August
Sécurité

Aperçu de la sécurité et de la confidentialité

August est une plateforme d'IA de classe entreprise conçue spécifiquement pour les cabinets d'avocats et les services juridiques internes, avec une sécurité et une confidentialité intégrées à chaque couche de l'architecture.

Centre de confiance August

Certifications et attestations de sécurité de classe entreprise.\nRésidence des donnéesZéro entraînementChiffrement de bout en bout

ISO 27001:2022 SOC 2 Type II Vérifié CASA TLS 1.2+ AES-256 SSO + MFA

Fonctionnalité de sécurité

Statut

Zéro entraînement sur les données client

✅ Vérifié

Chiffrement de bout en bout

✅ Vérifié

Architecture mono-tenant

✅ Vérifié

Épinglage de la résidence des données

✅ Vérifié

Murailles éthiques / Isolation des dossiers

✅ Vérifié

SLA de disponibilité de 99,9 %

✅ Vérifié

Certifications indépendantes

August maintient les certifications de sécurité les plus strictes pour le travail juridique :

  • Certifié ISO 27001:2022 — Un système complet de gestion de la sécurité de l'information (SGSI) pour toutes les opérations d'August.

  • SOC 2 Type II — Audit indépendant avec une opinion sans réserve et zéro exception.

  • Vérifié CASA — Vérification Security, Trust, Assurance, and Risk (STAR) de la Cloud Security Alliance.

  • Tests d'intrusion annuels — Tests en boîte noire et en boîte grise avec remédiation rapide.

Isolation des données et confidentialité

August utilise une architecture mono-tenant et cloisonnée qui maintient les données de chaque cabinet totalement séparées :

  • Tenant privé par client — L'isolation du calcul, du stockage et du réseau signifie que les informations d'un cabinet ne se mélangent jamais avec l'environnement d'un autre.

  • Cloisonnement des profils utilisateurs — Au sein d'un cabinet ou d'une organisation, les profils utilisateurs sont entièrement cloisonnés les uns des autres, à moins que les utilisateurs ne partagent de manière proactive des discussions ou des résultats, ou ne créent un espace de travail partagé (Projets).

  • Aucune visibilité sur les données utilisateur — August n'a aucune visibilité sur les entrées, les téléchargements ou les résultats des utilisateurs.

  • Épinglage de la résidence des données — Les données sont épinglées à la région géographique que vous avez sélectionnée et appliquées au niveau de l'infrastructure.

Murailles éthiques et isolation des dossiers

L'isolation s'étend au sein de votre cabinet. La fonctionnalité Personas d'August impose des barrières strictes au niveau du client et du dossier avec des contrôles d'accès basés sur les rôles. Les données sont séparées non seulement entre les tenants, mais aussi entre les dossiers au sein de votre propre organisation. Un associé ne peut pas voir les prompts, les fichiers téléchargés ou les résultats d'un autre associé, à moins que le contenu ne soit explicitement partagé ou placé dans un espace de travail de Projet partagé.

Zéro entraînement sur vos données

Votre produit de travail juridique n'est jamais utilisé pour améliorer les modèles d'IA :

  • Les documents, prompts, résultats, métadonnées et données dérivées ne sont jamais utilisés pour l'entraînement des modèles, le réglage fin, l'analyse ou l'amélioration du produit.

  • August a conclu des accords contractuels avec chacun des fournisseurs de modèles de langage utilisés (notamment Llama, Anthropic et OpenAI) pour ne pas s'entraîner sur les entrées, les téléchargements ou les résultats des utilisateurs, ni les conserver.

  • Les fournisseurs de modèles de base traitent les données de manière éphémère — ils ne stockent, n'enregistrent, n'examinent ni ne réutilisent votre contenu.

  • Cela protège le secret professionnel de l'avocat et les protections relatives au produit de travail.

