Comment sécuriser votre compte ISMS Copilot
Aperçu
La sécurisation de votre compte ISMS Copilot protège vos données de conformité sensibles, les informations de vos clients et l'historique de vos conversations. Ce guide vous explique comment choisir la méthode d'authentification appropriée, configurer les paramètres de sécurité et suivre les meilleures pratiques pour protéger votre compte.
À qui s'adresse cet article
Cet article s'adresse aux :
Nouveaux utilisateurs configurant leur compte ISMS Copilot
Professionnels soucieux de la sécurité gérant des données sensibles
Consultants en conformité gérant plusieurs projets clients
Toute personne souhaitant améliorer la sécurité de son compte
Avant de commencer
Ce dont vous aurez besoin
Une adresse e-mail active pour les notifications de compte
Accès à un gestionnaire de mots de passe robuste (recommandé)
Optionnel : un compte Google ou Microsoft pour l'authentification OAuth
Pour une sécurité maximale, utilisez un gestionnaire de mots de passe comme 1Password, Bitwarden ou LastPass pour générer et stocker des mots de passe uniques pour chaque service que vous utilisez.
Choisir une méthode d'authentification
ISMS Copilot propose trois méthodes d'authentification. Choisissez celle qui correspond le mieux à vos exigences de sécurité :
Option 1 : E-mail et mot de passe (Bonne sécurité)
Idéal pour :
Les utilisateurs qui préfèrent l'authentification traditionnelle
Les organisations qui n'utilisent pas Google ou Microsoft
Les utilisateurs qui souhaitent un contrôle total sur leurs identifiants
Niveau de sécurité : Bon (si vous utilisez un mot de passe robuste et unique)
Comment configurer :
Allez sur la page de connexion d'ISMS Copilot
Cliquez sur S'inscrire (Sign Up)
Saisissez votre adresse e-mail
Créez un mot de passe robuste répondant à toutes les exigences :
Minimum 8 caractères
Au moins une lettre majuscule (A-Z)
Au moins une lettre minuscule (a-z)
Au moins un chiffre (0-9)
Au moins un caractère spécial (!@#$%^&*()_+-=[]{}|;':\"<>?,./`)
Cochez la case : J'accepte les conditions générales et l'accord de traitement des données
Cliquez sur Créer un compte (Create account)
Résultat attendu : « Succès ! Veuillez vérifier votre boîte de réception pour confirmer votre compte. »
Ne réutilisez jamais vos mots de passe sur différents services. Si un service est compromis, des attaquants pourraient accéder à tous vos comptes utilisant le même mot de passe. Utilisez toujours un mot de passe unique pour ISMS Copilot.
Option 2 : Google OAuth (Meilleure sécurité)
Idéal pour :
Les utilisateurs disposant de comptes Google Workspace ou Gmail
Les organisations utilisant déjà Google pour l'authentification
Les utilisateurs souhaitant activer la validation en deux étapes de Google
Niveau de sécurité : Meilleur (surtout si la validation en deux étapes de Google est activée)
Comment configurer :
Allez sur la page de connexion d'ISMS Copilot
Cliquez sur Continuer avec Google
Sélectionnez votre compte Google
Examinez la demande d'autorisations
Cliquez sur Autoriser pour accorder l'accès
Résultat attendu : Vous êtes automatiquement connecté et redirigé vers la page d'accueil d'ISMS Copilot.
Lorsque vous utilisez Google OAuth, ISMS Copilot ne voit ni ne stocke jamais votre mot de passe Google. L'authentification est entièrement gérée par Google, et vous pouvez révoquer l'accès à tout moment via les paramètres de votre compte Google.
Option 3 : Microsoft/Azure OAuth (Meilleure sécurité)
Idéal pour :
Les utilisateurs disposant de comptes Microsoft 365 ou Microsoft Entra ID (Azure AD)
Les grandes entreprises utilisant l'authentification Microsoft
Les utilisateurs souhaitant tirer parti de l'authentification multifacteur de Microsoft
Niveau de sécurité : Meilleur (surtout si la MFA de Microsoft est activée)
Ce qu'ISMS Copilot demandera
Lorsque vous vous connectez avec Microsoft, ISMS Copilot ne demande que trois périmètres de connexion standard :
openid — identité de connexion
email — votre adresse e-mail professionnelle
profile — votre nom et les informations de base de votre profil
ISMS Copilot ne demande pas l'accès aux boîtes aux lettres, aux fichiers, aux calendriers ou à toute autre donnée Microsoft 365.
Comment configurer — locataires standard
Allez sur la page de connexion d'ISMS Copilot
Cliquez sur Continuer avec Microsoft
Saisissez votre e-mail et votre mot de passe Microsoft
Répondez aux éventuels défis MFA s'ils sont activés
Examinez la demande d'autorisations et cliquez sur Accepter pour accorder l'accès
Comment configurer — locataires d'entreprise où le consentement de l'utilisateur est désactivé
Certains locataires Microsoft Entra désactivent le consentement OAuth de l'utilisateur final par politique de sécurité. Si vos utilisateurs ne voient aucun écran de consentement (ou cliquent sur Accepter et rien ne se passe), un administrateur de votre organisation doit accorder le consentement pour l'ensemble du locataire une seule fois. Il s'agit d'une action ponctuelle qui permet à tout votre locataire d'utiliser ISMS Copilot.
Un administrateur de locataire Microsoft Entra de votre organisation ouvre cette URL, connecté en tant qu'administrateur, examine les autorisations et approuve :
https://login.microsoftonline.com/{your-tenant-id-or-domain}/adminconsent?client_id={our-client-id}
Après approbation, toute personne de votre locataire autorisée à accéder à ISMS Copilot pourra utiliser Continuer avec Microsoft sans voir d'écran de consentement individuel.
Si vous avez besoin de cette URL pré-remplie pour votre locataire, contactez [email protected].
Documentation officielle de Microsoft pour le flux de consentement de l'administrateur : https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent
Note pour les administrateurs informatiques : Lors de l'examen du consentement, vous pourriez voir un avertissement « éditeur non vérifié ». ISMS Copilot est en train de compléter le programme d'éditeur vérifié de Microsoft. Les autorisations réelles accordées restent limitées à openid, email et profile, quel que soit le statut de vérification de l'éditeur.
Vous configurez le SSO pour toute votre organisation ? Consultez Configuration du SSO Microsoft pour votre organisation (consentement de l'administrateur Azure).
Comparaison de sécurité
Méthode | Niveau de sécurité | Prise en charge MFA | Meilleur cas d'utilisation |
|---|---|---|---|
E-mail et mot de passe | Bon | Non (natif) | Préférence pour l'authentification traditionnelle |
Google OAuth | Meilleur | Oui (via Google) | Utilisateurs de Google Workspace |
Microsoft OAuth | Meilleur | Oui (via Microsoft) | Utilisateurs Microsoft 365 / Azure AD |
Activer l'authentification multifacteur (MFA)
ISMS Copilot n'a pas de MFA natif, mais vous pouvez ajouter cette couche de sécurité via les fournisseurs OAuth.
Pour les utilisateurs de Google OAuth
Allez sur https://myaccount.google.com/security
Trouvez la section Validation en deux étapes
Cliquez sur Commencer
Choisissez votre méthode de validation :
Application Google Authenticator (la plus sécurisée)
Message SMS (moins sécurisé mais pratique)
Appel téléphonique
Clé de sécurité (jeton matériel - sécurité maximale)
Suivez les instructions de configuration de Google
Enregistrez les codes de secours dans un endroit sûr
Résultat attendu : À chaque fois que vous vous connectez à ISMS Copilot avec Google, vous devrez fournir votre deuxième facteur.
Pour les utilisateurs de Microsoft OAuth
Allez sur https://account.microsoft.com/security
Cliquez sur Options de sécurité avancées
Trouvez Vérification en deux étapes
Cliquez sur Configurer la vérification en deux étapes
Choisissez votre méthode de validation :
Application Microsoft Authenticator (la plus sécurisée)
Message SMS
Appel téléphonique
Clé de sécurité (FIDO2) (sécurité maximale)
Suivez les instructions de configuration de Microsoft
Enregistrez les codes de récupération dans un endroit sûr
Résultat attendu : À chaque fois que vous vous connectez à ISMS Copilot avec Microsoft, vous devrez fournir votre deuxième facteur.
L'activation de la MFA sur votre fournisseur OAuth ajoute une couche de sécurité critique à votre compte ISMS Copilot. Même si quelqu'un vole votre mot de passe, il ne pourra pas accéder à votre compte sans votre deuxième facteur.
