Sécurité chez iTutor
Les établissements scolaires, les universités et les équipes Formation & Développement font confiance à iTutor pour les données d'apprentissage de leurs élèves et collaborateurs. Voici comment nous protégeons ces données — rédigé pour les équipes achats, les administrateurs informatiques et les parents qui veulent des réponses concrètes, sans langue de bois.
Chiffrement des données
Tout le trafic entre votre navigateur, l'application iTutor et nos serveurs est chiffré en transit via TLS 1.3. Les données au repos — notamment les supports d'étude importés, les profils de compte et les historiques de progression — sont chiffrées avec un algorithme symétrique standard du secteur au niveau de la couche de stockage.
Les identifiants d'authentification ne sont jamais stockés en clair ; les mots de passe sont hachés avec un algorithme moderne à mémoire élevée assorti d'un sel propre à chaque utilisateur.
Contrôle des accès
L'accès à l'application est régi par un contrôle d'accès basé sur les rôles. Sur les comptes individuels, seul le titulaire du compte peut consulter ses propres données. Sur les comptes institutionnels, les administrateurs définissent les rôles enseignant et élève, et la visibilité est limitée à la classe, au cours ou à la cohorte attribuée. L'accès aux données inter-locataires est bloqué au niveau de la couche de requêtes — aucun chemin de requête ne peut renvoyer des données appartenant à un locataire auquel le demandeur n'appartient pas.
L'accès du personnel iTutor aux données de production est restreint, journalisé et accordé uniquement lorsque cela est nécessaire pour traiter un ticket de support ou diagnostiquer un incident. Les actions du personnel sur les données des utilisateurs sont auditables.
Options d'authentification
Les comptes individuels utilisent l'authentification par e-mail et mot de passe, avec la possibilité de se connecter via Google ou Apple ID. Les comptes institutionnels peuvent imposer l'authentification unique (SSO) via SAML 2.0, OIDC ou LTI 1.3, afin que l'établissement reste la source de vérité pour les identités. L'authentification à deux facteurs est disponible sur tous les niveaux de compte.
Sauvegardes et reprise sur incident
Les bases de données de production font l'objet de sauvegardes quotidiennes avec restauration à un point précis dans le temps sur une fenêtre de rétention définie. Les sauvegardes sont chiffrées au repos et stockées dans une zone géographique distincte du système principal. Les procédures de reprise sont testées régulièrement.
Surveillance et gestion des incidents
Les journaux applicatifs et d'infrastructure sont centralisés à des fins de surveillance de la sécurité. Nous disposons d'un processus interne de gestion des incidents couvrant la détection, le confinement, l'éradication, la reprise et le bilan post-incident. Les incidents significatifs affectant les données des clients sont communiqués aux clients concernés sans délai injustifié, conformément aux exigences réglementaires.
Tests de pénétration
iTutor fait l'objet de tests de pénétration annuels réalisés par un tiers indépendant, couvrant l'application web, la surface d'API et le système d'authentification. Les résultats sont suivis jusqu'à leur remédiation. Des rapports de synthèse sont mis à disposition des clients institutionnels sous NDA sur demande.
Posture de conformité
iTutor est construit selon des principes de respect de la vie privée dès la conception (privacy by design), alignés sur le Règlement général sur la protection des données (RGPD / GDPR). Pour les clients institutionnels, nous proposons des Accords de traitement des données précisant la relation responsable de traitement / sous-traitant, la liste des sous-traitants ultérieurs, les options de résidence des données le cas échéant, et les procédures de traitement des demandes des personnes concernées.
Pour les déploiements scolaires, nous respectons les attentes en matière de protection de la vie privée propres au secteur éducatif : minimisation des données, absence de profilage publicitaire comportemental des élèves, et périmètre analytique strictement limité à l'usage pédagogique.
Divulgation responsable des vulnérabilités
Si vous avez découvert un problème de sécurité dans iTutor, nous souhaitons en être informés. Veuillez nous écrire à l'adresse ci-dessous en indiquant les étapes de reproduction, l'impact et tout matériel de preuve de concept. Nous nous engageons à accuser réception de votre signalement sous 5 jours ouvrés, à fournir une mise à jour de statut sous 14 jours, et à coordonner avec vous le calendrier de divulgation responsable.