Sécurité et
confiance
Vos données financières méritent le plus haut niveau de protection.
1. La sécurité au cœur de Numerin
Numerin est un logiciel de comptabilité et de facturation qui traite quotidiennement des données financières sensibles : factures, écritures comptables, coordonnées bancaires, informations fiscales. Nous sommes pleinement conscients de la responsabilité que cela implique. La sécurité n'est pas une fonctionnalité secondaire pour nous : c'est un prérequis fondamental, intégré dès la conception de chaque module de la plateforme.
Notre approche repose sur le principe de « sécurité par défaut » (security by design). Chaque décision technique - du choix de l'infrastructure au développement des fonctionnalités - est évaluée à travers le prisme de la protection des données. Nous appliquons le principe du moindre privilège, la séparation stricte des environnements et la validation systématique de toutes les entrées utilisateur.
Cette page détaille les mesures techniques et organisationnelles que nous mettons en œuvre pour garantir la confidentialité, l'intégrité et la disponibilité de vos données. Si vous avez des questions complémentaires, n'hésitez pas à nous contacter à contact@numerin.com.
2. Chiffrement des données
L'ensemble des données stockées dans Numerin est chiffré au repos avec l'algorithme AES-256, considéré comme l'un des standards de chiffrement les plus robustes au monde. Ce niveau de chiffrement est utilisé par les institutions financières et les agences gouvernementales pour protéger leurs informations les plus sensibles.
Toutes les communications entre votre navigateur et nos serveurs sont protégées par le protocole TLS 1.3, la version la plus récente et la plus sûre du protocole de transport sécurisé. Les versions antérieures (TLS 1.0 et 1.1) sont désactivées. Cela garantit que vos données ne peuvent être interceptées ou altérées pendant leur transit entre votre poste de travail et notre plateforme.
Les champs particulièrement sensibles - tels que les identifiants bancaires (IBAN, BIC) et les informations d'authentification - bénéficient d'un chiffrement applicatif supplémentaire, avec des clés de chiffrement gérées indépendamment de la base de données. Cette approche garantit que même en cas d'accès non autorisé aux données brutes, celles-ci resteraient illisibles.
3. Hébergement et infrastructure
Les données applicatives de Numerin (base de données, fichiers, sauvegardes) sont hébergées exclusivement sur des serveurs situés au sein de l'Union européenne, en conformité avec le Règlement Général sur la Protection des Données (RGPD). Aucune donnée financière n'est transférée en dehors de l'Espace économique européen.
L'interface utilisateur est distribuée via le réseau edge de Vercel, qui assure des temps de chargement optimaux grâce à un CDN mondial. Cette architecture dissocie clairement la couche de présentation (pages, assets statiques) de la couche de données, qui reste strictement localisée en Europe. L'infrastructure bénéficie d'une redondance automatique : en cas de défaillance d'un composant, le basculement s'effectue sans interruption de service.
Des sauvegardes automatiques sont réalisées quotidiennement et conservées sur des systèmes de stockage géographiquement distincts des serveurs de production. Cette séparation physique garantit la récupérabilité des données même en cas d'incident majeur affectant le datacenter principal.
4. Authentification et contrôle d'accès
Les mots de passe des utilisateurs sont hachés avec l'algorithme bcrypt, un standard reconnu qui intègre un mécanisme de salting automatique et un coût de calcul volontairement élevé, rendant les attaques par force brute extrêmement difficiles. Les mots de passe en clair ne sont jamais stockés ni transmis après le processus d'inscription. Les sessions utilisateur sont gérées par des jetons sécurisés (session tokens) avec une durée de vie limitée et renouvelés automatiquement.
Numerin implémente un système de contrôle d'accès basé sur les rôles (RBAC). Trois niveaux de rôles sont disponibles : Administrateur, Comptable et Collaborateur. Chaque rôle dispose de permissions granulaires configurées par module (facturation, achats, banque, comptabilité, immobilisations, équipe). Un comptable peut par exemple accéder aux écritures comptables sans pouvoir modifier les paramètres de la société.
L'architecture multi-société de Numerin garantit une isolation stricte des données entre les différentes entités. Chaque requête vers la base de données est automatiquement filtrée par l'identifiant de la société active. Il est techniquement impossible pour un utilisateur d'accéder aux données d'une société à laquelle il n'est pas rattaché.
5. Conformité réglementaire
Numerin est conçu pour respecter l'ensemble des exigences réglementaires applicables aux logiciels de comptabilité et de facturation en France. Notre plateforme est conforme au RGPD (Règlement (UE) 2016/679) dans tous les aspects du traitement des données personnelles : collecte, stockage, accès, portabilité et suppression.
