La sécurité des données chez Carbo : comment protégeons-nous vos données ?

 ⏳ 
lecture 8 min
🪄 
màj en avril 2023
Sommaire
Recevez nos dernières ressources pros par mail, gratuitement 👌

Quel est le point commun entre des kilowatts, des kilomètres, des gigaoctets, des euros…? La réponse : ce sont des informations que nous avons besoin de recueillir pour réaliser le bilan carbone d’une entreprise.

En effet, pour pouvoir calculer de façon rigoureuse et complète les émissions de GES liées à l’activité d’une entreprise, Carbo applique la méthodologie bilan carbone, certifiée par l’ABC et le GHG Protocol. Nous venons interroger en profondeur le mode de fonctionnement d’une entreprise. Si certaines de ces données peuvent s’avérer sensibles voire confidentielles, chez Carbo nous avons mis en place un protocole de sécurité de la donnée pour que chaque entreprise réalise son étude d’impact en toute sérénité.

Quelles données sont récoltées ? Comment sont-elles traitées, stockées, sécurisées par Carbo ? On vous explique tout, et dans le détail juste ici👇

Quelles données sont collectées par Carbo ?

Les données d’entreprise à renseigner

Pour faciliter la collecte des données et leur sécurité, nous avons 6 catégories couvrant l’ensemble de l’activité d’une entreprise. Elles sont : usages numériques ; opérations ; achats & supports ; bureaux ; déplacements ; et autres.

securite donnee carbo

Usages numériques

Au sein de la catégorie des usages numériques il est possible de retrouver les informations concernant au cas échéant :

  • le site web,
  • l’application mobile,
  • l’application SaaS,
  • les services externes et les API.

A titre d’exemple, pour calculer l’empreinte carbone d’un site web nous avons besoin de connaître la quantité de données qui transitent, où votre site web est hébergé, le nombre de visites mensuelles, abonnés, pages vues…

Opérations

La catégorie Opérations couvre l’ensemble de vos activités :

  • Marketing & communication. Exemple de données → budget publicitaire
  • Vente & Relation client. Exemple de donnée → outils de téléphonie pour les appels commerciaux
  • Livraisons client. Exemple de donnée → km parcourus pour une livraison
operations securite des donnees

Achats et Support

Dans les Achats & Support les données demandées se basent sur :

  • les fournitures, de bureaux ou électroniques ;
  • les services support ;
  • les livraisons fournisseurs ;
  • les produits fabriqués avec les matériaux et les quantités produites.

Bureaux

La catégorie Bureaux se compose d’informations à propos de la consommation d’énergie des lieux du ou des bureaux. Elle prend aussi en compte la gestion des déchets, l’entretien des locaux et les repas et boissons des employé.e.s.

bureaux sécurité des données

Déplacements

Au sein des déplacements, il est possible de retrouver des données concernant les trajets quotidiens des employé.e.s ainsi que les déplacements professionnels.

En effet, pour vous donner un exemple, nous récoltons des données à propos des transports que les employé.e.s utilisent pour venir travailler tout les jours, de même que les jours de télétravail pour les déduire à l’empreinte carbone de cette catégories.

Autres

Il s’agit ici de toutes les autres données d’activités non renseignées dans les autres catégories du questionnaires. Il s’agit par exemple : des parts détenues dans d’autres activités, des déchets industriels etc.

Le cas du questionnaire “employés engagés”

Pour compléter l’analyse du bilan carbone d’une entreprise, nous avons besoins de connaître les usages des employés d’une entreprise. Carbo a donc développé un questionnaire à destination de chaque collaborateur.

Ce quiz “employés engagés” mesure les émissions des usages individuels au travail. C’est à dire, les déplacements, les trajets domicile-travail, les emails, les pages imprimées, les visioconférences, les repas du midi… Les données récoltées sont anonymes. Chaque employé a accès à son empreinte personnelle dans le cadre de l’exercice de sa profession. Cependant, ces résultats ne sont pas communiqués de manière individuelle à l’entreprise.

💡 Carbo vous accompagne à rassembler l’ensemble de ces informations grâce au questionnaire simplifié et collaboratif. Vous pouvez déléguer tout ou partie des sections aux collaborateurs les plus à même de détenir l’information. A chaque question, des aides pas à pas vous guident pour savoir où et comment chercher l’ensemble de ces informations.

