Contactez nous
Blog
 
Vous, ICOLEIS et le RGPD : vos statistiques visiteurs
Publiée le : 25/05/2018

Si vous êtes client d'ICOLEIS vous avez accès aux statistiques de vos projets web.

Nous avons modifié le paramétrage de ce logiciel pour éviter d'enregistrer des adresses IP. En effet, l'adresse IP est considérée comme une "donnée personnelle" puisqu'elle peut permettre (dans certaines situations) de remonter à une personne physique.

Le logiciel utilisé pour les statistiques des sites (Matomo, ex-Piwik) a été configuré pour anonymiser automatiquement les données afin que ICOLEIS (votre "sous-traitant") et vous notre client (le "Contrôleur de données") ne traitez aucune donnée personnelle dans les statistiques.

Attention, si votre site est configuré pour utiliser un autre logiciel de statistiques (comme "Google analytics" (c)) vous devez voir la conformité GRPD avec ce fournisseur sous-traitant ("Google" (c) dans ce cas).

Pour en savoir plus :

Les adresses IP des visiteurs sont anonymisées (partiellement masqués) : ils sont pour cela amputés de la précision qui permettrait de remonter à une personne physique. (Concrètement : le nombre de bytes de l'adresse IP du visiteur qui sont masqués est de 2 bytes, par exemple 192.168.xxx.xxx). Les composants tels que Géolocalisation par IP et l'indication du Fournisseur d'Accès à Internet (FAI) utilisent ces adresses IP anonymisées. Ceci diminue bien sûr la précision des données mais augmente le respect de la vie privée de vos utilisateurs et évite d'enregistrer et de traiter une donnée personnelle (l'adresse IP d'un visiteur).

Pour distinguer les visiteurs uniques un ID de visiteur est forcément nécessaire. Pour éviter que cela devienne une donnée personnelle cet ID est remplacé par un pseudonyme afin d'éviter d'afficher directement des informations personnellement identifiables telles qu'une adresse e-mail. Puisqu'un identifiant incrémentiel pourrait être croisé avec un autre systèmes, d'autres sites et services, l'identifiant incrémentiel est automatiquement anonymisé, de sorte qu'aucune information personnelle ne peut remonter par croisement.

Le serveur de statistiques prend en charge la préférence "Ne Pas Suivre" des logiciels navigateurs.

Pour augmenter la sécurité le login dans le système des statistiques a été doté de la "validation en deux étapes" pour réaliser ainsi une authentification "forte" (quelque chose que vous savez -un mot de passe- avec quelque chose que vous posséder -une app sur votre smartphone-).

Pour activer cette "validation en deux étapes" sur votre accès à ce logiciel de statistiques vous devez l'activer avec l'application smartphone de votre choix. Une fois authentifié avec votre identifiant et mot de passe, rendez-vous dans "Administration" puis choisir "Authentification Google" (ce titre est trompeur, car on peut utiliser une validation en deux étapes sans passer par l'entreprise "Google" (c)). Vous verrez "L'authentification Google est actuellement désactivée. Veuillez cliquer ci-dessous pour activer l'authentification Google pour votre compte".

Le support d'ICOLEIS peut vous aider si vous n'êtes pas habitué à la mise en place de cette procédure. Si vous souhaitez éviter les GAFA et le "Google authentificator" vous pouvez utiliser "FreeOTP" de Red Hat:

La communication avec le logiciel de statistiques se fait nécessairement via une liaison sécurisée (SSL).

Le support ICOLEIS est à votre disposition pour plus d'explication. Faites-nous savoir si nous pouvons vous aider avec quoi que ce soit d'autre.

Vous, ICOLEIS et le RGPD (Règlement Général sur la Protection des Données)
Publiée le : 09/05/2018

Le "Règlement Général sur la Protection des Données" (RGPD) entre en vigueur le 25 mai 2018.

Est-ce que le RGPD interdit la collecte et le traitement de "données personnelles" ?

Non, pas du tout. Mais il donne des nouveaux droits aux citoyens européens que les organismes doivent respecter. Il clarifie les rôles des parties prenantes.

Est-ce que seul le numérique est concerné ?

Cela ne concerne pas que le numérique : n'importe quel autre support (papier, fiche classeur, registre) est concerné dès qu'il s'agit d'une "donnée personnelle" d'une personne physique citoyen européen identifiable.

