Pourquoi un éditeur RH a-t-il besoin d'un audit externe ?

Parce que les produits RH manipulent des données très sensibles, alors que les équipes restent souvent petites. Une revue externe permet de repérer vite les accès trop ouverts, les erreurs de rôles et les API trop larges, avant qu'un client ou un incident ne les révèle.

Que vérifiez-vous en priorité ?

L'authentification, l'autorisation, les rôles, les API, les exports, le stockage documentaire, les webhooks et la séparation entre clients ou organisations. L'objectif est de repérer les accès trop larges et les chemins d'exposition réels.

Est-ce utile avant une vente à un grand compte ?

Oui. C'est souvent le bon moment pour obtenir un rapport clair qui vous aide à répondre aux questionnaires sécurité et à prioriser les corrections avant un cycle commercial important.

Travaillez-vous sans accès au code ?

Oui. La revue externe s'appuie sur la surface visible depuis l'extérieur : interface, API, comportement applicatif, métadonnées publiques, configurations et architecture observable.

Qu'est-ce qui expose le plus souvent des données collaborateurs ?

Dans la majorité des cas, ce sont des rôles mal séparés, des exports trop faciles à récupérer, des documents stockés sans protection suffisante, ou des API qui renvoient plus d'informations que prévu.

Est-ce utile si notre équipe est très petite ?

Oui, justement parce que les petites équipes avancent vite et n'ont pas toujours le temps ni le recul pour relire les accès, les rôles, les buckets, les webhooks ou les chemins visibles depuis l'extérieur.

Un outil de scan automatique suffit-il pour un logiciel RH ?

Non. Un scanner détecte quelques signaux techniques, mais il ne comprend pas la séparation des rôles, les logiques multi-tenant, les accès entre clients ni l'exposition métier d'un produit RH ou de paie.

HR Tech, paie & recrutement

Vous gérez des données collaborateurs,
pas un simple tableau CRM.

Name: CleanIssue
Price range: €€

Un produit RH ou paie concentre identités, salaires, contrats, historique candidat, justificatifs et parfois données bancaires. Une revue externe de sécurité permet de voir rapidement ce qu'un grand compte, un partenaire ou un tiers extérieur peut déjà observer.

Enjeux réglementaires et commerciaux

RGPD — données collaborateurs

En vigueur

Salaires, contrats, justificatifs, données de santé au travail ou données disciplinaires exigent des mesures de sécurité proportionnées et traçables.

Questionnaires sécurité clients

À chaque nouveau compte

Les directions RH et les grands comptes demandent de plus en plus des preuves de maîtrise des accès et de séparation des données.

Pression produit et rythme de livraison

Maintenant

Les équipes de moins de 50 personnes mettent en production rapidement sur Supabase, Firebase ou Next.js, souvent sans revue externe sérieuse des accès, des rôles et des API.

Vulnérabilités fréquentes en HR Tech

API exposant des dossiers collaborateurs, candidats ou éléments de paie sans contrôle d'accès suffisant
Rôles admin, manager et salarié mal séparés côté interface ou côté serveur
Exports CSV, contrats ou bulletins accessibles via des URL directes ou des buckets trop permissifs
Règles RLS absentes ou incomplètes sur Supabase et Firebase, permettant de franchir la frontière entre clients
Webhooks et automatisations RH déclenchables sans validation sérieuse
Portails client ou espaces entreprise qui révèlent trop d'informations sur d'autres organisations

Sur ce type de stack, les problèmes les plus dangereux viennent rarement d'une CVE spectaculaire. Ils viennent d'une API RH trop large, d'un rôle mal borné ou d'un export sensible accessible depuis l'extérieur.

Pourquoi les éditeurs de SIRH sont une cible prioritaire

Un SIRH, un logiciel de paie ou un ATS concentre tout ce qu'un attaquant ou un concurrent cherche à connaître d'une entreprise : identités, salaires, numéros de sécurité sociale, IBAN partiels, contrats, arrêts, évaluations. Les éditeurs français hébergent souvent plusieurs dizaines d'entreprises clientes sur la même base multi-tenant. Une faille d'isolation ne touche jamais un seul client. Elle touche tout le portefeuille. C'est le risque le plus coûteux d'un SIRH : une erreur de RLS, un filtre d'API oublié, une route multi-tenant mal bornée, et la fuite concerne des dizaines de PME d'un coup. Les équipes des éditeurs RH restent pourtant petites : un fondateur, deux à cinq développeurs, rarement un responsable sécurité dédié. Le risque monte plus vite que l'équipe.

