Conformité & Sécurité

Chez LogCentral, nous prenons la sécurité et la confidentialité de vos données de logs très au sérieux. Ce document présente nos pratiques de sécurité, notre posture de conformité et les responsabilités partagées entre LogCentral et nos clients.

Principes de sécurité

Confidentialité et protection des données par conception

Vos logs vous appartiennent
Nous ne traitons les logs que pour les services que vous avez demandés
Aucune donnée de log n’est partagée avec des tiers
La suppression des données est complète et irréversible sur demande

Défense en profondeur

Plusieurs couches de sécurité protègent vos données :

Sécurité réseau (pare-feux, protection DDoS)
Sécurité applicative (codage sécurisé, audits réguliers)
Sécurité des données (chiffrement, contrôles d’accès)
Sécurité opérationnelle (surveillance, réponse aux incidents)

Sécurité des données

Chiffrement

État des données	Chiffrement
En transit	TLS 1.2+ pour toutes les connexions
Au repos	Chiffrement AES-256
Sauvegardes	Chiffrées avec des clés séparées

Isolation des données

Les données de chaque organisation sont logiquement isolées
Contrôles d’accès stricts entre les tenants
Pas d’accès croisé entre organisations

Résidence des données

Infrastructure principale dans l’UE (France)
Les données ne quittent pas l’UE sauf demande spécifique
Traitement des données conforme au RGPD

Contrôles d’accès

Authentification

Exigences de mot de passe sécurisé
Support de connexion sociale OAuth 2.0
Gestion des sessions avec délais d’expiration automatiques

Autorisation

Contrôle d’accès basé sur les rôles (RBAC)
Permissions granulaires par organisation
Journalisation d’audit de tous les accès

Fonctionnalités Enterprise

Intégration SSO/SAML (forfait Enterprise)
Liste blanche IP
Politiques de session personnalisées

Sécurité de l’infrastructure

Infrastructure cloud

Hébergé sur des fournisseurs cloud européens de niveau entreprise
Correctifs et mises à jour de sécurité réguliers
Systèmes redondants pour haute disponibilité

Sécurité réseau

Protection DDoS
Pare-feu applicatif web (WAF)
Systèmes de détection d’intrusion
Tests de pénétration réguliers

Sécurité physique

Centres de données avec sécurité 24/7
Contrôles d’accès biométriques
Vidéosurveillance
Contrôles environnementaux

Conformité

RGPD

LogCentral est entièrement conforme au RGPD :

Accords de traitement des données clairs
Droit d’accès, de rectification et de suppression des données
Support de portabilité des données
Principes de confidentialité par conception

Accord de traitement des données

Les clients Enterprise reçoivent un DPA couvrant :

Finalités et périmètre du traitement
Droits des personnes concernées
Mesures de sécurité
Liste des sous-traitants
Mécanismes de transfert international

Standards de l’industrie

Conforme aux principales normes de sécurité :

ISO 27001
SOC 2 Type II
RGPD

Nous suivons également les meilleures pratiques de l’industrie, notamment les directives de sécurité OWASP.

Responsabilité partagée

Responsabilités de LogCentral

Nous sommes responsables de :

Sécuriser la plateforme LogCentral
Chiffrer les données en transit et au repos
Maintenir la sécurité de l’infrastructure
Fournir une authentification sécurisée
Mises à jour de sécurité régulières
Détection et réponse aux incidents

Responsabilités du client

Vous êtes responsable de :

Sécuriser vos identifiants d’accès
Gérer les permissions utilisateur de manière appropriée
Configurer les listes blanches IP si nécessaire
Assurer une utilisation autorisée par votre équipe
Respecter les lois applicables à vos données
Signaler les incidents de sécurité suspectés

Réponse aux incidents

Notre engagement

Surveillance de sécurité 24/7
Équipe de réponse aux incidents rapide
Notification client dans les 72 heures suivant une violation confirmée
Rapports post-incident et remédiation

Signaler des problèmes de sécurité

Si vous découvrez une vulnérabilité de sécurité :

Envoyez un email à [email protected]
Incluez une description détaillée
Ne divulguez pas publiquement avant résolution
Nous visons à répondre sous 48 heures

Rétention et suppression des données

Périodes de rétention

Type de données	Rétention
Logs actifs	Selon votre forfait (7-365+ jours)
Logs archivés	Selon vos paramètres de forfait
Données de compte	Jusqu’à suppression du compte
Journaux d’audit	2 ans

Suppression des données

Quand vous supprimez des données :

Logs actifs : Immédiatement retirés de la recherche
Logs archivés : Marqués pour suppression, purgés sous 30 jours
Suppression de compte : Toutes les données supprimées sous 30 jours
Sauvegardes : Purgées sous 90 jours

Bonnes pratiques de sécurité pour les clients

Sécurité du compte

Utilisez des mots de passe forts et uniques
Activez l’authentification à deux facteurs (si disponible)
Révisez régulièrement les accès utilisateur
Supprimez rapidement les utilisateurs inactifs

Sécurité API

Faites tourner les clés API périodiquement
Utilisez les permissions minimales nécessaires
Surveillez l’utilisation API pour détecter les anomalies
Ne commitez jamais les clés API dans les dépôts de code

Sécurité réseau

Utilisez les listes blanches IP pour les emplacements sensibles
Assurez-vous que le trafic syslog utilise un transport sécurisé si possible
Surveillez les tentatives d’accès non autorisé

Questions ?

Pour les questions liées à la sécurité :

Email : [email protected]
Demandez notre package de documentation sécurité
Planifiez un appel de revue sécurité (clients Enterprise)

Pour la documentation de conformité :

Demandes de DPA : [email protected]
Questionnaires de conformité : Contactez votre gestionnaire de compte