Après le bilan, d’autres données à fournir ?

95% des informations récoltées par Carbo se fait lors de la collecte de données nécessaire à la mesure du bilan carbone d’une entreprise. Cependant, une fois le.s bilan.s carbone réalisé.s, il est possible avec notre solution d’aller plus loin dans sa démarche bas-carbone.

La trajectoire bas-carbone et plan d’actions personnalisés

Carbo a développé un modèle de projection basé sur vos bilans carbone passés ainsi qu'aligné sur les objectifs +1,5° des Accords de Paris. Pour réaliser votre trajectoire bas-carbone et plan d’actions associé, nous avons besoin de données telles que le chiffre d’affaire et le nombre d’employés prévus sur les années à venir.

Pourquoi ?

Car pour projeter votre impact carbone futur, nous avons besoin de connaître vos scénarios de croissance économique.

L’objectif ?

Définir une trajectoire carbone qui ne suive pas la même tendance de croissance que votre business. Mais aussi de vous proposer des actions de réduction en lien avec vos bilans carbone passé.

trajectoire bas carbone
trajectoire bas-carbone - Carbo

Où la donnée est-elle stockée ?

Nos applications et bases de données sont hébergées par Heroku, filiale de Salesforce, dans un data center AWS (Amazon Web Service) situé en Irlande.

Heroku utilise des centres de données certifiés ISO 27001 et FISMA gérés par Amazon. Amazon a de nombreuses années d'expérience dans la conception, la construction et l'exploitation de centres de données à grande échelle. Cette expérience s'applique à la plate-forme et à l'infrastructure AWS. Les centres de données AWS sont hébergés dans des installations indescriptibles, et les installations critiques ont de vastes bermes de contrôle de périmètre et de niveau militaire ainsi que d'autres protections de frontières naturelles.

La sécurité des datas centers

L'accès physique est strictement contrôlé à la fois au périmètre et aux points d'entrée du bâtiment par un personnel de sécurité professionnel utilisant la vidéosurveillance, des systèmes de détection d'intrusion de pointe et d'autres moyens électroniques.

Le personnel autorisé doit passer au moins trois fois l'authentification à deux facteurs pour accéder aux étages du centre de données. Tous les visiteurs et entrepreneurs sont tenus de présenter une pièce d'identité et sont enregistrés et continuellement escortés par du personnel autorisé.

Amazon ne fournit l'accès et les informations au centre de données qu'aux employés qui ont un besoin commercial légitime de tels privilèges. Lorsqu'un employé n'a plus besoin de ces privilèges pour l'entreprise, son accès est immédiatement révoqué, même s'il continue d'être un employé d'Amazon ou d'Amazon Web Services. Tous les accès physiques et électroniques aux centres de données par les employés d'Amazon sont enregistrés et audités régulièrement.

🖐 Pour plus d'informations, consultez : https://aws.amazon.com/security

De plus, les serveurs hébergeant Carbo étant en Europe, ils se tiennent à un niveau de réduction des émissions carbone constant. Ainsi, à l’heure actuelle, stocker 1go de donnée pendant 1an émet 0,0002 kg CO2e selon l’Ademe. Ce niveau d’émission est sensé diminuer dès qu’il est possible.

scène de combat

Traitement de la donnée chez Carbo

Nous n’accédons pas aux données clients dans le cadre de nos opérations courantes. Seuls quelques employés ont l'habilitation pour accéder à ces données et uniquement à la demande du client, pour un temps limité.

L'interface utilisée par les employés habilités pour accéder à ces données détient des accès nominatifs à authentification forte, et l’ensemble des connexions se consignent dans un journal.

La base de données contenant les données utilisateurs est chiffrée. Les accès à cette base de données sont nominatifs, régulièrement mis à jour et leur utilisation (connexion, lecture et écriture) consignée elle aussi dans un journal inaltérable.

