Le monde est connecté, les entreprises et les consommateurs échangent des données en continu. Des données de plus en plus sensibles et exposées. Si on ne fait pas attention, des failles peuvent se développer et permettre aux personnes malveillantes d’en profiter.
Dans le cas d’une entreprise, cela aura un énorme impact : arrêt total de l’activité sur une certaine période, perte de chiffre d'affaires durant ce laps de temps, paiement de rançon si le hacker en demande (il n’est pas recommandé de le faire). Pour ne pas tomber dans ce genre de piège, la cybersécurité est essentielle. Il faudra mettre en place des techniques pour limiter les risques d’attaques et de failles en entreprise.
Alors, comment une entreprise comme Yousign se protège-t-elle des cyber menaces ?
La sécurité du produit
Le Bug Bounty, le hack pour trouver les vulnérabilités
Avec la mise à jour de nos produits, il est essentiel de savoir si nos nouvelles fonctionnalités sont vulnérables. Les équipes de développement assistées des Security Engineer ayant déjà pensé la feature en incluant la sécurité “by design”, c'est-à-dire conçue pour être sécurisée, le meilleur moyen de savoir si la nouvelle fonctionnalité contient des failles est de confier de nouveaux tests à des hackers éthiques.
Yousign utilise pour ça le BUG Bounty, une chasse aux vulnérabilités par des “Hunters”. La gestion de cette communauté de hunters se fait au travers d’une plateforme avec notre partenaire YesWeHack. Si une vulnérabilité est découverte par un hunter, il soumet un rapport d’analyse à notre équipe sécurité. Nous réalisons ensuite une vérification pour confirmer sa validité et sa criticité.
Dans le cas où la vulnérabilité est valide, nous adaptons la récompense du Hunter au niveau de criticité de la faille découverte. Afin de garder une activité permanente sur le programme et stimuler la communauté de hunters, nous mettons toutes les semaines à jour notre programme pour présenter les nouvelles évolutions produits et nous ajoutons régulièrement de nouveaux chercheurs. Il est important de noter que notre programme est privé !
Le Pentest, un outil pour vérifier l’efficacité de la sécurité
Le Pentest (ou test d'intrusion) est utilisé pour évaluer la sécurité d'un système d'information, d'un réseau informatique ou d’une application dans notre cas. Yousign demande régulièrement des audits qui sont réalisés par des sociétés spécialisées. Les audits de sécurité ou d’intrusion sont faits de manière récurrente mais aussi lorsque des évolutions majeures sur le produit ou l’infrastructure sont effectuées. Ce test est complémentaire à l’ensemble des mesures de sécurité évoqués précédemment.
Essayez la signature électronique gratuitement pendant 14 jours
Les changements majeurs chez Yousign
Pour protéger nos clients mais aussi Yousign, plusieurs nouveautés arrivent pour renforcer la sécurité.
Le changement majeur : Permettre à nos clients et aux destinataires des emails provenant de la solution Yousign (approbateurs, signataires …) de différencier nos notifications légitimes d’un email malveillant et de tentatives de phishing.
Yousign intègre depuis longtemps des mécanismes de sécurisation pour lutter contre ces menaces, mais elles évoluent constamment. Nous avons donc récemment renforcé une nouvelle fois notre configuration afin de limiter les tentatives d’usurpation de nos domaines d’envois.
Domaines d’envois
Il s’agit ici du nom de domaine depuis lequel on envoie un mail.
Voici un récapitulatif de nos mesures pour protéger les destinataires des emails, mais aussi limiter l’usurpation de l’identité de Yousign. Les noms font un peu peur mais ne vous inquiétez pas, on vous explique tout :
- SPF: Autoriser explicitement les adresses IP qui sont autorisées à émettre des emails pour le compte de Yousign. Les serveurs emails qui gèrent la réception de l’email s'assurent qu’il a été émis depuis ces sources autorisées. Le serveur malveillant est ainsi bloqué pour avoir tenter une usurpation de nos adresses.
- DKIM: Une signature numérique est intégrée dans les mails envoyés par Yousign. Le serveur de réception du destinataire peut alors vérifier automatiquement s’il y a ou non altération du contenu.