Chiffrement et gestion des clés

Toutes les données sont protégées par un chiffrement de classe entreprise :

  • Chiffrement en transit — TLS 1.2+ pour toutes les données circulant entre votre appareil et August.

  • Chiffrement au repos — Chiffrement AES-256 pour tous les documents stockés, les enregistrements de base de données et les sauvegardes.

  • Protection des clés — Toutes les clés de chiffrement sont protégées par des modules de sécurité matériels (HSM).

  • Rotation annuelle des clés — Les clés de chiffrement sont renouvelées selon un calendrier annuel défini.

  • Passerelle sécurisée agnostique au modèle — Application des politiques, contrôles de routage et auditabilité complète pour toutes les interactions avec les modèles d'IA.

Sécurité des modèles d'IA

August sécurise les interactions avec les modèles d'IA à chaque couche :

  • Zéro rétention par le fournisseur de modèle — Les fournisseurs de modèles de base ne conservent pas vos données après traitement.

  • Apportez votre propre clé (BYOK) — Pour certains fournisseurs de modèles (notamment Anthropic via AWS Bedrock), vous pouvez utiliser vos propres clés de chiffrement pour un contrôle supplémentaire.

  • Passerelle sécurisée — Toutes les interactions avec les modèles passent par une passerelle sécurisée avec application des politiques, contrôles de routage et auditabilité complète.

Contrôles d'accès et identité

August s'intègre aux systèmes d'identité d'entreprise :

  • SSO avec MFA — Authentification unique via SAML, OIDC et OAuth2 avec authentification multi-facteurs imposée.

  • Intégration SCIM — Provisionnement et déprovisionnement automatisés des utilisateurs.

  • Contrôles d'accès basés sur les rôles (RBAC) — Autorisations granulaires basées sur les rôles des utilisateurs.

  • Murailles éthiques — Contrôles d'accès au niveau des dossiers via les Personas pour imposer des limites de conflits et de confidentialité.

  • Revues d'accès trimestrielles — Audits réguliers des autorisations d'accès.

Pistes d'audit

Des pistes d'audit complètes enregistrent toute l'activité du système : actions des utilisateurs, résultats de l'IA, accès aux documents et modifications administratives. Chaque action est attribuable à un utilisateur spécifique. La rétention est configurable de 1 à 10 ans, avec des journaux protégés contre toute altération.

Contrôles d'accès internes

August maintient des contrôles stricts sur l'accès des employés aux systèmes de production :

  • Zéro donnée client sur les appareils des employés — Les documents clients ne sont jamais stockés sur les postes de travail des employés.

  • Accès au moindre privilège, juste à temps — L'accès aux données de production est limité à un ensemble défini d'ingénieurs sur une base de moindre privilège et juste à temps. Chaque événement d'accès est consigné et examiné.

  • Aucun rôle de service avec privilèges administrateur — Aucun rôle de service ne possède de privilèges d'administrateur.

  • Identifiants à courte durée de vie — L'accès à la production nécessite le SSO, le MFA et des identifiants à courte durée de vie. Aucun jeton persistant.

  • Les flux de travail d'ingénierie utilisent des données anonymisées — L'accès aux données réelles nécessite une approbation explicite.

  • Sécurité des points de terminaison — Tous les ordinateurs portables fournis par l'entreprise utilisent un MDM, un EDR avec des mises à jour quotidiennes des signatures et un chiffrement complet du disque.

Sous-traitants ultérieurs

Chaque sous-traitant ultérieur est contractuellement lié par des restrictions d'utilisation des données, y compris l'interdiction d'utiliser les données client pour l'entraînement.

Le diagramme suivant illustre l'architecture pour le déploiement hébergé d'August, montrant comment les données client circulent dans l'infrastructure :

Diagramme de l'architecture hébergée d'August montrant le flux de données et l'infrastructure pour l'option de déploiement hébergé

Sous-traitant ultérieur

Rôle

Entraînement des données

Amazon Web Services

Infrastructure et hébergement

Interdit

Anthropic (via AWS Bedrock)

Fournisseur de modèle de base (BYOK)

Interdit

OpenAI LLC

Fournisseur de modèle de base

Interdit

Microsoft Corporation

Cadre d'intégration Office

Interdit

Google Cloud Platform

Services de calcul

Interdit

Weaviate

Stockage vectoriel

Interdit

Supabase

Solution SQL

Interdit

Reducto

Fournisseur d'OCR

Interdit

Les clients reçoivent un préavis de 30 jours avant qu'un nouveau sous-traitant ultérieur ne commence à traiter les données client. Des copies de clauses contractuelles spécifiques sont disponibles sous accord de confidentialité (NDA).

SLA et engagements de service

August fournit des engagements de niveau de service de classe entreprise :

  • Disponibilité mensuelle de 99,9 % — Engagement de haute disponibilité pour la plateforme.

  • Réponse aux problèmes critiques en 30 minutes — Réponse rapide pour les problèmes de gravité critique.

  • Remédiation des CVE critiques en 7 jours — Vulnérabilités de sécurité traitées sous 7 jours pour les CVE critiques.

Opérations de sécurité

August maintient des opérations de sécurité robustes :

  • Pratiques SDLC sécurisées — La sécurité est intégrée au cycle de vie du développement logiciel.

  • Surveillance continue — Détection et réponse aux menaces en temps réel.

  • Réponse aux incidents et BCDR — Plans testés pour la réponse aux incidents et la continuité des activités/reprise après sinistre.

Sécurité des intégrations

August s'intègre à vos outils existants tout en maintenant les normes de sécurité :

  • Compléments Microsoft Word et Outlook — Travaillez de manière transparente sur Word, Outlook et SharePoint/OneDrive avec une conservation intégrale du contexte.

  • SharePoint — Intégration complète de SharePoint pour la gestion documentaire d'entreprise.

  • Google Drive — Accédez à vos documents et importez-les directement depuis Google Drive.

  • Dropbox — Connectez votre Dropbox pour la synchronisation et l'accès aux documents (prochainement).

Toutes les intégrations suivent les mêmes normes de chiffrement et de contrôle d'accès.

Ce que cela signifie pour votre pratique

Lorsque vous utilisez August pour votre travail juridique :

  • Les documents et les informations privilégiées de votre client restent isolés et protégés.

  • Rien de ce que vous téléchargez, générez ou discutez n'est utilisé pour entraîner des modèles d'IA.

  • Vous contrôlez qui, au sein de votre organisation, peut accéder aux espaces de travail partagés.

  • August ne peut pas voir vos documents de travail juridique.

  • Les murailles éthiques au niveau des dossiers protègent la confidentialité au sein de votre cabinet.

Pour toute question sur les certifications de sécurité, les accords de traitement des données, la documentation sur les sous-traitants ultérieurs ou la conformité, contactez votre équipe de compte August ou visitez le centre de documentation juridique.

FAQ Sécurité

Questions courantes sur la posture de sécurité d'August, ses certifications et ses pratiques de gestion des données.

Certifications

Qu'est-ce que l'ISO 27001 ?

L'ISO 27001 est une norme internationale pour les systèmes de gestion de la sécurité de l'information (SGSI). Elle fournit une approche systématique de la gestion des informations sensibles par l'évaluation des risques, les contrôles de sécurité et l'amélioration continue. Les organisations qui obtiennent la certification ISO 27001 ont démontré qu'elles suivent les meilleures pratiques du secteur pour protéger les données.

Qu'est-ce que le SOC 2 Type II ?

Le SOC 2 Type II est un cadre d'audit indépendant qui évalue les contrôles de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité et de protection de la vie privée d'une organisation sur une période donnée (généralement 6 à 12 mois). Les rapports de type II vérifient que les contrôles non seulement existent, mais fonctionnent efficacement dans la pratique. L'audit SOC 2 Type II d'August a abouti à une opinion sans réserve avec zéro exception.