Meilleures pratiques de sécurité des mots de passe
Créer un mot de passe robuste
Si vous utilisez l'authentification par e-mail et mot de passe, suivez ces directives :
À faire :
Utilisez au moins 12 à 16 caractères (plus c'est long, mieux c'est)
Utilisez un gestionnaire de mots de passe pour générer des mots de passe aléatoires
Créez un mot de passe unique pour ISMS Copilot (ne le réutilisez jamais)
Incluez des majuscules, des minuscules, des chiffres et des caractères spéciaux
Utilisez des phrases secrètes : « Compliance!Audit@2024#ISO27001 » (facile à mémoriser, difficile à craquer)
À ne pas faire :
Utiliser des informations personnelles (nom, date de naissance, nom de l'entreprise)
Utiliser des mots ou des motifs courants (« Password123! »)
Réutiliser des mots de passe d'autres services
Partager votre mot de passe avec des collègues
Écrire des mots de passe sur des post-it ou dans des fichiers non chiffrés
Les motifs de mots de passe courants comme « Password123! » ou « Welcome2024! » sont les premières combinaisons essayées par les attaquants. Ces mots de passe peuvent être craqués en quelques secondes à l'aide d'outils automatisés.
Processus de réinitialisation du mot de passe
Si vous oubliez votre mot de passe ou si vous soupçonnez qu'il a été compromis :
Allez sur la page de connexion d'ISMS Copilot
Cliquez sur Mot de passe oublié ? (Forgot your password?)
Saisissez votre adresse e-mail enregistrée
Cliquez sur Envoyer le lien de réinitialisation
Vérifiez votre boîte de réception pour un message de réinitialisation
Cliquez sur le lien de réinitialisation dans l'e-mail (valable 24 heures)
Saisissez un nouveau mot de passe robuste
Cliquez sur Réinitialiser le mot de passe
Résultat attendu : « Mot de passe réinitialisé avec succès. Vous pouvez maintenant vous connecter avec votre nouveau mot de passe. »
L'envoi d'e-mails pour les réinitialisations de mot de passe et la vérification a été considérablement amélioré. Vous devriez recevoir l'e-mail en quelques minutes. Si vous ne le voyez pas, vérifiez votre dossier spam/courrier indésirable.
Configurer la rétention des données
Contrôlez la durée de conservation de vos données de conversation pour équilibrer les besoins de sécurité et de conformité.
Définir votre période de rétention
Cliquez sur l'icône du menu utilisateur (coin supérieur droit)
Sélectionnez Paramètres (Settings)
Dans le champ Période de rétention des données (Data Retention Period), choisissez :
Rétention courte (1-30 jours) : Pour les travaux temporaires hautement sensibles
Rétention moyenne (90-365 jours) : Pour la plupart des projets de conformité
Rétention longue (1-7 ans) : Pour les projets nécessitant des archives à long terme
Conserver indéfiniment (Keep Forever) : Pour une base de connaissances organisationnelle permanente
Cliquez sur Enregistrer les paramètres (Save Settings)
Résultat attendu : La boîte de dialogue des paramètres se ferme et la période de rétention est enregistrée.
Les données plus anciennes que votre période de rétention sont automatiquement supprimées chaque jour. Cette suppression est permanente et irréversible. Définissez soigneusement les périodes de rétention en fonction de vos exigences de conformité et juridiques.
Recommandations de rétention par cas d'utilisation
Cas d'utilisation | Rétention recommandée | Justification |
|---|---|---|
Projets de conseil temporaires | 90-180 jours | Conserver les données jusqu'à la fin du projet plus une marge |
Audits de conformité annuels | 365-730 jours | Conserver les preuves jusqu'à l'audit de l'année suivante |
Travaux hautement confidentiels | 30-60 jours | Réduire la fenêtre d'exposition des données sensibles |
Base de connaissances organisationnelle | Conserver indéfiniment | Développer les connaissances institutionnelles au fil du temps |
Mise en œuvre d'ISO 27001 | 2-3 ans | Couvrir la certification initiale + la première recertification |
Sécurité des sessions
Fonctionnement des sessions
Lorsque vous vous connectez à ISMS Copilot :
Un JWT (JSON Web Token) sécurisé est généré
Le jeton est stocké dans le stockage de session (session storage) de votre navigateur
Chaque requête vers ISMS Copilot inclut ce jeton
Les jetons expirent automatiquement après une période d'inactivité
La fermeture de votre navigateur vide le stockage de session
Se déconnecter en toute sécurité
Cliquez sur l'icône du menu utilisateur (coin supérieur droit)
Sélectionnez Se déconnecter (Logout) dans le menu déroulant
Vous serez redirigé vers la page de connexion
Résultat attendu : Votre jeton de session est effacé et vous devez vous reconnecter pour accéder à ISMS Copilot.
Déconnectez-vous toujours lorsque vous utilisez des ordinateurs partagés ou publics. Toute personne accédant à l'ordinateur après vous pourrait accéder à votre compte ISMS Copilot si vous restez connecté.
