Sophie • 3 avril 2024
La sécurisation de MySendingBox a toujours été au cœur de nos préoccupations. Les données que vous nous confiez sont entre de bonnes mains.
Et on vous le prouve ! Démonstration…
Depuis quelques mois, nous avons intensifié la démarche et la sécurisation de la plateforme a été significativement renforcée.
Conséquence : MySendingBox se positionne toujours comme l’une des solutions d’envoi de documents les plus sécurisées du marché.
Internet, c’est risqué… Pleins d’humilité face à cette réalité, nous sommes bien conscients chez MySendingBox by CORUS que gérer ce risque est un travail sans répit. Notre plateforme SaaS doit s’adapter en permanence, et nous devons tout mettre en œuvre pour la protéger.
Dans cet article, on vous explique les tenants et les aboutissements de ce travail de fond réalisé fin 2023 en tandem avec Amiltone, notre partenaire technique historique.
Cybersécurité
❝ La sécurité est une notion de plus en plus importante quand on travaille en ligne.
💬 Stéphane Rouvière • Product Manager MySendingBox
Les menaces évoluent vite. La prévention s’impose.
Chez MSB, la lutte contre le piratage est une préoccupation constante.
Nous sommes ultra sensibilisés aux risques inhérents à Internet, et à la nécessaire protection de nos données, comme de celles qui transitent par notre plateforme. ❞
Contexte
MySendingBox cherche en permanence à améliorer sa solution d’envoi de courriers : simplification, sécurisation, optimisation, nouveaux canaux, nouvelles fonctionnalités… Le gros chantier de l’automne 2023 portait sur la cybersécurité avec le renforcement de la sécurité de la plateforme SaaS.
Nous en avons profité pour mettre en place une nouvelle fonctionnalité : l’authentification unique. Celle-ci nous permet de répondre en particulier au besoin spécifique exprimé par l’un de nos clients : Indigo, leader mondial du stationnement, de la mobilité individuelle, et des services à la ville.
Sécurisation responsable
Pourquoi c’est important de sécuriser toujours plus notre plateforme ?
Sécuriser la plateforme, c’est primordial pour nous comme pour vous. Il est de notre responsabilité de maitriser toute la chaine de gestion de vos données et de vos documents.
Vigilance
💬 Olivier Besson • Directeur Projets Groupe CORUS
❝ Notre objectif consiste à être toujours le plus secure possible.
Cela implique en particulier de protéger notre plateforme contre les attaques numériques.
Idem pour toutes les informations sensibles qui transitent par MySendingBox. ❞
Nous avons donc décidé de renforcer encore plus la protection, en particulier au niveau de la porte d’entrée. Le challenge consistait à conserver un accès simple et rapide à notre plateforme, tout en le réservant exclusivement à des utilisateurs « connus et autorisés » à rentrer, car clairement identifiés.
Bien entendu, nous avons également à cœur de veiller à sécuriser ce que vous confiez à la plateforme. Il s’agit par exemple de vos adresses mails, vos mots de passe, vos numéros de CB, et bien entendu de tous les documents déposés sur la plateforme.
Nous avons donc apporté des améliorations significatives à notre plateforme MySendingBox pour
optimiser votre expérience utilisateur et garantir un accès plus fluide et sécurisé à nos services.
Objectifs, benchmark et réflexion
Prendre le temps de faire les bons choix
Les objectifs prioritaires étaient clairs :
- améliorer la sécurité de la plateforme
- proposer l’authentification unique
Restait à définir le « comment ». Un important travail de benchmark et de réflexion a été mené en partenariat avec Amiltone.
Différents scénarios et choix techniques ont été envisagés. Faut-il se lancer dans un développement spécifique ? Doit-on plutôt intégrer une brique déjà existante et payante ? Est-il plus judicieux de partir sur une base open source ?
Travail d’équipes
MySendingBox et Amiltone : un duo gagnant
Humbles devant les enjeux, nous avons travaillé comme d’habitude en binôme avec Amiltone, un expert réputé des sujets IT. Notre partenariat est ancré dans le fonctionnement de la solution MSB. En effet, toutes les évolutions concernant MySendingBox, depuis son entrée dans le Groupe CORUS, ont été faites en étroite collaboration avec Amiltone
L’union fait la force !