Est-ce que seules les entreprises sont concernées ?

Non, le RGPD s'applique à tout organisme (entreprise ou association, privée ou public, grande ou petite) qui collecte et/ou traite des "données personnelles" de citoyens européens.

Quelle est la démarche d'ICOLEIS ?

ICOLEIS se réjouit de la démarche qualité qu'est le RGPD et est explicitement dans une démarche de conformité. Nous sommes envers vous dans le rôle de "sous-traitant" et nous avons donc un devoir de vous informer et vous aider à la mise en conformité vis-à-vis du RGPD. Vous recevez ce message si :

  • vous êtes client d'ICOLEIS, ou vous l'avez été les 3 dernières années,
  • vous êtes contact administratif, contact financier ou administrateur d'un service fourni par ICOLEIS,
  • vous êtes abonné à notre liste de diffusion / Alerte actualité "Évolutions fonctionnalités plateforme".

Nous partageons dans ce premier document le résultat de notre étude du RGPD à ce jour. Notre source est principalement le document de la CNIL / BPI-France "Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises". https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf

Voir aussi "RGPD : passer à l'action" : https://www.cnil.fr/fr/rgpd-passer-a-laction

Nous espérons que ce résumé vous sera utile, tout en étant conscient de ses limites. Vous devrez le compléter par vos propres études des textes et l'apport de votre conseil membre de l'ordre des avocats (qui sont les seuls autorisés à donner du conseil juridique). Ce document n'est qu'informatif : chacun reste entièrement responsable de ses propres dispositifs. Le texte du règlement européen se retrouve entre autre ici : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/

Cet article sur le RGPD est le premier d'une série. Dans les versions suivantes de la plateforme ICOLEIS nous ajusteront les fonctionnalités afin de vous aider à être en conformité avec la RGPD et permettre à vos utilisateurs d'exercer leurs droits. Nous vous informeront de modifications apportées. Nous vous transmettront aussi en tant que "sous-traitant" notre nouvelle "politique de confidentialité", ainsi que la documentation de notre "politique de sécurité".

Nous vous invitons à la fin de la lecture de ce document à nous transmettre vos remarques et questions via notre interface de support ou directement à dpo@icoleis.fr . Vos questions et remarques nous aideront dans le travail de la mise en œuvre du RGPD et permettront d'alimenter les échanges que nous avons avec notre propre conseil juridique.

Préambule

Les "données" sont devenues omniprésentes. Nous avons tous pris l'habitude de les amasser et de les sauvegarder "au cas où" elles pourraient nous être utiles "un jour". Les PDG charismatiques de grandes entreprises nous ont habitué à prendre à la légère un certain type de données : les "données personnelles". Ils nous ont répété que la vie privée n'existait plus, ou qu'elle avait été une "anomalie de l'histoire". Ils nous ont habitués à utiliser leurs services gratuitement en échange d'un accord implicite leur cédant nos données personnelles. La RGPD est un changement radical de paradigme ! Un changement auquel nous aurons tous tendance à résister car elle nous amène à une plus grande rigueur qui nécessairement nous amènera à refonder notre pratique. Elle aura 2 conséquences complémentaires et salutaires : 1/ du côté des citoyens européens : une plus grande protection des données personnelles ; 2/ du côté des professionnels : une démarche qualité et une solide rigueur.

A qui s'applique le RGPD

Le RGPD s'applique à tout organisme (entreprise ou association, privée ou public, grande ou petite) qui collecte et/ou traite des "données personnelles" de citoyens européens.

Etes-vous concernés ?

Probablement oui, sauf si votre service internet et votre activité en générale se limitent à diffuser des informations sans données personnelles à des visiteurs anonymes, et que vous n'avez aucun fichier, Excel, classeur avec des documents / fiches ou registres papier comportant des "données personnelles" de vos visiteurs, clients, prospects, collaborateurs, salariés ou adhérents. En fonction du type de données et de leurs traitements vous serez plus ou moins impactés. Exemple :

  • vous pouvez être concerné si vous collectez des statistiques de fréquentation (trop) précises qui permettent via des habiles croisements de remonter à une personne physique.
  • vous êtes aussi concerné si votre service numérique propose une liste de diffusion et que vous collectez donc des adresses courriel.
  • vous êtes probablement concernés si vous utilisez nos outils d'inscription en ligne, ou la gestion de dossiers administratifs en ligne. Notez que cela ne concerne pas seulement l'informatique ou l'internet : toute l'administration est concernée, aussi bien sur support informatique que sur support papier.

