Plateformes et données

Digiposte poursuit sa démarche continue de sécurisation, l’occasion de faire un point sur la protection de vos données

digitposte image
13 November 2019

Service précurseur pour des millions de français, Digiposte a été lancé en 2010 par La Poste.
C’est aujourd'hui une application web et mobile à succès qui évolue avec les besoins des particuliers et des entreprises.
La transformation digitale impacte en effet tout le monde dont les sphères de l'entreprise, au premier rang desquelles la Gestion des Ressources Humaines.
Depuis sa création, Digiposte accompagne les entreprises de toutes tailles dans cette transformation en proposant de dématérialiser tous leurs documents RH : bulletins de paie, bilans sociaux individuels, contrats de travail, notices d’information de mutuelle…
Aujourd’hui le coffre-fort numérique Digiposte renforce la sécurité des données de ses clients pour répondre à l’ensemble des nouvelles obligations réglementaires qui régissent l’utilisation et la protection de la data. C’est l’occasion d’apporter un éclairage sur le sujet.

De l’espace de stockage au coffre-fort numérique

Avec le développement de la dématérialisation, nous sommes amenés à procéder à des transferts multiples de nos documents personnels dans le cadre de nos démarches : souscription à des services ou produits en ligne (ouverture de compte bancaire, assurance…), constitution de dossiers divers (location immobilière, demande de subvention…).
Ces dernières années, c’est toute la vie administrative qui s’est numérisée pour devenir plus simple, plus fluide et plus rapide. Carte d’identité, passeport, factures, justificatifs de domicile, relevés de compte, bulletins de paie, diplômes…, ces documents peuvent être photographiés ou scannés (ou de plus en plus, sont nativement sous format numérique) puis déversés dans des espaces « privatifs » en cloud, afin de les conserver et les centraliser.
Mais cette simplification ne doit pas pour autant occulter une donne essentielle : la sécurité des données.
Parmi les solutions existantes, on distingue deux grandes catégories qui remplissent des rôles différents :
Les solutions de synchronisation et de stockage permettent de pouvoir travailler sur des documents qu’on appelle "vivants", c’est-à-dire qu'on peut y apporter des modifications et des versionnages.
La valeur ajoutée d’un tel dispositif est de pouvoir les synchroniser sur son ordinateur afin de pouvoir les modifier « en local » et en temps réel. Ces données sont ensuite stockées dans un centre de données quelque part dans le monde… avec tous les risques que cela implique : cette nouvelle façon de gérer les documents et les données facilite en effet le travail des pirates.
Le coffre-fort numérique est un terme réservé à une forme spécifique d’espace de stockage numérique sécurisé, dont l’accès est limité à son seul utilisateur ou aux personnes physiques spécialement mandatées par ce dernier.
La grande différence fonctionnelle c’est que le coffre-fort numérique va pouvoir recevoir des documents de l'extérieur qui vont bénéficier d’un archivage non modifiable : factures, justificatifs de domicile, relevés de compte, bulletins de paie…
Hautement sécurisé, un coffre-fort numérique est un service qui doit donc permettre d’archiver, d’indexer, de visualiser, de récupérer et même de partager des fichiers numériques sensibles. Loin d’être un simple espace numérique accessible à distance, il doit garantir l’intégrité et la confidentialité des contenus qu’il conserve.

Le renforcement de la réglementation au service d’une sécurité des données

De nombreux services se réfèrent à la terminologie de « coffre-fort numérique » pour y associer une image de sécurité forte.
La mise en place de nouvelles obligations strictement encadrées par la réglementions permet de structurer le marché et de sécuriser ces services.
Privilégier les services de coffre-fort numérique certifiés est un gage de sécurisation, de confidentialité et d’intégrité des données.

Depuis le 1er janvier 2019, les fournisseurs de coffre-fort numérique ont en effet dû renforcer la sécurité des services ainsi que l’accès à l’information.
Deux décrets sont venus compléter l’article L. 103 du code des postes et des communications électroniques et, définir la notion de coffre-fort numérique .

Parmi les impératifs de base demandés :
- le fournisseur du service doit garantir, à l’utilisateur, un "accès exclusif" du service. L’utilisateur peut également, après avoir donné son autorisation explicite, permettre à des tiers d’accéder à ses documents.
- le fournisseur du service doit assurer que l’intégrité, la disponibilité et l’exactitude des données et documents stockés dans le coffre-fort numérique sont garanties par des mesures de sécurité adaptées et conformes à l’état de l’art .
- l’identification de l’utilisateur doit être assurée par un moyen d’identification électronique adaptée aux enjeux de sécurité du service .

