Besoin d'aide ? On est en ligne 👋
Sécurité Suite — 2FA, backups, file integrity | TravelBoost
🛡️ Fonctionnalité · Sécurité Suite

Vos données.
Votre forteresse.

5 onglets de protection : score de sécurité, 2FA Google Authenticator, backups quotidiens automatiques, contrôle d'intégrité des fichiers et journal de toutes les connexions. Vos passeports clients, vos données financières, vos contrats — protégés.

Démarrer l'essai gratuit → ▶ Voir le dashboard
2FA TOTP intégré Backups quotidiens auto Hébergé en France
🛡️ Forteresse active
💾
Dernier backup Il y a 2h · 47 MB
🔒 Security Dashboard
PROTÉGÉ
87
/ 100
🛡️ Bien protégé 3 améliorations possibles
📋 Checklist sécurité
Headers HTTPS
XML-RPC bloqué
Rate limiting
2FA actif
SSL / HTTPS
Backups auto
File editor off
User enum bloqué
🚫
Tentative de connexion bloquée
IP 185.220.101.xx · 5 essais échoués · il y a 12 min
BLOQUÉ
5
onglets de protection
configurables
9
contrôles automatiques
de sécurité
24h
backup automatique
de votre base
200
connexions tracées
dans le journal
⚠ Le problème

Vous tenez les passeports.
Et la responsabilité.

Une agence de voyage stocke des données ultra-sensibles : passeports scannés, cartes bancaires, dates de naissance, adresses. Une fuite et c'est le RGPD, la presse, les clients qui partent. Votre CRM est-il vraiment protégé ?

🔓

Le mot de passe seul ne suffit plus

"agence2025" ou "soleil123" — c'est encore courant. Les bots testent des millions de combinaisons par jour. Sans 2FA, un seul mot de passe compromis = accès total à votre CRM. Y compris à toutes les fiches clients avec leurs passeports.

⚠ 1 mot de passe = 1 forteresse en carton
💥

Pas de backup = pas de retour

Votre serveur tombe. Votre base est corrompue. Votre hébergeur a un incident. Si vous n'avez pas de backup quotidien, vous perdez 1 mois de leads, de devis, de factures. Reconstruire depuis Excel ? 3 semaines, et vous oublierez la moitié.

⚠ 1 incident sans backup = 3 semaines perdues
👁️

Vous ne savez pas qui s'est connecté

Une connexion suspecte à 3h du matin depuis la Russie ? Vous ne le verrez jamais. Sans journal d'authentification, vous découvrez l'intrusion 3 mois après — quand vos clients sont déjà phishés ou que vos concurrents ont vos contacts.

⚠ Aucune alerte = aucune réaction
✦ Les 5 onglets

5 couches de défense.
Toutes activables en 1 clic.

Chaque onglet adresse une dimension de la sécurité. Activez ce qui compte pour vous, laissez le reste désactivé. Le score se met à jour en temps réel pour vous montrer où vous en êtes.

1
🔒

Dashboard

Score 0-100, checklist 9 points, 8 toggles de protection, paramétrage du timeout et des tentatives.

2
🔑

2FA

Google Authenticator (TOTP), QR code, code 6 chiffres, 8 codes de secours en cas de perte du téléphone.

3
💾

Backups

Backup quotidien automatique de toutes vos données CRM, archive gzip, envoi par email, rétention configurable.

4
🔍

File Integrity

Vérification automatique des fichiers WordPress core (checksums officiels) et hash du plugin TravelBoost.

5
📋

Login Log

200 dernières connexions tracées : événement (succès / échec / 2FA), utilisateur, IP, navigateur, date.

✦ Onglet "Dashboard"

Le score de sécurité
en un coup d'œil.

Score 0-100 calculé en temps réel selon les protections actives. Toggle on/off pour chaque protection — chacune ajoute des points. Plus le score est élevé, plus vous êtes protégé.

🔒 Évasion Voyages — Sécurité · Dashboard
🔒 Dashboard
🔑 2FA
💾 Backups
🔍 File Integrity
📋 Login Log
87
/ 100
🛡️ Bien protégé
Activez 2 protections supplémentaires
pour atteindre 100
🛡️ Protections actives
Headers de sécurité (XSS, Clickjack)
+10 pts · Protection contre les attaques navigateur
Bloquer XML-RPC
+10 pts · Vecteur d'attaque WordPress courant
Rate limiting login (5 essais / 15 min)
+15 pts · Bloque les attaques par force brute
2FA Google Authenticator
+15 pts · Code 6 chiffres + 8 codes de secours
Backups quotidiens automatiques
+10 pts · Toutes vos données envoyées par email
Bloquer énumération utilisateurs
+10 pts · Empêche la liste des comptes via REST API
✦ Couches de protection

8 toggles. 8 angles d'attaque bloqués.

Chaque toggle correspond à une menace réelle. Activé en 1 clic, il modifie immédiatement le comportement du serveur. Aucune ligne de code à écrire, aucun fichier à modifier.

🛡️

Security Headers

X-Frame-Options, X-XSS-Protection, Content-Type, Referrer-Policy. Bloque les attaques iframe et XSS.

🙈

Hide WP Version

Masque la version WordPress dans le code source. Empêche les attaques ciblées par version connue.

🚫

Block XML-RPC

Désactive xmlrpc.php — vecteur classique d'attaques par force brute distribuée sur WordPress.

👤

Block User Enum

Empêche l'énumération des utilisateurs via REST API ou ?author=N. Vos comptes restent invisibles.

📝

Disable File Editor

Désactive l'éditeur de thèmes/plugins dans WP admin. Si compte compromis, l'attaquant ne peut pas injecter de code.

🔁

Login Rate Limit

Bloque l'IP après 5 essais échoués (configurable). 15 min de pause forcée. Stoppe les bots.

🔐

SSL / HTTPS

Vérifie que votre site est servi en HTTPS. Indispensable pour le chiffrement des données en transit.

⏱️

Session Timeout

Déconnecte automatiquement les sessions inactives après X minutes (8h par défaut). Utile en agence partagée.

✦ Capacités

La sécurité d'entreprise.
Sans le coût d'entreprise.

Pas besoin d'un consultant Sécurité à 1 200 €/jour. Pas besoin d'un firewall à 4 000 €/an. La Suite Sécurité est incluse dans tous les plans TravelBoost.

📊

Score 0-100 en temps réel

9 contrôles automatiques. Chaque protection activée ajoute des points. Visualisez votre niveau de sécurité d'un coup d'œil et progressez vers 100.

🔑

2FA Google Authenticator

Standard TOTP, compatible avec Google Authenticator, Authy, Microsoft Authenticator. Setup par QR code en 30 secondes. 8 codes de secours générés.

💾

Backup quotidien chiffré

WP-Cron déclenche un backup quotidien de toutes les tables CRM. Compression gzip. Envoi par email à l'adresse configurée. Rétention 7-30 jours.

🔍

File Integrity Check

Vérification automatique : fichiers WP core via API checksums officiels Anthropic, plugin TravelBoost via hash MD5. Alerte si modification détectée.

📋

Login Log 200 entrées

Toutes les tentatives de connexion (succès, échec, 2FA verified) avec utilisateur, IP, user-agent, date. Détection immédiate des accès suspects.

🚫

Ban d'IP par 1 clic

IP suspecte dans le log ? Bouton "Bannir" et l'IP est bloquée définitivement. Liste des IP bannies maintenue dans les paramètres.

Session Timeout configurable

Déconnexion auto après inactivité (30 min à 24h, configurable). Critical pour les agences avec des postes partagés ou en open-space.

🇫🇷

Hébergé en France

Vos données ne quittent jamais le territoire français. Conformité RGPD native. Pas de transfert hors UE. Datacenter certifié.

✦ Mardi 3h12, agence Évasion à Lyon

L'attaque qui aurait dû passer.
Bloquée en 3 secondes.

Suivez la nuit où un bot russe a tenté 5 fois de se connecter au CRM d'Évasion Voyages — et a échoué à chaque fois.

03:12

🤖 1er essai du bot

IP 185.220.101.xx (réseau Tor) tente de se connecter avec "admin / Password123". Login rate limit actif : compteur d'essais à 1/5. Connexion refusée. Échec loggé dans le journal.

03:12

🤖 Essais 2 à 5

Le bot continue avec "admin / azerty123", "admin / 123456", "admin / sophie", "admin / agence". À chaque fois, le rate limiter incrémente. Aucun mot de passe ne correspond. 5/5 essais échoués.

03:13

🚫 IP bloquée pour 15 minutes

Le rate limiter atteint son seuil. L'IP 185.220.101.xx est automatiquement bloquée pendant 15 minutes. Aucune nouvelle tentative possible. Le bot abandonne et passe à la cible suivante.

03:14

🛡️ Si le bot avait deviné le mot de passe...

Imaginons le pire : le bot tombe sur "agence2024". Le 2FA demande alors un code 6 chiffres depuis l'authenticator de Sophie. Sans son téléphone, pas d'accès. Connexion refusée à nouveau. Le 2FA est la dernière ligne de défense — et elle tient.

07:30

☕ Sophie ouvre son CRM

Sophie arrive au bureau, ouvre le dashboard sécurité. Score 87/100. Statut "Bien protégé". Onglet Login Log : elle voit les 5 tentatives échouées de la nuit avec l'IP suspecte. Elle clique "Bannir cette IP définitivement". 1 clic. Forteresse renforcée.

12:00

💾 Backup quotidien envoyé

À midi, le WP-Cron déclenche le backup quotidien : toutes les tables CRM, archive gzip de 47 MB. Email envoyé à sophie@evasion.fr. Si demain le serveur tombe, Sophie restaure tout en 5 minutes. La forteresse n'a pas seulement résisté — elle a aussi sauvegardé.

✦ La différence

Avant. Après.
La même nuit — d'autres résultats.

Sans Suite Sécurité

L'agence vulnérable

  • Mot de passe seul (aucun 2FA)
  • Aucun backup automatique
  • Pas de blocage des bots de force brute
  • Liste des comptes accessible publiquement
  • Aucun journal des connexions
  • Aucune alerte sur fichiers modifiés
Avec TravelBoost Security

L'agence forteresse

  • 2FA Google Authenticator activé
  • Backup quotidien envoyé par email
  • Bots bloqués après 5 essais (15 min ban)
  • Énumération utilisateurs bloquée
  • Journal de 200 dernières connexions
  • File Integrity Check auto
✦ Questions fréquentes

Ce qu'on nous demande
le plus souvent.

La Suite Sécurité est-elle incluse ou en option payante ?
La Suite Sécurité avec ses 5 onglets (Dashboard, 2FA, Backups, File Integrity, Login Log) est incluse dans tous les plans TravelBoost, sans surcoût. Vous pouvez l'activer dès l'essai gratuit. Comparaison utile : un plugin sécurité WordPress équivalent coûte entre 50 et 200 €/an, et un consultant pour mettre tout ça en place ~1 200 €.
Comment fonctionne le 2FA ? Faut-il une app payante ?
Le 2FA utilise le standard TOTP (Time-based One-Time Password). Il fonctionne avec Google Authenticator, Microsoft Authenticator, Authy, 1Password, ou n'importe quelle app TOTP — toutes gratuites. Setup : vous scannez un QR code une fois, l'app génère un code 6 chiffres qui change toutes les 30 secondes. Le système vous donne aussi 8 codes de secours à imprimer au cas où vous perdriez votre téléphone.
Que contiennent les backups quotidiens exactement ?
Le backup contient toutes les tables tacrm_* de votre base (~60 tables) : leads, clients, devis, factures, paiements, fournisseurs, pèlerins, locations, équipe, paramètres. Format : SQL compressé en gzip (typiquement 30-100 MB selon la taille de l'agence). Envoi par email à l'adresse configurée. Le backup ne contient pas les fichiers uploadés (passeports scannés, photos) — pour ça, un backup hébergeur est nécessaire.
Comment restaurer un backup en cas de problème ?
Vous téléchargez le fichier .sql.gz depuis l'email reçu. Vous le décompressez. Vous l'importez dans phpMyAdmin (ou via l'interface de votre hébergeur). Toutes vos données sont restaurées. Temps total : 5 à 15 minutes selon la taille. Notre équipe support peut vous accompagner sur la restauration en cas de besoin urgent.
Le rate limiting peut-il bloquer mes propres employés par erreur ?
Oui, c'est même une fonctionnalité de sécurité. Si un employé tape 5 fois un mauvais mot de passe, son IP est bloquée 15 minutes (configurable de 5 à 60). C'est exactement ce qui doit arriver — un humain ne se trompe pas 5 fois de suite, c'est le signe d'un bot. Vous, en tant qu'admin, pouvez débloquer manuellement n'importe quelle IP depuis l'onglet Login Log.
Le File Integrity Check, ça veut dire quoi concrètement ?
Il y a 2 vérifications. (1) WordPress core : on appelle l'API officielle WordPress.org qui contient les checksums (empreintes) de tous les fichiers core de votre version. On compare avec votre serveur. Si un fichier a été modifié, alerte rouge. (2) Plugin TravelBoost : on stocke un hash MD5 du fichier travelboost-crm.php au baseline, et on vérifie périodiquement. Si quelqu'un a injecté du code dans le plugin, vous le saurez immédiatement.
Mes données sont-elles vraiment hébergées en France ?
Oui. TravelBoost SaaS est hébergé en France sur des datacenters certifiés HDS (Hébergeur de Données de Santé) — la certification la plus exigeante en France. Vos données ne sortent jamais du territoire français. Conformité RGPD native, pas de transfert vers les États-Unis ou ailleurs. Si vous installez TravelBoost en self-hosted (auto-hébergé sur votre WordPress), c'est votre hébergeur qui définit la localisation.
Et si je perds mon téléphone avec le 2FA ?
Lors de l'activation du 2FA, le système génère 8 codes de secours uniques. Vous les imprimez ou les sauvegardez dans un endroit sûr (coffre-fort, gestionnaire de mots de passe). Chaque code peut être utilisé une fois pour vous connecter sans le téléphone. Une fois utilisés, ils sont invalidés. Si vous perdez à la fois votre téléphone ET vos codes de secours, votre admin (ou notre support) peut désactiver le 2FA après vérification d'identité.
✦ Prêt à transformer votre CRM en forteresse ?

Vos données.
Votre forteresse.

Essayez TravelBoost gratuitement pendant 14 jours. La Suite Sécurité avec ses 5 onglets et 9 protections est incluse dans tous les plans, sans surcoût. Hébergement en France, conformité RGPD native.

Démarrer mon essai gratuit → Demander une démo
✓ 14 jours gratuits ✓ 5 onglets sécurité ✓ 2FA inclus ✓ Hébergé en France
© 2026 TravelBoost — Le CRM des agences de voyage françaises.