La sécurité des données chez Carbo : comment protégeons-nous vos données ?

 ⏳ 
lecture 9 min
🪄 
màj en février 2024
Sommaire
Recevoir nos ressources pros gratuites

Quel est le point commun entre des kilowatts, des kilomètres, des gigaoctets, des euros…? La réponse : ce sont des informations que nous avons besoin de recueillir pour réaliser le bilan carbone d’une entreprise.

En effet, pour pouvoir calculer de façon rigoureuse et complète les émissions de GES liées à l’activité d’une entreprise, Carbo applique la méthodologie bilan carbone, certifiée par l’ABC et le GHG Protocol. Nous venons interroger en profondeur le mode de fonctionnement d’une entreprise. Si certaines de ces données peuvent s’avérer sensibles voire confidentielles, chez Carbo nous avons mis en place un protocole de sécurité de la donnée pour que chaque entreprise réalise son étude d’impact en toute sérénité.

Quelles données sont récoltées ? Comment sont-elles traitées, stockées, sécurisées par Carbo ? On vous explique tout, et dans le détail juste ici👇

Quelles données sont collectées par Carbo ?

Les données d’entreprise à renseigner

Pour faciliter la collecte des données et leur sécurité, nous avons 6 catégories couvrant l’ensemble de l’activité d’une entreprise. Elles sont : usages numériques ; opérations ; achats & supports ; bureaux ; déplacements ; et autres.

securite donnee carbo

Usages numériques

Au sein de la catégorie des usages numériques il est possible de retrouver les informations concernant au cas échéant :

  • le site web,
  • l’application mobile,
  • l’application SaaS,
  • les services externes et les API.

A titre d’exemple, pour calculer l’empreinte carbone d’un site web nous avons besoin de connaître la quantité de données qui transitent, où votre site web est hébergé, le nombre de visites mensuelles, abonnés, pages vues…

Opérations

La catégorie Opérations couvre l’ensemble de vos activités :

  • Marketing & communication. Exemple de données → budget publicitaire
  • Vente & Relation client. Exemple de donnée → outils de téléphonie pour les appels commerciaux
  • Livraisons client. Exemple de donnée → km parcourus pour une livraison
operations securite des donnees

Achats et Support

Dans les Achats & Support les données demandées se basent sur :

  • les fournitures, de bureaux ou électroniques ;
  • les services support ;
  • les livraisons fournisseurs ;
  • les produits fabriqués avec les matériaux et les quantités produites.

Bureaux

La catégorie Bureaux se compose d’informations à propos de la consommation d’énergie des lieux du ou des bureaux. Elle prend aussi en compte la gestion des déchets, l’entretien des locaux et les repas et boissons des employé.e.s.

bureaux sécurité des données

Déplacements

Au sein des déplacements, il est possible de retrouver des données concernant les trajets quotidiens des employé.e.s ainsi que les déplacements professionnels.

En effet, pour vous donner un exemple, nous récoltons des données à propos des transports que les employé.e.s utilisent pour venir travailler tout les jours, de même que les jours de télétravail pour les déduire à l’empreinte carbone de cette catégories.

Autres

Il s’agit ici de toutes les autres données d’activités non renseignées dans les autres catégories du questionnaires. Il s’agit par exemple : des parts détenues dans d’autres activités, des déchets industriels etc.

Le cas du questionnaire “employés engagés”

Pour compléter l’analyse du bilan carbone d’une entreprise, nous avons besoins de connaître les usages des employés d’une entreprise. Carbo a donc développé un questionnaire à destination de chaque collaborateur.

Ce quiz “employés engagés” mesure les émissions des usages individuels au travail. C’est à dire, les déplacements, les trajets domicile-travail, les emails, les pages imprimées, les visioconférences, les repas du midi… Les données récoltées sont anonymes. Chaque employé a accès à son empreinte personnelle dans le cadre de l’exercice de sa profession. Cependant, ces résultats ne sont pas communiqués de manière individuelle à l’entreprise.

💡 Carbo vous accompagne à rassembler l’ensemble de ces informations grâce au questionnaire simplifié et collaboratif. Vous pouvez déléguer tout ou partie des sections aux collaborateurs les plus à même de détenir l’information. A chaque question, des aides pas à pas vous guident pour savoir où et comment chercher l’ensemble de ces informations.

Après le bilan, d’autres données à fournir ?

95% des informations récoltées par Carbo se fait lors de la collecte de données nécessaire à la mesure du bilan carbone d’une entreprise. Cependant, une fois le.s bilan.s carbone réalisé.s, il est possible avec notre solution d’aller plus loin dans sa démarche bas-carbone.

La trajectoire bas-carbone et plan d’actions personnalisés

Carbo a développé un modèle de projection basé sur vos bilans carbone passés ainsi qu'aligné sur les objectifs +1,5° des Accords de Paris. Pour réaliser votre trajectoire bas-carbone et plan d’actions associé, nous avons besoin de données telles que le chiffre d’affaire et le nombre d’employés prévus sur les années à venir.