Qu'est-ce une " donnée personnelle " ?

Une "donnée personnelle" est toute information concernant une personne physique identifiée ou identifiable. L'identification peut être

  • directe (nom, prénom) ou
  • indirecte (tout numéro ou identifiant unique, numéro de téléphone, adresse, une caractéristique spécifique, une image)
  • par croisement (exemple " un homme, habitant dans telle ville, né tel jour, ayant fait tel don en ligne, militant dans telle association….)

Qu'est-ce qu'un " traitement "

Il faut distinguer "donnée personnelle" et "traitement" de données personnelles. Un "traitement" est toute opération menant à collecter, organiser, enregistrer, conserver, adapter, modifier, extraire, consulter, communiquer, diffuser, transmettre, rapprocher une donnée personnelle.

Qu'est la " finalité " d'un " traitement " ?

Chaque "traitement" de "données personnelles" devra préciser une "finalité". Cette "finalité" devra être légitime (et légale) au regard de votre activité (par exemple la gestion de vos adhérents / clients).

Qu'est le " Contrôleur de données "

Le "Contrôleur de données" est le responsable du traitement : la personne qui décide de créer une collection de "données personnelles". Cela peut-être quelqu'un d'interne, un commercial, un secrétariat : il est responsable des données et de l'application du RGPD.

Quelles sont les étapes de la démarche RGPD à respecter?

La RGPD est plus une attitude, plus un "processus" de l'ensemble de votre organisation qu'un sujet informatique ou légal ! Le "Guide pratique de la sensibilisation au RGPD" énumère 4 étapes sur le chemin vers la "conformité". Nous ajouterons un 5ième pour la mise à jour continue de 4 premiers.

1/ CONNAITRE / RECENSER les " traitements de données " de votre structure.

Dans un "registre des traitements de données" (un tableur, un document, une base de données) prévoir une fiche pour chaque "traitement" et y énumérer :

  • la "finalité" du traitement ;
  • les données concernées par "type" : données d'identification directe (Etat civil, identité, données d'identification, images…), données de vie personnelle (habitudes de vie, situation familiale, etc.), Informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.), Données de connexion (adresse IP, logs, etc.), données de localisation (déplacements, données GPS, GSM, etc.), …. ;
  • cartographier qui a accès à ces données, décrire les règles d'accès aux données en opérationnel, mais aussi qui a accès aux réplications et sauvegardes. Qui a accès en écriture, qui a accès en lecture, qui a le droit d'effacer ?
  • quel est la durée de conservation (en "opérationnel" et en "archive") de ces données (sachant que d'autres règlementations peuvent s'appliquer, comme la durée de conservation minimale de factures etc…) ;
  • quelle est la localisation physique de ces données : le pays va déterminer le traitement. En Union Européenne la règle est la même pour tous. Mais attention aux exports, aux copies, et aux solutions cloud en dehors de l'Union Européenne. En cas d'utilisation du service "cloud" savoir cartographier ou est le stockage physique des données. Notez que ce "registre" :
  • est sous la responsabilité du dirigeant de la structure,
  • qu'il doit être exhaustif et à jour,
  • qu'il permet de prouver qu'on est dans une démarche RGPD.

2/ ADMINISTRER, faire le TRI / MéNAGE dans les données : AJUSTER

Pour chaque fiche du "registre" :