Concernant la traçabilité des opérations réalisées sur les données et les documents stockés et la disponibilité de cette traçabilité pour l’utilisateur, les mesures suivantes sont également requises :

• l'enregistrement et l’horodatage des accès et tentatives d’accès,
• l’enregistrement des opérations affectant le contenu ou l’organisation des données et documents de l’utilisateur,
• l’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques.

Les services de coffre-fort numérique peuvent bénéficier d’une certification établie selon un cahier des charges proposé par l’autorité nationale des systèmes d’information (ANSSI) après avis de la Commission Nationale de l’Informatique et des Libertés (CNIL) et approuvé par arrêté du ministre chargé du numérique.

Avec Digiposte, la sécurité des données repose sur trois piliers

1. Le respect des standards en termes de gestion des mots de passe.
Même s’il n’existe pas de définition d’un « bon mot de passe », il est clair que sa complexité et sa longueur font diminuer le risque de réussite d’une attaque informatique.
Digiposte respecte un niveau de sécurité élevé, demandé dans le référentiel de la CNIL sur l’authentification par mot de passe.
Concrètement : un utilisateur du coffre-fort numérique Digiposte doit se créer un mot de passe de 8 caractères qui comprennent : une majuscule, une minuscule et un chiffre.

 

L’utilisateur peut également choisir de paramétrer une double authentification par SMS, en recevant à chaque connexion, un code par SMS afin de pouvoir s’authentifier. Ce niveau est l’équivalent par exemple des banques en ligne.

2. La restriction d'accès au compte : cette mesure permet de limiter les tentatives d'accès à Digiposte. Respectant la recommandation de la CNIL, Digiposte a mis en place une mécanique de temporisation d'accès au compte après 5 tentatives. Une fois ces tentatives infructueuses atteintes, votre compte est alors temporairement verrouillé, empêchant alors à n'importe qui de retenter d’accéder pendant une certaine durée.

3. La pérennité du service et l’intégrité des données
Ce sont les maîtres-mots d’un service irréprochable. Porté par la réglementation, Digiposte assure non seulement l'intégrité des documents, son accessibilité y compris sur une durée longue ( 50 ans pour un bulletin de paie), mais aussi sa confidentialité.
En effet, les documents déposés dans le coffre-fort numérique appartiennent à l'utilisateur et aucune utilisation ne peut en être faite à des fins commerciales sans son consentement. Digiposte est capable d'assurer que le document visualisé est bien celui qui a été déposé. Il y est d’ailleurs associé un certificat d'authenticité, émis par La Poste valable pour qui de droit.
La garantie de l'exclusivité d'accès aux documents et aux données de l'utilisateur requiert également le chiffrement des contenus et données stockés ou transférés vers ou depuis celui-ci. Ce chiffrement est effectué à l'aide de mécanismes cryptographiques conformes à l'état de l'art.
Enfin, les données et documents archivés sur Digiposte sont stockés exclusivement en France, les sites de stockage sont redondés et distants pour plus de sécurité ! 3500 entreprises partenaires ont déjà choisi Digiposte pour dématérialiser les bulletins de paie de leurs 1,7 millions salariés par exemple.

Un coffre-fort numérique de plus en plus encadré au service d’un utilisateur plus rassuré dans ses démarches

La terminologie « coffre-fort numérique » est souvent employée par le marché pour y associer une image de sécurité forte. Beaucoup de services s’y réfèrent mais tous ne remplissent pas leurs obligations en matière de sécurité des données.
Avec le nouveau décret de coffre-fort numérique, l'utilisation de cette terminologie sera plus encadrée et va permettre un éclairage nécessaire sur les acteurs qui respectent réellement leurs obligations.

Digiposte remplit non seulement toutes les obligations mais sort son épingle du jeu en incluant à son services des best practices qui offrent aux utilisateurs du conseil et de la pédagogie : car n’oublions pas, l'utilisateur est aussi un acteur important de la chaine de sécurité, par exemple en choisissant un bon mot de passe, différent pour chaque service, en le changeant régulièrement... !

Pour en savoir plus : business.digiposte.fr

 


(1) Le décret n°2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique,
Le décret n°2018-853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockées par un service de coffre-fort numérique.