La sécurité des données

Certifications et amélioration continue de la sécurité des données

Nous nous appuyons sur des experts reconnus en matière de sécurité informatique interne et externe pour évaluer, éprouver et continuellement améliorer la sécurité de nos systèmes d’information :

  • sur la sécurité externe de notre plateforme via des tests de pénétrations réguliers réalisés par la société Synacktiv, certifiée PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) sur toutes les portées, agréée par l’ANSSI,
  • sur la sécurité interne de l'organisation via un audit continu et un accompagnement réalisé par la société Qontrol, lauréat 2021 du Grand Défi Cyber organisé par le gouvernement français pour accompagner les PME sur la cyber sécurité.

Sécurité réseau et applicative

Nous utilisons les services de Cloudflare pour protéger nos DNS contre les attaques de type Dénis de service (ddos).

L’ensemble des connexions sur nos serveurs se consigne dans des journaux stockés chiffrés.

securite des données carbo cadenas

La navigation s’effectue en https uniquement (redirection forcée depuis le http) pour garantir la sécurité des données échangées via le navigateur de l’utilisateur : toute donnée transitant sur les réseaux est illisible par des tiers grâce à un chiffrement SSL/TLS.

Les tentatives d’accès en “force brute” sur des comptes utilisateurs sont inopérantes avec le verrouillage des comptes après plusieurs tentatives infructueuses, et l’envoi d’un email à l’utilisateur concerné.

L’ensemble des formulaires exposés dans nos interfaces est protégé contre les attaques de type injection SQL et Cross-Site-Request.

Backups pour la sécurité des données

Nous réalisons des backups automatiques quotidiennement de nos bases de données.

La technologie Heroku nous permet de revenir à n’importe quel état de la base de données des dernières 48 heures, au global ou sur un seul compte.

Dispositifs de crise & continuité d’activité

En cas de corruption de données, nos backups nous permettent de rétablir la situation en moins de 3 heures.

Concernant les fuite de données, nous nous engageons à prévenir immédiatement les utilisateurs concernés et à mettre tous les moyens à notre disposition pour en identifier la source.

En cas de défaillance grave d’un de nos prestataires d’hébergement (Salesforce & Amazon Web Services), nous disposons d’un hébergeur alternatif dans une autre localisation sur chez lequel nous pouvons déployer nos applications et restaurer nos bases de données en moins de 3 jours.

🖐 A date, aucune fuite de données ni aucune défaillance grave n’ont été détectées sur l’ensemble de nos systèmes d’informations et notre infrastructure cloud.

crise sécurité des données

Mesures de sécurité pour les employés

L’accès au contenu des ordinateurs est protégé par mot de passe et les disques durs sont cryptés. L’accès physique aux locaux est sécurisé par badge électronique.

Confidentialité de la donnée

Carbo contractualise avec chaque client un accord de confidentialité qui stipule : ”Chacune des parties s’oblige, dès lors que ces informations ont un caractère sensible notamment sur un plan financier, déontologique, économique, technique, commerciale ou qu’elle soit déclarée comme telle, à :

  • les garder confidentielles et se garder de les communiquer à quiconque,
  • d’abstenir de les exploiter, directement ou indirectement, ou permettre leur exploitation par un tiers sous leur contrôle, à toute fin autre que la bonne exécution du contrat.”

Qui est propriétaire de la donnée ?

C’est vous ! En effet, l’entreprise reste toujours propriétaire de ses données. Vous donnez juste un droit de regard à Carbo pour que nous puissions réaliser votre bilan carbone. Vous pouvez donc récupérer vos informations dès que vous le voulez.

🖐 Vous l’aurez compris, chez Carbo vous fournir une plateforme fiable et sécurisée pour vos données carbone est NOTRE PRIORITE. La votre ? Vous concentrer sur l’essentiel la mesure et réduction d’impact, alors on se lance ?

Julien Janson
Julien est le cofondateur et directeur opérationnel de Carbo. Il a passé plus de 10 ans à diriger la conception de produits web dans l’univers des start-ups, et met aujourd'hui toute son énergie pour agir pour le climat à son échelle !
Faites confiance à Carbo pour vos données et réalisez votre bilan carbone !
Découvrir Carbo
Carbo ebook

Vous devriez aussi aimer

Logo Carbo Bilan Carbone Entreprise
Version beta

Engagez vous dès aujourd'hui avec Carbo.

Votre allié pour maîtriser votre impact carbone
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram