Intégrations plus sécurisées pour Workplace

Workplace a modifié les Conditions générales de la plate-forme pour garantir la sécurité des intégrations qui utilisent les API de la plate-forme Workplace.

Remarque : ces informations s’appliquent aux clients dont les intégrations sont hébergées et exploitées par un développeur tiers. Pour obtenir de l’aide sur le contenu de cet article, contactez le service d’assistance de Workplace.

La protection des informations personnelles est une des priorités de Workplace. Afin de fournir à nos clients un espace de travail sûr et sécurisé, nous devons nous assurer qu’au-delà de Workplace, tous les développeurs de notre plate-forme respectent nos standards de sécurité les plus stricts. C’est pourquoi, en mai 2019, nous avons annoncé la modification des Conditions générales de notre plate-forme : les développeurs tiers devront se soumettre à un processus d’examen évolutif pour maintenir leur accès aux API de Workplace et pouvoir proposer leurs intégrations aux clients de Workplace. Nous travaillons depuis lors en étroite collaboration avec les développeurs pour les aider à se conformer à nos standards et à notre processus d’examen évolutif plus stricts.

À compter du 16 décembre 2019, dans le but de renforcer la sécurité de notre plate-forme, nous commencerons à supprimer l’accès aux intégrations qui n’ont pas été validées par notre nouveau processus d’examen.

Vous avez peut-être reçu des messages sur Workplace depuis le 1er septembre 2019 vous informant que certaines de vos intégrations requéraient votre attention. Vous trouverez sur cette page toutes les ressources nécessaires pour prendre les mesures requises.

Quels types d’intégrations sont disponibles sur Workplace ?

Aujourd'hui, il existe deux méthodes pour associer une intégration à Workplace : nous les appelons « intégrations personnalisées » et « intégrations tierces ».

  • Intégration personnalisée : avec cette méthode d'installation d'intégration, vous (ou un autre administrateur de votre instance Workplace) créez une intégration à partir du Panneau d'administration. Pour créer une intégration de ce type à partir du Panneau d'administration, il faut passer par des étapes de sélection d’autorisations pour l'intégration, puis générer un token d'accès (c'est-à-dire une longue chaîne de lettres et de chiffres, telle une clé ou un mot de passe) qui est ensuite copié et collé dans une intégration que vous avez développée en interne ou par le biais d’un développeur. Seules les intégrations créées par vous-même ou en votre nom (un logiciel personnalisé, par exemple), réservées à votre utilisation exclusive et exploitées (hébergées et exécutées) dans un environnement que vous contrôlez peuvent être installées en tant qu'intégrations personnalisées.
  • Intégration tierce : avec ce type d’installation d’intégration, vous vous rendez dans notre annuaire des intégrations ou sur le site web d’une autre société pour installer une intégration, sans créer un token d’accès ni l’envoyer à quiconque. Dans le cadre du processus d'installation, un écran de consentement liste les autorisations d'accès de l'intégration tierce et vous invite à les accepter. Toutes les intégrations proposées par des développeurs tiers (telles que des logiciels non personnalisés, même si certains aspects sont personnalisés) et exploitées (hébergées et exécutées) dans un environnement que vous ne maîtrisez pas complètement doivent être installées en tant qu'intégrations tierces.

À l'heure actuelle, nous savons que des intégrations sur Workplace sont installées en tant qu'intégrations personnalisées alors qu’elles devraient plutôt l’être en tant qu'intégrations tierces, car elles sont hébergées ou exécutées par des développeurs tiers. Le nouveau processus d’examen est destiné aux intégrations tierces et non aux intégrations personnalisées. Il est donc important que toutes les intégrations soient classées dans la bonne catégorie. Si nous pensons qu'une intégration installée en tant qu'intégration personnalisée devrait plutôt l’être en tant qu'intégration tierce, celle-ci sera traitée comme une intégration tierce, et nous commencerons à supprimer son accès si elle n’est pas validée par notre processus d’examen d’ici le 16 décembre 2019.

Pourquoi est-ce que je vois ce message concernant des « intégrations qui n’ont pas été vérifiées par notre processus d’examen mis à jour » ?