Meilleures pratiques de session
Ne laissez pas ISMS Copilot ouvert sans surveillance sur des ordinateurs partagés
Fermez votre navigateur une fois terminé sur des réseaux WiFi publics
Videz périodiquement le cache de votre navigateur
Utilisez le mode navigation privée lors d'un accès depuis des appareils partagés
Sécurité des espaces de travail (Workspaces)
Pourquoi les espaces de travail sont importants pour la sécurité
Les espaces de travail assurent l'isolation des données pour différents projets ou clients :
Chaque espace de travail a un historique de conversation distinct
Les fichiers téléchargés sont liés à des espaces de travail spécifiques
Les instructions personnalisées restent au sein de chaque espace de travail
La suppression d'un espace de travail supprime toutes les données associées
Pratiques sécurisées pour les espaces de travail
Pour les consultants en conformité :
Créez un espace de travail par client
Nommez les espaces de travail de manière claire mais évitez d'inclure des identifiants clients sensibles
Définissez des périodes de rétention spécifiques à l'espace de travail correspondant aux contrats clients
Supprimez les espaces de travail à la fin des projets
Pour les organisations :
Créez des espaces de travail par projet, département ou cadre de référence
Limitez les personnes ayant accès aux informations sensibles de l'espace de travail
Documentez la structure de l'espace de travail dans votre inventaire de données
Archivez ou supprimez régulièrement les projets terminés
Utilisez des noms d'espaces de travail descriptifs mais non sensibles. Au lieu de « Acme Corp - Audit financier 2024 », utilisez « Client A - Projet ISO 27001 » pour réduire l'exposition si votre écran est visible par d'autres.
Supprimer un espace de travail
Allez sur la page Espaces de travail (Workspaces)
Trouvez l'espace de travail que vous souhaitez supprimer
Cliquez sur le bouton Supprimer (Delete) sur la carte de l'espace de travail
Une boîte de dialogue de confirmation apparaît : « Êtes-vous sûr ? »
Cliquez sur Supprimer (Delete) pour confirmer
Résultat attendu : L'espace de travail ainsi que toutes ses conversations, fichiers et instructions personnalisées sont définitivement supprimés.
La suppression d'un espace de travail est immédiate et définitive. Exportez toutes les données importantes avant de supprimer un espace de travail. Cette action est irréversible.
Paramètres de sécurité du navigateur
Configuration recommandée du navigateur
Gardez votre navigateur à jour :
Activez les mises à jour automatiques du navigateur
Utilisez les versions actuelles de Chrome, Firefox, Safari ou Edge
Évitez les navigateurs obsolètes (Internet Explorer, anciennes versions de Safari)
Paramètres de confidentialité :
Activez « Do Not Track » (Ne pas me pister) dans les paramètres du navigateur
Bloquez les cookies tiers
Effacez périodiquement les données de navigation
Utilisez le mode HTTPS uniquement si disponible
Extensions et modules complémentaires :
N'installez que des extensions de navigateur de confiance
Examinez attentivement les autorisations des extensions
Désactivez ou supprimez les extensions inutilisées
Soyez prudent avec les extensions qui modifient les pages Web
Sécurité du réseau
Réseaux sûrs pour ISMS Copilot
Réseaux recommandés :
Le WiFi sécurisé de votre organisation
Votre WiFi domestique (avec chiffrement WPA3 ou WPA2)
Connexion de données mobiles (4G/5G)
Connexion VPN de confiance
Réseaux à éviter :
WiFi public dans les cafés, aéroports ou hôtels (sauf si vous utilisez un VPN)
Réseaux ouverts sans mot de passe
Réseaux aux noms suspects ou inconnus
Ordinateurs publics dans les cybercafés ou les bibliothèques
Les réseaux WiFi publics peuvent être surveillés par des attaquants. Bien qu'ISMS Copilot utilise le chiffrement HTTPS, évitez d'accéder à des données de conformité sensibles sur des réseaux publics, sauf si vous utilisez un VPN de confiance.
Utiliser un VPN
Si vous devez accéder à ISMS Copilot sur des réseaux publics :
Utilisez un service VPN de réputation (NordVPN, ExpressVPN, ProtonVPN)
Connectez-vous au VPN avant d'ouvrir ISMS Copilot
Vérifiez que la connexion VPN est active (cherchez l'icône VPN)
Accédez normalement à ISMS Copilot
Déconnectez-vous et déconnectez le VPN une fois terminé
Reconnaître les menaces de sécurité
Attaques par hameçonnage (Phishing)
Signes d'avertissement d'e-mails de phishing :
L'e-mail de l'expéditeur ne correspond pas au domaine @ismscopilot.com
Langage urgent incitant à une action immédiate
Liens suspects (survolez pour prévisualiser l'URL avant de cliquer)
Demandes de mot de passe ou d'informations de paiement
Mauvaise grammaire ou fautes d'orthographe
Salutations génériques (« Cher utilisateur » au lieu de votre nom)
ISMS Copilot ne vous demandera JAMAIS de fournir votre mot de passe par e-mail, téléphone ou chat. Toute demande de ce type est une tentative de hameçonnage. Signalez-la immédiatement et ne répondez pas.
Que faire si vous soupçonnez du phishing
Ne cliquez sur aucun lien dans l'e-mail suspect
Ne téléchargez aucune pièce jointe
Ne répondez pas à l'e-mail
Transférez l'e-mail au support d'ISMS Copilot
Supprimez l'e-mail de votre boîte de réception
Si vous avez cliqué sur un lien, changez immédiatement votre mot de passe
Surveillance du compte
Contrôles de sécurité réguliers
Effectuez ces contrôles mensuellement :
Examinez vos espaces de travail : Vérifiez l'absence d'espaces de travail ou de conversations inconnus
Auditez l'historique des conversations : Recherchez des messages que vous n'avez pas envoyés
Vérifiez les paramètres du compte : Assurez-vous que l'adresse e-mail et la période de rétention n'ont pas changé
Examinez les informations de facturation : Les utilisateurs Premium doivent vérifier le statut de leur abonnement
Signes d'accès non autorisé
Contactez immédiatement le support si vous remarquez :
Des espaces de travail que vous n'avez pas créés
Des conversations ou des messages que vous ne reconnaissez pas
Des modifications des paramètres du compte que vous n'avez pas effectuées
Des e-mails de réinitialisation de mot de passe inattendus
Des notifications de connexion provenant de lieux inconnus (si implémenté)
Réponse aux incidents
Si votre compte est compromis
Changez immédiatement votre mot de passe
Utilisez le processus de réinitialisation de mot de passe
Créez un nouveau mot de passe unique
Examinez l'activité du compte
Vérifiez tous les espaces de travail pour détecter des modifications non autorisées
Examinez l'historique des conversations
Vérifiez les fichiers téléchargés
Contactez le support d'ISMS Copilot
Signalez l'incident de sécurité
Demandez les journaux d'audit si disponibles
Suivez les conseils de remédiation du support
Informez les parties concernées
Si des données clients ont pu être consultées, informez les clients
Documentez l'incident pour vos dossiers de conformité
Suivez les procédures de réponse aux incidents de votre organisation
Si vous découvrez une violation de données impliquant des informations clients, vous pouvez avoir des obligations légales de la signaler en vertu du RGPD ou d'autres réglementations. Consultez immédiatement votre équipe juridique ou de conformité.
Liste de contrôle de sécurité
Configuration initiale
✓ Choisir la méthode d'authentification (OAuth avec MFA recommandé)
✓ Créer un mot de passe robuste et unique (si vous utilisez l'authentification par e-mail)
✓ Vérifier l'adresse e-mail
✓ Activer la MFA sur le fournisseur OAuth
✓ Définir une période de rétention des données appropriée
✓ Examiner et accepter la politique de confidentialité
Sécurité continue
✓ Se déconnecter sur les ordinateurs partagés
✓ Éviter le WiFi public sans VPN
✓ Garder le navigateur à jour
✓ Examiner l'activité du compte mensuellement
✓ Supprimer les espaces de travail terminés
✓ Mettre à jour les mots de passe trimestriellement (authentification par e-mail)
✓ Être vigilant face aux tentatives de phishing
Limitations
Fonctionnalités non disponibles actuellement
Authentification multifacteur native (utilisez les fournisseurs OAuth à la place)
Tableau de bord de gestion des sessions (impossible de voir les sessions actives)
Alertes de connexion pour les nouveaux appareils ou lieux
Liste blanche d'adresses IP
Prise en charge des clés de sécurité matérielles (FIDO2/WebAuthn)
Authentification unique (SSO/SAML) pour les entreprises
Et ensuite ?
En savoir plus sur l'architecture de sécurité d'ISMS Copilot
Comprendre vos droits RGPD et la confidentialité des données
Configurer des espaces de travail pour l'isolation des données
Consultez le Trust Center pour une documentation détaillée sur la sécurité
Obtenir de l'aide
Si vous avez besoin d'une assistance en matière de sécurité :
Contactez le support via le menu du Centre d'aide
Pour les incidents de sécurité suspectés, marquez votre message comme urgent
Pour les réinitialisations de mot de passe, utilisez le lien « Mot de passe oublié ? »
Consultez la Page de statut pour les problèmes de service