  • vérifier que les données personnelles concernées sont nécessaires à votre activité. Par exemple si votre gestion n'est pas impactée par l'âge d'une personne, collecter sa date de naissance n'est pas "légitime". Et si votre activité est impactée par l'âge, avez-vous vraiment besoin du jour et du mois de naissance ? L'année n'est-elle pas suffisante, ou la tranche d'âge "avant 18 ans", "de 20 à 40 ans" etc… ? Le principe est de ne pas collecter plus de données personnelles que nécessaires. Faire très attention au consentement positif / actif ("opt-in") qui doit être préalable, explicite et pour une "finalité explicite". Concrètement il faut donc des cases à cocher avec une explication de ce qui va advenir de ces données (la "finalité") et une référence à la "politique de confidentialité". La case à cocher ne peut pas être cochée par défaut et ne peut pas être cachée dans des conditions générales. Pour les anciens systèmes où ce consentement n'a pas été exprimé explicitement : il faut recontacter les contacts concernés pour leurs redemander explicitement le consentement pour collecter, stocker et traiter une donnée personnelle. S'il y a plusieurs "finalités", il faut un consentement séparé pour chaque "finalité".
  • est-ce qu'il y a des données dites "sensibles" (voir plus bas, par exemple "origine prétendument raciale ou ethnique", "opinions politiques, syndicales, philosophiques ou religieuses", "orientation / pratique sexuelle", "données concernant la santé, la génétique ou la biométrie", une "information sur une infraction / condamnation pénale") : elles imposeront des exigences supplémentaires et spécifiques ;
  • Reconsidérer les accès : qui a accès à quoi, et pour quelle raison, et est (encore) raisonnable ?

Cette étape va vous permettre de découvrir des choses qui sont plus ou moins en conformité avec le RGPD. Se garder aux "bonnes pratiques" :

  • minimiser les données personnelles ;
  • éliminer toute donnée personnelle inutile à sa finalité légitime;
  • vérifier / redéfinir les droits d'accès ;
  • poser les règles d'effacement automatique au bout de la durée de conservation.

Notez qu'une source d'erreur peut être de vouloir avoir un mode de traitement unique pour tous les métiers dans votre structure : cela mène rapidement à une impasse. Les besoins des différents métiers sont différents. Conseil : utiliser des questionnaires pour déterminer les différents besoins de "traitement" en fonction des départements de votre structure.

3/ INFORMER et RESPECTER LES DROITS des citoyens européens

3.1/ DOCUMENTER et répondre à l'obligation de TRANSPARENCE

Écrire et documenter tout ce que l'on fait avec les "données personnelles" (important en cas de contrôle) :

  • pourquoi vous collectez / traitez une "donnée personnelle" ;
  • ce qui vous y autorise (fondement légal, consentement explicite et informé, exécution d'un contrat, obligation légale, votre intérêt légitime ?)
  • qui a accès (interne et externe, prestataires et sous-traitants) ;
  • durée de conservation (par exemple "5 ans après la fin de la relation contractuelle") ;
  • quel modalité pour l'exercice des droits sur les données : accès à un espace personnel sur le site, email dédié, adresse postale ?
  • si vous transférez ou pas les données hors de l'Union Européenne.

Notez que l'ensemble de ces informations peut être regroupé dans une "politique de confidentialité" ou sur une page dédié "vie privée" de votre site internet.

Remarque : ne pas oublier les partenariats et sous-traitances. On n'est pas isolé, on peut avoir des partenariats avec des sociétés tierces. Dans ce cas il faut vérifier et attester qu'ils sont conformes au RGPD.

3.2 Être en capacité de répondre aux DEMANDES des personnes physiques concernées et DONNER LES MOYENS d'exercer leurs droits.

Il s'agit du droit d'accès, de rectification, d'opposition, d'effacement, de portabilité, de limitation de traitements, via :

  • un "espace personnel" du site web à partir de leur compte ;
  • un formulaire de contact spécifique ;
  • un numéro de téléphone ou une adresse courriel dédiée.

A noter :

  • prévoir en avance un "processus interne" pour définir comment répondre dans les délais (un mois maximum).
  • le RGPD n'est pas la seule source de droits : par exemple le "droit à l'oubli" n'est pas absolu : il peut être en contradiction avec d'autres règlements et devoirs de conservation de facturation etc… C'est donc dans la mesure du possible, et pas en conflit avec d'autres obligations légales.

4/ PROTéGER / SéCURISEZ les données personnelles qui vous sont confiées

Être en capacité d'assurer la protection des données personnelles et prévoir comment faire face aux incidents. Minimiser les risques de pertes ou de piratage :

  • antivirus et logiciels mis à jour ;
  • mots de passe complexes ;
  • chiffrement (par exemple en prévention de perte ou vol de matériel informatique) ;
  • protection physique des locaux et supports (informatiques et/ou papiers) ;
  • procédures de sauvegarde et de récupération (éprouvées / testés) ;
  • application de "droits d'accès" pour vos collaborateurs suffisants pour la finalité du traitement, mais pas plus de droits que nécessaire ;
  • ne pas oublier la sécurisation des postes de travail et serveurs internes ! Le simple fait qu'un collaborateur ou visiteur non autorisé puisse avoir accès à un poste de travail qui n'est pas le sien peut être considérer comme une compromission si ce poste de travail contient des "données personnelles" auquel cette personne n'a pas de droit d'accès. Il peut s'agir d'une compromission qui devra être notifiée.
  • prévoir les cas d'oubli, de perte de clefs USB, les vols d'ordinateurs ou smartphones.

Prévoir le "processus interne" de signalisation de violation de données personnelles :

  • accidentel ou illicite ;
  • destruction, perte, altération, divulgation, accès non-autorisé ;
  • signalement à la CNIL dans les 72 heures si la violation implique un risque pour les droits et libertés des personnes concernées ;
  • Informer les personnes concernées si les risques sont élevés.

5/ AMéLIORATION CONTINUE

La "mise en conformité" est un début, mais pas la fin. Il faut rester conforme dans la durée et donc adapter la documentation et la pratique à l'évolution des besoins. Sans attention régulière on peut vite re-dériver.

Rôle du " sous-traitant " / " processeur de données "

ICOLEIS est votre "sous-traitant" si votre service web utilise la plateforme ou les services d'ICOLEIS. La RGPD reconnait le rôle de "sous-traitant" dans le "traitement des données personnelles" et leur impose des obligations particulières.

Clarifions le vocabulaire "sous-traitant" (ICOLEIS) versus "responsable de traitement" (vous le client). Le "sous-traitant" est la personne (physique ou morale) qui "traite" les "données personnelles" sur instruction et pour le compte d'un autre organisme (le "responsable du traitement") dans le cadre d'une prestation. En tant que "sous-traitant" ICOLEIS a des obligations spécifiques en matière de :

  • sécurité,
  • confidentialité,
  • documentation de notre activité. Et cela dès la conception du service afin de garantir la protection optimale des données personnelles.

Comme ce texte en témoigne le "sous-traitant" a aussi une obligation de conseil et d'aide (voir d'alerte) dans le cheminement vers l'application du RGPD.

ICOLEIS doit en tant que "sous-traitant" tenir lui-même un registre supplémentaire des "traitements" effectués sur les "données personnelles" de ses clients (en complément de nos propres traitements en tant qu'organisme qui a des clients, des collaborateurs et nos propres sous-traitants). Notez que pour déterminer les obligations respectives il est nécessaire de rédiger un contrat avec une clause spécifique sur la protection des "données personnelles".

Dans quels cas des mesures supplémentaires et nécessaires sont prévues par le RGPD ?

Certains cas imposent des exigences supplémentaires :

1/ Si votre activité vous amène à traiter des "données personnelles" dites "sensibles", (par exemple "origine prétendument raciale ou ethnique", "opinions politiques, syndicales, philosophiques ou religieuses", "orientation / pratique sexuelle", "données concernant la santé, la génétique ou la biométrie", une "information sur une infraction / condamnation pénale") ;

2/ Si vos "traitements" légitimes ont pour effet :

  • l'évaluation d'aspects personnels ou notation d'une personne,
  • la prise de décision automatique,
  • la surveillance systématique de personnes,
  • le "traitement" de données "sensibles",
  • le traitement de données concernant des personnes vulnérables ou mineures,
  • le traitement à grande échelle de données personnelles,
  • le "croisement" de données,
  • des usages "innovants" comme des objets connectés,
  • un traitement qui peut mener à l'exclusion d'un droit, d'un service ou d'un contrat (liste noire).

Concrètement : si vous êtes concernés par au moins 2 de ces 9 critères vous devez conduire une "Analyse d'impact sur la protection des données" AIPD (PIA, Privacy Impact Assesment) AVANT de commencer les traitements. Cet AIPD s'ajoute dans ce cas au "registre" et à la "description du traitement".

3/ Si vous transférez des "données personnelles" en dehors de l'Union Européenne. Attention : si vous utilisez des services cloud des multinationales / GAFA, vous devrez les considérer comme des "sous-traitants" et vous devez gérer avec eux en tant que "responsable de traitement" ce qu'ils font des "données personnelles" de vos visiteurs / utilisateurs et des éventuels transferts hors de l'Union Européenne. Vous êtes probablement déjà dans ce cas si vous avez un bouton "Facebook" © sur vos pages, ou si vos statistiques de fréquentation se font par "Google Analytics" ©.

