Retour au blog
HR Techmulti-tenantarchitecture

Multi-tenant SIRH : comment on vérifie qu'un client ne voit pas les données d'un autre

Publié le 2026-04-16 · Mis à jour le 2026-06-014 min de lectureCleanIssue

> En bref : Les erreurs d'isolation multi-tenant sont les plus chères dans un SIRH. Trois tests rapides à faire avant une revue client.

Comment vérifier l'isolation multi-tenant d'un SaaS RH ?

Le risque le plus cher d'un SIRH

Quand un éditeur héberge plusieurs entreprises clientes sur la même base, une faille d'isolation ne touche jamais un seul client. Elle touche tout le portefeuille.

Pour aller plus loin — lire notre audit de sécurité pour éditeurs de SIRH.

Trois tests rapides

  • changer l'organization_id dans une requête API et voir ce qui sort ;
  • interroger un endpoint public avec un token d'un autre tenant ;
  • exporter un rapport en manipulant un paramètre de filtre.
  • Ce qui rassure un client qui vous audite

    Un client enterprise veut voir : règles RLS côté base, tests d'isolation automatisés, et un audit externe qui a déjà tenté de franchir la frontière. Sans ça, le questionnaire sécurité devient douloureux.

    Pour les éditeurs RH & Paie

    CleanIssue est spécialisé dans l'audit des logiciels RH, paie et recrutement. Si vous éditez un SIRH, un outil de paie ou un ATS en France et que vous voulez une revue externe de votre exposition avant un audit client ou une revue sécurité, voyez notre offre dédiée aux éditeurs RH & Paie.

    À retenir

  • L'isolation multi-tenant doit être vérifiée au niveau base de données, pas seulement applicatif.
  • Testez avec deux comptes de tenants différents que les données ne fuient jamais entre organisations.
  • Les jobs asynchrones et les caches partagés sont des vecteurs fréquents de fuite inter-tenant.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit