au repos sur les volumes gérés et snapshots BD
TLS 1.2+ obligatoire sur tous les endpoints exposés
Sauvegardes off-site chiffrées conservées 35 jours (ou selon SOW)
Masquage des PII dans les environnements non-prod par défaut

Conformité & Audit

Où nous en sommes aujourd'hui sur les cadres dont les achats se soucient.

Accords de traitement de données alignés RGPD disponibles sur demande
Audit SOC 2 Type I en cours (objectif T4 2026)
Revues d'accès internes et audits d'infrastructure trimestriels
Tests d'intrusion annuels par une société externe

Objectifs de Sauvegarde & Reprise

RPO et RTO par niveau d'hébergement. Testés via des exercices de reprise trimestriels — pas des garanties papier.

Niveau d'hébergement	Fréquence sauvegarde	RPO (perte max)	RTO (durée reprise)
Odoo.sh	Incrémentale quotidienne	24 heures	4–8 heures
Octura Cloud	Incrémentale horaire, full quotidienne	1 heure	2–4 heures
On-premise	Selon SOW	Selon SOW	Selon SOW

Les sauvegardes sont chiffrées, stockées dans une région séparée, et testées trimestriellement par restauration complète. Les procédures de restauration sont documentées par engagement et revues dans le SOW.

Sous-traitants

Fournisseurs que nous utilisons pour livrer le service, le rôle de chacun et où leurs données résident. Nous notifions les clients 30 jours avant d'ajouter tout nouveau sous-traitant traitant des données clients.

Fournisseur	Rôle	Région(s)
AWS	Hébergement, stockage, réseau, clés de chiffrement	Au choix : US / Canada / UE
Google Cloud	Hébergement, stockage, réseau (alternative à AWS)	Au choix : US / Canada / UE
Cloudflare	DNS, WAF, protection DDoS, cache edge	Edge mondial, plan de contrôle UE
Sentry	Monitoring erreurs (traces serveur)	UE (Francfort)
Odoo S.A.	Odoo S.A. pour les déploiements Odoo.sh uniquement	UE (Belgique)

Divulgation de vulnérabilités

Signalez une suspicion de problème de sécurité affectant Octura, notre infrastructure ou tout déploiement client que nous gérons. Nous répondons sous un jour ouvré et triions sous trois.

Envoyez une description du problème, les étapes de reproduction et vos coordonnées. Nous accusons réception sous 24 heures, trions sous trois jours ouvrés et divulguons toute découverte impactant un client dans les délais publiés dans notre politique de support technique.

security@octurasolutions.com

Besoin de notre questionnaire de sécurité ?

Nous maintenons des réponses aux questionnaires achats courants (CAIQ, SIG-Lite, formulaires propriétaires). Écrivez à un consultant senior et nous envoyons le packet actuel sous un jour ouvré.

Parler à un consultant senior

FAQ Sécurité

01Êtes-vous certifié SOC 2 ?
SOC 2 Type I est en cours (objectif T4 2026). Nous sommes alignés sur les Trust Services Criteria aujourd'hui — revues d'accès, scans de vulnérabilités, chiffrement — mais nous ne revendiquerons pas la certification avant la clôture de l'audit. Pour les achats, nous fournissons le dossier de preuves en cours sur demande.
02Êtes-vous conforme RGPD ?
Oui. Nous signons des accords de traitement de données avec les clients UE, hébergeons les données UE en régions UE et documentons les sous-traitants et leurs localisations. Les demandes des personnes concernées (accès, rectification, suppression) sont honorées dans les délais légaux RGPD.
03Que se passe-t-il si un sous-traitant a une brèche ?
Nous surveillons la posture sécurité des sous-traitants en continu. Dans un scénario confirmé impactant des données clients, nous notifions les clients impactés sous 72 heures, conformément à l'article 33 RGPD et à la politique de support technique.
04Pouvons-nous auditer votre environnement ?
Oui. Les clients Enterprise peuvent mener un audit sécurité annuel documenté contre notre environnement avec 30 jours de préavis. Le périmètre et tout contrôle compensatoire sont convenus par écrit avant le travail terrain.
05Quelles données conservez-vous après la fin du contrat ?
Les données clients sont restituées au format de sauvegarde Odoo documenté sous 30 jours, puis supprimées de la production sous 90 jours et des sauvegardes sous 12 mois. Les spécificités de rétention sont inscrites dans chaque SOW.