Surface d'exposition typique d'un logiciel de paie

Au-delà de l'application elle-même, un logiciel de paie expose généralement : un portail salarié (téléchargement des bulletins), un portail manager (vue équipe, absences, validation), un back-office RH, des API d'intégration (comptabilité, banque, SIRH tiers), des webhooks sortants vers Silae, PayFit ou Lucca, des flux DSN et DPAE vers l'URSSAF et la DGFiP, et un stockage documentaire (bulletins PDF, contrats, RIB). Chacune de ces surfaces a ses erreurs récurrentes. Des bulletins stockés dans un bucket public ou derrière des URL devinables. Des webhooks non signés qui acceptent le rejeu. Des exports RH qui incluent par erreur des données d'autres entreprises à cause d'une jointure bancale. Des jetons d'intégration laissés dans un bundle JS accessible au public. Ces erreurs échappent aux scanners automatiques. Elles se détectent en revue manuelle externe.

Préparer un questionnaire sécurité client pour un SIRH

Un grand compte qui achète un SIRH envoie un questionnaire sécurité avant de signer. Ces questionnaires couvrent : hébergement et certifications (ISO 27001, HDS si données de santé), gestion des accès et SSO (SAML, SCIM), chiffrement au repos et en transit, journalisation, sauvegardes, plan de continuité, sous-traitants, articles 32 et 33 du RGPD, exercices de réponse à incident. Beaucoup d'éditeurs de moins de 50 personnes découvrent ces questionnaires trop tard, en plein cycle commercial. Perdre un contrat grand compte à cause d'un questionnaire mal rempli peut coûter plusieurs dizaines de milliers d'euros de MRR. Un audit externe réalisé en amont fournit les preuves : cartographie d'exposition, articles du RGPD applicables, résultats de revue, plan de correction. De quoi répondre sereinement, pièces à l'appui. C'est souvent ce qui nous amène des éditeurs RH.

Intégrations sensibles : DSN, URSSAF, ATS, API bancaires

Un logiciel de paie orchestre des flux DSN mensuels vers l'URSSAF et les autres organismes. Un ATS dialogue avec les sites d'emploi (LinkedIn, Indeed, APEC). Un SIRH se connecte à l'outil de paie, au SSO d'entreprise (Azure AD, Okta), aux API bancaires pour les virements. Chaque intégration est une surface. Les failles qu'on y voit : signatures HMAC émises mais jamais vérifiées côté destinataire, jetons OAuth qui survivent à la réinitialisation d'un utilisateur, secrets d'intégration stockés en clair en base, webhooks qui acceptent un horodatage vieux de plusieurs heures (rejeu). Un audit externe cartographie ces intégrations, teste ce qui est rejouable et relève les secrets déjà visibles publiquement (bundles JS, journaux d'erreur, fichiers .map laissés en production).

Sous-traitant RGPD (Article 28) : vos obligations comme éditeur SaaS RH

Un éditeur de logiciel RH est presque toujours sous-traitant au sens du RGPD vis-à-vis de ses clients (l'entreprise utilisatrice est responsable de traitement). L'article 28 du RGPD encadre cette relation : accord de sous-traitance écrit, mesures techniques et organisationnelles documentées, notification rapide en cas d'incident, possibilité d'audit par le client. Les points qui se retournent contre l'éditeur lors d'un contrôle : absence de documentation des mesures techniques (chiffrement, pseudonymisation, tests d'isolation), absence de registre des sous-traitants de second rang (hébergeur, routage d'e-mails, IA), délai de notification d'incident mal défini, clauses relatives à l'article 28 manquantes au contrat. Notre rapport d'audit documente chaque exposition avec les articles du RGPD applicables (32, 33, 28). C'est une pièce que vos clients grands comptes reconnaissent comme preuve de diligence.

Vous gérez des données collaborateurs,
pas un simple tableau CRM.

Enjeux réglementaires et commerciaux

RGPD — données collaborateurs

Questionnaires sécurité clients

Pression produit et rythme de livraison

Vulnérabilités fréquentes en HR Tech

Pourquoi les éditeurs de SIRH sont une cible prioritaire

Surface d'exposition typique d'un logiciel de paie

Préparer un questionnaire sécurité client pour un SIRH

Intégrations sensibles : DSN, URSSAF, ATS, API bancaires

Sous-traitant RGPD (Article 28) : vos obligations comme éditeur SaaS RH

Articles liés — RH et paie

FAQ

Besoin d'une revue externe de votre SaaS RH ?

Vous gérez des données collaborateurs,pas un simple tableau CRM.

Enjeux réglementaires et commerciaux

RGPD — données collaborateurs

Questionnaires sécurité clients

Pression produit et rythme de livraison

Vulnérabilités fréquentes en HR Tech

Pourquoi les éditeurs de SIRH sont une cible prioritaire

Surface d'exposition typique d'un logiciel de paie

Préparer un questionnaire sécurité client pour un SIRH

Intégrations sensibles : DSN, URSSAF, ATS, API bancaires

Sous-traitant RGPD (Article 28) : vos obligations comme éditeur SaaS RH

Articles liés — RH et paie

FAQ

Besoin d'une revue externe de votre SaaS RH ?

Vous gérez des données collaborateurs,
pas un simple tableau CRM.