(2) Article R. 55-3 du code des postes et des communications électroniques
(3) Article R. 55-5 du code des postes et des communications électroniques
(4) https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
(5)Depuis le 1er janvier 2017 (Loi Travail) les entreprises peuvent dématérialiser les documents RH sous format électronique, sans autorisation préalable du salarié (décret n°2016-1762)

 

Évaluez l'article :
1 Star2 Stars3 Stars4 Stars5 Stars (Aucune évaluation)
Partagez l'article :

Mots clés :

0 Commentaires

Commenter

Plateformes et données

Digiposte poursuit sa démarche continue de sécurisation, l’occasion de faire un point sur la protection de vos données

digitposte image
Par  13 November 2019

Service précurseur pour des millions de français, Digiposte a été lancé en 2010 par La Poste. C’est aujourd'hui une application web et mobile à succès qui évolue avec les besoins des particuliers et des entreprises. La transformation digitale impacte en effet tout le monde dont les sphères de l'entreprise, au premier rang desquelles la Gestion des Ressources Humaines. Depuis sa création, Digiposte accompagne les entreprises de toutes tailles dans cette transformation en proposant de dématérialiser tous leurs documents RH : bulletins de paie, bilans sociaux individuels, contrats de travail, notices d’information de mutuelle… Aujourd’hui le coffre-fort numérique Digiposte renforce la sécurité des données de ses clients pour répondre à l’ensemble des nouvelles obligations réglementaires qui régissent l’utilisation et la protection de la data. C’est l’occasion d’apporter un éclairage sur le sujet.

De l’espace de stockage au coffre-fort numérique

Avec le développement de la dématérialisation, nous sommes amenés à procéder à des transferts multiples de nos documents personnels dans le cadre de nos démarches : souscription à des services ou produits en ligne (ouverture de compte bancaire, assurance…), constitution de dossiers divers (location immobilière, demande de subvention…). Ces dernières années, c’est toute la vie administrative qui s’est numérisée pour devenir plus simple, plus fluide et plus rapide. Carte d’identité, passeport, factures, justificatifs de domicile, relevés de compte, bulletins de paie, diplômes…, ces documents peuvent être photographiés ou scannés (ou de plus en plus, sont nativement sous format numérique) puis déversés dans des espaces « privatifs » en cloud, afin de les conserver et les centraliser. Mais cette simplification ne doit pas pour autant occulter une donne essentielle : la sécurité des données. Parmi les solutions existantes, on distingue deux grandes catégories qui remplissent des rôles différents : Les solutions de synchronisation et de stockage permettent de pouvoir travailler sur des documents qu’on appelle "vivants", c’est-à-dire qu'on peut y apporter des modifications et des versionnages. La valeur ajoutée d’un tel dispositif est de pouvoir les synchroniser sur son ordinateur afin de pouvoir les modifier « en local » et en temps réel. Ces données sont ensuite stockées dans un centre de données quelque part dans le monde… avec tous les risques que cela implique : cette nouvelle façon de gérer les documents et les données facilite en effet le travail des pirates. Le coffre-fort numérique est un terme réservé à une forme spécifique d’espace de stockage numérique sécurisé, dont l’accès est limité à son seul utilisateur ou aux personnes physiques spécialement mandatées par ce dernier. La grande différence fonctionnelle c’est que le coffre-fort numérique va pouvoir recevoir des documents de l'extérieur qui vont bénéficier d’un archivage non modifiable : factures, justificatifs de domicile, relevés de compte, bulletins de paie… Hautement sécurisé, un coffre-fort numérique est un service qui doit donc permettre d’archiver, d’indexer, de visualiser, de récupérer et même de partager des fichiers numériques sensibles. Loin d’être un simple espace numérique accessible à distance, il doit garantir l’intégrité et la confidentialité des contenus qu’il conserve.

Le renforcement de la réglementation au service d’une sécurité des données

De nombreux services se réfèrent à la terminologie de « coffre-fort numérique » pour y associer une image de sécurité forte. La mise en place de nouvelles obligations strictement encadrées par la réglementions permet de structurer le marché et de sécuriser ces services. Privilégier les services de coffre-fort numérique certifiés est un gage de sécurisation, de confidentialité et d’intégrité des données. Depuis le 1er janvier 2019, les fournisseurs de coffre-fort numérique ont en effet dû renforcer la sécurité des services ainsi que l’accès à l’information. Deux décrets sont venus compléter l’article L. 103 du code des postes et des communications électroniques et, définir la notion de coffre-fort numérique . Parmi les impératifs de base demandés : - le fournisseur du service doit garantir, à l’utilisateur, un "accès exclusif" du service. L’utilisateur peut également, après avoir donné son autorisation explicite, permettre à des tiers d’accéder à ses documents. - le fournisseur du service doit assurer que l’intégrité, la disponibilité et l’exactitude des données et documents stockés dans le coffre-fort numérique sont garanties par des mesures de sécurité adaptées et conformes à l’état de l’art . - l’identification de l’utilisateur doit être assurée par un moyen d’identification électronique adaptée aux enjeux de sécurité du service . Concernant la traçabilité des opérations réalisées sur les données et les documents stockés et la disponibilité de cette traçabilité pour l’utilisateur, les mesures suivantes sont également requises : • l'enregistrement et l’horodatage des accès et tentatives d’accès, • l’enregistrement des opérations affectant le contenu ou l’organisation des données et documents de l’utilisateur, • l’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques. Les services de coffre-fort numérique peuvent bénéficier d’une certification établie selon un cahier des charges proposé par l’autorité nationale des systèmes d’information (ANSSI) après avis de la Commission Nationale de l’Informatique et des Libertés (CNIL) et approuvé par arrêté du ministre chargé du numérique.