💬 Damien Corbi, CEO AMILTONE
❝ L’expertise et l’ambition de MySendingBox associées au savoir-faire et à la technicité d’Amiltone deviennent une force qui garantit le succès de la solution. ❞
Et une fois de plus, les résultats de ce travail d’équipes ont été au rendez-vous !
Connexion, utilisation, données confiées : tout est désormais encore mieux protégé.
Une bonne chose de faite ! 👌🏻
Article disponible sur le BLOG
📎 Pour en savoir plus sur cette fructueuse collaboration > Découvrez le partenariat technique Amiltone x MySendingBox
Choix technique :
Keycloack, sans hésitation !
La solution retenue a été d’intégrer une brique logicielle open source de gestion des identités et des accès ayant fait ses preuves. Parmi celles-ci, Keycloack, brique réputée, est rapidement apparue comme étant la meilleure solution pour la plateforme MSB.
Parole de pro
💬 Florian Ponthus, responsable de la web Factory chez Amiltone
❝ L’idée pour résumer de manière très simple, c’était de sécuriser la porte d’entrée. Plusieurs solutions ont été envisagées. On a choisi Keycloack pour la richesse de la config, la capacité à facilement se configurer pour un AD* et des types de configs différentes (doubles facteurs, mdp). En mettant en place ce bloc, on peut proposer plein de choses à MSB, en particulier l’AD demandée par un client. ❞
*AD pour Active Directory : un service d’annuaire utilisé pour stocker des informations relatives aux ressources réseau sur un domaine.
Keycloack répond parfaitement à l’ensemble des besoins identifiés par le binôme MSB / Amiltone :
- Gestion du SSO
- Gestion de la confirmation de compte
- Gestion des mots de passe
- Fédération d’identités
ZOOM sur KeycloakKeycloak est une solution open-source d'authentification et de gestion des identités développée par Red Hat, filiale d’IBM. Elle permet d'ajouter des fonctionnalités d'authentification, d'autorisation et de gestion des utilisateurs à des applications web et des services.
Keycloak cumule plusieurs avantages en termes de sécurité et de gestion des identités : - Gestion centralisée des identités : Keycloak fournit un système centralisé pour gérer l'authentification et l'autorisation des utilisateurs. - Sécurité avancée : Keycloak offre une sécurité robuste en incluant des mécanismes de protection contre des menaces courantes telles que l'injection SQL, le cross-site scripting (XSS), etc. - Protocoles standards : Keycloak prend en charge des protocoles d'authentification standard tels qu'OpenID Connect et OAuth 2.0. Cela garantit une intégration aisée avec de nombreuses applications et services tiers. - Single Sign-On : Keycloak offre la possibilité de mettre en place un SSO. Cela signifie que les utilisateurs peuvent se connecter une seule fois et accéder à plusieurs applications sans avoir à se reconnecter à chaque fois. - Fédération d’identités: Keycloak permet d'intégrer différents fournisseurs d'identité tels que LDAP, Active Directory, SAML, etc. Cela simplifie la gestion des utilisateurs dans un environnement où plusieurs sources d'identité sont utilisées.
Valeur ajoutée
💬 Stéphane Rouvière • Product Manager MySendingBox
❝ Nous sommes vraiment ravis de la solution technique retenue, et de son déploiement pour MySendingBox.
Keycloak apporte une vraie valeur ajoutée à notre plateforme SaaS. ❞
Concrètement
Comment avons-nous renforcé la sécurité de notre plateforme ?
Passons en revue quelques-unes des actions menées. Seules certaines mesures prises sont visibles par les utilisateurs de la plateforme, mais toutes contribuent à la sécurisation.
❶ Refonte de la brique de connexion avec authentification renforcée
- Sécurisation de la connexion à la plateforme et renforcement des mesures de sécurité pour assurer une connexion fiable et sécurisée à la plateforme MySendingBox.
- Ajout d’une nouvelle étape obligatoire de validation de l’adresse mail pour renforcer la sécurité de chaque compte utilisateur.