Nous pensons qu’une ou plusieurs des intégrations que vous utilisez se situent en dehors du champ d’application des nouvelles Conditions générales de notre plate-forme. Cela peut être dû aux raisons suivantes :

  • Vous utilisez une intégration tierce qui n’a pas été validée par notre processus d’examen (pour en savoir plus, voir la section « Une intégration n’a pas été validée par le nouveau processus d’examen. Qu’est-ce que cela signifie ? »).
  • Vous utilisez une intégration installée en tant qu'intégration personnalisée alors qu’elle devrait être installée en tant qu'intégration tierce, et qui n'a pas encore été validée par notre processus d’examen obligatoire.

Que dois-je faire ensuite ?

Vous pouvez choisir de continuer d’utiliser les intégrations qui n’ont pas été validées jusqu’au 16 décembre 2019. Passé cette date, nous commencerons à supprimer l’accès aux intégrations qui n’auront pas été validées par notre nouveau processus d’examen. Vous trouverez ci-dessous un calendrier des évènements clés, ainsi que les mesures correspondantes que vous pouvez prendre :

  • À partir du 1er septembre 2019 : nous enverrons un premier rappel aux administrateurs qui gèrent des instances comportant des intégrations tierces qui n'ont pas encore été validées (y compris des intégrations installées en tant qu'intégrations personnalisées mais qui devraient l’être en tant qu’intégrations tierces). Les administrateurs peuvent consulter les intégrations concernées à partir de la page des intégrations du Panneau d’administration. Vous pouvez décider de continuer à utiliser ces intégrations jusqu’au 16 décembre 2019. Nous vous encourageons à contacter vos développeurs afin de savoir s’ils ont mis en place des mesures pour valider l’examen.
  • 1er octobre 2019 : toute intégration actuellement installée en tant qu'intégration personnalisée et qui, selon nous, est proposée et exploitée par un tiers, sera automatiquement désactivée, sauf si un administrateur prend les mesures nécessaires à partir du Panneau d'administration pour poursuivre son utilisation.
    Si vous remarquez qu'une intégration dont vous avez besoin a été désactivée, vous pouvez la réactiver à partir du Panneau d'administration et continuer à l’utiliser jusqu'au 16 décembre 2019. Vous devez également contacter le développeur ou l’entreprise qui vous a fourni l'intégration, ou contacter notre équipe d'assistance directe si vous estimez que l'intégration a été classée dans la mauvaise catégorie. Le fonctionnement des intégrations déjà installées en tant qu'intégrations tierces ne sera pas interrompu.
  • 16 décembre 2019 : nous commencerons à supprimer l’accès à toutes les intégrations personnalisées qui, selon nous, sont proposées et exploitées par un tiers, ainsi que toutes les intégrations tierces qui n'ont pas été validées par notre nouveau processus d’examen. Vous ne pourrez alors plus utiliser ces intégrations.

    • Vous pouvez installer une intégration similaire d’un développeur approuvé dans notre annuaire des intégrations.
    • Si vous le souhaitez, certaines intégrations ayant un accès limité à vos données peuvent faire l’objet d’une exception et continuer d’être utilisées dans votre Workplace jusqu’au 31 décembre 2020. Si vous avez des questions à ce sujet, veuillez nous contacter via l’Assistance directe avant le 15 janvier 2020.
    • Les intégrations des développeurs qui démontrent des pratiques de sécurité fiables et sont dans l’étape finale de notre processus d’examen des applications ont jusqu’au 28 février 2020* pour terminer le processus. La date limite à laquelle les développeurs doivent terminer notre processus d’examen pour chaque intégration en attente d’approbation est indiquée dans le Panneau d’administration.
    • *Mise à jour : la date limite à laquelle les développeurs doivent avoir converti les intégrations personnalisées non approuvées en applications tierces a été repoussée. Les intégrations concernées par cette modification affichent comme nouvelle date limite le 1er mai 2020.
Workplace a-t-il déjà réalisé des examens de sécurité pour les intégrations ?

Oui, la sécurité de toutes les intégrations disponibles dans notre annuaire et annoncées lors du F8 2018 a été vérifiée avant le lancement. Le processus d’examen d’applications plus strict présenté cette année est un processus d’examen évolutif officiel qui vise à élever les standards pour tous les développeurs qui participent à notre écosystème.

Mon fournisseur d’identité (IDP) fait l’objet d’un signalement. Quelle en est la cause et que puis-je faire à ce sujet ?

