Passer au contenu principal

Sécurité

Dernière mise à jour : Juin 2026

Vous avez identifié une faille ? Contactez-nous en privé à security@scholr.fr — accusé de réception sous 72 heures, première évaluation sous 7 jours ouvrés.

La sécurité des données de nos écoles, de leurs étudiants et de leurs familles est une priorité absolue. Cette page décrit comment nous traitons les vulnérabilités, comment nous contacter, et nos engagements en matière de sécurité et de conformité.

1. Signaler une vulnérabilité

Si vous découvrez une faille de sécurité, merci de ne pas la divulguer publiquement(pas d'issue GitHub publique, pas de réseaux sociaux) tant qu'elle n'est pas corrigée.

Contactez-nous en privé :

Merci d'inclure si possible :

  • une description de la vulnérabilité et de son impact ;
  • les étapes de reproduction (preuve de concept) ;
  • les URL, endpoints ou rôles concernés ;
  • toute recommandation de correction.

2. Notre engagement

  • Accusé de réception sous 72 heures.
  • Évaluation initiale et premières mesures sous 7 jours ouvrés.
  • Correction visée sous 30 jours pour les vulnérabilités critiques, sous 90 jours pour les autres.
  • Communication régulière sur l'avancement et crédit public (si vous le souhaitez) une fois la faille corrigée.

3. Périmètre

Concerné

  • scholr.fr, app.scholr.fret les sous-domaines d'écoles *.scholr.fr ;
  • l'API Scholr et les flux d'authentification ;
  • les flux de paiement et de facturation.

Hors périmètre — merci de ne pas tester

  • déni de service (DoS / DDoS), spam, brute-force massif ;
  • ingénierie sociale du personnel ou des écoles clientes ;
  • tests sur des comptes ou des données dont vous n'êtes pas propriétaire ;
  • vulnérabilités sans impact démontrable (ex : absence d'un en-tête HTTP non critique) ;
  • services tiers (Stripe, Supabase, Vercel, Mux, Resend…) — à signaler directement à l'éditeur concerné.

4. Engagement de non-poursuite (safe harbor)

Nous nous engageons à ne pas engager de poursuites judiciaires contre les chercheurs en sécurité qui :

  • respectent ce programme et nous notifient avant toute divulgation publique ;
  • n'accèdent, ne modifient et ne suppriment pas de données autres que celles strictement nécessaires à la preuve de concept ;
  • ne dégradent pas le service pour les autres utilisateurs ;
  • respectent la confidentialité des données personnelles (RGPD) ;
  • nous laissent un délai raisonnable pour corriger avant divulgation.

5. Nos mesures de sécurité

Chiffrement

  • Toutes les données en transit sont chiffrées avec TLS 1.3.
  • Les données au repos sont chiffrées avec AES-256.
  • Les clés API d'établissements (OpenAI, Anthropic) sont chiffrées avec AES-256-GCM avant stockage.
  • Les mots de passe sont stockés sous forme de hash non réversible (bcrypt).

Authentification et accès

  • Authentification via OAuth Google, support du SSO Microsoft Entra ID (Azure AD).
  • Sessions sécurisées (cookies HttpOnly + Secure, rotation régulière).
  • Système de rôles fin (étudiant, enseignant, administrateur, direction), enforced côté serveur.
  • Cloisonnement multi-tenant strict : les données de chaque établissement sont isolées au niveau applicatif et base de données.

Hébergement

  • Application hébergée par Vercel, infrastructure conforme SOC 2 type II.
  • Base de données Supabase(PostgreSQL), serveurs situés dans l'Union Européenne, conforme RGPD.
  • Sauvegardes chiffrées quotidiennes avec rétention longue durée.

Surveillance et audit continu

  • Analyse statique de code (SAST) et scans de dépendances automatisés à chaque modification.
  • Détection de secrets en continu (gitleaks) sur l'historique complet du code.
  • Audits internes de sécurité réguliers documentés et tracés.
  • Monitoring temps réel (Sentry) avec alertes sur anomalies.
  • Limitation de débit distribuée (rate limiting) sur les endpoints sensibles.

Pen tests

La plateforme fait l'objet d'audits de sécurité réalisés par des cabinets indépendants. Les rapports de synthèse sont disponibles sur demande auprès de security@scholr.fr pour les établissements clients sous accord de confidentialité.

6. Conformité RGPD

Scholr est conforme au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés. Le détail des traitements et de vos droits est disponible dans notre politique de confidentialité.

Un accord de traitement des données (DPA) conforme à l'article 28 du RGPD est applicable entre Scholr SAS et chaque établissement client.

Contact DPO : dpo@scholr.fr

7. Notification d'incident

En cas de violation de données affectant nos utilisateurs, Scholr s'engage à :

  • Notifier la CNIL sous 72 heuresconformément à l'article 33 du RGPD ;
  • Notifier les établissements clients concernés sous 24 heuresaprès confirmation interne ;
  • Notifier les personnes concernées si un risque élevé pour leurs droits et libertés est avéré (article 34 du RGPD).

Le statut en temps réel de la plateforme est consultable sur notre page de statut.

8. Sous-processeurs

La liste complète et à jour de nos sous-processeurs (Vercel, Supabase, Stripe, Resend, Mux, Pusher, Upstash, Sentry, etc.) est disponible dans l'annexe du DPA. Les établissements clients sont informés de tout ajout ou modification de sous-processeur, avec droit d'opposition.

9. Hall of fame

Nous remercions les chercheurs en sécurité qui ont contribué à renforcer la sécurité de Scholr. Cette section sera mise à jour au fur et à mesure des contributions responsables.

Dernière mise à jour : Juin 2026

Programme accessible également via /.well-known/security.txt (RFC 9116).