- DMARC: il est souvent négligé et difficile à mettre en œuvre car son paramétrage en mode “restrictif” nécessite une parfaite compréhension et maîtrise des sources d’émission, parfois des changements conséquents susceptibles d’impacter de nombreuses équipes internes et peut provoquer des problèmes de délivrabilités, empêchant des clients légitimes de recevoir nos emails. Ce paramètre complète les protocoles SPF et DKIM, précédemment vu, en s’assurant d’un alignement entre différentes entêtes techniques et indique au serveur une consigne de traitement s’il détecte une non conformité. Dans le cas de Yousign, la politique a été mise récemment en “restrictif” après plusieurs mois de préparation par nos équipes pour s’assurer que nous n’ayons pas de dégradation sur la qualité de nos envois.
La sécurité interne
La sensibilisation au cœur de la stratégie
Dans la majorité des cas, les cyberattaques sont dues à des erreurs humaines. Une clé USB contenant un virus, des mails trompeurs poussant à télécharger et ouvrir des fichiers, etc. Il est primordial de sensibiliser les collaborateurs à ce genre d’attaque. Yousign a donc mis en place plusieurs choses :
- Le croissantage : Véritable outil de guerre dans les bureaux, certains sont aux aguets du moindre ordinateur non-verrouillé pour se permettre d’écrire “Croissant pour tout le monde demain” avec le compte non protégé du collaborateur ! Vous l’aurez compris, c’est une technique poussant chacun à s’assurer que son ordinateur est bien verrouillé en quittant son poste de travail.
- La formation : Pour le moment, tous les collaborateurs passent la formation SecNum de l’ANSSI délivrant un certificat à la fin. Celui-ci sensibilise les nouveaux arrivants à la sécurité et à l’importance de la protection des données. Yousign devenant international, à terme, nous remplacerons cette formation par un bot qui parlera plusieurs langues.
- Des campagnes de phishing : Des campagnes de phishing sont mises en place avec la solution Mantra pour entraîner les collaborateurs. L’outil est configuré pour envoyer des mails en usurpant les noms des clients/collègues, mettre en avant certains fichiers ou sites louches, etc… Aux collaborateurs ensuite de les détecter. L’outil permet d’apprécier en condition réelle la réaction des collaborateurs face à des emails de phishing très élaborés. L’équipe Sécurité peut ensuite, en fonction des résultats, conduire de nouvelles campagnes de sensibilisation.
L’analyse de l’environnement
Se tenir informé des actualités autour de la cybersécurité est essentiel pour ne pas être dépassé. Ce monde évoluant très vite, plusieurs pratiques interne ont été mises en place pour s’assurer d’être à jour sur nos différents outils et sur les dernières failles de sécurité.
La veille des composants
Plusieurs composants sont utilisés chez Yousign. Faire une veille sur leurs vulnérabilités techniques est essentiel pour identifier et corriger les failles de sécurité. Concrètement, comment ça marche ? Si une faille est découverte par d’autres entreprises ou personnes, elles sont partagées à tous. Une fois connue, la faille est analysée spécifiquement dans notre contexte et une correction est éventuellement implémentée du côté de Yousign !
La météo sécurité
Bon ce n’est pas la météo que l’on voit à la télé mais ça s’y rapproche ! Le but ici est de faire un état des lieux des différentes failles de sécurité qui ont pu se passer, regrouper des résultats et en discuter en interne. Une fois tout planifier et régler, une communication est faite à tous les Yousigners pour sensibiliser sur un sujet qui a été remonté !
Une stack technique homogène
En rationalisant le choix des technologies utilisées pour créer les applications de Yousign, cela développe une expertise dans ce domaine tout en réduisant au maximum la surface d’attaque et donc les risques. Forcément, plus on a de technologie, de langages différents, plus on a de chance d’avoir une faille dans l’une de ces technologies.
Vous l’aurez compris, le monde évolue très vite, les pratiques aussi. La sécurité est de plus en plus importante pour assurer la pérennité des entreprises. Les équipes Security, Compliance et IT travaillent tous les jours sur de nouveaux moyens pour protéger Yousign, ses clients, ses collaborateurs et nos signataires. Pour assurer la sécurité, une remise en question est toujours nécessaire car les solutions d’aujourd’hui peuvent être obsolètes demain. On peut donc se demander quels systèmes de sécurité pourraient voir le jour dans les prochaines années ? Comment les entreprises se protégeront-elles face à des attaques de plus en plus fréquentes ? Réponses dans quelques années !