Retour au blog
SupabaseHR TechRLS

Supabase et logiciel RH : les erreurs de configuration qui exposent vos fiches de paie

Publié le 2026-04-166 min de lectureCleanIssue

> En bref : Les erreurs Supabase qui comptent vraiment dans un logiciel RH ou paie : policies RLS incomplètes, buckets trop ouverts et logique d'organisation...

Pourquoi Supabase mérite une lecture spéciale en RH

Supabase accélère beaucoup les petites équipes produit. Mais dans un logiciel RH ou paie, la vitesse de livraison n'enlève rien au besoin de cloisonnement très strict.

Pour aller plus loin — lire notre audit de sécurité pour éditeurs de SIRH.

Le risque n'est pas Supabase en soi. Le risque vient de policies RLS incomplètes, de buckets documentaires trop ouverts ou de règles métier partiellement reproduites côté front.

Les erreurs les plus fréquentes

RLS présent mais insuffisant

Une policy existe, donc l'équipe pense être couverte. En pratique, elle filtre un utilisateur authentifié mais oublie le périmètre d'organisation, le rôle manager, ou la relation entre salarié et entreprise.

Buckets de documents trop permissifs

Les fiches de paie, contrats ou justificatifs sont parfois mieux protégés dans l'application que dans le stockage.

Logique d'accès dupliquée dans le front

Le front masque bien certains écrans, mais si la protection n'est pas réellement portée par la base ou par le backend, la donnée reste récupérable autrement.

Ce qu'une équipe RH devrait vérifier

  • quelles policies RLS protègent les tables critiques ;
  • comment sont gérés les rôles par entreprise et par utilisateur ;
  • qui peut lister, lire ou télécharger les documents ;
  • si un manager peut voir autre chose que son périmètre réel ;
  • comment un export de paie est servi et protégé.
  • Notre lecture

    Sur un SaaS RH, la question n'est pas "avons-nous activé RLS ?". La vraie question est : "est-ce que nos règles de séparation tiennent encore quand on sort du parcours nominal ?"

    Pour les éditeurs RH & Paie

    CleanIssue est spécialisé dans l'audit des logiciels RH, paie et recrutement. Si vous éditez un SIRH, un outil de paie ou un ATS en France et que vous voulez une revue externe de votre exposition avant un audit client ou une revue sécurité, voyez notre offre dédiée aux éditeurs RH & Paie.

    À retenir

  • Les bulletins de paie contiennent des données hautement sensibles — chiffrez au repos et en transit.
  • Vérifiez que les API ne permettent pas l'énumération séquentielle des fiches de paie.
  • Implémentez un contrôle d'accès strict : seul le salarié concerné et les RH autorisés doivent y accéder.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Sources

    Rédigé par CleanIssue
    Revu le 2026-04-16

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit