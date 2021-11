Décideurs Juridiques. Le niveau de sécurité informatique est la préoccupation numéro un des potentiels utilisateurs de solutions liant droit et technologie. Qu’est-ce que cela signifie pour vous ?

Alexandre Grux. Je le comprends tout à fait, surtout que les contrats synthétisent la majeure partie de la valeur d’une entreprise. Les entreprises ont le sentiment que les données ne sont bien protégées que lorsqu’elles sont hébergées chez elles, mais qu’il est risqué de les confier à un tiers. Cela peut s’expliquer par une méconnaissance de l’évolution des technologies en matière de sécurité et on le comprend ! Les équipes juridiques sont assez peu équipées de solutions SaaS aujourd'hui. Le travail d’’appropriation de ces outils qui a eu lieu il y a quelques années pour les commerciaux avec les CRM, reste à faire avec les juristes. C’est une des raisons pour lesquelles nous avons décidé de nous lancer dans une démarche de certification Afnor.

C’est-à-dire ?

Alors que nous exercions dans le secteur de la fintech, mon associé Alexis et moi étions habitués à nous adresser à des experts de la protection des données sensibles. Ils n’achetaient notre produit qu’en fin de parcours, après avoir déterminé leurs besoins. Les juristes, eux, raisonnent différemment. Ils recherchent des solutions informatiques très tôt dans la stratégie de numérisation de leurs méthodes de travail. Et comme ils craignent de voir leurs données exposées à des attaques, nous avons fait certifier Hyperlex pour attester des standards élevés et expérimentés que nous appliquons.

Que vous a-t-il fallu faire pour obtenir la certification ISO/IEC 27001:2013 ?

Le processus est long. Il débute par un pré-audit qui nous permet de savoir si nous sommes suffisamment avancés pour prétendre à la certification. Car les résultats sont binaires : soit on est certifiés, soit on ne l’est pas. Il n’y a pas de niveau intermédiaire. Résultat, nous sommes l’une des rares start-up du droit à bénéficier de cette certification et de son extension relative au RGPD Certaines entreprises mettent en avant une certification ISO, mais la majeure partie du temps c’est celle de leur hébergeur (Amazon, Google, OVH…).

Nous nous sommes pliés durant une semaine au contrôle de deux auditeurs. Ces derniers ont cherché les preuves que nous respections l’ensemble des attentes de la norme, à savoir les sauvegardes, les limitations daccès aux données des clients, les espaces informatiques de production, les systèmes d’alarme, le niveau de protection de nos locaux, le processus de recrutement, la tenue de pen tests, les vérifications de la sécurisation de nos prestataires…). Cette revue aura lieu tous les ans dans une démarche d’amélioration continue.

Quels sont les choix faits par Hyperlex en matière de sécurité informatique ?

Nous avons choisi un logiciel en mode SaaS dans le cloud car nous pensons que c’est une réponse moderne aux besoins de nos clients qui souhaitent travailler partout et tout le temps. C’est aussi une démarche dont le coût financier est partagé par tous les utilisateurs d’Hyperlex. Notre spécificité réside dans la gestion des chiffrements (on parle de "bring your own key"). Ces clés ne sont pas stockées au même endroit que les autres données. Nos clients peuvent les stocker chez eux, ce qui intéresse notamment les banques qui peuvent nous retirer l’accès à tout moment. Par ailleurs, notre cloud est entièrement basé en Europe, dans plusieurs sites d’hébergement : Bruxelles, Amsterdam et Hamina en Finlande. Cela nous protège par exemple des incendies, même s’ils sont graves et concomitants.

Hyperlex a été choisi par la Chambre des notaires de Paris qui organise le déploiement de l’intelligence artificielle grâce au projet VictorIA. À quelles contraintes avez-vous dû vous plier ?

Pour les notaires, comme pour tous nos clients, nous réalisons des pen tests deux fois par an, peut-être plus fréquemment à l’avenir, la logique étant de dire que nous sommes transparents sur nos forces et nos faiblesses et que nous avons une marge de progression. Nous considérons les notaires comme tous nos clients en matière de sécurité, avec la même rigueur. En revanche, les notaires sont probablement parmi les plus technophiles des professionnels du droitpour ce qui est de la sécurité informatique quand bien même ils ne sont pas aussi exigeants que les banques comme Société générale et Crédit mutuel Arkéa ou les grandes entreprises comme TotalEnergies avec lesquelles nous travaillons aussi.

Selon vous, faut-il développer les fonctionnalités avec les clients ou leur fournir un service clé en main ?

Les directions juridiques passent souvent de l’absence totale d’outils à l’achat d’outils, ce qui est particulièrement admirable. Afin de ne pas créer de déception, nous avons fait le choix de proposer une offre standard, qui se base sur la synthèse de tout ce que nous proposons à nos clients, et de rendre cette offre paramétrable. Ensuite, pour sortir de nouveaux produits, nous sondons nos utilisateurs pour réaliser un travail de co-conception. Finalement, le plus important réside dans l’accompagnement du travail de séquençage de l’organisation ciblée jusqu’au déploiement de la solution sous forme de workshop et de formations internes. Pour cela, nos équipes sont constituées de juristes et de project managers.

La legaltech est aussi critiquée pour son manque de transversalité. Qu’en pensez-vous ?

Tout dépend de la nature des solutions. Certaines sont très spécifiques et les étendre à d’autres départements est très difficile. De notre côté, nous avons abordé la solution de façon différente : le contrat n’est pas qu’une affaire de juristes, il n’est qu’une étape dans la réalisation de partenariats. Il faut donc que notre produit s’adapte aux autres équipes (achats, finance, commercial, compliance…). C’est le cas en pratique puisque les juristes ne représentent qu’une petite partie seulement de nos utilisateurs. Nous avons travaillé sur un outil pas trop spécifique, ce qui ne nous empêche pas d’avoir des fonctionnalités destinées aux juristes comme un clausier et des recherches propres à ce métier.

Et que pouvez-vous nous dire sur le manque d’interopérabilité avec les logiciels déjà utilisés par les juristes ?

L’essentiel est de percevoir le problème dans son ensemble grâce à la compréhension de ce dont le client a besoin. L’interopérabilité permet d’attirer d’autres départements que la seule direction juridique qui a fait appel à nos services et de les amener à adopter le produit choisi par l’équipe juridique. Raison pour laquelle Hyperlex est intégré avec les logiciels les plus répandus comme Salesforce. Cela a représenté un important investissement, mais il en valait la peine.



Propos reccueillis par Pascale D'Amore