Sécurité et protection des données

La sécurité des données des élèves, des enseignants et des établissements scolaires est une priorité absolue pour Scolaro. Cette page décrit les mesures techniques et organisationnelles que nous mettons en place pour protéger vos informations.

Pour plus d'informations sur la protection des renseignements personnels et notre conformité à la Loi 25, consultez notre page dédiée : Protection des renseignements personnels et conformité à la Loi 25.

La sécurité est un processus continu, pas un état final. Nous améliorons constamment nos pratiques pour répondre aux menaces émergentes et aux meilleures pratiques de l'industrie.

1. Architecture et infrastructure sécurisée

1.1 Hébergement et infrastructure cloud

  • Scolaro utilise Google Cloud Platform (GCP) et Firebase pour héberger ses services, une infrastructure reconnue pour sa sécurité et sa conformité aux normes internationales.
  • Les données sont stockées dans des centres de données situés principalement en Amérique du Nord, avec des garanties de disponibilité et de redondance.
  • L'infrastructure bénéficie de certifications de sécurité incluant ISO 27001, SOC 2, et d'autres standards reconnus.
  • Des sauvegardes automatiques et régulières sont effectuées pour permettre la récupération en cas d'incident.

1.2 Chiffrement des données

  • Chiffrement en transit : Toutes les communications entre votre navigateur et nos serveurs utilisent TLS 1.2 ou supérieur (HTTPS). Aucune donnée n'est transmise en clair.
  • Chiffrement au repos : Les données stockées dans nos bases de données sont chiffrées à l'aide de mécanismes de chiffrement au repos fournis par l'infrastructure cloud.
  • Les clés de chiffrement sont gérées de manière sécurisée et ne sont jamais exposées dans le code ou les configurations accessibles.

1.3 Contrôle d'accès et authentification

  • L'authentification des utilisateurs utilise Firebase Authentication, qui implémente des pratiques sécurisées pour la gestion des mots de passe et des sessions.
  • Les mots de passe sont stockés sous forme de hachage cryptographique (ne peuvent pas être récupérés en clair).
  • Des mécanismes de protection contre les attaques par force brute sont en place.
  • L'accès aux données est contrôlé par des règles de sécurité Firestore qui garantissent que chaque utilisateur ne peut accéder qu'aux données qui lui sont autorisées.

2. Sécurité des applications

2.1 Développement sécurisé

  • Le code de Scolaro suit des pratiques de développement sécurisé, incluant la validation des entrées utilisateur et la protection contre les vulnérabilités courantes (injection, XSS, CSRF, etc.).
  • Les dépendances logicielles sont régulièrement mises à jour pour corriger les failles de sécurité connues.
  • Des revues de code sont effectuées pour identifier et corriger les problèmes de sécurité potentiels.

2.2 Gestion des sessions et tokens

  • Les sessions utilisateur sont gérées de manière sécurisée avec des tokens d'authentification à durée limitée.
  • Les tokens sont invalidés lors de la déconnexion ou après une période d'inactivité.
  • Des mécanismes de protection contre le vol de session sont implémentés.

2.3 Protection contre les attaques

  • Des mécanismes de limitation du débit (rate limiting) sont en place pour prévenir les abus et les attaques par déni de service.
  • Des filtres et validations empêchent l'injection de code malveillant ou de données non autorisées.
  • Les en-têtes de sécurité HTTP sont configurés pour réduire les risques d'attaques par injection ou clickjacking.

3. Contrôle d'accès aux données

3.1 Principe du moindre privilège

  • Chaque utilisateur n'a accès qu'aux données strictement nécessaires à son rôle :
    • Les élèves voient uniquement leurs propres travaux, résultats et informations de classe.
    • Les enseignants accèdent uniquement aux données de leurs groupes et de leurs élèves.
    • Les administrateurs d'école ont accès aux données de leur établissement uniquement.
    • Les administrateurs Scolaro ont des accès limités, uniquement pour le support technique et la maintenance.
  • Ces restrictions sont appliquées à la fois au niveau de l'application et au niveau de la base de données.

3.2 Journalisation et audit

  • Les accès aux données sensibles sont journalisés pour permettre la détection d'activités suspectes.
  • Des logs d'audit sont conservés pour répondre aux exigences de traçabilité et de conformité.
  • Les journaux sont analysés régulièrement pour identifier des anomalies ou des tentatives d'accès non autorisées.

3.3 Gestion des identités et des rôles

  • Les rôles utilisateur sont attribués de manière contrôlée et vérifiée.
  • Les changements de rôles ou de permissions sont tracés et nécessitent une autorisation appropriée.
  • Les comptes inactifs ou désactivés perdent automatiquement leurs accès.

4. Protection contre les incidents de sécurité

4.1 Surveillance et détection

  • Des systèmes de surveillance automatisés détectent les activités suspectes ou les anomalies dans l'utilisation de la plateforme.
  • Des alertes sont configurées pour notifier l'équipe technique en cas de problème de sécurité détecté.
  • Des outils de monitoring surveillent la santé et la sécurité de l'infrastructure en temps réel.