Qu'est-ce que la vérification CASA ?

La vérification STAR de la CASA (Cloud Security Alliance) démontre la conformité aux exigences de sécurité, de confiance, d'assurance et de risque de la Cloud Security Alliance. Elle fournit une validation par un tiers des pratiques de sécurité cloud et une transparence sur la posture de sécurité.

Que peuvent supposer les clients sur la base de ces certifications ?

Les clients peuvent avoir l'assurance qu'August adopte une approche proactive et structurée de la sécurité de l'information. La certification ISO 27001 valide un système de gestion de la sécurité complet pour toutes les opérations. Le SOC 2 Type II confirme que les contrôles de sécurité fonctionnent efficacement dans le temps. Ensemble, ces certifications démontrent un engagement continu à protéger les données des clients par le biais d'audits de surveillance annuels et de processus d'amélioration continue.

Comment August maintient-elle ses certifications au fil du temps ?

August maintient ses certifications grâce à des équipes de sécurité internes, des audits internes réguliers, des audits de surveillance annuels effectués par des organismes de certification tiers accrédités et des audits de renouvellement selon des calendriers définis. Les contrôles de sécurité sont surveillés en permanence et améliorés en fonction des résultats d'audit et de l'évolution des menaces.

Gestion des données

August est-elle mono-tenant ou multi-tenant ?

August utilise une architecture mono-tenant et cloisonnée. Chaque client dispose de son propre tenant privé avec isolation du calcul, du stockage et du réseau. Les données de votre cabinet ne se mélangent jamais avec l'environnement d'un autre cabinet. Cela diffère des systèmes multi-tenants où les données clients partagent l'infrastructure et ne sont séparées que logiquement.

August peut-elle voir mes documents de travail juridique ?

Non. August n'a aucune visibilité sur les entrées, les téléchargements ou les résultats des utilisateurs. Vos documents, prompts et résultats d'IA restent privés pour votre cabinet. Cela protège le secret professionnel de l'avocat et les protections du produit de travail.

Mes données seront-elles utilisées pour entraîner des modèles d'IA ?

Non. Les documents, prompts, résultats, métadonnées et données dérivées ne sont jamais utilisés pour l'entraînement des modèles, le réglage fin, l'analyse ou l'amélioration du produit. August maintient des accords contractuels avec tous les fournisseurs de modèles de base (notamment Anthropic, Llama et OpenAI) interdisant l'entraînement sur le contenu utilisateur ou sa conservation. Les fournisseurs de modèles traitent les données de manière éphémère et ne stockent, n'enregistrent, n'examinent ni ne réutilisent votre contenu.

Où mes données sont-elles stockées ?

Les données sont stockées dans la région géographique que vous avez sélectionnée et épinglées au niveau de l'infrastructure via l'épinglage de la résidence des données. Cela garantit que vos données restent dans la juridiction que vous choisissez, favorisant la conformité aux exigences régionales de protection des données. August prend en charge les options de déploiement aux États-Unis et dans l'Union européenne.

Combien de temps les données sont-elles conservées ?

La rétention des pistes d'audit est configurable de 1 à 10 ans pour répondre aux exigences de conformité de votre organisation. Les données client sont conservées jusqu'à ce que vous les supprimiez. Les fournisseurs de modèles de base ne conservent pas vos données après traitement.

Contrôles de sécurité

Comment mes données sont-elles chiffrées ?

Toutes les données sont protégées par un chiffrement de classe entreprise :

  • En transit : TLS 1.2 ou supérieur pour toutes les données circulant entre votre appareil et August.

  • Au repos : Chiffrement AES-256 pour tous les documents stockés, les enregistrements de base de données et les sauvegardes.

  • Gestion des clés : Toutes les clés de chiffrement sont protégées par des modules de sécurité matériels (HSM) et renouvelées annuellement.

