La sécurité des données est aujourd'hui sur toutes les lèvres et, en particulier dans l'espace numérique, la protection des données sensibles mérite une attention particulière. Pour SeaTable, un niveau élevé de protection des données et de sécurité est plus qu'une simple formule, c'est un élément essentiel derrière l'idée fondatrice de l'entreprise, on pourrait même dire une partie de son ADN. Les fondateurs ont ainsi identifié très tôt un besoin, car de plus en plus d'entreprises et d'institutions européennes recherchent des alternatives européennes aux grands fournisseurs américains. C'est pourquoi toutes les données de la solution cloud sont systématiquement stockées sur les serveurs allemands d'une entreprise suisse certifiée. Parmi les autres mesures de sécurité, citons le cryptage HTTPS, la gestion sécurisée des cookies, la validation des entrées et le principe des autorisations minimales, qui garantit que chaque utilisateur ne dispose que des droits d'accès nécessaires.
Aussi simple qu'une feuille de calcul avec la puissance d'une base de données
SeaTable est la solution innovante sans code pour une gestion efficace des données et avec un constructeur d'applications convivial. Chacun est ainsi en mesure de créer des solutions numériques adaptées à ses besoins individuels, même sans connaissances en programmation. SeaTable permet aux entreprises de stimuler l'innovation et la transformation numériques tout en garantissant un niveau élevé de protection et de sécurité des données.
Pentest confirme une bonne protection contre les cyberattaques
Au cours du premier semestre 2024, les cyberattaques contre les entreprises ont augmenté de 40 % dans la zone DACH par rapport à la même période en 2023. Pour ne pas se laisser distancer dans la course aux menaces numériques en constante augmentation, les entreprises doivent toujours garder une longueur d'avance sur les attaques potentielles des pirates. C'est pourquoi SeaTable 2024 a chargé SRC Security Research & Consulting GmbH d'effectuer un test d'intrusion afin d'identifier et d'évaluer les vulnérabilités potentielles. Le pentest, qui a duré plusieurs semaines, n'a pas révélé de risques élevés. Le niveau de sécurité de SeaTable a été jugé "bon".
Dans une prochaine étape, SeaTable GmH vise la "certification de sécurité accélérée" (BSZ) par l'Office fédéral de la sécurité des technologies de l'information (BSI) au cours du deuxième semestre 2025. Ralf Dyllick-Brenzinger, CEO de SeaTable GmbH, s'exprime dans une interview sur le résultat et les projets futurs de l'entreprise.
Ralf Dyllick-Brenzinger, CEO de SeaTable GmbH
La protection des données et la sécurité informatique sont des questions importantes pour SeaTable. Comment garantissez-vous un haut niveau de protection des données dans votre solution cloud ?
RDB : Nos serveurs sont exclusivement situés en Allemagne. Nous travaillons ici avec le fournisseur suisse Exoscale. Les utilisateurs de notre solution cloud peuvent donc être sûrs que leurs données sont stockées et traitées conformément aux règles de protection des données. Si cela ne suffit pas, ils peuvent se rabattre sur la variante sur site et héberger eux-mêmes SeaTable. Afin de faire vérifier la sécurité de notre solution cloud par un organisme indépendant, nous avons commandé cette année un pentest.
SeaTable existe depuis 2020. Pourquoi n'avez-vous fait effectuer le pentest que maintenant ?
RDB : Notre entreprise et nos logiciels n'ont cessé de croître ces dernières années, avec aujourd'hui plus de 150.000 utilisateurs dans plus de 50 pays - et donc naturellement aussi les exigences posées à notre environnement de sécurité informatique. De plus, nous sommes maintenant à un tournant important. De plus en plus de grandes entreprises et d'institutions publiques s'intéressent à notre offre et nous souhaitons nous développer de manière ciblée à l'international. Le pentest nous aide à identifier et à éliminer activement d'éventuels points faibles - une condition importante pour la certification BSI que nous souhaitons obtenir - et constitue également un signal pour nos clients existants et potentiels, leur indiquant que leur confiance en nous est justifiée.
Il existe en effet sur le marché quelques scanners de sécurité qui vérifient la sécurité des logiciels et qui sont en partie gratuits. Pourquoi n'était-ce pas une option ?
RDB : La sécurité des données de nos clients est une priorité absolue et nous voulions en tout cas une évaluation solide de la part d'experts. Les outils actuellement disponibles offrent déjà un certain soutien et nous les utilisons également. Mais la plupart des scanners ne sont pas suffisants pour une véritable évaluation de la sécurité. Ils se basent sur des techniques standardisées, mais ne comprennent pas la logique des processus complexes, par exemple lorsqu'une création de compte nécessite une authentification à deux facteurs. Il faut encore des pentesters humains pour réfléchir à la manière d'exécuter, par des mesures ciblées, d'autres étapes ultérieures en principe protégées. Et lorsqu'un outil automatisé identifie des vulnérabilités, il évalue en général séparément pour chaque découverte le degré de dangerosité de la faille de sécurité. En revanche, les pentesters peuvent également évaluer si différentes faibles vulnérabilités combinées entraînent un risque de sécurité élevé.
Comment le PenTest a-t-il été réalisé exactement ?
RDB : La version 5.0 de SeaTable a été testée. Le système a été installé par nos soins selon les instructions officielles. Les paramètres de sécurité étaient équivalents à ceux de notre système en nuage. Il s'agissait avant tout de la sécurité de l'API et de l'application web. Nous avions auparavant discuté avec SRC Security des objectifs du test et convenu de simuler une cyberattaque avec des connaissances d'initiés, une approche dite de la boîte grise. Dans ce cas, l'attaquant dispose d'informations limitées sur le système.
Quel a été le résultat ?
RDB : Le résultat a même été un peu meilleur que ce à quoi nous nous attendions. Nous avions travaillé sans relâche dans le passé pour protéger notre système contre les cyberattaques et avions atteint un niveau de protection élevé, mais nous nous attendions déjà à ce que les pentesters détectent encore des vulnérabilités. Au final, deux vulnérabilités ont été identifiées, mais aucune à haut risque. Ces deux vulnérabilités seront corrigées lors d'une prochaine mise à jour.
Vous avez mentionné la certification BSI. Que va-t-il se passer maintenant ?
RDB : SRC Security se base sur le "concept d'exécution des tests d'intrusion" de l'Office fédéral de la sécurité des technologies de l'information, ou BSI, pour les pentests. Avec ce test réalisé avec succès, nous sommes donc bien préparés pour demander l'année prochaine une certification BSI et nous faire confirmer quasi officiellement la sécurité de notre logiciel. Les institutions publiques ainsi que de nombreuses grandes entreprises attachent de l'importance à une telle certification ou l'attendent même. C'est donc un avantage important face à la concurrence, même au niveau international, car la certification BSI est reconnue entre autres en France, en Grande-Bretagne, au Canada, en Espagne, en Israël et en Turquie.
SeaTable a été développé par une entreprise chinoise dont les propriétaires sont également impliqués dans votre entreprise. Les connexions avec la Chine sont aujourd'hui regardées d'un œil critique, en particulier lorsqu'il s'agit de la protection de données sensibles et de la propriété intellectuelle. Comment gérez-vous cela ?
RDB : Notre partenariat avec Seafile Ltd, l'entreprise qui développe SeaTable, n'est pas un secret et figure également sur notre site web. Nous communiquons également ce point de manière proactive lors des entretiens avec les clients. Nous connaissons nos partenaires depuis plusieurs années déjà et avons établi des relations de confiance. Mais comme nous l'avons dit, nous prenons la protection des données de nos clients très au sérieux. L'administration de notre service cloud est exclusivement assurée par nos administrateurs européens. Seafile Ltd et ses employés n'ont pas accès au système. Nous ne transférons pas de données hors d'Europe et encore moins en Chine. Il n'en va pas de même avec un service américain. Et pour ceux qui auraient encore des doutes, SeaTable peut être hébergé sans problème sur leurs propres serveurs.
Conclusion
La simulation de cyber-attaque a confirmé que SeaTable est une application avec un niveau de sécurité élevé. Les cas d'application concrets sont presque illimités - que ce soit comme bugtracker, feuille de route informatique ou système de ticketing. Essayez-le sans engagement et inscrivez-vous gratuitement.
"*" indique les champs obligatoires
