Nos engagements de sécurité informatique

Depuis plus de 25 ans nous travaillions quotidiennement avec des RSSI et des experts sécurité issues de tous les corps de métier (pen-test, cryptograpie, signaux compromettants, certification...). La SSI a donc été intégrée comme une priorité dès l'origine du projet. Notre CEO, qui est un ancien de l'ANSSI, assure une vigilance constante à ces sujets

Remarques générales

Vous trouverez ci-dessous des remarques générales pour les non-professionnels de la sécurité informatique
 

Est-ce que Legiscope est sécurisé ?

La réponse courte est oui, nous mettons en oeuvre de très nombreuses mesures de sécurité pour protéger la plateforme et votre compte

Est-ce que les données de mon compte sont sauvegardées ?

Oui, nous effectuons 2 sauvegardes de toutes vos données chaque jour, en plus d'autres dispositifs de sauvegardes qui sont déjà en place

Est-il que mes données sont protégées ?

Oui, nous mettons en oeuvre d'importantes mesures de sécurité pour nous assurer de préserver la confidentialité de vos données

Où sont localisées mes données ?

Nous avons deux centres de données : un situé en France et l'autre en Irlande, vos données restent localisées en Europe

Pourquoi les données du compte sont en Irlande et pas seulement en France ?

Afin d'assurer la sécurité de vos données nous avons anticipé la possibilité qu'un centre de stockage de données soit détruit (ex : tremblement de terre, accident nucléaire); pour éviter que vos données soient perdues, il faut nécessairement qu'elles soient dupliquées à plusieurs milliers de kilomètres de chaque centre de données ; c'est une pratique standard de l'industrie informatique

Est-ce que Legiscope est conforme au RGPD ?

Oui ! Legiscope est utilisé par de très nombreux avocats, DPO et experts sécurité informatique qui, le cas échéant, nous feraient immédiatement remarquer le moindre milimètre de non-conformité. Vous pouvez compter sur nous autant que sur nos nos utilisateurs pour veiller à cela !

Est-ce que je peux avoir plus d'informations sur la sécurité

Oui, vous pouvez lire les rubriques dédiées au RSSI pour des détails très techniques sur le sujet

Peut-on exporter nos données ?

Oui ! Vous pouvez exporter toutes vos données facilement - lisez notre FAQ normale à ce sujet pour des précisions !

 

Pour les RSSI

Vous trouverez ci-dessous des remarques techniques sur la sécurité informatique pour les professionnels de la SSI
afin que vous puissiez vous faire une idée du niveau de maturité de notre solution en termes de sécurité
 
Authentification

Quels sont les moyens d'authentification du personnel interne que vous utilisez (développeurs, administrateurs, DBA, etc ...)?

Sans entrer trop dans les détails, la protection de la plateforme en interne ressemble à : authentification multi-facteur hardware, avec restriction d'adresse IP et politique de mot de passe forte (supérieure aux exigences de la CNIL)

Quels sont les mesures d'authentification des utilisateurs de Legiscope?

Les utilisateurs doivent créer un mot de passe conforme aux exigences de la CNIL

Est-ce que vous disposez d'un mécanisme de blocage des attaques par brute force?

Oui

Est-ce que les mots de passe sont hachés ?

Hachés, salés (sans jeux de mots...)

Y a-t-il une politique de mots de passe implémentée ?

Oui, basée évidemment sur le référentiel de la CNIL

La politique de mots de passe est-elle adaptable pour notre compte ?

Non.

Les identifiants utilisés sont-ils nominatifs ?

Nous avons choisi l'adresse email comme identifiant de base pour Legiscope.

Y a-t-il un modèle d'habilitation pour les utilisateurs de notre compte Legiscope ?

Oui, l'administrateur dispose d'un modèle complet pour déterminer les droits d'accès de chaque utilisateur et élaborer des permissions fines d'accès (par organisation ou pas)

Traçabilité

Y a-t-il des traces sur les actions effectuées par les administrateurs ?

