|
Bon à savoir |
Ces recommandations font partie des bonnes pratiques de sécurité. |
Le principe de base de la sécurité est le POLP (Principle Of Least Privilege) : les droits des utilisateurs doivent se limiter aux permissions minimales dont ils ont besoin pour leur activité.
Ce principe s'applique aux utilisateurs, aux applications et aux services.
La sécurité des applications Sage BOB s’appuie sur la sécurité Windows. Il est donc important que :
• chaque utilisateur Sage BOB ait son propre compte utilisateur Windows permettant de l’identifier ;
• chaque utilisateur utilise les applications dans une session Windows ouverte avec son propre login.
Les droits sur les éléments externes à l'application (répertoires et fichiers) peuvent alors être accordés au compte utilisateur Windows associé à l'utilisateur Sage BOB.
La sécurité dans les applications Sage BOB s’appuie sur une gestion d’utilisateurs et des droits associés à ces utilisateurs par société.
Ainsi, un utilisateur peut accéder aux données d'une société avec les applications Sage BOB, mais également via tout outil Sage BOB disponible comme le BOB-link.
L'administrateur doit accorder à chaque utilisateur les droits nécessaires pour accéder aux fonctions de l'application nécessaires à son activité.
|
Attention |
Les droits définis dans l'application concernent uniquement les fonctions de l'application. L'application ne gère pas les droits système (accès aux répertoires et aux fichiers), ceux-ci doivent donc être gérés séparément par l'administrateur. |
La stratégie de sécurité par défaut oblige chaque utilisateur à définir un mot de passe fort. Ainsi, cette stratégie est configurée par défaut à la création de sociétés ; il est fortement recommandé de ne pas la désactiver. Par contre, il sera nécessaire de l'activer lors des mises à jour de versions existantes.
Lors de l'installation du produit, Sage BOB crée l'utilisateur System de la société. Cet administrateur est identifié par un nom et un mot de passe.
L'administrateur devra ensuite créer les différents utilisateurs qui devront avoir accès aux dossiers et leur affecter les droits d’utilisation. Chaque utilisateur doit être créé avec un nom d’utilisateur qui permettra l'identification individuelle de chacun.
Pour que les logiciels Sage BOB fonctionnent correctement, il est nécessaire d’accorder l’accès aux différents répertoires de l’installation aux utilisateurs du programme.
Tous les répertoires d’une installation, à l'exception du répertoire METADATA, nécessitent des droits « Contrôle total ». C'est le cas, entre autres, des répertoires :
• COMMON : emplacement qui contient les fichiers communs à toute l’installation (liste des utilisateurs, gestion des restrictions et droits d'accès, liste des dossiers Sage BOB, …) ;
• des dossiers : emplacement où sont enregistrées toutes les données relatives aux sociétés/dossiers gérés dans Sage BOB. Ces répertoires renferment ainsi, par dossier, la liste des clients, des fournisseurs, les informations de la comptabilité générale, de la comptabilité analytique, de la gestion commerciale, …
Comme énoncé plus haut, il est important d’accorder l’accès à ces répertoires uniquement aux personnes qui utilisent les logiciels Sage BOB. Dans un environnement multi-utilisateurs, il est possible d’utiliser les groupes d’utilisateurs Windows pour faciliter la configuration et la maintenance de ces droits.
Pour limiter l’accès aux bases de données via un outil externe qui passe directement par le service ADS, il est recommandé d’ajouter des règles (Inbound) dans le firewall du serveur de données. Ceci aura pour effet de limiter l’accès à ce service à des IP spécifiques (plage) ou à des machines spécifiques.
|
Bon à savoir |
Par défaut, ADS utilise le port 6262 en UDP. Cependant, ces paramètres peuvent avoir été modifiés par l’administrateur du serveur ADS. |
Sur les machines clientes, il est également possible d’ajouter des règles (Outbound) pour empêcher toutes communications sur le port 6262 et de désactiver cette règle uniquement sur les machines clientes des utilisateurs des produits Sage BOB.
Les règles énoncées ci-dessus pour le port 6262 peuvent être appliquées pour le port 8084 en TCP lors de l'utilisation du service Sage Approval.
|
Attention |
Il est important de ne pas rendre le service Sage Approval accessible depuis Internet. Le service ne répond effectivement pas à toutes les exigences de sécurité propres à un serveur Internet. |
Les fichiers batch du BOB-link peuvent renfermer des mots de passe. Il est donc important de conserver ces fichiers batch sur le poste local des utilisateurs du BOB-link ou dans un répertoire réseau partagé avec des droits restreints.
Les adaptations apportées dans le logiciel ne suffisent pas à protéger les données privées enregistrées par le logiciel. Une série de bonnes pratiques en matière de sécurité au sens large du terme s’avèrent également nécessaire. Il en va de la responsabilité de chaque entreprise d’assurer une sécurité maximale à ces données personnelles. Cela signifie entre autres que l’entreprise doit réduire au maximum le risque d’infractions concernant ces données.
Nous souhaitons donc partager quelques points qui peuvent renforcer la sécurité de base afin de préserver au mieux la confidentialité des données quelles qu’elles soient :
- Utilisation d’un logiciel de cryptage des disques : la perte d’un ordinateur portable s’avère toujours problématique. Son contenu peut être utilisé à de mauvaises fins. Il existe plusieurs logiciels qui permettent de crypter les disques durs hors connexion ;
- Gestion renforcée des mots de passe : l’utilisation de mots de passe forts ainsi que le changement de mots de passe régulier renforce la sécurité des données. Il est évident qu’il ne faut jamais donner son mot de passe ;
- Stratégie de sauvegardes de données : les données ne sont pas uniquement enregistrées sur les ordinateurs et sur les serveurs. Les copies de sauvegarde des données doivent être stockées dans un endroit sécurisé ;
- Protection des réseaux contre les intrusions : l’utilisation d’un anti-virus fiable avertit toute intrusion ou tentative d’intrusion ;
- Formation des collaborateurs : tous les collaborateurs d’une entreprise doivent avoir connaissance de la réglementation de la GDPR et être conscients du rôle qu’ils jouent dans l’application de cette réglementation ;
- Système d’exploitation et logiciels toujours à jour : qu’il s’agisse de Windows ou de tout autre logiciel, les mises à jour et patches doivent toujours être installés ;
- Droits d’accès aux répertoires : la limitation d’accès aux collaborateurs aux seuls répertoires auxquels ils ont besoin d’accéder assure une protection renforcée des données ;
- Verrouillage des ordinateurs : une stratégie stricte de l’utilisation des ordinateurs permet encore de sécuriser les données. Ainsi, le verrouillage automatique après un temps défini d’inutilisation limitera les possibilités d’intrusion malveillante ;
- …