Ai-je besoin d'un DPO " Délégué à la protection des données " / " Data Protection Officer " ?

Si votre structure opère des traitements à grande échelle présentant des risques particuliers : Oui ! Dans les autres cas, ou la désignation n'est pas obligatoire, elle peut être utile pour vous aider à mettre en place le RGPD et le garder à jour. En effet le DPO est votre interface entre votre structure et vos utilisateurs et la CNIL. Il sera pilote du processus continus de la conformité. Il doit être indépendant, donc il ne doit pas être celui qui détermine la "finalité" du "traitement". Une mutualisation est possible.

En résumé :

En ce qui concerne les "données personnelles" :

  • informez les personnes physiques de ce que vous faites de leurs données ;
  • respectez leurs droits de citoyen européen ;
  • prenez les mesures pour garantir une utilisation de ces données qui respecte la vie privée des personnes concernées.

Six réflexes à s'approprier :

  • ne collecter que les données personnelles vraiment nécessaires ;
  • Soyez transparent sur ce que vous en faites ;
  • Respectez les droits des citoyens européens ;
  • Surveillez et maîtrisez le partage et la circulation des "données personnelles" ;
  • Identifiez les risques ;
  • Sécurisez les données (informatiques et physiques).
FIN lenteurs ponctuelles du lundi 23 avril 2018
Publiée le : 24/04/2018

Pour votre information : certains de nos sites ont pu subir lundi 24 avril 2018 des lenteurs et/ou des problèmes de connexion (surtout en fin d'après-midi).

L'origine venait d'une difficulté à établir la liaison sécurisée entre les navigateurs de vos visiteurs et nos services. En effet, lorsqu'un navigateur demande à un serveur une liaison sécurisée (1) celui-ci lui répond en lui transmettant son certificat d'authenticité (2). Le navigateur va alors vérifier ce certificat auprès d'un tiers de confiance (3), et là était le problème : le service qui devait confirmer la non-révocation du certificat a eu des problèmes lundi 23 avril. Tous les sites utilisant ce tiers de confiance ont subis des perturbations le 23 avril. En effet, faute de réponse (4), les navigateurs n'étaient pas en mesure d'établir des connexions sécurisés (5) avec le serveur.

Ce dysfonctionnement du tiers de confiance (qui est pourtant une des références dans le domaine de l'industrie numérique) est en dehors de notre domaine d'intervention. Nous vous présentons nos excuses pour la gêne occasionnée.

Espérant vous avoir informé correctement. Cordialement, Yves, ICOLEIS

Failles processeurs "Meltdown" et "Spectre", information.
Publiée le : 05/01/2018

Pour votre information.

Vous avez entendu parler dans les médias des failles "Meltdown" et "Spectre". Ces failles préoccupent actuellement l'ensemble de l'industrie informatique.

Ce message pour vous rassurer : nous prenons très au sérieux la sécurité de nos services et nous appliquons les correctifs des éditeurs dès qu'ils sont disponibles : vous n'avez rien à faire en ce qui concerne vos services chez ICOLEIS. (Mais vous devez probablement (faire) mettre à jour vos propres équipements informatiques...)

Contexte : une faille technique touche la plupart des "processeurs" équipant tout équipement informatique (des serveurs exposés à internet, mais aussi les postes de travail et smartphones). Il s'agit d'un défaut situé au plus bas niveau technique et concerne la conception même de la gestion de la mémoire par les processeurs. Cette faille a été publiée avant que des correctifs étaient disponibles et les éditeurs concernés s'efforcent ces jours à publier des correctifs (parfois intermédiaires / partiels) pour leurs systèmes d'exploitation.

Le risque : sur des systèmes partagés par plusieurs utilisateurs, l'exploitation savante de ces failles devrait permettre à un utilisateur d'intercepter des informations appartenant à d'autres utilisateurs au moment où les données transitent par le processeur commun de la machine. Cela pourrait concerner des données confidentielles d’un autre utilisateur et/ou des mots de passe.