La plupart des intégrations IDP de Workplace ont jusqu'à présent été installées en tant qu'intégrations personnalisées. Nous travaillons actuellement avec les développeurs pour les convertir en intégrations tierces conformes. Si vous avez accès à des gestionnaires de compte auprès de ces développeurs, nous vous encourageons à les contacter pour connaître leur stratégie et leur échéancier.

Informations des administrateurs GSuite

Pour continuer à utiliser GSuite pour le provisionnement après le 16 décembre, vous devrez configurer une nouvelle façon d’importer des employé(e)s de votre entreprise dans Workplace. Pour découvrir comment faire, cliquez ici.

Une intégration n’a pas réussi le processus d’examen mis à jour. Qu’est-ce que cela signifie ?

En mai 2019, nous avons annoncé aux développeurs de la plate-forme un nouveau processus d’examen des intégrations Workplace. Ce processus d’examen présente les étapes de vérification que les intégrations tierces doivent suivre pour pouvoir être proposées aux clients de Workplace.

  • Pour toutes les intégrations, ces étapes incluent la vérification de l’entreprise, l’acceptation des Conditions générales de la plate-forme et l’examen lui-même.
  • Pour les intégrations tierces qui ont demandé à avoir accès à davantage de données, le processus d’examen inclut également un test de pénétration de tierce partie, ainsi qu’une demande d’informations de sécurité (RFI).

Si vos intégrations font l’objet d’un signalement, cela signifie qu’elles n’ont pas encore passé toutes les étapes d’examen requises.

Vous risquez de désactiver une intégration dont nous avons besoin ! Que puis-je faire ?

Nous vous recommandons d’examiner vos intégrations marquées comme « non approuvées » et qui risquent d’être désactivées à la date indiquée dans le Panneau d’administration. Si vous craignez que l’une des intégrations que vous utilisez soit désactivée, plusieurs options sont disponibles :

  • Vous pouvez installer une intégration similaire d’un développeur approuvé dans notre annuaire des intégrations.
  • Si vous le souhaitez, certaines intégrations ayant un accès limité à vos données peuvent faire l’objet d’une exception et continuer d’être utilisées dans votre Workplace jusqu’au 31 décembre 2020. Si vous avez des questions à ce sujet, veuillez nous contacter via l’Assistance directe avant le 15 janvier 2020.

Les intégrations des développeurs qui démontrent des pratiques de sécurité fiables et sont dans l’étape finale de notre processus d’examen des applications ont jusqu’au 28 février 2020* pour terminer le processus. La date limite à laquelle les développeurs doivent terminer notre processus d’examen pour chaque intégration en attente d’approbation est indiquée dans le Panneau d’administration.

*Mise à jour : la date limite à laquelle les développeurs doivent avoir converti les intégrations personnalisées non approuvées en applications tierces a été repoussée. Les intégrations concernées par cette modification affichent comme nouvelle date limite le 1er mai 2020.

Que faire si je souhaite continuer d’utiliser l’intégration après la date limite ?

Malheureusement, le 16 décembre 2019, nous commencerons à supprimer l’accès aux intégrations qui n’ont toujours pas été validées par notre processus d’examen. Nous vous recommandons de contacter le développeur afin de savoir s’il prévoit de valider l’examen avant cette date. Vous pouvez également choisir une intégration similaire d’un fournisseur approuvé dans l’annuaire des intégrations.

Nous savons que les intégrations sont importantes pour votre expérience Workplace. Si vous le souhaitez, certaines intégrations ayant un accès limité à vos données peuvent faire l’objet d’une exception et continuer d’être utilisées dans votre Workplace jusqu’au 31 décembre 2020. Si vous avez des questions à ce sujet, veuillez nous contacter via l’Assistance directe avant le 15 janvier 2020.

Je pense que vous avez marqué par erreur l’une de mes intégrations personnalisées comme étant développée ou exploitée par un tiers.

Si une intégration fait l’objet d’un signalement alors qu’elle est exploitée (hébergée et exécutée) dans un environnement que vous contrôlez, veuillez créer un ticket auprès de l’Assistance Workplace afin que nous puissions l'examiner.

Contactez l’Assistance Workplace pour toute question spécifique.

La nouvelle expérience Workplace

Pour aller plus loin