Fonctionnalité · Audit logs SHA-256

Chaque action, signée cryptographiquement. Pour toujours.

Chaîne SHA-256 immutable, vérifiable en millisecondes. Audits ISO, HACCP, IFS, BRC préparés en un export. Personne ne peut réécrire l'historique - pas même un administrateur système.

Voir en démo personnalisée Voir la chaîne en action

En action

Une chaîne SHA-256 qui se construit en direct

Chaque bloc inclut le hash du précédent. Modifier un seul bloc casse toute la chaîne. La vérification recalcule tout en millisecondes.

Chaîne audit log #2847
#2846 14:32:05
ActionUPDATE
EntityOT · 0141
Userj.dupont
hash a7f3b9c2e8d1…
previousHash
#2847 14:32:18
ActionUPDATE
EntityOT · 0142
Users.laurent
Before{"etat":"E"}
After{"etat":"L","desttrav":"SL"}
SHA-256
hash e2b8a1f4c7d3…
previousHash
#2848 en attente…
Formule de hashage 
SHA256(
  Timestamp | User |
  Action | Entity |
  Before | After |
  PreviousHash
)
Vérification d'intégrité
Recalcul de la chaîne…
Chaîne intègre · 2847 entrées vérifiées
Algorithme SHA-256
Entrées 2 847
Durée 412 ms

Démonstration fidèle à l'implémentation OPTIMa : SHA-256 déterministe sur Timestamp | User | Action | Entity | Before | After | PreviousHash.

3 mécanismes combinés

Pourquoi on parle d'infalsifiable

Un seul de ces mécanismes suffirait à rendre la manipulation difficile. Les trois combinés la rendent impossible sans détection immédiate.

1. Triggers DB immutables

La table d'audit est protégée par des triggers au niveau base de données qui bloquent tout UPDATE ou DELETE. Même un administrateur avec accès root ne peut pas modifier une entrée existante sans erreur explicite.

2. Chaîne SHA-256

Chaque entrée est hashée en SHA-256 incluant le hash de l'entrée précédente. Modifier un bloc au milieu de la chaîne casse tous les hashes suivants. C'est exactement le principe d'une blockchain, appliqué à un journal d'audit.

3. Vérification on-demand

Un bouton "Vérifier l'intégrité" recalcule toute la chaîne et compare avec les hashes stockés. En quelques centaines de millisecondes pour plusieurs milliers d'entrées. Détection immédiate de toute incohérence, même d'une seule entrée modifiée.

Le problème

Préparer un audit prend 1 à 2 semaines

Quand un auditeur HACCP, IFS, BRC, ISO 9001 ou ISO 55000 annonce sa visite, le responsable qualité doit reconstituer l'historique des interventions : qui a fait quoi, quand, sur quel équipement. Les données viennent d'Excel, de carnets papier, de mémoires collectives. Impossible à garantir qu'aucune information n'a été perdue ou "arrangée" entre-temps.

  • Plusieurs jours de travail à reconstituer un historique qui devrait être automatique
  • L'auditeur demande des preuves de non-modification ultérieure impossibles à fournir
  • En cas d'incident (contamination, accident), impossible de prouver la bonne foi ou la chronologie exacte

Avec OPTIMa

Export en un clic, vérifiable en 400 ms

Tout est tracé depuis le premier jour. Vous filtrez par période, par équipement, par utilisateur, vous exportez en CSV compatible Excel. L'auditeur peut lui-même vérifier l'intégrité de la chaîne avec le hash fourni. Zéro doute, zéro reconstitution, zéro stress.

  • Export CSV en quelques secondes - filtré par période, équipement, utilisateur, action
  • Preuve cryptographique d'absence de modification ultérieure - incontestable devant un auditeur ou un tribunal
  • Préparation d'audit divisée par 10 - passez de 5 jours à quelques heures

Ce qui est tracé

7 entités, 6 types d'actions

Chaque entrée contient le JSON complet avant et après modification. Vous voyez exactement ce qui a changé, pas juste qu'il y a eu un changement.

Entités tracées

Équipements création, modification, suppression
Ordres de travail toutes les transitions d'état
Demandes d'intervention création, traitement
Pièces détachées stock, mouvements
Utilisateurs comptes, rôles
Profils & permissions modifications de droits
Sessions login, logout, échecs

Actions tracées

CREATE Création d'une entité - JSON complet stocké
UPDATE Modification - JSON avant et après stockés
DELETE Suppression - dernier état conservé
LOGIN Connexion réussie - IP et user agent
LOGOUT Déconnexion explicite ou timeout
LOGIN_FAILED Tentative échouée - détection brute force

Certifications

Vos audits ISO, HACCP, IFS prêts en un export

ISO 9001

Qualité, traçabilité des processus

ISO 55000

Gestion des actifs, historique

HACCP

Hygiène agroalimentaire

IFS Food & BRC

Certification agroalimentaire

ISO 13485

Dispositifs médicaux

HAS

Certification établissements santé

ISO 14001

Environnement, ICPE

ISO 45001

Santé et sécurité au travail

Les gains

Ce que les audit logs infalsifiables changent

-80%

Temps de préparation d'audit

De 5 à 10 jours de reconstitution manuelle à quelques heures de filtrage et export. Le responsable qualité récupère son temps.

