ONLYOFFICE fournit de nombreuses options permettant de vous assurer que votre portail est protégé. Ce guide vous présente toutes les fonctionnalités et les outils pour augmenter le niveau de sécurité du portail, des données sensibles et du travail dans les éditeurs du bureau ou dans le cloud.

Un certificat SSL est un certificat électronique qui atteste l'identité du site web et permet d'établir une connexion chiffrée. Vous pouvez générer un certificat SSL ou télécharger un certificat tiers via le Panneau de configuration.

Générer un certificat

Le service Let's encrypt permet d'obtenir les certificats émis par l'autorité de certification.

Pour générer un nouveau certificat,

1. passez à la page HTTPS depuis COMMON SETTINGS (PARAMÈTRES COMMUNS) sur le panneau latéral gauche,
2. cliquez sur le bouton GENERATE AND APPLY (GÉNÉRER ET APPLIQUER). Une fenêtre contextuelle apparaîtra vous informant que votre certificat et la clé privé sont générés avec succès.

Le Panneau de configuration et votre portail seront redémarrés et rendus indisponibles pendant le démarrage. Cela peut prendre jusqu'à 5 minutes. Une fois le certificat installé, votre portail sera disponible en HTTPS.

Télécharger un certificat

Pour télécharger un certificat tiers (par ex. Amazon ou GoDaddy),

1. passez à la page HTTPS depuis COMMON SETTINGS (PARAMÈTRES COMMUNS) sur le panneau latéral gauche,
2. cliquez sur le bouton Plus à côté du Certificat CRT et sélectionnez votre certificat .crt à télécharger,
3. cliquez sur le bouton Plus à côté du champ HTTPS key (Clé HTTPS) et sélectionnez votre clé privée .key à télécharger,
   Avant de lancement du téléchargement, assurez-vous que la clé privée n'est pas chiffrée. Si votre fichier .key est protégé par un mot de passe, il faut tout d'abord le déchiffrer.
4. une fois les fichiers .crt et .key téléchargés, cliquez sur le bouton APPLY (APPLIQUER) en bas de la page.

Ensuite, votre Panneau de configuration et votre portail seront redémarrés et rendus indisponibles pendant le démarrage. Cela peut prendre jusqu'à 5 minutes. Une fois le certificat installé, votre portail sera disponible en HTTPS. Le nom de domaine pour lequel votre certificat a été émis est affiché sous l'onglet Generated on domain (Généré pour le domaine) sur la page HTTPS du Panneau de configuration.

Une fois le certificat généré ou acheté et téléchargé, vous pouvez vérifier le niveau de sécurité à l'aide du service SSL Labs ou tout autre service. Votre niveau de sécurité doit être au moins A.

Pour en savoir plus sur passage en HTTPS, veuillez lire cet article.

On peut activer la sauvegarde automatique à partir du Panneau de configuration. Il peut être judicieux de faire de temps en temps une sauvegarde de votre portail à l'aide de services tiers.

Pour activer la Sauvegarde automatique,

1. passez à la page Sauvegarde sous l'onglet COMMON SETTINGS (PARAMÈTRES COMMUNS) de la barre latérale gauche et utilisez la section Automatic backup (Sauvegarde automatique),
2. activez la fonctionnalité en cliquant sur Disabled (Désactivé).
   
3. sélectionnez l'espacement de Stockage approprié pour vos fichiers de sauvegarde (les options disponibles sont Amazon AWS S3, Google, Rackspace et Selectel ou tout autre service WebDAV, sauf le stockage Temporaire qui n'est accessible que dans la section Data Backup (Sauvegarde de données).
4. configurez l'intervalle entre deux sauvegardes: Every day (Chaque jour), Every week (Chaque semaine) ou Every month (Chaque mois) et indiquez le moment dans la période du temps,
5. réglez The maximal number of backup copies to be stored (Le nombre de copies de sauvegarde à stocker) en choisissant la valeur nécessaire (de 1 à 30) dans la liste déroulante approprié,
6. cochez la case Include Mail in backup (Inclure Mail dans la sauvegarde) si vous voulez également sauvegarder les données de Mail,
7. cliquez sur le bouton SAVE (ENREGISRER).

