Un logiciel SaaS « Software As A Service » que ce soit dans le domaine des logiciels de ressources humaines, financier ou de gestion de projet, est un service web en ligne, facturé à la consommation.

Ces services sont accessibles partout, depuis un PC, une tablette ou encore via des applications mobiles Android et iOS. Les salariés apprécient de pouvoir poser leurs congés depuis leur domicile ou de déclarer leur dépense immédiatement après un paiement, le justificatif en main. Une connexion internet suffit.

La plateforme sécurisée de Lucca : une démarche d’amélioration continue

Dans le domaine des logiciels de ressources humaines en mode SaaS, la protection des données est cruciale. Pour se prémunir d’attaques extérieures et sécuriser les connexions entre logiciels, Lucca fait évoluer continuellement ses dispositifs de sécurisation des accès. Nos solutions sont régulièrement auditées par des organismes spécialisés externes, et nous avons mis en place une observabilité de l’ensemble du trafic sur notre plateforme.

Du point de vue client, la sécurisation des données se joue selon 3 axes :

  • l’authentification permet de garantir que chaque accès d’une personne à la plateforme est légitime (authentification par mot de passe ou par SingleSignOn)
  • une gestion des droits fine permet de déterminer quel collaborateur peut accéder à quelle donnée
  • l’isolation des clients : chaque environnement client ne peut avoir accès qu'à sa propre base de donnée

Du point de vue Lucca, la sécurité des données clients implique :

  • une protection applicative de l’ensemble du trafic (Pare-feu et détection proactive des attaques)
  • la sécurisation de l’ensemble du trafic en protocole sécurisé (https)
  • l’hébergement de nos applications dans un Cloud privé sécurisé et certifié (OVH)
  • un audit continu de la sécurisation de la plateforme par des organismes externes et indépendants
  • des ateliers internes de tentatives de hacking de notre plateforme pour découvrir les failles potentielles
  • un processus de validation de sécurité et de montée en charge de chaque nouveau développement
  • un suivi permanent des failles de sécurité concernant notre infrastructure, et l’application des correctifs associés
  • la sécurisation des backups de toutes les données de l’ensemble de nos clients sur un site distant pour une période de 30 jours glissants
  • la sécurisation interne des locaux, ainsi que l’ensemble des postes de travail des collaborateurs

La politique de sécurité Lucca pour sécuriser les connexions entre logiciels

Les équipes internes et des organismes indépendants externes procèdent régulièrement à des tests d’intrusion qui permettent d'évaluer le niveau de sécurité des applications et de l’infrastructure. Ces tests sont soit commandités par nos clients, soit par nous même et exécutés par des acteurs tiers agréés de la sécurité ou directement par le service sécurité interne. Chaque année le niveau des tests augmente, ce qui nous permet de perfectionner l’ensemble des mesures de sécurité qui protègent les données des utilisateurs.

Depuis fin 2018, nous sommes dans une démarche de certification iso 27001 (norme internationale de sécurité des systèmes d'information). Nous identifions et analysons les risques, les scénarios associés et les mesures de protection. Ce processus est à la base de la politique de sécurité de Lucca : sa plateforme, ses applications et son infrastructure.

De façon continue, Lucca améliore et renforce les mesures de protection, la traçabilité, l’analyse des impacts de sa plateforme, et a mis en place un processus de validation de tout nouveau développement inhérent à la vie d’un acteur Saas, de façon à garantir en permanence la sécurité des données.

Sécuriser les accès à la plateforme avec un pare feu applicatif

Le firewall applicatif protège Lucca contre des attaques communes (de type injection SQL, XSS, etc.) qui sont les plus dangereuses pour les entreprises. Ce pare feu analyse les requêtes entrantes et bloque toute tentative d’attaque. Aujourd'hui, nous sommes capable de détecter ce type d’opération instantanément, et de qualifier si cette attaque est légitime ou non (audit de sécurité par exemple).

L’authentification, un élément clé de la sécurisation des connexions des logiciels de ressources humaines en mode SaaS

Lucca a mis en place une politique de mot de passe paramétrable permettant d’épouser les exigences de la politique de sécurité de chaque client.

Nous sommes aussi compatibles avec les différents SSO (Single Sign-On) du marché, ce qui permet de déléguer l'authentification à nos solutions à des services tiers (Google, Microsoft, etc) pour les clients qui souhaitent centraliser l’ensemble de leur authentification…

La sécurité des applications mobiles hérite de la politique de sécurité configurée dans Lucca. Si un SSO est configuré, nous proposons une authentification par rebond, basée sur un code éphémère à usage unique.

L’ensemble des protocoles utilisés sont sécurisés.

Focus sur les mots de passe

Lucca utilise un algorithme de hachage (cryptage) éprouvé et connu pour le paramétrage de la lenteur de chiffrage. A partir du mot de passe chiffré (empreinte ou hash) stocké sur notre plateforme, il est impossible de retrouver le mot de passe d’origine. Ces hash de mot de passe sont donc inexploitables pour remonter au mot de passe d’origine. Ils ne permettent que de valider qu’un mot de passe est bon.

En d’autres termes, les mots de passe ne sont jamais stockés sur notre plateforme.

Enfin, nous proposons à nos clients de définir leur politique de sécurité des mots de passe (nombre de caractères minimal, types de caractères imposés, délai d’expiration, réutilisation des anciens mots de passe… ).

Une intégration sécurisée des logiciels de ressource humaine dans le système d’information client

Une gestion sécurisée des API Lucca

Une application SaaS est par définition distante du système d’information du client. L’intégration avec ce dernier est un enjeu majeur de réussite du projet.

Nos solutions web et mobiles sont basées sur des API (application programming interface) REST (Representational state transfer). Ces api sont exploitables par nos clients, via des jetons de sécurité dédiés, dont les droits sont paramétrables dans l’application, permettant ainsi de créer des intégrations avec les systèmes d’informations de nos clients.

En parallèle de ces API, nos applications sont synchronisables avec le système d’information des clients, via des mécanismes d’imports et d’exports de fichiers, déposés sur des serveurs FTP sécurisés ou générés directement par des utilisateurs habilités chez nos clients.

Les échanges de données entre les outils Lucca et d’autres logiciels tels que les solutions de gestion de la paie ou de comptabilité, sont sécurisés.

Des mises à jour fiables et sécurisées des solutions RH

Lucca déploie des évolutions de ses logiciels RH chaque semaine et des améliorations tous les soirs, voire en journée de façon transparente. Cette performance est en partie liée au fait que tous les clients exploitent une source unique de code. La réactivité de Lucca tant sur la partie sécurité que la partie applicative permet d’offrir la meilleure expérience possible à ses clients.

Une cellule QA (Quality Assurance) garantit la non régression sur les fonctionnalités principales de nos solutions. Cette validation automatique est exécutée avant chaque mise en production d’évolutions et s’accompagne de recettes manuelles réalisées par les équipes de conception des produits.

La sécurité des données collectées par la suite de logiciels Lucca est essentielle pour s’assurer de la fiabilité des données transmises aux logiciels de paie et de comptabilité.