Avec Digiposte, la sécurité des données repose sur trois piliers

1. Le respect des standards en termes de gestion des mots de passe. Même s’il n’existe pas de définition d’un « bon mot de passe », il est clair que sa complexité et sa longueur font diminuer le risque de réussite d’une attaque informatique. Digiposte respecte un niveau de sécurité élevé, demandé dans le référentiel de la CNIL sur l’authentification par mot de passe. Concrètement : un utilisateur du coffre-fort numérique Digiposte doit se créer un mot de passe de 8 caractères qui comprennent : une majuscule, une minuscule et un chiffre.   L’utilisateur peut également choisir de paramétrer une double authentification par SMS, en recevant à chaque connexion, un code par SMS afin de pouvoir s’authentifier. Ce niveau est l’équivalent par exemple des banques en ligne. 2. La restriction d'accès au compte : cette mesure permet de limiter les tentatives d'accès à Digiposte. Respectant la recommandation de la CNIL, Digiposte a mis en place une mécanique de temporisation d'accès au compte après 5 tentatives. Une fois ces tentatives infructueuses atteintes, votre compte est alors temporairement verrouillé, empêchant alors à n'importe qui de retenter d’accéder pendant une certaine durée. 3. La pérennité du service et l’intégrité des données Ce sont les maîtres-mots d’un service irréprochable. Porté par la réglementation, Digiposte assure non seulement l'intégrité des documents, son accessibilité y compris sur une durée longue ( 50 ans pour un bulletin de paie), mais aussi sa confidentialité. En effet, les documents déposés dans le coffre-fort numérique appartiennent à l'utilisateur et aucune utilisation ne peut en être faite à des fins commerciales sans son consentement. Digiposte est capable d'assurer que le document visualisé est bien celui qui a été déposé. Il y est d’ailleurs associé un certificat d'authenticité, émis par La Poste valable pour qui de droit. La garantie de l'exclusivité d'accès aux documents et aux données de l'utilisateur requiert également le chiffrement des contenus et données stockés ou transférés vers ou depuis celui-ci. Ce chiffrement est effectué à l'aide de mécanismes cryptographiques conformes à l'état de l'art. Enfin, les données et documents archivés sur Digiposte sont stockés exclusivement en France, les sites de stockage sont redondés et distants pour plus de sécurité ! 3500 entreprises partenaires ont déjà choisi Digiposte pour dématérialiser les bulletins de paie de leurs 1,7 millions salariés par exemple.

Un coffre-fort numérique de plus en plus encadré au service d’un utilisateur plus rassuré dans ses démarches

La terminologie « coffre-fort numérique » est souvent employée par le marché pour y associer une image de sécurité forte. Beaucoup de services s’y réfèrent mais tous ne remplissent pas leurs obligations en matière de sécurité des données. Avec le nouveau décret de coffre-fort numérique, l'utilisation de cette terminologie sera plus encadrée et va permettre un éclairage nécessaire sur les acteurs qui respectent réellement leurs obligations. Digiposte remplit non seulement toutes les obligations mais sort son épingle du jeu en incluant à son services des best practices qui offrent aux utilisateurs du conseil et de la pédagogie : car n’oublions pas, l'utilisateur est aussi un acteur important de la chaine de sécurité, par exemple en choisissant un bon mot de passe, différent pour chaque service, en le changeant régulièrement... ! Pour en savoir plus : business.digiposte.fr  
(1) Le décret n°2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique, Le décret n°2018-853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockées par un service de coffre-fort numérique. (2) Article R. 55-3 du code des postes et des communications électroniques (3) Article R. 55-5 du code des postes et des communications électroniques (4) https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires (5)Depuis le 1er janvier 2017 (Loi Travail) les entreprises peuvent dématérialiser les documents RH sous format électronique, sans autorisation préalable du salarié (décret n°2016-1762)