Pourquoi ?

Car pour projeter votre impact carbone futur, nous avons besoin de connaître vos scénarios de croissance économique.

L’objectif ?

Définir une trajectoire carbone qui ne suive pas la même tendance de croissance que votre business. Mais aussi de vous proposer des actions de réduction en lien avec vos bilans carbone passé.

trajectoire bas carbone
trajectoire bas-carbone - Carbo

Où la donnée est-elle stockée ?

Nos applications et bases de données sont hébergées par Scaleway, filiale du groupe Iliad, hébergeur Internet français.

Scaleway utilise des centres de données situés en France, alimentés uniquement par de l’énergie renouvelable. Le datacenter DC5 utilise un système de refroidissement adiabatique reposant sur l’évaporation d’eau (et non pas d’air conditionné). DC5 est donc radicalement plus efficace et beaucoup moins consommateur d’énergie que des datacenters traditionnels. L'indicateur d'efficacité énergétique (en anglais PUE ou Power Usage Effectiveness) de ses centre de données est situé entre 1,05 et 1,20 alors que la valeur moyenne du PUE d'un datacenter était de 1,57 en 2021, selon l’Uptime Institute.

La sécurité des datas centers

Sécurité physique

Un ensemble de mesures de protection physique est mis en œuvre par Scaleway parmi lesquelles :

  • La vidéoprotection et des systèmes anti-intrusion sur tous les sites ;
  • Un SAS de sécurité avec vérification de l’unicité de passage afin de garantir la sécurité des flux
    entrée/sortie ;
  • Un badge d’accès unique avec empreinte biométrique pour chaque collaborateur ou visiteur ;
  • Un contrôle d’accès par badge actif à toutes les portes en entrée et en sortie ;
  • Une politique de gestion des accès et des sites en fonction du type de profil des collaborateurs
    et intervenants ;
  • Un agent de sécurité et d’accueil ou à défaut le contrôle permanent par des collaborateurs de
    la société dument habilités.

Chaque utilisateur du Système d’Information participe également à la sécurité physique en respectant
des bonnes pratiques, comme la fermeture des bureaux, la politique du « bureau propre », le
verrouillage du poste de travail lors des absences, le chiffrement des postes de travail par défaut, ou
encore la protection renforcée de la documentation sensible.

Sécurité des terminaux et des réseaux

Les postes de travail Scaleway sont tous équipés d’un chiffrement des disques par le système
d’exploitation. L’accès au poste de travail n’est possible qu’après une phase d’authentification
obligatoire (mot de passe ou biométrie).
Les équipements mobiles professionnels sont également protégés par biométrie. Nos collaborateurs
prennent toutes les précautions nécessaires pour protéger leurs équipements, afin d’assurer au mieux
la protection et la sécurité des données personnelles, conformément à notre politique de sécurité mise
en place pour les utilisateurs nomades.

Une politique de cloisonnement et de confinement des réseaux est mise en place au sein des réseaux
de Scaleway. Ce cloisonnement s’accompagne d’une politique de filtrage interne et externe afin de
lutter contre les codes malveillants.
Les réseaux au sein des Datacenters Scaleway sont redondés et permettent d’assurer la continuité des
activités pour les clients et les collaborateurs.
Également, les accès distants au système d’information de Scaleway se font via un VPN chiffré et
authentifié.

🖐 Pour plus d'informations sur la politique de sécurité de notre hébergeur, consultez : https://www-uploads.scaleway.com/PSSI_fr_9e754dee49.pdf

scène de combat

Traitement de la donnée chez Carbo

Nous n’accédons pas aux données clients dans le cadre de nos opérations courantes. Seuls quelques employés ont l'habilitation pour accéder à ces données et uniquement à la demande du client, pour un temps limité.

L'interface utilisée par les employés habilités pour accéder à ces données détient des accès nominatifs à authentification forte, et l’ensemble des connexions se consignent dans un journal.

La base de données contenant les données utilisateurs est chiffrée. Les accès à cette base de données sont nominatifs, régulièrement mis à jour et leur utilisation (connexion, lecture et écriture) consignée elle aussi dans un journal inaltérable.

La sécurité des données

Certifications et amélioration continue de la sécurité des données

Nous nous appuyons sur des experts reconnus en matière de sécurité informatique interne et externe pour évaluer, éprouver et continuellement améliorer la sécurité de nos systèmes d’information :

  • sur la sécurité externe de notre plateforme via des tests de pénétrations réguliers réalisés par la société Synacktiv, certifiée PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) sur toutes les portées, agréée par l’ANSSI,
  • sur la sécurité interne de l'organisation via un audit continu et un accompagnement réalisé par la société Qontrol, lauréat 2021 du Grand Défi Cyber organisé par le gouvernement français pour accompagner les PME sur la cyber sécurité.

Sécurité réseau et applicative

Nous utilisons les services de Cloudflare pour protéger nos DNS contre les attaques de type Dénis de service (ddos).

L’ensemble des connexions sur nos serveurs se consigne dans des journaux stockés chiffrés.

securite des données carbo cadenas

La navigation s’effectue en https uniquement (redirection forcée depuis le http) pour garantir la sécurité des données échangées via le navigateur de l’utilisateur : toute donnée transitant sur les réseaux est illisible par des tiers grâce à un chiffrement SSL/TLS.

Les tentatives d’accès en “force brute” sur des comptes utilisateurs sont inopérantes avec le verrouillage des comptes après plusieurs tentatives infructueuses, et l’envoi d’un email à l’utilisateur concerné.

L’ensemble des formulaires exposés dans nos interfaces est protégé contre les attaques de type injection SQL et Cross-Site-Request.

Backups pour la sécurité des données

Nous gardons des sauvegardes quotidiennes sur les 7 derniers jours pour pouvoir recouvrir toute perte de données récente ainsi que des sauvegardes mensuelles sur les 12 derniers mois à des fins d'analyse. Ces sauvegardes chiffrées sont également répliquées sur un site secondaire, toujours en France, afin de parer à tout incident irrémédiable chez notre hébergeur.

Dispositifs de crise & continuité d’activité

En cas de corruption de données, nos backups nous permettent de rétablir la situation en moins de 3 heures.

Concernant les fuite de données, nous nous engageons à prévenir immédiatement les utilisateurs concernés et à mettre tous les moyens à notre disposition pour en identifier la source.

En cas de défaillance grave d’un de notre prestataire (Scaleway), nous disposons d’un hébergeur alternatif dans une autre localisation sur chez lequel nous pouvons déployer nos applications et restaurer nos bases de données en moins de 3 jours.

🖐 A date, aucune fuite de données ni aucune défaillance grave n’ont été détectées sur l’ensemble de nos systèmes d’informations et notre infrastructure cloud.

crise sécurité des données

Mesures de sécurité pour les employés

L’accès au contenu des ordinateurs est protégé par mot de passe et les disques durs sont cryptés. L’accès physique aux locaux est sécurisé par badge électronique.

Confidentialité de la donnée

Nos conditions générales d'utilisation de Carbo Entreprise prévoient que chacune des parties s’oblige, dès lors que des informations ont un caractère confidentiel et/ou sensible, notamment sur un plan financier, déontologique, économique, technique, commerciale ou qu’elle soit déclarée comme telle, à :

  • les garder confidentielles et se garder de les communiquer à quiconque,
  • d’abstenir de les exploiter, directement ou indirectement, ou permettre leur exploitation par un tiers sous leur contrôle, à toute fin autre que la bonne exécution du contrat.

Qui est propriétaire de la donnée ?

C’est vous ! En effet, l’entreprise reste toujours propriétaire de ses données. Vous donnez juste un droit de regard à Carbo pour que nous puissions réaliser votre bilan carbone. Vous pourrez donc notifier l'équipe Carbo à tout moment pour demander la récupération ou la suppression de ces informations.

🖐 Vous l’aurez compris, chez Carbo vous fournir une plateforme fiable et sécurisée pour vos données carbone est NOTRE PRIORITE. La votre ? Vous concentrer sur l’essentiel la mesure et réduction d’impact, alors on se lance ?

Julien Janson
Julien est le cofondateur et directeur opérationnel de Carbo. Il a passé plus de 10 ans à diriger la conception de produits web dans l’univers des start-ups, et met aujourd'hui toute son énergie pour agir pour le climat à son échelle !
Faites confiance à Carbo pour vos données et réalisez votre bilan carbone !
Découvrir Carbo
Carbo ebook

Vous devriez aussi aimer

Logo Carbo Bilan Carbone Entreprise
Version beta

Engagez vous dès aujourd'hui avec Carbo.

Votre allié pour maîtriser votre impact carbone
Accélérer la prise de conscience écologique pour réduire dès maintenant notre empreinte carbone.
Carbo ® tous droits réservés
Conçu en 🇪🇺 avec 1.57 tCO2e / an 🌱
Logo Impact 120
Logo Impact France
Logo Capterra Best Value 2023
Trustpilot Reviews
Logo Appvizer
Logo France Relance
Logo Qontrol
Logo Solar Impulse
Logo CDP Provider
Logo CSRD

 📢 [Webinar] ADEME X Carbo

"Comprendre les ordres de grandeur de l’impact carbone, un levier pour les entreprises". L'ADEME (Mon Impact CO2) et Carbo vous donne rendez-vous le mardi 23 avril 2024 - 12h00 (CET).


cross-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram