Passer au contenu principal

Mise en place d'une connexion SFTP avec Reflect

Écrit par Reflect Team

1 - Introduction & principe de fonctionnement

Ce document décrit le standard à suivre pour transmettre automatiquement vos exports RH/paie à Reflect via SFTP. Il précise ce que vous devez mettre en place de votre côté, le format attendu des fichiers, et la manière dont Reflect se connecte pour les récupérer.

Principe : vous (ou votre éditeur de paie/SIRH) mettez à disposition un serveur SFTP sur lequel vos exports sont déposés à intervalle régulier. Reflect se connecte automatiquement à ce serveur pour récupérer les fichiers et les intégrer. Vous n'avez aucun envoi manuel à réaliser vers Reflect : seul le dépôt des fichiers sur votre serveur est à votre charge.

2 - Ce que vous devez mettre en place

Élément

Exigence

Serveur SFTP

Accessible depuis Internet, protocole SFTP (SSH File Transfer Protocol).

Compte utilisateur

Un compte dédié à Reflect (non partagé avec d'autres usages), avec droits de lecture et d'écriture sur le dossier de dépôt.

Dossier de dépôt

Un dossier dédié aux échanges avec Reflect, dont le chemin exact nous est communiqué (ex. /reflect/).

Restriction IP
(optionnel)

Si votre politique de sécurité impose un filtrage IP, l'adresse IP Reflect sortante à autoriser est disponible en Annexe B.

▎ Le serveur SFTP peut être hébergé par vos équipes, par votre éditeur de paie/SIRH, ou par un prestataire. Dans tous les cas, les exigences ci-dessus s'appliquent.

3 - Authentification & échange des accès

Informations à nous transmettre

À la mise en place du SFTP, vous nous transmettez a minima :

  • Adresse IP (ou nom d'hôte) du serveur SFTP

  • Port

  • Utilisateur et mot de passe du compte dédié à Reflect, avec droits de lecture et d'écriture sur le dossier de dépôt

  • Toute autre information de sécurité applicable de votre côté : restriction IP, clé SSH si votre serveur l'impose, passphrase, etc.

Ces informations sont récapitulées dans le formulaire en Annexe A.

▎ Les droits d'écriture permettent à Reflect d'archiver ou de supprimer les fichiers après récupération, afin d'éviter l'accumulation de fichiers sur le serveur.

Transmission sécurisée

Les informations sensibles (mot de passe, clé privée le cas échéant) ne doivent jamais transiter par email en clair. Utilisez un coffre-fort partagé, un lien à usage unique (type one-time secret) ou tout canal sécurisé convenu avec votre interlocuteur Reflect.

Côté Reflect, l'ensemble des identifiants est stocké dans un coffre-fort chiffré (Google Cloud Secret Manager).

4 - Les fichiers à déposer

Nommage

Chaque fichier doit suivre un pattern de nommage figé lors de la mise en place et incluant une date, par exemple : {nom_export}_AAAAMMJJ.csv

La date dans le nom du fichier permet à Reflect d'identifier la période couverte et de pouvoir classer les exports les uns par rapport aux autres. Tout fichier ne respectant pas le pattern convenu sera ignoré.

Format

  • CSV avec ligne d'en-têtes obligatoire.

  • Encodage : UTF-8 recommandé. Tout autre encodage doit être signalé et devra rester constant.

  • Séparateur : à convenir (; ou ,) et constant dans le temps.

  • Cas particuliers possibles selon votre outil : fichiers compressés (ZIP) et/ou chiffrés (GPG) si exigé par la politique de sécurité de votre entreprise. Dans le cas d'un chiffrement GPG, Reflect vous transmettra sa clé GPG publique, avec laquelle vos fichiers devront être chiffrés avant dépôt. À valider avec Reflect lors de la mise en place.

Contenu

La liste des exports attendus et les colonnes requises pour chacun font l'objet d'un cahier des charges data spécifique à votre intégration, transmis séparément, réalisé et définit lors de l'initialisation.

Stabilité du format

Le format ne doit pas être modifié : ni les colonnes (ajout, suppression, renommage), ni le nommage des fichiers, ni l'encodage ou le séparateur. Si un changement devait malgré tout être nécessaire, rapprochez-vous de Reflect avant de l'appliquer, faute de quoi l'intégration des données sera interrompue ou erronée.

5 - Fréquence & calendrier de dépôt

  • Fréquence de dépôt : à définir selon le périmètre — quotidienne pour les données RH courantes, mensuelle (post-clôture de paie) pour les données de paie.

  • Heure limite : pour qu'un fichier soit pris en compte dans le traitement du jour, il doit être déposé avant l'heure convenue lors du setup (aux environs de 23h). Un fichier déposé après sera intégré au passage suivant.

  • Chaque fichier doit être complet (photographie totale du périmètre à la date d'export), sauf accord explicite sur un mode incrémental.

6 - Comment et quand Reflect se connecte

  • Reflect se connecte automatiquement une fois par jour, dans la plage horaire convenue lors du setup.

  • À chaque passage, Reflect :

    • se connecte au serveur avec le compte dédié ;

    • liste le contenu du dossier de dépôt et identifie les nouveaux fichiers ;

    • télécharge ces fichiers et les intègre dans la plateforme ;

    • selon le mode convenu, archive ou supprime les fichiers récupérés sur le serveur (à convenir lors du setup).

7 - Phase de mise en place & recette

Étape

Responsable

Description

1. Échange des accès

Client + Reflect

Transmission des informations de connexion (Annexe A) via canal sécurisé.

2. Test de connexion

Reflect

Vérification de l'accès au serveur et au dossier de dépôt.

3. Dépôt d'un fichier test

Client

Dépôt d'un premier export réel respectant le nommage et le format convenus.

4. Validation du format

Reflect

Contrôle du nommage, de l'encodage, des colonnes et du contenu. Aller-retour si écarts.

5. Passage en routine

Client + Reflect

Mise en place du dépôt récurrent côté client, activation de la récupération quotidienne côté Reflect.

La mise en place complète prend généralement quelques jours, principalement fonction de la rapidité d'ouverture des accès et de mise en place de l'export récurrent côté client.

8 - Supervision & gestion des incidents

  • Reflect supervise quotidiennement les récupérations. En cas d'échec de connexion ou d'absence prolongée de nouveaux fichiers, votre interlocuteur Reflect vous contactera.

  • Cas à signaler proactivement à Reflect :

    • changement de serveur, de port ou de compte ;

    • changement de mot de passe ou rotation de clé (à anticiper pour éviter toute coupure) ;

    • changement de format ou de structure des fichiers (voir §4) ;

  • Pour toute question ou incident : contactez votre interlocuteur Reflect habituel ou le support Reflect.

9 - Sécurité & conformité

  • Chiffrement en transit : l'ensemble des échanges s'effectue via SSH (chiffré de bout en bout).

  • Stockage des credentials : côté Reflect, les accès sont stockés dans un coffre-fort chiffré (Google Cloud Secret Manager) avec accès restreint aux seuls services d'ingestion.

  • Bonnes pratiques côté client : compte dédié à Reflect, droits limités au strict nécessaire, dossier de dépôt isolé, rotation périodique des mots de passe / clés (en coordination avec Reflect).

  • Données personnelles : le traitement des données transmises est encadré par l'accord de traitement des données (DPA) conclu entre votre entreprise et Reflect.

Annexe A — Informations à transmettre à Reflect

  • Adresse IP / hôte du serveur SFTP

  • Port

  • Utilisateur du compte dédié Reflect

  • Mot de passe (à transmettre via canal sécurisé uniquement)

  • Droits du compte : lecture + écriture sur le dossier de dépôt

  • Autres infos de sécurité (filtrage IP, clé SSH, etc.)

  • Chemin du dossier de dépôt

  • Pattern de nommage des fichiers

  • Encodage et séparateur des CSV

  • Fichiers compressés / chiffrés (avec la clé publique fournie par Reflect) ou non ?

  • Fréquence et heure de dépôt

  • Mode de gestion des fichiers après récupération : suppression, archivage, ...

  • Contact technique côté client : nom, email, téléphone

Annexe B — Informations relatives à Reflect

  • Si vous appliquez un filtrage IP, autorisez l'adresse IP publique sortante de Reflect : 34.32.176.67

Avez-vous trouvé la réponse à votre question ?