Protéger votre compte Zenovay est essentiel pour sauvegarder vos données analytiques et maintenir la confiance de vos utilisateurs. Suivez ces meilleures pratiques pour assurer la sécurité de votre compte.
Liste de vérification de sécurité essentielle
Complétez ces étapes pour sécuriser votre compte :
- Utilisez un mot de passe fort et unique
- Activez l'authentification multifacteur
- Enregistrez les codes de secours en lieu sûr
- Vérifiez votre adresse e-mail
- Examinez régulièrement les sessions actives
- Examinez votre historique de connexion régulièrement
- Maintenez les options de récupération à jour
Sécurité des mots de passe
Créer des mots de passe forts
| Pratique | Pourquoi c'est important |
|---|---|
| Au moins 12 caractères | Plus long = plus difficile à craquer |
| Mélange de types de caractères | Plus de combinaisons à deviner |
| Aucune information personnelle | Ne peut pas être recherchée |
| Unique à Zenovay | Une violation ailleurs ne vous affectera pas |
| Utiliser un gestionnaire de mots de passe | Mémorise des mots de passe complexes |
Ce qu'il ne faut pas faire avec les mots de passe
- Ne pas réutiliser des mots de passe sur différents sites
- Ne pas partager votre mot de passe avec quiconque
- Ne pas stocker les mots de passe en texte brut
- Ne pas utiliser des mots ou patterns courants
- Ne pas inclure d'informations personnelles
Gestionnaires de mots de passe
Utilisez un gestionnaire de mots de passe réputé comme 1Password, Bitwarden ou Dashlane pour générer et stocker des mots de passe forts et uniques.
Authentification multifacteur
Priorité MFA
Activez les méthodes MFA dans cet ordre de préférence :
- Clés de sécurité (WebAuthn) — le plus sécurisé, résistant au phishing
- Applications d'authentification (TOTP) — très sécurisé, largement supporté
Meilleures pratiques MFA
- Activez au moins une méthode MFA
- Envisagez plusieurs méthodes pour la redondance
- Conservez les codes de secours dans un endroit sûr
- Testez régulièrement votre configuration MFA
- Ne partagez jamais les codes MFA avec quiconque
Zenovay ne vous demandera jamais vos codes MFA par e-mail, téléphone ou chat. De telles demandes sont toujours des tentatives de phishing.
Gestion des codes de secours
Stocker les codes de secours
Recommandé :
- Gestionnaire de mots de passe (chiffré)
- Fichier chiffré sur stockage sécurisé
- Coffre-fort physique ou coffre-fort bancaire
Non recommandé :
- Fichiers texte brut sur votre ordinateur
- E-mails à vous-même
- Stockage cloud non chiffré
- Post-it
Maintenance des codes de secours
- Gardez au moins 5 codes inutilisés
- Régénérez lorsque vous manquez de codes
- Mettez à jour le stockage après la régénération
- Testez les codes périodiquement
Sécurité des sessions
Expiration automatique par inactivité
Votre session expire automatiquement après 30 minutes d'inactivité pour protéger votre compte si vous vous éloignez de votre ordinateur. Voici comment cela fonctionne :
| Détail | Description |
|---|---|
| Période d'expiration | 30 minutes sans activité |
| Avertissement | Une notification apparaît 5 minutes avant l'expiration |
| Activité qui réinitialise le minuteur | Clic, défilement, frappe ou mouvement de souris |
| Après expiration | Vous êtes redirigé vers la page de connexion |
Ce qui se passe quand votre session expire
Notification d'avertissement
Une notification apparaît vous informant que votre session expirera dans 5 minutes. Cliquez n'importe où sur la page pour rester connecté.
Redirection vers la connexion
Si aucune activité n'est détectée, vous êtes automatiquement redirigé vers la page de connexion.
Reconnectez-vous
Saisissez vos identifiants (et le MFA si activé) pour démarrer une nouvelle session.
Retour à votre page
Après la connexion, vous êtes redirigé vers la page sur laquelle vous étiez avant l'expiration.
Rester connecté
Pour empêcher l'expiration de votre session, cliquez simplement n'importe où sur la page, faites défiler, tapez ou déplacez votre souris. L'une de ces actions réinitialise le minuteur de 30 minutes.
Déconnexion
Lorsque vous vous déconnectez de Zenovay, la déconnexion s'effectue sur tous les services Zenovay (app, auth, docs, help, etc.) pour vous assurer d'être complètement déconnecté de partout. Utilisez toujours le bouton Se déconnecter plutôt que de simplement fermer votre navigateur.
