HotDocs Document Services a étélancé en janvier 2012 et répond déjà à un besoin important pour de nombreux clients. Depuis son lancement, l'une des questions qui nous est le plus souvent posée par les personnes intéresséespar Document Services est« Comment mes données sont-elles protégées ? ». Il s'agit d'une question tout à fait légitime, compte tenu de la nature sensible des informations que HotDocs traite régulièrement.
Lorsque nous avons commencéà concevoir HotDocs Document Services, nous avons rapidement compris l'importance capitale de protéger les données des clients. Au cours du processus de conception, la protection des données des clients a été considérée comme une priorité absolue, avant même les fonctionnalités « sympas » et la commodité pour les utilisateurs. Nous sommes conscients que sans une sécurité rigoureuse,HotDocs Document Servicesne serait d'aucune utilité pour quiconque. C'est pourquoi nous prenons très au sérieux la sécurité et la protection des données.
Le modèle de sécuritédes données de HotDocs Document Servicesrepose sur le principe « la sécurité d'abord, l'atténuation ensuite ». En d'autres termes, le produit est conçu pour être hermétique, sans faille ; cependant, nous avons également intégré des stratégies d'atténuation dans le produit afin de protéger vos données même en cas de compromission.
Sécurité
Voici une liste non exhaustive des fonctionnalités de sécurité intégrées àHotDocs Document Services:
- Document Services esthébergé sur la plateforme Microsoft Azure, reconnue mondialement. Microsoft a obtenu de nombreuses certifications et audits pertinents liés à l'exploitation des centres de données et à la pile logicielle Azure. Pour plus de détails, rendez-vous sur :http://www.globalfoundationservices.com/
- Toutes les communications entre les différents composants de HotDocs Document Services sont cryptées à l'aide du protocole SSL/TLS. Cela inclut les communications entre le navigateur et le serveur Web, entre HotDocs Developer 10.2 et l'application Web, ainsi qu'entre tous les différents éléments de la pile Document Services. De plus, le système VLAN et de filtrage des paquets intégré à la pile d'hébergement offre une couche d'isolation supplémentaire.
- Les meilleures pratiques de développement ont été suivies lors de la création de Document Services. Les membres de notre personnel chargés de la conception, de la construction et de la maintenance de la sécurité sont tous des ingénieurs expérimentés qui ont déjà travaillé dans une entreprise de logiciels de sécurité. Nous effectuons également régulièrement plusieurs tests de sécurité automatisés sur l'application afin de garantir sa robustesse.
- L'accès à la base de données Document Services est contrôlé par des identifiants sécurisés et repose sur le principe du moindre privilège. Toutes les données sensibles sont cryptées. L'accès aux documents, aux fichiers de réponse et aux modèles est strictement contrôlé. Les donnéesne sont jamais stockéessur disque sous une forme non cryptée. La gestion des clés est distribuée, de sorte que même si certains services individuels de l'application étaient compromis, il serait impossible d'accéder à toutes les clés nécessaires pour décrypter un fichier du DMS. Les données sont cryptées à l'aide de la norme industrielle AES-256.
Atténuation
L'humoriste Emo Philips a déclaré : « Un ordinateur m'a battu aux échecs, mais il n'était pas de taille face à moi au kick-boxing. » Il serait stupide de notre part de penser que nous ne pouvons pas être battus par des personnes déterminées qui possèdent des compétences différentes des nôtres. Nous avons travaillé très dur pour produire un logiciel à toute épreuve et résistant à toutes les menaces, mais nous reconnaissons qu'il est possible que nous soyons surpassés par quelqu'un qui est plus intelligent que nous. Ainsi, afin de protéger les données de nos clients dans le cas où une faille jusque-là inconnue dans le logiciel serait découverte, nous avons adopté une politique d'atténuation des risques. En d'autres termes, nous avons intégré des dispositifs de sécurité dans le programme afin d'empêcher qu'une compromission d'une partie du système n'expose les données d'autres parties du système. De plus, nous avons conçu le système de manière à empêcher qu'une brèche ne devienne un point d'ancrage permettant aux attaquants de se déplacer latéralement vers d'autres zones.
Par exemple, dans le cas hautement improbable où un pirate informatique parviendrait à accéder à la base de données, nous ne voudrions évidemment pas qu'il puisse en extraire des données utiles ou étendre son attaque à d'autres parties du logiciel (comme les données non stockées dans la base de données, notamment les documents remplis et les fichiers de réponses). C'est pourquoi nous avons crypté toutes les données sensibles à l'aide de clés gérées par d'autres services, et nous ne stockons qu'une partie des clés requises à un seul endroit.
Autre exemple : si un pirate parvient à s'introduire dans notre service DMS (où sont stockés les documents, les fichiers de réponses et les modèles), il ne pourra pas lire ces éléments. Même s'il parvient à accéder à notre code, sans toutes les pièces du puzzle, nos documents et fichiers de réponses lui apparaîtront comme des flux d'octets dénués de sens.
Sécurité des utilisateurs
Quelles que soient les fonctionnalités sophistiquées et axées sur la sécurité que nous ajoutons pour prévenir les violationsdans Document Services, et quel que soit le nombre de pare-feu, de dispositifs d'accès sécurisés et de cryptages que nous utilisons pour sécuriser les données, la plus grande porte dérobée vers les données de vos clients reste vos propres utilisateurs. Tout système conçu pour récupérer des données pour un utilisateur spécifique court le risque que ces données soient transmises à un individu malveillant qui usurpe l'identité de l'utilisateur. Notre système authentifie les utilisateurs à l'aide de mots de passe, mais ceux-ci peuvent être devinés, piratés ou volés à partir d'autres systèmes si le mot de passe a été réutilisé. Cependant, nous avonsfourni aux administrateurs de Document Servicesplusieurs outils pour les aider à sécuriser leurs comptes utilisateurs, notamment
- Exigences relatives à la longueur et à la complexité des mots de passe.
- Une interface utilisateur permettant d'évaluer la robustesse d'un mot de passe et d'aider les utilisateurs à comprendre le niveau de sécurité du mot de passe qu'ils ont choisi.
- Politiques de expiration des mots de passe configurables pour empêcher les utilisateurs de conserver le même mot de passe pendant de longues périodes.
- Restrictions d'accès IP. Les administrateurs peuvent restreindre l'accès à certaines plages d'adresses IP. Ainsi, même si quelqu'un connaît votre mot de passe préféré « password123 », il ne pourra pas l'utiliser à moins d'accéder au site à partir d'un réseau IP reconnu.
- Mécanismes visant à décourager les attaques par force brute. Nous utilisons CAPTCHA et d'autres techniques pour rendre les attaques par force brute plus coûteuses et difficiles à mener.
Il ne s'agit évidemment pas d'une analyse complète et détaillée de toutes les mesures que nous prenons pour sécuriser vos données, mais nous espérons que cela vous rassurera quant à nos efforts pour garantir la sécurité absoluede HotDocs Document Services. Nous avons fait de notre mieux pour créer un logiciel résilient capable d'isoler toute faille de sécurité. Nous espérons que les éléments d'atténuation de notre conception ne seront jamais mis à l'épreuve, que personne ne parviendra jamais à franchir nos premières lignes de défense. Cependant, il est bon de se rappeler la citation de Gene Spafford : « Le seul système vraiment sécurisé est celui qui est éteint, coulé dans un bloc de béton et scellé dans une pièce doublée de plomb avec des gardes armés. » Malheureusement, si nous construisions ce système « vraiment sécurisé », personne ne l'achèterait. Personne ne veut d'un bloc de béton inaccessible, nous avons donc opté pour la meilleure solution de remplacement, quiest devenue HotDocs Document Services. Et nous sommes convaincus que vous serez satisfaits des résultats.
Note de la rédaction : Ce billet a été publié à l'origine sur HotDocs.com. En juin 2024, Mitratech a acquis HotDocs, une plateforme avancée d'automatisation des documents. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements de réglementation et la conformité.
