La réponse courte est oui, nous mettons en oeuvre de très nombreuses mesures de sécurité pour protéger la plateforme et votre compte
Oui, nous effectuons 2 sauvegardes de toutes vos données chaque jour, en plus d'autres dispositifs de sauvegardes qui sont déjà en place
Oui, nous mettons en oeuvre d'importantes mesures de sécurité pour nous assurer de préserver la confidentialité de vos données
Nous avons deux centres de données : un situé en France et l'autre en Irlande, vos données restent localisées en Europe
Afin d'assurer la sécurité de vos données nous avons anticipé la possibilité qu'un centre de stockage de données soit détruit (ex : tremblement de terre, accident nucléaire); pour éviter que vos données soient perdues, il faut nécessairement qu'elles soient dupliquées à plusieurs milliers de kilomètres de chaque centre de données ; c'est une pratique standard de l'industrie informatique
Oui ! Legiscope est utilisé par de très nombreux avocats, DPO et experts sécurité informatique qui, le cas échéant, nous feraient immédiatement remarquer le moindre milimètre de non-conformité. Vous pouvez compter sur nous autant que sur nos nos utilisateurs pour veiller à cela !
Oui, vous pouvez lire les rubriques dédiées au RSSI pour des détails très techniques sur le sujet
Oui ! Vous pouvez exporter toutes vos données facilement - lisez notre FAQ normale à ce sujet pour des précisions !
Sans entrer trop dans les détails, la protection de la plateforme en interne ressemble à : authentification multi-facteur hardware, avec restriction d'adresse IP et politique de mot de passe forte (supérieure aux exigences de la CNIL)
Les utilisateurs doivent créer un mot de passe conforme aux exigences de la CNIL
Oui
Hachés, salés (sans jeux de mots...)
Oui, basée évidemment sur le référentiel de la CNIL
Non.
Nous avons choisi l'adresse email comme identifiant de base pour Legiscope.
Oui, l'administrateur dispose d'un modèle complet pour déterminer les droits d'accès de chaque utilisateur et élaborer des permissions fines d'accès (par organisation ou pas)
Oui, nous avons des logs étendus pour des raisons de sécurité, de prévention contre la fraude et lutte contre les attaques informatiques internes et externes
Oui.
Oui, nous surveillons en temps réel toutes les options de configuration de la plateforme afin de détecter des changements indus
Oui, c'est d'ailleurs une obligation imposée par l'article 28 du RGPD - A CONDITION DE NOUS CONTACTER PREALABLEMENT - car l'audit de la sécurité de Legiscope fait l'objet d'un contrat spécifique
En fait c'est une obligation légale qui est imposée par le RGPD - donc vous n'avez pas besoin d'un engagement spécifique vu que la loi l'impose déjà (art. 32, et art. 28 du RGPD) ! En cas de découverte d'une vulnérabilité sur un bloc logiciel nous opérons un correctif immédiatement
Il est fréquent que l'on procède à plusieurs déploiements par jour dans le cadre du développement normal de la plateforme. En cas de découverte d'une vulnérabilité par nos soins, les délais seraient très courts pour le déploiement d'un patch en production.
Oui
Oui
Oui
Oui
Oui
Oui, nous avons des mécanismes étendus sur le sujet
Oui, nous avons dès le départ adopté une démarche très forte de sécurité pour assurer la meilleure sécurité possible de la plateforme
Notre PDG a licencié toute l'équipe de développement lors de la première version de Legiscope en 2017 car l'application n'était pas suffisamment sécurisée et laissait apparaître des défauts structurels importants. Le code source développé pendant 8 mois par l'équipe a été détruit suite à cela, et la plateforme a été redéveloppée 'from scratch'.
Lorsque vous uploadez un fichier, le nom du fichier est systématiquement analysé et modifié en conséquence pour éviter tout risque d'attaque par noms de fichiers. Nous avons analysé une diversité de vecteurs d'attaque possible et mis en place des solutions en conséquence.
Oui, notre PDG est un ancien de l'ANSSI (6 ans).
Oui.
Oui, mais nous avons très peu de briques logicielles externes qui ont un vrai impact sur la sécurité de Legiscope. L'essentiel est développé en interne avec une attention très forte sur la sécurité.
Oui, nous avons une politique de sécurité spécifique pour chaque fonction existant dans notre application. Oui, vous avez bien lu, nous avons une politique de sécurité spécifique pour chaque fonction qui existe dans notre application.
Oui, sans entrer dans les détails, nous avons plusieurs environnements qui sont totalement séparés
Oui, nous avons un pipeline de déploiement qui valide et assure le déploiement automatisé de l'application
Oui, nous mettons en place un grand nombre de tests de sécurité systématiquement lors de chaque déploiement pour nous assurer de la sécurité de la plateforme, puis ensuite en continu
Oui, c'est évidemment un élément essentiel
Nous nous assurons du chiffrement de bout en bout, en plus du chiffrement au repos de toutes les données de l'application (DB, fichiers, ...)
Nous générons nous-même de fausses données pour tous les tests (en particulier e2e) réalisés dans les environnements de développement et de pré-production. Les données de production ne sortent pas de l'environnement de production.
Oui
Oui, nous assurons une sauvegarde deux fois par jour pour toutes les données de chaque compte client, plus une diversité d'autres mesures de sauvegardes/restauration sur chaque actif intervenant dans l'application. Nous avons en général deux systèmes indépendants de sauvegarde pour chaque actif existant dans notre application
Nous avons de nombreux mécanismes de protection visant les sauvegardes. Pour prendre un exemple, les sauvegardes de toutes les données clients réalisés plusieurs fois par jour ne peuvent purement et simplement pas être supprimées, et cela ni par nos équipes ni par les administrateurs, ni par l'opérateur de cloud, cela quel que soit le niveau d'accès. La suppresion ne sera possible qu'après une très longue période de rétention.
Nous utilisons exclusivement AWS comme sous-traitant (voir le détail dans nos CGV pour chaque traitement), c'est un choix stratégique de développement et de sécurité pour notre plateforme. Notre cabinet comptable gère également les factures que vous recevez, mais sur un système totalement indépendant de la plateforme.
Sans entrer dans les détails, chez nous cela ressemble à : coffre-fort conformes à l'IGI 1300 et habilités à assurer la conservation de secrets de la défense nationale. Ça pèse plusieurs tonnes, nécessite une équipe entière pour l'installation, c'est peu plaisant à ouvrir, mais c'est nécessaire pour disposer d'un haut réel niveau de sécurité, et témoigne notre investissement opérationnel sur le sujet.
France et Irlande, les données restent hébergées en Europe
Oui !
Legiscope est entièrement rentable, nous avons une base client étendue qui nous permet d'assurer la continuité du développement de la plateforme.
Non. Nous avons volontairement mis en oeuvre une politique tarifaire à bas coût qui nous permet une indépendance totale vis à vis de nos clients et nous offre une résistance financière très forte. Le risque commercial pour nous est toujours minime en cas de perte d'un client.