Les sauvegardes seront créées automatiquement selon la périodicité fixée.

Pour en savoir plus sur les options de sauvegarde et restauration, veuillez consulter cet article.

On doit configurer les règles d'accès au portail avant d'ajouter des utilisateurs au portail. Pour ce faire, utilisez la page Portal Access (Accès au portail). Vous pouvez également accéder à cette page de la manière suivante: Settings > Security > Portal access (Paramètres->Sécurité->Accès au portail).

Vous pouvez restreindre l'accès à votre portail en utilisant les paramètres de mot de passe: définir Adjusting number of password characters (Longueur minimale du mot de passe), Requiring inclusion of capital letters (Utilisation de majuscules) et Digits and special characters (Utilisation de chiffres et caractères spéciaux) dans des mots de passe d'utilisateurs.

L'authentification à deux facteurs est disponible pour votre compte du portail. Vous pouvez utiliser l'application Authy ou Google Authenticator, cette dernière est fortement recommandé. Une autre méthode est 2FA via SMS. Pour cette méthode, il faut utiliser SMC, Clickatell ou Twillio (vous pouvez les activer dans ma page Services tiers sous l'onglet Intégration en utilisant la clé API du service approprié).

Parce que certains domaines de messagerie sont associés avec des problèmes de sécurité, vous pouvez indiquer les domaines approuvés à utiliser pour l'enregistrement. Pour activer cette fonctionnalité, dans la section Paramètres de domaines de messagerie autorisés, sélectionnez Domaines autorisés et saisissez les noms de domaines approuvés dans les champs qui s'affichent.

Pour placer les adresses IP sécurisées en liste verte, utiliser la fonctionnalité Sécurité IP.

ONLYOFFICE Workspace possède aussi la fonctionnalité Durée de validité de la session. Cette fonctionnalité permet de définir la durée de session pour chaque utilisateur après laquelle la session de l'utilisateur doit être automatiquement fermée.

Pour en savoir plus sur la gestion d'accès au portail, veuillez consulter cet article.

Vous pouvez importer les identifiants d'utilisateurs à partir de votre serveur LDAP. Pour ce faire, accédez au Panneau de configuration, section Paramètres du portail, page LDAP.

Activez l'option Activer l'authentification LDAP et saisissez les renseignements suivants:

• les informations sur serveur telles que des adresses URL,
• le numéro du port qui est utilisé pour accéder au serveur LDAP,
• le chemin d'accès au répertoire et les données d'utilisateurs (DN de l'utilisateur) à importer,
• le filtre d'utilisateurs si vous souhaitez importer certains utilisateurs à partir de ce répertoire et l'attribut de login.
  

La procédure d'importation de groupes est similaire à l'importation d'utilisateurs à partir de votre serveur LDAP.

Vous pouvez également synchroniser les données du serveur LDAP avec le portail ONLYOFFICE pour les rendre correctement visible sur le profil d'utilisateur.

Pour en savoir plus sur l'importation d'utilisateurs et de groupes en utilisant le serveur LDAP, veuillez consulter cet article.

Le serveur ONLYOFFICE Workspace pour notification des utilisateurs par défaut (par exemple, sur les mises à jour du portal ou de la communauté, permissions d'accès aux documents ou modifications du projet) est le serveur SMTP ONLYOFFICE. Pour une sécurité accrue, nous vous recommandons d'utiliser votre propre serveur SMTP afin que vos messages ne passent pas via les services tiers.

Pour ce faire, suivez les instructions ci-après:

1. Accédez au module Paramètres, section Intégration, page Paramètres SMTP.
2. Saisissez le domaine et le port du serveur SMTP.
3. Saisissez les identifiants de connexion.
4. Saisissez le nom de l'expéditeur pour les destinataires et l'adresse émail de l'expéditeur pour les destinataires.
5. FACULTATIF Pour une meilleure sécurité, si votre serveur prend en charge, cochez la case Activer SSL.
   

