Sécurité
Protéger les informations que vous gérez dans Governy est une priorité de premier ordre. La plateforme repose sur un principe simple : seules les bonnes personnes peuvent voir et modifier les bonnes choses, et vos données restent sous votre contrôle. Cette page présente, en langage clair, les garde-fous en place — utile aussi bien pour évaluer Governy que pour rassurer vos propres parties prenantes.
Accès au moindre privilège
Chaque action dans Governy est régie par un contrôle d’accès fondé sur les rôles. Chaque personne reçoit un rôle qui lui accorde exactement l’accès nécessaire à sa mission — et rien de plus. Les rôles correspondent aux responsabilités réelles d’un processus de conformité :
| Rôle | Destiné à |
|---|---|
| Admin | Administrateurs de la plateforme, accès complet |
| Responsable de domaine | Responsables d’espace de travail qui gèrent leur équipe et leur contenu |
| Analyste | Praticiens qui réalisent les évaluations et joignent les preuves |
| Validateur | Relecteurs qui approuvent les évaluations |
| Audité | Contributeurs qui fournissent des preuves pour des exigences précises |
| Lecteur | Parties prenantes disposant d’une visibilité en lecture seule |
Les rôles sont définis par espace de travail, si bien que l’accès correspond toujours au contexte. Une même personne peut détenir des rôles différents dans des espaces différents, et nul n’a jamais un accès plus large que ce que sa mission du moment exige. Les actions sensibles — approuver des évaluations, gérer des utilisateurs, supprimer des enregistrements — sont réservées aux rôles qui y sont explicitement habilités. La répartition des responsabilités entre ces rôles met en œuvre la séparation des tâches — la personne qui réalise une évaluation n’est jamais celle qui l’approuve — une séparation attendue par tous les grands référentiels.
Authentification forte
Les comptes sont protégés par plusieurs couches indépendantes d’authentification moderne :
- Connexion aux standards du marché (OAuth 2.0) — l’accès repose sur le protocole d’autorisation standard OAuth 2.0, avec une gestion sécurisée des identifiants en interne et des sessions sans état via des tokens JWT.
- Accès sur invitation uniquement — on ne rejoint la plateforme que via une invitation tracée ; les comptes ne peuvent pas être créés en libre-service, ce qui maintient la base d’utilisateurs sous le contrôle des administrateurs.
- Identités vérifiées — les comptes sont confirmés avant de devenir actifs.
- Vérification en deux étapes — un second facteur optionnel à la connexion renforce la protection, et les changements de compte à haut risque exigent une étape de vérification supplémentaire.
Traçabilité
L’activité clé est enregistrée — qui a examiné et approuvé chaque évaluation, ainsi que l’historique de versions complet des preuves et des documents. Il en résulte une trace claire et attribuable, qui résiste aux audits de certification comme aux revues internes.
Vos données, votre infrastructure
Governy est hébergé de façon autonome : il fonctionne entièrement au sein de votre propre environnement. Vos données d’audit, vos fichiers de preuve et vos informations utilisateurs sont stockés et traités sur une infrastructure que vous maîtrisez — ce qui confère à votre organisation la pleine maîtrise de la résidence et de la rétention des données. Rien ne quitte votre environnement, sauf si vous choisissez de l’exporter.