4.2 Plan de réponse aux incidents

  • Scolaro dispose d'un plan de réponse aux incidents de sécurité qui définit les procédures à suivre en cas de violation de données ou d'attaque.
  • En cas d'incident affectant les données personnelles, les utilisateurs et les établissements concernés seront notifiés dans les délais requis par la loi.
  • Des mesures correctives seront prises immédiatement pour limiter l'impact et prévenir de futurs incidents similaires.

4.3 Tests de sécurité

  • Des tests de sécurité réguliers sont effectués pour identifier et corriger les vulnérabilités.
  • Des audits de sécurité peuvent être réalisés par des tiers indépendants lorsque nécessaire.
  • Les failles de sécurité identifiées sont corrigées selon un processus de gestion des vulnérabilités priorisé.

5. Sécurité des données personnelles

5.1 Minimisation des données

  • Nous collectons uniquement les données nécessaires au fonctionnement pédagogique de la plateforme.
  • Les données sont conservées uniquement pendant la durée nécessaire aux fins pour lesquelles elles ont été collectées.
  • Les données obsolètes ou non nécessaires sont supprimées ou anonymisées régulièrement.

5.2 Intégrité et disponibilité

  • Des mécanismes de sauvegarde garantissent que les données peuvent être restaurées en cas de perte accidentelle.
  • Des contrôles d'intégrité permettent de détecter toute altération non autorisée des données.
  • La disponibilité du service est assurée par une infrastructure redondante et des mécanismes de basculement automatique.

5.3 Transfert de données

  • Lorsque des données sont transférées à des fournisseurs de services tiers (par exemple, pour les fonctionnalités d'IA), des garanties contractuelles et techniques sont en place pour assurer leur sécurité.
  • Les transferts de données vers l'extérieur du Québec sont effectués conformément aux exigences de la Loi 25 et avec les garanties appropriées.
  • Les données sont anonymisées ou minimisées avant tout transfert lorsque c'est possible.

6. Conformité et certifications

6.1 Conformité légale

  • Scolaro respecte les exigences de la Loi 25 (Québec) en matière de protection des renseignements personnels. Pour plus de détails sur notre conformité à la Loi 25, consultez notre page dédiée : Protection des renseignements personnels et conformité à la Loi 25.
  • Nous nous conformons également aux principales lois canadiennes sur la protection de la vie privée, incluant la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
  • Des évaluations des facteurs relatifs à la vie privée sont effectuées pour les nouveaux projets ou fonctionnalités.

6.2 Bonnes pratiques de l'industrie

  • Nous suivons les meilleures pratiques de sécurité reconnues dans l'industrie, notamment celles recommandées par l'OWASP (Open Web Application Security Project).
  • Nos pratiques sont alignées avec les standards de sécurité pour les applications éducatives.
  • Nous restons à jour avec les évolutions des menaces de sécurité et adaptons nos mesures en conséquence.

7. Responsabilités partagées

7.1 Responsabilités de Scolaro

  • Maintenir la sécurité de l'infrastructure et de la plateforme.
  • Protéger les données stockées dans nos systèmes.
  • Informer les utilisateurs en cas d'incident de sécurité affectant leurs données.
  • Fournir des outils et des mécanismes permettant aux utilisateurs de gérer leurs données de manière sécurisée.

7.2 Responsabilités des utilisateurs

  • Utiliser des mots de passe forts et uniques pour leur compte Scolaro.
  • Ne pas partager leurs identifiants de connexion avec d'autres personnes.
  • Se déconnecter de leur session lorsqu'ils utilisent un ordinateur partagé.
  • Signaler immédiatement tout accès non autorisé ou activité suspecte à l'équipe de Scolaro.
  • Respecter les politiques de sécurité de leur établissement scolaire.

7.3 Responsabilités des établissements scolaires

  • Gérer les accès des enseignants et des élèves de manière appropriée.
  • Informer les utilisateurs des politiques de sécurité applicables.
  • Collaborer avec Scolaro en cas d'incident de sécurité.
  • Respecter leurs obligations légales en matière de protection des renseignements personnels des élèves.

8. Signalement de problèmes de sécurité

Si vous découvrez une vulnérabilité de sécurité ou suspectez un problème de sécurité dans Scolaro, nous vous encourageons à nous le signaler de manière responsable.

Signalement de vulnérabilités

Veuillez utiliser le formulaire de contact en précisant « Sécurité » dans l'objet. Nous vous demandons de :

  • ne pas exploiter la vulnérabilité au-delà de ce qui est nécessaire pour la démontrer ;
  • ne pas accéder à des données qui ne vous appartiennent pas ;
  • ne pas modifier ou supprimer de données ;
  • nous donner un délai raisonnable pour corriger le problème avant de le divulguer publiquement.

Nous nous engageons à examiner rapidement tout signalement et à vous tenir informé de l'avancement de la correction.

9. Mises à jour et évolution

Cette page de sécurité est mise à jour régulièrement pour refléter l'évolution de nos pratiques et de notre infrastructure. Nous recommandons de la consulter périodiquement pour rester informé des mesures de sécurité en place.

Les modifications importantes apportées à nos pratiques de sécurité seront communiquées aux utilisateurs lorsque cela est approprié et requis par la loi.

Pour toute question concernant la sécurité de Scolaro, vous pouvez nous contacter via le formulaire de contact.