On pourrait appeler ça l’effet Apple : prendre des technologies existantes qui peinent à décoller faute de simplicité dans leur mise en oeuvre et les fondre en un produit qui semble soudain très naturel à utiliser (« it just works » clamait la Pomme en son temps).

Bien sûr cela demande, outre un certain talent, une couche de développement propriétaire capable d’orchestrer l’ensemble de manière transparente. Et c’est précisément ce qu’a réalisé la startup docTrackr pour les technologies de gestion des droits documentaires (DRM). C’est bien exécuté, c’est terriblement séduisant et cela lui a déjà valu d’être récompensée en décrochant le Prix de l’Innovation 2013 des Assises de la Sécurité, à Monaco.

docTrackr permet de contrôler totalement, de manière transparente et en tout lieu (lire : y compris en dehors de l’entreprise) l’ensemble des documents créés par la suite Office de Microsoft, les documents PDF d’Adobe et bientôt les courriers électroniques dans Gmail. Et tout cela sans installer d’agent, de manière individuelle (un document peut être partagé et contrôlé en quelques secondes vers n’importe quel destinataire, y compris en dehors de l’entreprise) ou globale en s’intégrant à Sharepoint. Dans ce cas les politiques Sharepoint s’appliquent alors automatiquement aux documents sans intervention de l’administrateur. Et cerise sur le gâteau : la même intégration est également disponible avec les documents hébergés sur un compte Box (alias « le Sharepoint des PME »…).

Ce dernier point mérite d’ailleurs d’être souligné car il illustre parfaitement tout l’intérêt d’une solution de DRM dans un monde connecté : en temps normal un document partagé dans Box et réservé à un utilisateur en particulier (identifié par son compte Box), pourra en réalité être distribué librement si l’utilisateur autorisé le télécharge d’abord et le distribue ensuite en dehors du périmètre du service de stockage. N’importe qui pourra alors l’ouvrir à sa guise, n’importe où.

Tandis que si la solution de docTrackr est déployée, elle permettra de restreindre la consultation aux seuls utilisateurs autorisés via la console d’administration standard de Box, et cela même si les documents sont copiés et distribués à l’extérieur. Dans ce cas, à l’ouverture il sera demandé d’entrer l’adresse email et le mot de passe associé au compte Box autorisé afin d’y avoir accès. Et de son côté le propriétaire pourra suivre les différentes ouvertures de son document (heure, localisation, adresses IP…). Il sera également en mesure de le révoquer à distance s’il devient clair qu’une fuite a eu lieu.

A l’usage le contrôle offert sur les documents partagés est impressionnant : à l’aide d’un tableau de bord en ligne l’auteur peut évidemment décider de qui pourra consulter son document. Mais il peut aussi placer des restrictions d’usage (modifications, impression, partage…) et en suivre la diffusion et l’utilisation en temps réel, jusqu’à savoir s’il a bien été ouvert et combien de temps il a été consulté !
Cerise sur le gâteau : il est également possible de le modifier à distance ! A la prochaine ouverture, toutes les versions du document dispersées dans la nature seront alors mises à jour.

A l’usage les deux atouts majeurs de la solution de docTrackr sont clairement sa transparence et sa souplesse / simplicité d’utilisation :

La transparence, docTrackr la doit à Microsoft et à Adobe. Car la solution s’appuie sur les technologies de chiffrement et de contrôle des documents intégrées à la suite Office et à Adobe Reader. C’est plutôt malin : autant Microsoft qu’Adobe disposent de leur propre solution de DRM et ils ont donc soigné leurs clients, dont docTrackr exploite les capacités natives. Seule limitation : plus la version installée du Reader d’Adobe ou des logiciels Office sera récente, plus docTrackr pourra les contrôler finement (et plus le niveau de sécurité sera élevé : les versions récentes d’Adobe Reader se protègent ainsi mieux contre un hook malveillant destiné à intercepter les clés au moment de l’ouverture du document).
Pour le reste c’est véritablement transparent à l’usage. Ainsi à l’ouverture d’un document PDF ou Office protégé, une fenêtre de saisie de nom d’utilisateur et de mot de passe apparaît (y compris sous Mac avec Aperçu, qui indique alors proprement que le document est protégé et doit être ouvert avec Adobe Reader). L’identifiant nécessaire peut être déterminé à la création du document via l’interface d’administration de docTrackr (docTrackr devient alors le référentiel d’accès pour un fonctionnement entièrement autonome) ou être lié à un référentiel d’entreprise. Pour l’heure la solution reconnaît LDAP, ADFS, SAML (de quoi l’intégrer à vos identités fédérées ou à votre PKI maison), ainsi que les services d’identités Okta et prochainement Ping Identity.