En matière de réglementation comptable française, Numerin respecte les exigences de la loi anti-fraude à la TVA (article 88 de la loi de finances 2016), notamment l'inaltérabilité, la sécurisation, la conservation et l'archivage des données de facturation. La génération du Fichier des Écritures Comptables (FEC) est prise en charge nativement pour faciliter vos obligations déclaratives et vos éventuels contrôles fiscaux.
Vous disposez à tout moment d'un droit d'accès, de rectification, de portabilité et de suppression de vos données personnelles, conformément aux articles 15 à 20 du RGPD. L'export intégral de vos données comptables est disponible dans des formats standards (CSV, FEC). Pour en savoir plus sur le traitement de vos données personnelles, consultez notre Politique de confidentialité.
6. Sauvegardes et continuité de service
La pérennité de vos données comptables est une priorité absolue. Numerin effectue des sauvegardes automatisées quotidiennes de l'intégralité des données de chaque société. Ces sauvegardes sont chiffrées, stockées sur des infrastructures physiquement distinctes du serveur de production et conservées pendant une durée suffisante pour permettre la restauration en cas d'incident.
Un plan de reprise d'activité (PRA) est en place pour faire face aux scénarios de défaillance majeure. Ce plan définit les procédures de basculement, les objectifs de temps de récupération (RTO) et les objectifs de point de récupération (RPO) pour chaque composant critique de la plateforme. Des tests de restauration sont réalisés périodiquement pour valider l'efficacité de ce dispositif.
Notre objectif de disponibilité est de 99,9 % sur une base annuelle. L'architecture redondante de notre infrastructure, couplée aux mécanismes de basculement automatique, nous permet de minimiser les interruptions de service. En cas de maintenance planifiée, les utilisateurs sont prévenus à l'avance par notification.
7. Monitoring et détection des menaces
L'infrastructure de Numerin fait l'objet d'une surveillance continue en temps réel. Des systèmes de monitoring automatiques contrôlent en permanence la disponibilité des services, les performances de la base de données, l'utilisation des ressources et les temps de réponse des API. Toute anomalie déclenche une alerte immédiate à notre équipe technique.
Des mécanismes de détection d'anomalies sont déployés pour identifier les comportements suspects : tentatives de connexion répétées, accès depuis des localisations inhabituelles, requêtes anormalement volumineuses ou patterns d'utilisation atypiques. Ces signaux sont analysés pour détecter précocement toute tentative d'intrusion ou d'exploitation de vulnérabilités.
En cas d'incident de sécurité confirmé, une procédure de réponse structurée est activée : identification et confinement de la menace, évaluation de l'impact, notification des utilisateurs concernés dans les délais légaux (72 heures maximum pour la CNIL), remédiation et analyse post-incident pour renforcer les défenses. L'ensemble des événements de sécurité est journalisé et conservé pour permettre un audit complet en cas de besoin.
8. Bonnes pratiques utilisateur
La sécurité de votre compte Numerin dépend aussi de vos propres pratiques. Nous vous recommandons vivement d'utiliser un mot de passe fort et unique pour votre compte : au minimum 12 caractères, combinant majuscules, minuscules, chiffres et caractères spéciaux. L'utilisation d'un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) est fortement encouragée.
Ne partagez jamais vos identifiants de connexion avec un tiers, même un collègue. Si plusieurs personnes doivent accéder à votre espace Numerin, créez des comptes individuels avec les rôles et permissions adaptés à chaque utilisateur. Pensez également à vous déconnecter systématiquement lorsque vous utilisez un ordinateur partagé ou un poste en libre-accès.
Si vous constatez une activité suspecte sur votre compte (connexion non reconnue, données modifiées à votre insu, email de réinitialisation non sollicité), contactez-nous immédiatement à contact@numerin.com. Une réaction rapide permet de limiter considérablement l'impact d'une éventuelle compromission.
9. Signalement de vulnérabilités
Numerin adopte une politique de divulgation responsable (responsible disclosure). Si vous découvrez une faille de sécurité ou une vulnérabilité affectant notre plateforme, nous vous invitons à nous en informer de manière confidentielle afin que nous puissions la corriger avant toute divulgation publique.
Pour signaler une vulnérabilité, adressez un email détaillé à security@numerin.com en décrivant précisément la faille identifiée, les étapes pour la reproduire et, si possible, une évaluation de son impact potentiel. Nous nous engageons à accuser réception de votre signalement sous 48 heures et à vous tenir informé de l'avancement de la correction.
Nous demandons aux chercheurs en sécurité de ne pas exploiter la vulnérabilité au-delà de ce qui est strictement nécessaire pour la démonstration, de ne pas accéder aux données d'autres utilisateurs et de ne pas perturber le fonctionnement du service. Nous nous engageons à ne pas poursuivre les chercheurs qui respectent ces conditions et qui agissent de bonne foi dans l'intérêt de la sécurité de nos utilisateurs.