Sécurité¶
La téléphonie IP attire les fraudeurs¶
La voix sur IP ouvre un risque que la téléphonie analogique ne connaissait pas : la fraude aux appels surtaxés. Un serveur mal configuré peut émettre en quelques heures des milliers d'appels vers l'étranger ou vers des numéros surtaxés — pour des montants de plusieurs milliers d'euros.
Le risque est réel.
Chaque année, des PME françaises découvrent des factures opérateur à 20 000 € pour un week-end d'appels vers Madagascar ou Cuba, émis par leur propre PABX piraté.
Notre approche : défense en profondeur, à tous les étages.
Les 5 lignes de défense¶
🛡️ Ligne 1 — accès physique¶
Le serveur Wazo n'est pas sur votre site. Il est dans un datacenter Infomaniak en Suisse, sous surveillance 24/7, avec accès biométrique.
Vos équipements sur site (routeur, switch, DECT) sont inaccessibles depuis Internet par défaut — seul notre VPN de supervision peut y accéder, et ce VPN est à double authentification.
🛡️ Ligne 2 — pare-feu et filtrage¶
Le trafic téléphonique :
- sort uniquement vers l'opérateur SEWAN (et personne d'autre)
- entre uniquement depuis SEWAN
- est bloqué pour toute destination étrangère non autorisée explicitement
- est limité en nombre d'appels simultanés (plafond anti-fraude)
🛡️ Ligne 3 — authentification des postes¶
Chaque téléphone s'authentifie auprès du serveur avec :
- un identifiant unique par poste (pas de mot de passe partagé)
- un certificat TLS (connexion chiffrée, comme HTTPS)
- une liste blanche de postes autorisés (un téléphone inconnu est refusé)
🛡️ Ligne 4 — chiffrement de la voix¶
La voix entre vos postes et votre serveur Wazo est chiffrée en SRTP (la norme du métier).
Sur le trajet opérateur (Wazo ↔ SEWAN), la voix est encapsulée en TLS, donc chiffrée de bout en bout jusqu'à l'arrivée sur le réseau téléphonique public.
🛡️ Ligne 5 — surveillance et alertes¶
Notre supervision :
- détecte les tentatives d'intrusion en temps réel (fail2ban, scan SIP)
- bloque automatiquement les IP malveillantes
- alerte immédiatement sur comportement anormal :
- appel vers un pays non habituel
- pic d'appels sortants hors horaires
- tentative de connexion depuis un poste inconnu
- consommation inhabituelle
Protection anti-fraude — les plafonds¶
Par défaut, chaque ligne est plafonnée :
| Type d'appel | Limite par jour | Blocage automatique si dépassé |
|---|---|---|
| France métropolitaine | Illimité | — |
| DOM / UE | 120 min | Oui, déblocage sur demande |
| International « classique » | 60 min | Oui, déblocage sur demande |
| International à risque | 0 min | Bloqué par défaut ⚠ |
| Numéros surtaxés (0899, etc.) | Bloqués | Déblocage par ticket uniquement |
Zones à risque bloquées par défaut
Cuba, Madagascar, Somalie, Lettonie, Lituanie, Guyana, Sierra Leone et une vingtaine d'autres destinations statistiquement utilisées pour la fraude. Si votre activité implique réellement ces destinations, nous levons le blocage après échange.
Conformité RGPD¶
Vos données téléphoniques (numéros appelés, durée, journaux) sont :
- hébergées en Suisse (Infomaniak) — UE + Suisse (décision d'adéquation UE), conformité RGPD
- accessibles uniquement à vous et Technotrement
- conservées 12 mois (sauf demande spécifique)
- supprimables sur demande écrite
- jamais revendues ni exploitées à des fins commerciales
Vous êtes le propriétaire de vos données.
En cas de changement de prestataire, nous exportons l'intégralité de votre configuration et de vos journaux dans un format standard. Pas de rétention cachée.
Mises à jour de sécurité¶
Le serveur Wazo et les équipements UniFi reçoivent :
- les mises à jour critiques dans les 48 h suivant leur publication
- les mises à jour mineures dans la fenêtre de maintenance hebdomadaire (nuit du dimanche)
- un rapport trimestriel des mises à jour appliquées
Les firmwares des postes (Yealink, DECT) sont mis à jour :
- systématiquement en cas de vulnérabilité connue
- au renouvellement des certificats
- sur demande
Ce que vous devez faire de votre côté¶
Aucune sécurité n'est parfaite si vos mots de passe sont « 1234 ».
Nos recommandations :
- mot de passe messagerie vocale : 6 chiffres minimum, pas un « 1234 » ou un anniversaire
- accès à l'interface Wazo (utilisateurs admin) : mot de passe fort + 2FA activé
- ne pas laisser traîner les codes PIN des combinés DECT sur des post-it
- signaler rapidement un combiné perdu ou volé (nous le bloquons en 2 minutes)
- prévenir avant un déplacement de poste (pour qu'on adapte la configuration)
En cas d'incident¶
Si vous recevez une notification de sécurité Technotrement (email ou SMS) :
- lisez-la attentivement — elle contient l'action recommandée
- vérifiez si l'activité signalée correspond à une utilisation légitime
- contactez-nous par téléphone pour confirmer ou débloquer
Nous ne demanderons jamais par email :
- votre mot de passe
- un paiement urgent
- un code de sécurité
En cas de doute, appelez-nous directement au numéro fourni au contrat.