Chez monday.com, la sécurité est une priorité absolue. Nous voulons nous assurer que vous êtes en confiance lorsque vous concevez votre travail avec nous. Cet article répond aux questions sur la sécurité et la mise en application informatique de l'intégration Outlook.

 

Les bases

Qui est le développeur de l'intégration Outlook ?

Le développeur de l'intégration Outlook est monday.com.

 

L'intégration se fait entre monday.com et Microsoft. Dans quel environnement l'intégration s'exécute-t-elle ?
L'intégration fonctionne sur les serveurs de monday.com. Nous recevons des webhooks de Microsoft, exécutons une logique de notre côté, puis effectuons des appels d'API pour récupérer des données de Microsoft, envoyer des e-mails ou exécuter une action sur monday.com, comme la création d'un élément ou l'ajout d'une mise à jour (selon l'intégration).

 

Authentification

Qu'est-ce que monday.com utilise pour l'authentification ?

Nous utilisons le protocole OAuth 2.0 pour l'authentification. Grâce à OAuth 2.0, les utilisateurs peuvent autoriser des champs d'application spécifiques que l'intégration de monday.com requiert. Une fois que l'utilisateur a sélectionné des champs d'application spécifiques, un lien (à travers une poignée de main) s'établit entre Microsoft et les serveurs de monday.com pour garantir la sécurité de la transaction.

Après l'autorisation, Microsoft nous donne un jeton d'accès que nous pouvons utiliser pour effectuer des appels API au nom de l'utilisateur authentifié. Nous pouvons seulement faire des appels API qui sont dans la portée que l'utilisateur a autorisée. En utilisant les appels API, monday.com ne peut accéder qu'aux informations que l'utilisateur qui a demandé l'autorisation est autorisé à faire ou à voir dans le compte et qui se trouvent dans la portée autorisée.

 

Où puis-je en savoir plus sur OAuth 2.0 ?

Vous pouvez en savoir plus sur le protocole standard OAuth 2.0 ici.

 

Le site monday.com a-t-il accès à mon mot de passe Outlook ?

À aucun moment, monday.com n'a accès au mot de passe de l'utilisateur autorisé pour Outlook. Ces informations ne sont jamais partagées avec nous.

 

Autorisations

Pourquoi le site monday.com nécessite-t-il des autorisations complètes d'accès en lecture et en écriture ?

Nous comprenons que vous soyez inquiet de donner à une application tierce l'accès à l'ensemble de votre compte. C'est pourquoi nous voulons donner un aperçu des raisons pour lesquelles nous demandons une autorisation d'accès complet en lecture.

Les autorisations de lecture et d'écriture sont nécessaires pour le fonctionnement de l'intégration.

Nous demandons des autorisations de lecture et d'écriture pour les e-mails. Afin d'autoriser les e-mails sortants, nous devons avoir la possibilité d'envoyer des e-mails. Cela nécessite des autorisations d'écriture. Pour recevoir des courriels, nous avons besoin d'autorisations de lecture afin d'extraire les informations de monday.com et de les afficher pour vous.

 

Comment l'intégration fonctionne-t-elle exactement avec ces autorisations ?

Lorsqu'un utilisateur crée une intégration entrante, nous nous inscrivons pour être notifiés par Outlook de tous les e-mails que cet utilisateur reçoit. Ensuite, lorsqu'un e-mail est reçu, Outlook nous en informe et nous fournit l'ID du message, mais pas le message lui-même.

Pour procéder à l'intégration, la première chose à faire est d'utiliser l'ID fourni par Microsoft pour récupérer le message via l'API. Nous ne récupérons que les messages des boîtes de réception pertinentes, c'est-à-dire que nous ne récupérons pas ceux qui se trouvent dans des boîtes de réception telles que vos dossiers Spam, Messages supprimés ou Messages envoyés. Une fois que nous avons le message, nous procédons à l'exécution de l'intégration et vérifions les conditions que vous avez choisies lors de la configuration de l'intégration. En fonction de ces conditions, nous créons un élément ou une mise à jour à partir de l'e-mail. 

 

Quelle est la portée de l'accès donné à monday.com avec des autorisations complètes de lecture et d'écriture ? Est-ce que tous les e-mails de la boîte de réception sont lus par monday.com ?

S'il y est autorisé, monday.com ne peut lire que les messages contenus dans la boîte de réception de l'utilisateur qui a autorisé l'intégration, et ne le fera que dans l'une des deux situations suivantes :

1. La première situation est celle où la connexion est établie pour la première fois. À ce moment-là, monday.com récupère le dernier e-mail reçu dans votre boîte de réception Outlook pour s'assurer que la connexion a été établie avec une boîte de réception valide. Le but est de vérifier si monday.com peut récupérer un e-mail avec succès ou non. L'e-mail n'est pas utilisé ni enregistré.
2. La deuxième situation est décrite dans la réponse à la question précédente de cette section. Lorsqu'un utilisateur configure une intégration pour les e-mails entrants et autorise l'accès, monday.com récupère les e-mails de Microsoft lorsque celui-ci envoie une notification.