La transparence s’illustre aussi parfaitement avec l’intégration à Sharepoint : les documents sont chiffrés automatiquement dès qu’ils quittent le serveur de l’entreprise. Les droits d’accès sont alors « mappés » automatiquement depuis le modèle Sharepoint vers des droits d’usage du document : chacun embarque la politique de sécurité définie par l’administrateur dans Sharepoint sans nécessiter de configuration spécifique dans l’interface de docTrackr. Mieux : les droits sont lus en temps réel et bénéficient ainsi toujours de la dernière version du modèle d’autorisation. Et lorsque ce dernier est modifié dans Sharepoint tous les documents distribués dans la nature en hériteront à leur prochaine ouverture, où qu’ils se trouvent (ce qui peut avoir pour conséquence, par exemple, que certains d’entre eux se retrouvent interdits de consultation du jour au lendemain).

Bien entendu la solution ne fonctionne qu’en ligne : une connexion du client est obligatoire afin de vérifier les droits d’accès au document, gérer l’authentification et récupérer les clés pour en déchiffrer le contenu. Mais l’administrateur peut malgré tout définir une période de grâce pour autoriser l’ouverture des documents en mode off-line, ou décider de ne pas autoriser leur consultation non-connecté dans le cas des informations les plus sensibles.

La souplesse, docTrackr la doit pour beaucoup à son modèle web. Dans sa version 100% Cloud le service est entièrement délivré à distance : les documents originaux sont stockés dans le nuage, ainsi que les versions chiffrées (AES 256), les clés de déchiffrement et les droits associés. Une version hybride permet de conserver les documents chez le client (dans une appliance) tout en laissant la gestion des clés et des autorisations dans le nuage, tandis qu’une version entièrement locale héberge tout chez le client.

Mais dans tous les cas l’essentiel des interactions se fera à travers une interface web claire et unifiée quelle que soit la nature du document (Microsoft Office, PDF et bientôt email via Gmail). L’auteur du document pourra notamment être alerté des différents événements associés à ses documents en temps réel sur l’interface, par mail ou encore via l’API du service.

Et c’est là le dernier point majeur du service : son interface ouverte.

Celle-ci est une API complète, répondant en JSON et supportant oAuth (grâce à ce dernier on peut imaginer un déploiement de docTrackr pour contrôler la diffusion de documents dans un contexte marchand pour lequel il n’existe pas de référentiel unique… Et l’on pense ici par exemple à quelques vendeurs de documents à forte valeur ajoutée tel Gartner, voire même en B2C à des éditeurs de jeux de rôle indépendants au format PDF, qui en rêvent certainement déjà !). Cette API permet d’imaginer non seulement toute sorte d’intégrations avec les applications documentaires de l’entreprise au prix d’un développement maison, mais aussi, et surtout, elle laisse espérer que le service docTrackr soit à l’avenir intégré aux services de stockage, de partage ou même de création de documents en ligne. Et c’est là essentiel, car le véritable défi auquel sont confrontées les entreprises aujourd’hui est celui de l’usage des documents via les solutions personnelles ou semi-professionnelles accessibles librement en mode SaaS.

Les démonstrations du produit que nous avons pu suivre ont montré toute la simplicité et l’utilité de la solution proposée par docTrackr. Et ce n’était pourtant pas gagné d’avance : jusqu’à présent le marché du DRM souffrait à la fois de la complexité de mise en oeuvre des solutions existantes et de sa proximité avec le DLP, un voisin certes complémentaire mais bien encombrant. Mais en se révélant extrêmement simple de déploiement et d’utilisation docTrackr corrige de manière élégante ce premier handicap, tandis que la présence d’une API ouverte pourrait, à terme, contribuer à rapprocher les deux mondes du DRM et du DLP (nous avions enquêté sur le sujet dès 2009, retrouvez nos articles ici, ici et ici).

En tout cas, le défilé de prospects de (très) grands comptes français sur le stand de la startup durant les deux heures que nous y avons passé ne ment pas : l’intérêt est bien réel et docTrackr semble avoir trouvé la formule magique du DRM.