Quels contrôles d'accès sont en place ?

August s'intègre aux systèmes d'identité d'entreprise pour un contrôle d'accès robuste :

  • SSO avec MFA : Authentification unique via SAML, OIDC et OAuth2 avec authentification multi-facteurs imposée.

  • Intégration SCIM : Provisionnement et déprovisionnement automatisés des utilisateurs.

  • Contrôles d'accès basés sur les rôles : Autorisations granulaires basées sur les rôles des utilisateurs.

  • Murailles éthiques : Contrôles d'accès au niveau des dossiers pour imposer des limites de conflits et de confidentialité.

  • Revues d'accès trimestrielles : Audits réguliers des autorisations d'accès.

Que sont les murailles éthiques et l'isolation des dossiers ?

Les murailles éthiques sont des contrôles d'accès au niveau des dossiers appliqués via la fonctionnalité Personas d'August. Les données sont séparées non seulement entre les tenants (cabinets), mais aussi entre les dossiers au sein de votre propre organisation. Un associé ne peut pas voir les prompts, les fichiers téléchargés ou les résultats d'un autre associé, à moins que le contenu ne soit explicitement partagé ou placé dans un espace de travail de Projet partagé. Cela protège contre les conflits d'intérêts et maintient la confidentialité des clients.

Les employés d'August peuvent-ils accéder à mes données ?

Non. Les documents clients ne sont jamais stockés sur les postes de travail des employés. L'accès aux données de production est limité à un ensemble défini d'ingénieurs sur une base de moindre privilège et juste à temps. Chaque événement d'accès est consigné et examiné. Les flux de travail d'ingénierie utilisent des données anonymisées, et l'accès aux données réelles nécessite une approbation explicite.

Conformité et Entreprise

Puis-je utiliser mes propres clés de chiffrement ?

Oui. Pour certains fournisseurs de modèles, notamment Anthropic via AWS Bedrock, vous pouvez utiliser l'apport de votre propre clé (BYOK) pour maintenir un contrôle supplémentaire sur les clés de chiffrement pour les interactions avec les modèles d'IA.

Quel est l'engagement de disponibilité d'August ?

August s'engage à une disponibilité mensuelle de 99,9 % dans le cadre du SLA d'entreprise. Les problèmes critiques reçoivent un temps de réponse de 30 minutes, et les vulnérabilités de sécurité critiques (CVE) sont traitées sous 7 jours.

Comment signaler une vulnérabilité de sécurité ?

Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler via une divulgation responsable en contactant votre équipe de compte August. August maintient des plans de réponse aux incidents et de continuité des activités/reprise après sinistre avec une surveillance continue pour la détection et la réponse aux menaces.

Où puis-je trouver plus de documentation sur la sécurité ?

Téléchargez le Livre blanc officiel sur la sécurité d'August (v1.1, mai 2026) et la documentation sur les dossiers clients :

Pour les accords de traitement des données, la documentation sur les sous-traitants ultérieurs ou les questions de conformité, contactez votre équipe de compte August ou visitez le centre de documentation juridique.

Livre blanc sur la sécurité

Téléchargez le Livre blanc officiel sur la sécurité d'August (v1.1, mai 2026) pour des détails complets sur l'architecture de sécurité, les certifications, la protection des données et les engagements de conformité d'August :

Livre blanc sur la sécurité d'August

Documentation de sécurité complète couvrant les certifications (SOC 2 Type II, ISO 27001:2022, CASA), l'architecture mono-tenant, le chiffrement, les contrôles d'accès, la sécurité des modèles d'IA, les options de résidence des données et la conformité :

Télécharger le Livre blanc sur la sécurité d'August (PDF)

August pour les dossiers clients

Aperçu de la sécurité pour la gestion des dossiers clients et la confidentialité :

Télécharger August pour les dossiers clients (PDF)

Cela vous a-t-il été utile ?