Après la configuration du serveur SMTP, essayez d'envoyer un message de test en cliquant sur Envoyer message de test. Si le message est envoyé avec succès, cliquez sur Enregistrer.

Pour en savoir plus sur la configuration du serveur SMTP, veuillez consulter cet article.

ONLYOFFICE Workspace permet de suivre facilement des actions et des connexions effectuées par utilisateurs. Vous pouvez consulter la liste des opérations et des connexions effectuées par utilisateurs en utilisant le Panneau de configuration.

Les informations de connexion sont disponibles sur la page Histoire de connexion:

Pour voir les statistiques détaillées pour la dernière demi-année cliquez sur le bouton Télécharger et ouvrir le rapport. Le rapport sera ouvert au format .xlsx (LoginHistory_ReportStartDate-EndDate.xlsx).

Le rapport de l'histoire de connexion inclut les détails suivants: adresse IP de l'utilisateur, Navigateur et Plateforme utilisés lors de la connexion, Date et heure de l'événement, nom de l'utilisateur qui a essayé de se connecter / se déconnecter, Page du portail où l'action a été effectuée, Action spécifiée (par exemple, Connexion échouée. Pas de compte social associé trouvé).

Les informations sur les opérations effectuées sont disponibles sur la page Piste d'audit:

Pour voir les statistiques détaillées pour la dernière demi-année cliquez sur le bouton Télécharger et ouvrir le rapport. Le rapport sera ouvert au format .xlsx (AuditTrail_ReportStartDate-EndDate.xlsx).

Le rapport Piste d'audit inclut les détails suivants: adresse IP, Navigateur et Plateforme utilisés lors de l'événement, Date et heure de l'événement, nom de l'utilisateur qui a effectué l'opération, Page du portail où l'action a été effectuée, Type d'action spécifié (par exemple, télécharger, joindre, accès mis à jour), Action spécifique (par exemple, Projets [Développement du logiciel]. Tâches [distribution de coupons]. Statut mis à jour: Fermée), Produit et Module auxquels l'élément modifié appartient.

Il est aussi possible de définir la période de stockage pour l'historique de connexion et la piste d'audit sur les pages appropriées.

Pour éviter les fuites de données, il est préférable d'interdire la connexion en tant qu'utilisateur racine puisque un utilisateur racine a l'accès complet aux données système. Pour refuser l'accès racine, utilisez le terminal de votre serveur et définissez la permission d'accès racine No (Non).

Il faut ouvrir uniquement les ports dont vous avez besoin pour un bon fonctionnement du portail puisque les ports ouverts peuvent provoquer les fuites de données. La liste des ports nécessaires pour un bon fonctionnement d'ONLYOFFICE Workspace se trouve ici.

Pour protéger les données, si certains utilisateurs ont une mauvaise connexion à Internet, vous pouvez configurer le contrôle de versions des fichiers à partir de la section Paramètres du module Documents. Il est possible de sauvegarder toutes versions intermédiaires et d'autoriser l'enregistrement automatique des copies de fichiers mis à jour ou de mettre à jour uniquement les fichiers existants une fous toutes modifications appliquées. Veuillez lire la suite.

On doit accorder le droit d'accès uniquement aux utilisateurs autorisés qui sont membres de certains groupes. Vous pouvez configurer le niveau d'accès en cliquant sur le bouton Partager à côté du document nécessaire. Dans la fenêtre qui s'affiche, vous pouvez ajouter les utilisateurs et définir les permissions d'accès:

• Lecture seule,
• Remplissage de formulaires,
• Filtre personnalisé,
• Commentaires,
• Révision,
• Accès complet.

Les développeurs peuvent également déterminer les niveaux d'autorisation chaque à part et plus en détail: refuser l'accès à l'historique de documents, la reproduction du contenu, le téléchargement de documents e.t.c. Pour en savoir plus sur la configuration des permissions d'accès aux documents, consultez cet article.

