Box est né dans le cloud et a ainsi appliqué une approche très rigoureuse de security by design. « Tout le développement de la plateforme a été réfléchi et conçu en prenant en compte nativement différents niveaux de sécurité, et ce, quels que soient les utilisateurs internes et/ou externes, c’est important de tous les protéger », confirme Rodolphe Barnault, vice-président régional pour l’Europe du Sud, Moyen-Orient et Afrique de Box. La sécurité passe ainsi par l’authentification forte (multi-facteurs) notamment pour lutter contre le phishing ; elle passe aussi par l’encryption des données pour garantir leur intégrité. Et pour éviter la fuite des informations, Box applique même des filigranes dynamiques. A ce titre, l’équipementier sportif Nike a réduit le risque de fuites de données et de perte de millions de dollars de chiffre d'affaires grâce à des conceptions de produits filigranées. L’éditeur Box va plus loin depuis plus d’un an avec l’intégration de Box Shield permettant de mieux analyser les comportements des utilisateurs. Si la fonction de Box Shield est de surveiller les utilisateurs malveillants comme l’employé renvoyé de l’entreprise qui souhaite s’emparer de la propriété intellectuelle, ce dispositif a aussi un rôle pédagogique en expliquant à un utilisateur pourquoi il n’a pas tous les droits sur un document sensible comme par l’exemple son envoi vers un destinataire externe. Pour comprendre les différents comportements des utilisateurs ou analyser le contenu confidentiel d’un document, Box Shield s’aide de l’intelligence artificielle et du machine learning. Dans tous les cas, pour tout usage suspect ou une activité anormale, Box générera une alerte. A noter que les alertes peuvent être traitées par des solutions tierces de SIEM et de CASB afin d'obtenir une vue unifiée. En outre, la plateforme Box définit sept niveaux d’accès aux différents contenus pour l’utilisateur, ce que Box nomme les autorisations granulaires.

Box conforme aux réglementations en vigueur

Le dispositif de sécurité dans Box s’accompagne aussi d’un volet réglementaire et de conformité. Nommé Box Governance, ce service applique, entre autres, des règles de rétention permettant de conserver des contrats pour une durée déterminée et d’assurer que personne ne puisse supprimer les documents concernés y compris les administrateurs. Box Governance assure aussi une suppression automatique des informations à partir du moment où leur rétention a expiré. « Un candidat, qui a préalablement envoyé son  CV à une entreprise, n’a pas été retenu, Box va automatiquement procéder à sa suppression », donne en exemple Rodolphe Barnault. Box Governance répond entre autres aux exigences de la RGPD. « Nous pouvons identifier les informations qui contiennent des données personnelles, les classer et les supprimer », précise le vice-président régional pour l’Europe du Sud, Moyen-Orient et Afrique. Ce combo Box Shield et Box Governance est renforcé par la souveraineté des données portée par l’éditeur, lequel garantit aussi le stockage des informations dans des datacenters européens pour les entreprises qui le souhaitent. A ce titre, le groupe français de spiritueux Rémy Cointreau avait demandé à l’éditeur que les données soient hébergées en Europe afin de réponde aux exigences du RGPD.