- Accueil
- DocSpace
- Configuration
- Guide de sécurité de DocSpace
Guide de sécurité de DocSpace
Introduction
ONLYOFFICE propose un ensemble d'outils de sécurité pour sécuriser vos données et garantir une collaboration en ligne sécurisée. Ce guide décrit toutes les fonctionnalités permettant d'améliorer la sécurité de votre DocSpace.
En outre, vous pouvez découvrir les technologies, principes et services de sécurité communs pour sécuriser au maximum votre serveur.
Aperçu général de la sécurité de DocSpace
Certaines fonctionnalités de DocSpace sont les standards internationaux reconnus en cybersécurité: HTTPS, sauvegarde des données, propre serveur SMTP, LDAP.
Protocole HTTPS sécurisé
ONLYOFFICE vous permet de chiffrer votre trafic à l'aide du protocole HTTPS. Vous pouvez facilement créer un certificat signé par l'autorité de certification sur letsencrypt.org et faire passer votre DocSpace en HTTPS en une seule commande ou utiliser vos propres certificats.
Veuillez consulter les instructions appropriées pour Docker, Linux, Windows.
Sauvegardes régulières des données
Vous pouvez sauvegarder vos données manuellement ou automatiquement pour éviter la perte de données. La fonctionnalité Sauvegarde/Restauration est disponible dans la section de configuration de DocSpace.
Pour en savoir plus sur les options de sauvegarde et restauration, veuillez consulter cet article.
Serveur SMTP propre
Dans ONLYOFFICE DocSpace, le serveur ONLYOFFICE SMTP est le serveur par défaut pour envoyer les notificationsaux utilisateurs. Pour une sécurité accrue, nous vous recommandons d'utiliser votre propre serveur SMTP afin que vos messages ne passent pas via les services tiers.
Pour en savoir plus sur la configuration du serveur SMTP, veuillez consulter cet article.
LDAP pour d'accès centralisé
Vous pouvez importer facilement les utilisateurs et les groupes depuis le serveur LDAP (par ex. OpenLDAP Server ou Microsoft Active Directory) vers votre DocSpace. Tous les nouveaux utilisateurs n'ont pas besoin de retenir les nouveaux mots de passe et identifiants, car ile est possible de se connecter à DocSpace en utilisant les informations d'identification stockés sur le serveur LDAP.
Pour en savoir plus, veuillez consulter cet article.
Accès sécurisé
La section Sécurité dans DocSpace permet de contrôler l'accès à votre espace DocSpace et l'activité des utilisateurs.
Robustesse de mot de passe
Les mots de passe robustes peuvent vous aider à prévenir tout l'accès non autorisé. Dans DocSpace, vous pouvez définir les exigences de la langueur du mot de passe et les symboles qui doivent être utilisés dans le mot de passe: majuscules, chiffres et symboles spéciaux.
En savoir plus sur la configuration de la robustesse du mot de passe.
Authentification à deux facteurs
L'authentification à deux facteurs assure un accès plus sécurisé à DocSpace. Une fois l'authentification à deux facteurs activée, pour accéder aux données stockées dans l'espace DocSpace l'utilisateur peut saisir son e-mail et mot de passe ou se connectant via un réseau social et saisir un code de vérification généré par l'application d'authentification.
Pour en savoir plus sur l'authentification à deux facteurs, veuillez consulter cet article.
Autres paramètres d'accès
- Indiquez les domaines de messagerie autorisés que les utilisateurs pourront utiliser pendant l'auto-enregistrement dans DocSpace. En savoir plus.
- La section Sécurité IP vous permet de limiter l'accès à votre DocSpace basé sur les adresses IP en donnant l'accès à DocSpace à partir de réseaux de confiance uniquement. En savoir plus.
- Protégez votre DocSpace protéger le portail contre les attaques par force brute en limitant les tentatives de connexion échouées de l'utilisateur. En savoir plus.
- Utilisez la section Durée de vie de la session pour définir le moment avant lequel les utilisateurs DocSpace devront saisir les informations d'identification DocSpace pour y accéder. En savoir plus.
- Vous pouvez également vous déconnecter de toutes sessions actives sur un appareil à l'aide de l'option appropriée dans votre profil. En savoir plus.
Surveillance des connexions et de l'activité
Surveillez les activités de connexion récentes des utilisateurs y compris les connexions réussites et les tentatives échouées sous la rubrique Historique des connexions de la section Paramètres. La ruvrique Piste d'audit vous permet de parcourir la liste des dernières modifications (création, modification, suppression etc.) apportées par des utilisateurs aux fichiers et dossiers de votre espace DocSpace. En savoir plus.
Stockage sécurisé
Mot de passe pour des liens externes
Lors de la création des liens externes vers des salles publiques, des salles personnalisées ou des salles de remplissage de formulaires, vous pouvez les protéger avec un mot de passe. Pour la salle publique ou la salle personnalisée partagée par un lien, vous pouvez également activer l'option Restreindre la copie du contenu des fichiers, le téléchargement et l'impression des fichiers pour désactiver les téléchargements de fichiers et de dossiers. Vous pouvez limiter la durée de la validité des liens supplémentaires.