Dans le cas des services ICOLEIS nous pensons pouvoir vous informer humblement que le risque est faible (à la vue des informations disponibles à ce jour) , puisque :

1/ nous sommes les seuls à avoir accès aux serveurs que nous utilisons : nous ne les partageons pas avec d'autres clients des centres d'hébergement : le cloud d'ICOLEIS est un cloud de type "privé",

2/ aucun de nos clients a un accès direct à nos serveurs autre que par les interfaces de la plateforme ICOLEIS,

3/ nous mettons en œuvre des techniques (cloudlinux) qui séparent nos applications les unes des autres,

4/ préventivement nous avons toujours été abonné aux services payant d'éditeurs de notoriété dans l'industrie de l'hébergement : cela nous permet en des cas comme ceux dont nous parlons aujourd'hui de bénéficier d'assistance immédiate et d'aide à la mise en œuvre des correctifs.

Nous suivons donc ces jours activement l'actualité de nos fournisseurs de logiciels de gestion serveur (CPanel, CloudLinux, KernelCare) et veillons à leurs mises en œuvre. Puisqu'il s'agit de correctifs qui doivent s'appliquer à bas niveau (le "kernel", le cœur même du système d'exploitation) il est parfois nécessaire de redémarrer un serveur afin d'appliquer les changements. Il se peut donc que les jours à venir nous serions amené à devoir redémarrer un serveur, ce qui se traduit pour vous par une interruption de service de 5 à 10 minutes maximum (comme nous l'avons déjà été amené à le faire plusieurs fois depuis le 3/01/2017).

Espérant vous avoir informé correctement.

Pré-annonce | nuits 18-19-20 maintenance planifiée
Publiée le : 16/08/2017

Hello, c'est encore les vacances :-)

Nous en profitons pour mettre à jour et modifier notre infrastructure.

QUOI ?

Le weekend du 19-20 août nous adaptons notre infrastructure aux besoins et usages actuels avant la rentrée.

Y AURA-T-IL UNE INTERRUPTION DE SERVICE ?

Oui, mais les travaux de maintenance planifié se feront la nuit :

  • de vendredi 18 à samedi 19 août 2017
  • de samedi 19 à dimanche 20 août 2017

Pendant ces travaux nocturnes les services pour vos sites, inscriptions en ligne, courriels peuvent être temporairement non-disponibles. Les travaux sont planifiés d'une telle façon que vos utilisateurs ne devraient pas les remarquer.

DOIS-JE FAIRE QUELQUE CHOSE ?

Non, vous n'avez rien à faire de votre côté : toutes vos données, documents, dossiers administratifs et courriels seront disponibles comme avant après notre travail.

Espérant vous avoir informé correctement. Cordialement, Yves, ICOLEIS

Pré-annonce | Nouvelle mise en page cette semaine...
Publiée le : 09/07/2017

Une nouvelle version de la plateforme sera déployée sur vos sites cette semaine du 11 juillet 2017.

Elle inclura la nouvelle recherche transversale pour les administrateurs client sur les documents des extranet et sites web (pré-annoncé le 6 juin) ainsi qu'une refonte graphique des parties communes des sites (interfaces de rédaction et extranets).

Inspirée des "Material Design guidelines" qui sont maintenant populaires sur le web, l'interface sera plus simple, intuitif et épuré. Chaque élément est comparable à une feuille superposée à la précédente. Les effets d’ombres sont une métaphore avec le papier (feuille superposée à la précédente) et l’encre. Il y a plus d'espace blanc. Le design est plus fonctionnel et utilitaire.

Vous pouvez déjà consulter cette mise en page dans la partie extranet client du site d'ICOLEIS. La partie commune a été conçu intentionnellement en nuances de gris afin de pouvoir mieux faire ressortir l'identité visuelle des sites qui sont personnalisés. Les icônes de navigation ont été relookés aussi et sont maintenant monochrome sans dégradés et elles peuvent être choisies parmi 22 couleurs pour les adapter à votre identité visuelle.

La partie "site web" de votre projet ne sera bien sûr pas changée sans concertation avec vous : seul les parties non-publiques et extranet seront concernés par cette modernisation de la mise en page. Pour la partie "site web" public de votre projet vous pouvez nous contacter pour faire évoluer votre mise en page et la rendre compatible avec les habitues / modes actuelles du web.

139 article(s)
Lignes par page :  
Retour à l'accueil de l'extranet