Gestion des sessions actives
- Examinez les sessions chaque semaine
- Déconnectez les sessions que vous ne reconnaissez pas
- Déconnectez-vous de toutes les sessions périodiquement
- Ne restez jamais connecté sur des ordinateurs partagés
Sécurité de connexion
- Connectez-vous uniquement sur des réseaux de confiance
- Utilisez la navigation privée sur les ordinateurs publics
- Déconnectez-vous toujours des appareils partagés
- Examinez votre historique de connexion régulièrement
Protection contre le verrouillage du compte
Zenovay protège automatiquement votre compte contre les tentatives de connexion non autorisées. Si quelqu'un tente de deviner votre mot de passe, le système verrouillera temporairement votre compte.
Fonctionnement du verrouillage
Après 10 tentatives de connexion consécutives échouées, votre compte est temporairement verrouillé. Vous verrez un avertissement lorsqu'il vous reste 3 ou moins de tentatives, ce qui vous permet de vérifier vos identifiants.
Durées de verrouillage progressives
Des verrouillages répétés entraînent des temps d'attente progressivement plus longs :
| Verrouillage | Durée |
|---|---|
| 1er verrouillage | 5 minutes |
| 2e verrouillage | 15 minutes |
| 3e verrouillage | 30 minutes |
| 4e et suivants | 60 minutes |
Le verrouillage du compte est appliqué côté serveur. Effacer les cookies de votre navigateur ou changer de navigateur ne contournera pas le verrouillage. Cela garantit que votre compte reste protégé même contre les attaques automatisées.
Limitation du débit au niveau réseau
En plus du verrouillage du compte, Zenovay utilise la limitation du débit au niveau réseau pour bloquer les attaques automatisées. Les tentatives de connexion rapides depuis le même réseau sont ralenties ou bloquées avant d'atteindre votre compte.
Déverrouiller votre compte
Si votre compte est verrouillé, vous avez trois options :
- Attendez que la période de verrouillage expire, puis réessayez
- Réinitialisez votre mot de passe en utilisant le lien « Mot de passe oublié », ce qui déverrouille votre compte immédiatement
- Contactez le support à [email protected] si vous ne parvenez pas à retrouver l'accès
Éviter les verrouillages
Si vous avez du mal à vous souvenir de votre mot de passe, utilisez l'option de réinitialisation du mot de passe avant d'épuiser vos tentatives. Envisagez d'utiliser un gestionnaire de mots de passe pour éviter cette situation à l'avenir.
Reconnaître les menaces
Attaques de phishing
Signaux d'alarme à surveiller :
- E-mails demandant votre mot de passe ou vos codes MFA
- Messages urgents créant la panique
- Liens vers de fausses pages de connexion
- Demandes du « support Zenovay » via des canaux inhabituels
Vérifier la légitimité
- Vérifiez soigneusement les adresses e-mail des expéditeurs
- Survolez les liens avant de cliquer
- Accédez directement à app.zenovay.com (ne cliquez pas sur les liens)
- Contactez le support via les canaux officiels en cas de doute
Ce que Zenovay ne fera jamais
- Vous demander votre mot de passe
- Demander des codes MFA par e-mail/téléphone
- Menacer la suppression immédiate de votre compte
- Vous demander d'installer un logiciel d'accès à distance
Sécurité de l'équipe
Pour les propriétaires d'équipe
- Auditez régulièrement les membres de l'équipe
- Supprimez rapidement les membres inactifs
- Utilisez le contrôle d'accès basé sur les rôles
- Exigez le MFA pour tous les membres de l'équipe (Enterprise)
- Surveillez les journaux d'activité de l'équipe
Pour les membres de l'équipe
- Utilisez votre propre compte (ne partagez pas)
- Signalez toute activité suspecte à votre administrateur
- Suivez les politiques de sécurité de votre organisation
- Gardez vos identifiants confidentiels
Sécurité de l'API
Meilleures pratiques pour les clés API
- N'intégrez pas les clés API dans le code côté client
- Faites tourner les clés API périodiquement
- Utilisez des clés distinctes pour différentes intégrations
- Révoquez immédiatement les clés inutilisées
- Surveillez l'utilisation de l'API pour détecter les anomalies
Utilisation sécurisée de l'API
- Utilisez toujours HTTPS
- Ne journalisez jamais les clés API
- Stockez les clés dans des variables d'environnement
- Utilisez des services de gestion de clés si possible
Sécurité des appareils
Sécuriser vos appareils
- Maintenez les systèmes d'exploitation à jour
- Utilisez un antivirus/antimalware
- Activez le chiffrement de l'appareil
- Utilisez des verrous d'écran (code PIN, biométrie)
- Activez les fonctionnalités « Localiser mon appareil »
Sécurité du navigateur
- Maintenez les navigateurs à jour
- Utilisez des navigateurs réputés
- Soyez prudent avec les extensions
- Effacez les cookies sur les ordinateurs partagés
- Utilisez la navigation privée si approprié
Sécurité réseau
Navigation sécurisée
- Évitez le WiFi public pour les accès sensibles
- Utilisez un VPN sur les réseaux non fiables
- Assurez-vous que HTTPS est actif (recherchez l'icône de cadenas)
- N'ignorez pas les avertissements de sécurité du navigateur
Réseaux d'entreprise
- Suivez les politiques de votre département informatique
- Utilisez le VPN approuvé par l'entreprise
- Signalez rapidement les incidents de sécurité
Surveiller votre compte
Vérifications de sécurité régulières
| Vérification | Fréquence |
|---|---|
| Sessions actives | Hebdomadaire |
| Historique de connexion | Hebdomadaire |
| Paramètres MFA | Mensuel |
| Nombre de codes de secours | Mensuel |
| Membres de l'équipe (si propriétaire) | Mensuel |
| Clés API | Trimestriel |
Surveiller les activités suspectes
Examinez régulièrement votre historique de connexion et vos sessions actives, et agissez sur tout ce que vous ne reconnaissez pas :
- Connexions depuis un nouvel appareil ou nouvel emplacement
- Tentatives de connexion échouées inattendues
- Modifications du mot de passe ou du MFA que vous n'avez pas effectuées
Si quelque chose semble anormal, modifiez immédiatement votre mot de passe et déconnectez les autres sessions. Consultez Sécurité de connexion & Protection des tentatives de connexion échouées pour savoir comment Zenovay protège votre compte.
Répondre aux incidents de sécurité
Si vous suspectez une compromission
Modifiez le mot de passe
Réinitialisez immédiatement votre mot de passe.
Déconnectez toutes les sessions
Terminez toutes les sessions actives.
Réinitialisez le MFA
Désactivez et réactivez le MFA avec une nouvelle configuration.
Régénérez les codes de secours
Créez de nouveaux codes de secours.
Vérifiez l'activité du compte
Recherchez des modifications non autorisées.
Révoquez les clés API
Régénérez toutes les clés API.
Contactez le support
Signalez l'incident pour enquête.
Fonctionnalités de sécurité Enterprise et Scale
Enterprise PlanCapacités de sécurité supplémentaires sur les plans supérieurs :
- Intégration SSO/SAML : authentification centralisée unique pour votre équipe (Scale et Enterprise)
- Journalisation d'audit : un journal d'activité détaillé des modifications apportées dans votre espace de travail (journalisation d'audit avancée sur Scale et Enterprise)
Certifications d'infrastructure
Zenovay n'est pas lui-même certifié SOC 2 ou ISO 27001. Nous nous appuyons sur des fournisseurs d'infrastructure qui le sont : Cloudflare (SOC 2 Type II, ISO 27001, ISO 27018) et Supabase (SOC 2 Type II). Les paiements sont traités par Stripe (PCI DSS Level 1), donc Zenovay ne traite jamais les données brutes des cartes.
Signaler des problèmes de sécurité
Vous avez trouvé une vulnérabilité de sécurité ? Contactez-nous :
- E-mail : [email protected]
- Objet : « Rapport de sécurité - [Brève description] »
- Nous répondons aux rapports dans les 48 heures
- La divulgation responsable est appréciée
Résumé
| Catégorie | Actions clés |
|---|---|
| Mot de passe | Unique, fort, utiliser un gestionnaire |
| MFA | Activer, préférer les clés de sécurité/TOTP |
| Sauvegarde | Stocker les codes en sécurité |
| Sessions | Expiration après 30 min d'inactivité, réviser chaque semaine, déconnecter les sessions inutilisées |
| Verrouillage | 10 tentatives échouées déclenchent le verrouillage, durées progressives |
| Activité | Vérifier régulièrement l'historique de connexion et les sessions actives |
| Vigilance | Connaître les signes de phishing, vérifier les demandes |
Prochaines étapes
- Configurez le MFA si ce n'est pas encore fait
- Examinez vos sessions
- Examinez votre sécurité de connexion
- Sécurisez vos codes de secours