Oui, nous avons des logs étendus pour des raisons de sécurité, de prévention contre la fraude et lutte contre les attaques informatiques internes et externes

Y a-t-il une gestion centralisée des logs (infrastructure et application) ?

Oui.

Y a-t-il des contrôles sur la configuration de Legiscope (au niveau de l'administration)

Oui, nous surveillons en temps réel toutes les options de configuration de la plateforme afin de détecter des changements indus

Vulnérabilités

Autorisez-vous les audits de sécurité, et les tests d'intrusion sur Legiscope ?

Oui, c'est d'ailleurs une obligation imposée par l'article 28 du RGPD - A CONDITION DE NOUS CONTACTER PREALABLEMENT - car l'audit de la sécurité de Legiscope fait l'objet d'un contrat spécifique

Y a-t-il un engagement pour effectuer la remédiation des vulnérabilités détectées ?

En fait c'est une obligation légale qui est imposée par le RGPD - donc vous n'avez pas besoin d'un engagement spécifique vu que la loi l'impose déjà (art. 32, et art. 28 du RGPD) ! En cas de découverte d'une vulnérabilité sur un bloc logiciel nous opérons un correctif immédiatement

Quels seraient les délais pour patcher une vulnérabilité ?

Il est fréquent que l'on procède à plusieurs déploiements par jour dans le cadre du développement normal de la plateforme. En cas de découverte d'une vulnérabilité par nos soins, les délais seraient très courts pour le déploiement d'un patch en production.

Mesures SSI

Avez-vous mis en oeuvre un firewall pour protéger la plateforme?

Oui

Un système de détection d'intrusion?

Oui

Un WAF?

Oui

Un système de détection d'intrusion par anomalie basée sur l'IA?

Oui

Une protection contre les attaques par déni de service?

Oui

Des mécanismes de protection contre les XSS, ou plus généralement contre le top 10 OWASP?

Oui, nous avons des mécanismes étendus sur le sujet

Développement

Appliquez-vous une démarche de sécurité dans les développements ?

Oui, nous avons dès le départ adopté une démarche très forte de sécurité pour assurer la meilleure sécurité possible de la plateforme

Est-ce que vous pourriez nous donner un exemple de votre investissement en termes de sécurité informatique ?

Notre PDG a licencié toute l'équipe de développement lors de la première version de Legiscope car l'application n'était pas suffisamment sécurisée et laissait apparaître des défauts structurels importants. Le code source développé pendant 8 mois par l'équipe a été détruit suite à cela, et la plateforme a été redéveloppée 'from scratch'. Les coûts induits par ce recalibrage ont été très substantiels.

Un autre exemple de dispositif de sécurité que vous avez implémenté ?

Lorsque vous uploadez un fichier, le nom du fichier est systématiquement analysé et modifié en conséquence pour éviter tout risque d'attaque par noms de fichiers. Nous avons analysé une diversité de vecteurs d'attaque possible et mis en place des solutions en conséquence.

Votre entreprise dispose-t-elle d'une culture de sécurité informatique ?

Oui, notre PDG est un ancien de l'ANSSI (6 ans).

Avez-vous en place une veille des vulnérabilités ?

Oui.

Avez-vous une politique de patch-management sur toutes les briques de votre application ?

Oui, cependant nous utilisons peu de briques logicielles externes qui ont un réel impact sur la sécurité de Legiscope. L'essentiel est développé en interne avec une attention très forte sur la sécurité

Architecture

L'architecture interne de l'application est-elle sécurisée ?

Oui, nous avons une politique de sécurité spécifique pour chaque fonction existant dans notre application. Oui, vous avez bien lu, nous avons une politique de sécurité spécifique pour chaque fonction qui existe dans notre application.

Y a-t-il une dissociation entre les environnements de production et hors production ?

Oui, sans entrer dans les détails, nous avons plusieurs environnements qui sont totalement séparés

Est-ce que vous avez des process devOps ?