Il est également possible de définir les droit d'accès au portail. Vous pouvez restreindre accès à certains modules en fonction de l'utilisateur et du groupe à partir du module Paramètres. Il faut ouvrir la page Droits d'accès à partir de la section Sécurité. Depuis cette section vous pouvez gérer des administrateurs et modifier leurs droits d'accès. En bas de cette page, vous pouvez également accorder ou interdire l'accès aux certains modules.

Dans ONLYOFFICE chaque utilisateur peut utiliser des salles privées pour une collaboration sécurisée sur documents. Salle privée est une section du module Documents. Les fichiers dans le format .docx, .xlsx et .pptx sont sauvegardés par le chiffrement AES-256 dans une salle privée.

Pour travailler dans une salle privée,

1. activez cette option à partir du Panneau de configuration,
2. téléchargez l'éditeur de texte et connectez-le au cloud sur la page d'accueil de l'application.

Vous pouvez travailler dans votre salle privée sur le portail à partir de la section appropriée du module Documents. Vous pouvez partager des documents depuis votre salle privée de la même façon que vous partagez habituellement vos documents sur le portail.

ONLYOFFICE propose la fonctionnalité de chiffrement des données qui est disponible sur le Panneau de configuration du version serveur.

Le chiffrement permet de convertir des données pour un stockage confidentiel et sécurisé. Le chiffrement dans ONLYOFFICE est basé sur la paradigme Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) qui est mis en place pour tout l'ensemble de données. Ce chiffrement est conforme aux normes internationales de protection des données AES-256.

Pour préparer le portail pour chiffrement, il faut:

1. vous connecter à votre portail et cliquer sur l'icône Panneau de configuration sur la Page d'accueil.
   Vous pouvez aussi accéder aux Paramètres du portail et sélectionner Panneau de configuration sur le panneau de gauche.
2. Passez à la section Sauvegarde et sauvegardez des données.
3. Désactivez la fonctionnalité Sauvegarde automatique des données.
4. Sélectionnez l'option Stockage local pour Connecter stockage de données statiques et Connecter un CDN.
5. Assurez-vous d'avoir suffisamment d'espace disque disponible.

Une fois l'étape de préparation terminée, vous pouvez passez à l'étape suivante.

Pour chiffrer le stockage:

1. Passez à l'onglet Stockage sur le Panneau de configuration.
2. Activez l'option Avertir les utilisateurs que le portail ne sera pas disponible pour informer des utilisateurs actifs par e-mail lors du lancement de chiffrement.
   Une fois le chiffrement terminé avec succès, tous utilisateurs actifs recevront une notification par e-mail. Si une erreur se produit lors du chiffrement, tous les administrateurs (sans tenir compte de l'option Notifier des utilisateurs) recevront une notification de l'échec du chiffrement par e-mail.
3. Cliquez sur Chiffrement de données au stockage, et ensuite sur OK pour lancer le chiffrement.
   Une fois le chiffrement activé, la sauvegarde de données comportera des données déchiffrés. Lors de restauration de cette copie, tous les fichiers seront chiffrés encore une foi sur le disque.

Le temps nécessaire à la réalisation de cette procédure dépend du volume de données. Tous les portails sont rendus indisponibles pendant le processus de déchiffrement. Une fois le déchiffrement terminé, toutes les données deviennent disponibles sur le portail.

Pour déchiffrer le stockage:

1. Passez à l'onglet Stockage sur le Panneau de configuration.
2. Activez l'option Avertir les utilisateurs que le portail ne sera pas disponible pour informer les utilisateurs actifs par e-mail lors du lancement de déchiffrement.
   Une fois le déchiffrement terminé avec succès, tous utilisateurs actifs recevront une notification par e-mail. Si une erreur se produit lors du déchiffrement, tous les administrateurs (sans tenir compte de l'option Notifier des utilisateurs) recevront une notification de l'échec du déchiffrement par e-mail.
3. Cliquez sur Déchiffrement de données au stockage, et ensuite sur OK pour lancer le chiffrement.

Le temps nécessaire à la réalisation de cette procédure dépend du volume de données. Tous les portails sont rendus indisponibles pendant le processus de déchiffrement. Une fois le déchiffrement terminé, toutes les données deviennent disponibles sur le portail.