412ms

Vérification de 3 000 entrées

Recalcul complet de la chaîne SHA-256. Suffisamment rapide pour être lancé à la demande, plusieurs fois par an si besoin.

0

Entrée modifiable silencieusement

Impossible, par conception. Modifier un bloc casse toute la chaîne suivante. Détection immédiate par la vérification.

Vérifiez l'intégrité vous-même

On lance une vérification d'intégrité sur 3 000 entrées pendant la démo

30 minutes en visio. Vous voyez la chaîne SHA-256 se construire, vous tentez une modification, vous observez la détection. Sans engagement.

Réserver une démo Cas d'usage agroalimentaire

Questions fréquentes

Comment fonctionnent les audit logs d'OPTIMa ?

Chaque action significative dans OPTIMa (création, modification, suppression d'un OT, d'une intervention, d'un équipement ou d'une pièce, mais aussi connexions et déconnexions) génère une entrée dans la table des audit logs. Chaque entrée contient le timestamp UTC, l'identifiant utilisateur, l'action, le type et l'ID d'entité, un JSON complet des données avant et après modification, l'IP et le user agent. Cette entrée est ensuite signée par un hash SHA-256 qui inclut le hash de l'entrée précédente - formant ainsi une chaîne cryptographique infalsifiable.

Qu'est-ce qui rend ces logs 'infalsifiables' ?

Trois mécanismes combinés. D'abord, la table audit est immutable au niveau base de données : les triggers bloquent toute tentative d'UPDATE ou de DELETE, même par un administrateur DBA. Ensuite, chaque entrée est hashée en SHA-256 incluant le hash de l'entrée précédente : modifier une entrée casse toute la chaîne suivante, détection immédiate. Enfin, une fonction de vérification recalcule toute la chaîne et détecte en millisecondes toute incohérence. Même un accès root à la base ne permet pas de falsifier un historique sans laisser de trace.

Comment vérifier l'intégrité de la chaîne ?

OPTIMa expose une fonction de vérification (VerifyChainIntegrityAsync côté backend, bouton côté interface) qui parcourt la chaîne par lots de 1000 entrées, recalcule le hash attendu pour chaque entrée à partir de ses données et de l'entrée précédente, et compare avec le hash stocké. Le résultat donne : chaîne valide ou non, nombre d'entrées vérifiées, et si invalide, l'ID de la première entrée problématique. Typiquement 412 ms pour vérifier 3 000 entrées.

Quelles actions sont tracées ?

Toutes les actions CRUD sur les entités critiques : équipements, ordres de travail, demandes d'intervention, pièces, utilisateurs et profils. Plus les événements de sécurité : connexion réussie (LOGIN), déconnexion (LOGOUT), tentative échouée (LOGIN_FAILED). Pour chaque modification, le JSON complet des données avant et après est conservé - vous savez exactement ce qui a changé, pas seulement qu'il y a eu une modification.

Comment exporter les audit logs pour un auditeur ?

Export CSV en un clic depuis l'interface Administration > Audit logs. Le CSV est encodé UTF-8 avec BOM (compatible Excel français), séparateur point-virgule, colonnes : ID, Timestamp, Utilisateur, Type d'entité, ID d'entité, Libellé d'entité, Action, IP, Hash. Vous pouvez filtrer par période, par utilisateur, par type d'entité (uniquement les OT par exemple), par action, ou par recherche libre. L'export inclut le hash pour vérification ultérieure par l'auditeur.

Les audit logs sont-ils exigés par les certifications ISO, HACCP, IFS ?

Oui, directement ou indirectement. ISO 9001 exige la traçabilité des processus, ISO 55000 impose un historique infalsifiable des actifs, HACCP demande la traçabilité des actions sur les équipements en contact avec les denrées, IFS Food et BRC vont plus loin avec des exigences explicites sur la documentation et l'archivage. Sans audit logs natifs, vous devez reconstituer ces informations à la main avant chaque audit - plusieurs jours de travail. Avec OPTIMa, l'export est instantané.

Peut-on modifier la configuration du système d'audit ?

Non - c'est précisément le point. La configuration du système d'audit (quelles entités sont tracées, quelles actions, comment la chaîne est construite) n'est pas modifiable par l'administrateur. Les triggers DB sont verrouillés en écriture. La clé de chaînage est déterministe et reproductible. Cela garantit qu'aucun utilisateur, même administrateur, ne peut désactiver temporairement le logging pour cacher une action.

Quelle est la durée de conservation des audit logs ?

Par défaut, les audit logs sont conservés indéfiniment. OPTIMa étant hébergé en France sur OVH Gravelines/Roubaix, vous êtes conforme aux obligations RGPD pour la conservation des journaux. Pour les organisations avec des politiques de rétention spécifiques (suppression des logs de plus de X années pour raisons légales), une purge programmée peut être configurée en préservant l'intégrité de la chaîne résiduelle.

Plus jamais stresser avant un audit

Démonstration personnalisée sur votre contexte. On vous fournit même l'export CSV d'audit pour que votre responsable qualité puisse le tester.

Réserver une démo Voir toutes les fonctionnalités