Oui, nous avons un pipeline de déploiement qui valide et assure le déploiement automatisé de l'application

Est-ce que vous avez des process devSecOps ?

Oui, nous mettons en place un grand nombre de tests de sécurité systématiquement lors de chaque déploiement pour nous assurer de la sécurité de la plateforme

Données

Existe-t-il un mécanisme garantissant l'intégrité des logs ?

Oui, c'est évidemment un élément essentiel

Quels sont les moyens que vous appliquez pour la protection des données ?

Nous nous assurons du chiffrement de bout en bout, en plus du chiffrement au repos de toutes les données de l'application (DB, fichiers, ...)

Est-ce que les données sont anonymisées dans les environnements hors production ?

Nous générons nous-même de fausses données pour tous les tests (en particulier e2e) réalisés dans les environnements de développement et de pré-production. Les données de production ne sortent pas de l'environnement de production.

Les données clients sont-elles cloisonnées ?

Oui.

Avez-vous mis en place une sauvegarde/archivage : des bases de données, des fichiers utilisateurs ?

Oui, nous assurons une sauvegarde deux fois par jour pour toutes les données de chaque compte client, plus une diversité d'autres mesures de sauvegardes/restauration sur chaque actif intervenant dans l'application. Nous avons en général deux systèmes indépendants de sauvegarde pour chaque actif existant dans notre application

Quels sont les mécanismes de protection pour les sauvegardes ?

Nous avons de nombreux mécanismes de protection visant les sauvegardes. Pour prendre un exemple, les sauvegardes de toutes les données clients réalisés plusieurs fois par jour ne peuvent purement et simplement pas être supprimées, et cela ni par nos équipes ni par les administrateurs, ni par l'opérateur de cloud, cela quel que soit le niveau d'accès. La suppresion ne sera possible qu'après une très longue période de rétention.

Quels sont vos sous-traitants ?

Nous utilisons exclusivement AWS comme sous-traitant (voir le détail dans nos CGV pour chaque traitement), c'est un choix stratégique de développement et de sécurité pour notre plateforme. Notre cabinet comptable gère également les factures que vous recevez, mais sur un système totalement indépendant de la plateforme.

Mesures de protection physiques

Quelles sont les mesures de sécurité physiques qui sont en place ?

Sans entrer dans les détails, chez nous cela ressemble à : coffre-fort conformes à l'IGI 1300 et habilités à assurer la conservation de secrets de la défense nationale. Ça pèse plusieurs tonnes, nécessite une équipe entière pour l'installation, c'est peu plaisant à ouvrir, mais c'est nécessaire pour disposer d'un haut réel niveau de sécurité, et témoigne notre investissement opérationnel sur le sujet.

Quels sont les localisations géographiques de tous les datacenters hébergeant les données des comptes ?

France et Irlande, les données restent hébergées en Europe

Les personnels de Legiscope sont-ils localisés au sein de l'union européenne et clairement identifiés ?

Oui, tous nos développeurs sont exclusivement basés dans l'Union Européenne. Depuis l'éntrée en guerre de l'Ukraine nous avons décidé de sponsoriser des développeurs ukrainains au travers de tâches de développement spécifiques (ex : e2e testing), mais ils n'ont pas accès au code source de la plateforme

Les questions que vous avez oublié de nous poser !

Est-ce que Legiscope est rentable, y a-t-il un risque que l'entreprise disparaisse ?

Legiscope est entièrement rentable depuis 2015, nous avons une base client étendue qui nous permet d'assurer la continuité du développement de la plateforme.

Etes-vous en situation de dépendance par rapport à un client spécifique ?

Non. Nous avons volontairement mis en oeuvre une politique tarifaire à bas coût qui nous permet une indépendance totale vis à vis de nos clients et nous offre une résistance financière très forte. Le risque commercial pour nous est toujours minime en cas de perte d'un client.