- Renforcement de la gestion du mot de passe et recommandation de mise à jour de chaque mot de passe pour garantir une sécurité maximale.
Le nouveau protocole d’identification a été progressivement déployé du 28 septembre au 2 octobre 2023 auprès de tous les utilisateurs de la plateforme. Aujourd’hui, la procédure de sécurisation de l’accès à la plateforme SaaS est en place
A chaque nouvelle connexion, une séquence automatique de validation de l’e-mail s’enclenche. Et l’accès à la plateforme est soumis à la certification effective du compte utilisateur.
❷ Nettoyage de la BDD utilisateurs
- Suppression des fausses adresses
- Purge de toutes les adresses obsolètes
Cela nous a permis de conserver uniquement les adresses mails fonctionnelles
❸ Chiffrement des données en transit à l’aide du protocole SSL/TLS
Secure Sockets Layer/Transport Layer Security est la technologie de sécurité standard qui opère en coulisse pour :
- Protéger vos données utilisateurs en transit
- Sécuriser vos transactions et vos processus d’identification en ligne
Le certificat SSL/TLS fait office de carte d’identité numérique. Comme tous les sites ainsi sécurisés, la plateforme web MySendingBox affiche le préfixe « https » et une icône en forme de cadenas dans la barre d’adresse du navigateur.
❹ Sauvegarde quotidienne des données
Les sauvegardes sont conservées de façon parfaitement sécurisée dans le data center d’un hébergeur réputé.
❺ Réalisation de scans de vulnérabilité
Ces scans permettent de tester régulièrement la sécurité de la plateforme SaaS MySendingBox
❻ Organisation de pen tests périodiques pour renforcer la protection de la « porte d’entrée »
Ces tests de pénétration sont des exercices de sécurité au cours desquels un expert en cybersécurité tente de trouver et d’exploiter les vulnérabilités de la plateforme. L’objectif de ces simulations est d’identifier les éventuels points faibles dans la défense du système afin d’y remédier.
❼ Déploiement de l’authentification unique – SSO
Le Single Sign On est un service d’authentification de session et d’utilisateur.
La possibilité de se connecter en SSO constitue un vrai bénéfice pour les utilisateurs en simplifiant le processus d’authentification. En effet, une seule et unique authentification suffit pour accéder aux outils de gestion, aux applicatifs métiers et à la plateforme courrier MSB.
Nouvelle fonctionnalité
❝ Le SSO est devenu incontournable, surtout pour nos clients qui gèrent de nombreux utilisateurs. L’authentification unique est une fonctionnalité logiquement devenue de plus en plus demandée dans les appels d’offres.
Nous sommes pleinement opérationnels sur le sujet.N’hésitez pas à nous consulter ! ❞
💬 Sébastien Mezerette, Sales & Customer Success manager MySendingBox
Conclusion
et indiscrétions 😉
Le renforcement réussi de la sécurisation de la plateforme MySendingBox et la mise en place du SSO sont le fruit d’un véritable travail d’équipes mené par étapes successives : benchmark, étude des solutions possibles, choix technique, implémentation, solution en recette puis développement en production. L’amélioration permanente est la condition sine qua non pour rester au top !
Évolution permanente
❝ Au sein du groupe CORUS, la sécurité est au cœur de nos préoccupations. C’est particulièrement vrai pour MySendingBox où tout est dématérialisé.
💬 François Ballaguy, DGA Groupe CORUS
Nous souhaitons que MSB soit l’une des plateformes les plus sécurisées du marché. Nous allons poursuivre nos investissements dans le temps pour le rester.
C’est pourquoi, nous continuerons régulièrement à la faire évoluer. ❞
Sécurisation de la plateforme : toujours plus !
Les prochaines étapes pour encore plus de sécurité sont déjà connues :
- Sécurisation de l’API
- Contrôle de qualité de la sécurité
- Certification ISO 27001 pour CORUS, notre partenaire pour la production des courriers
Nous vous tiendrons bien entendu régulièrement informés de toutes les évolutions concernant notre solution SaaS et API pour l’envoi de documents aux formats papier et dématérialisé.
Pour ne rien rater de notre actualité, abonnez-vous à la page LinkedIn MySendingBox