 

L'intégration se fait entre monday.com et Microsoft. Les données sont-elles accessibles à des tiers ?

Aucune tierce partie n'a accès aux données grâce à cette intégration.

 

Quels sont les protocoles de sécurité en place ?

Le protocole Oauth2 garantit que nous disposons d'un moyen sécurisé pour autoriser et obtenir un jeton d'accès pour l'utilisateur qui a configuré et autorisé l'intégration. Microsoft demande également à monday.com d'envoyer un segment aléatoire secret. Il s'agit d'une garantie supplémentaire, tant pour Microsoft que pour monday.com, que les demandes effectuées proviennent d'un hôte de confiance. Le jeton est enregistré dans notre gestionnaire de secrets dans AWS et n'est accessible d'aucune autre manière.

 

Comment puis-je définir des autorisations limitant les personnes qui ont la possibilité de créer une intégration ?

Pour définir des autorisations limitant les personnes pouvant créer des intégrations, consultez notre article « Comment définir les autorisations de compte ».

 

Stockage de données

Comment fonctionne l'intégration en termes de transfert de données vers et depuis monday.com et Outlook ?

L'intégration communique uniquement par le biais de l'API ; monday.com effectue des appels API vers Microsoft Graph et reçoit des notifications de Microsoft via notre API.

 

Comment fonctionne le stockage des données ?

Nous stockons le jeton d'accès dans un outil de gestion des secrets appelé Vault. Les données d'authentification (jeton d'accès) que l'outil stocke sont cryptées. Le jeton d'accès ne peut être consulté que par des demandes concernant cet utilisateur spécifique, effectuées à partir de notre serveur.

 

Les « sauvegardes » existent-elles ?

Non, nous ne disposons pas d'une base de données de sauvegarde distincte pour les données d'authentification vault.

 

Combien de temps les données liées à O365 restent-elles stockées dans monday.com ?

Il existe plusieurs types de données liées à l'application O365 qui restent sauvegardées :

• Vérification unique pour s'assurer que la connexion est valide. Il s'agit d'une vérification effectuée lors de la création de la connexion (authentification) afin de s'assurer que l'e-mail Outlook est valide. Un message est récupéré au hasard de l'API pour tester si nous recevons une réponse valide ou une erreur. Ce message n'est lu ou enregistré nulle part.
• Données d'authentification (jeton d'accès, jeton d'actualisation, nom d'affichage). Il s'agit des données utilisées pour accéder à l'API au nom de l'utilisateur. Nous obtenons ces données de Microsoft après avoir complété le protocole Oauth2 si l'utilisateur a effectivement autorisé monday.com à accéder à l'API en son nom. Ces données sont stockées dans Vault, un outil de gestion des secrets, et y restent sauvegardées sauf si l'utilisateur demande à les supprimer. Les données d'authentification expirent après un court laps de temps et doivent être constamment actualisées pour garantir que les données et l'accès sont toujours valides. En outre, l'utilisateur peut toujours révoquer la connexion dans son compte Microsoft. Voir la dernière section de cet article pour plus de détails sur la révocation de la connexion. Lorsque la connexion est révoquée, les données d'authentification enregistrées auprès de monday.com ne fonctionneront plus car elles ne seront plus valables pour accéder à l'API au nom de l'utilisateur. Cette invalidation se produit par précaution de la part de Microsoft dans divers autres cas, comme le changement de mot de passe, la déconnexion forcée, l'ajout de MFA, etc.
• Toute donnée liée à l'intégration. Toute donnée impliquée dans l'intégration, telle que le corps ou l'objet d'un e-mail que la personne qui utilise l'intégration choisit d'utiliser lors de l'activation d'une formule d'intégration, est sauvegardée en tant que donnée dans son tableau de la manière dont elle choisit de l'ajouter et sera sauvegardée dans les bases de données pour les éléments du tableau correspondants (c.-à-d. le nom de l'élément, la section des mises à jour, etc.) avec monday.com jusqu'à ce que les informations soient supprimées.

 

Révoquer l'accès

Comment puis-je révoquer l'accès de monday.com à mon compte Outlook ?

Vous pouvez, à un moment donné, révoquer l'accès de monday.com à Outlook, si vous le souhaitez. Pour révoquer l'accès, allez dans Outlook et passez en revue les applications tierces qui ont été autorisées à accéder à votre compte. Si vous révoquez l'accès de monday.com, le jeton que monday.com a enregistré ne fonctionnera plus. À partir de ce moment, monday.com ne sera plus en mesure d'effectuer des appels API en votre nom. Si monday.com essaie de faire une demande après que vous avez révoqué l'accès, la demande échouera car monday.com n'aura plus de jeton valide.

 

 

 

 

Si vous avez la moindre question, n'hésitez pas à contacter notre équipe ici. Nous sommes disponibles 24h/​24, 7j/​7 et sommes toujours heureux de vous aider.