En savoir plus sur des liens externes.
Salles de données virtuelles pour des données sensibles
Les salles de données virtuelles proposent une sécurité avancée de stockage et de partage des informations commerciales confidentielles. Les options de sécurité suivantes pour travailler sur des données sont disponibles dans une Salle de données virtuelle: la durée de vie des fichiers, l'interdiction de copier et de télécharger des fichiers, des filigranes.
- Durée de vie des fichiers - Définissez la durée de vie des fichiers pour supprimer automatiquement les fichiers de cette salle à l'expiration d'un délai défini.
- Restreindre la copie et le téléchargement - Activez ce paramètre pour désactiver les téléchargements et la copie du contenu pour les utilisateurs ayant le rôle de Lecteur.
- Ajouter des filigranes aux documents - Protégez tous les documents de cette salle par des filigranes.
En savoir plus sur les Salles de données virtuelles.
Chiffrement
La fonctionnalité Chiffrement de données au repos proposé par DocSpace permet de garantir la sécurité des données sensibles dans votre DocSpace.
Le chiffrement est basé sur la paradigme Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) qui est mis en place pour tout l'ensemble de données. Ce chiffrement est conforme aux normes internationales de protection des données AES-256.
En savoir plus sur la fonctionnalité Chiffrement de données au repos.
Gestion des permissions
Vous pouvez définir les niveaux d'accès qui contrôlent les d'actions qu'un utilisateur peut exécuter sur des fichiers disponibles dans une salle. Par exemple, un utilisateur avec le rôle Lecteur peut uniquement afficher des documents, un utilisateur avec le rôle Éditeur peut effectuer toutes les opérations d'édition dans des fichiers existants, un utilisateur avec le rôle Créateur de contenu peut créer et télécharger de nouveaux fichiers et dossiers. En savoir plus.
Travail sécurisé sur des documents
Lors de la collaboration sur des documents, utilisez les fonctionnalités de sécurité pour limiter l'accès ou les possibilités d'édition d'autres utilisateurs et pour empêcher toute modification indésirable des données.
Versions des documents
Afficher l'historique des versions pour savoir exactement quelles modifications ont été apportés. Restaurez l'une des versions précédentes de votre document, le cas échéant. En savoir plus.
Protection des documents avec un mot de passe
Protégez des documents avec un mot de passe pour empêcher une personne d'accéder à vos fichier sabs un mot de passe. En savoir plus.
Protection des classeurs, des feuilles de calcul et des plages de données
Lors du travail sur un classeur, vous pouvez protéger le classeur entier, certaines feuilles de calcul ou les plages de cellules et masquer des formules ou des objets. En savoir plus.
Protection JWT
Afin de protéger des documents contre un accès non autorisé, les éditeurs ONLYOFFICE utilisent le jeton JSON (JWT). Le jeton est ajouté à la configuration lorsque l'éditeur de documents est initialisé et l'échange de commandes entre les services internes de ONLYOFFICE Docs est effectué. La clé secrète est utilisée pour signer et valider le jeton JSON sur la demande à la connexion à ONLYOFFICE Docs.
Principes fondamentaux de sécurité
Vous pouvez également songer à utiliser certains principes fondamentaux de sécurité des serveurs ainsi que des services et des outils externes qui ne sont pas liés aux produits ONLYOFFICE. Vous trouverez ci-dessous des exemples et des conseils qui peuvent s'avérer utiles.
Désactiver l'accès racine
Pour éviter les fuites de données, il est préférable d'interdire la connexion en tant qu'utilisateur racine puisque un utilisateur racine a l'accès complet aux données système. Pour refuser l'accès racine, utilisez le terminal de votre serveur et définissez la permission d'accès racine No (Non).
Fermer tous les ports inutiles
Il faut ouvrir uniquement les ports dont vous avez besoin pour un bon fonctionnement du portail puisque les ports ouverts peuvent provoquer les fuites de données. Utilisez netstat pour afficher les ports en écoute et le logiciel associé.
Configuration de pare-feu
Un pare-feu surveille le trafic et utilise un ensemble prédéfini de règles pour décider d'autoriser ou de bloquer le trafic entrant et sortant. Dans Linux, le pare-feu est intégré au noyau (netfilter), mais il vous faut installer un outil de gestion, par exemple, UFW sous Debian ou firewalld sous RHEL.
Principe du moindre privilège
Accordez à un utilisateur les permissions d'accès minimum requis pour accomplir sa tâche spécifique afin d'empêcher l'accès aux données sensibles si un utilisateur n'a pas besoin de les accéder.
Accès distant via SSH
Lors de l'administration d'un serveur distant, utilisez le protocole sécurisé SSH. Bien que ce protocole soit fiable, vous pouvez renforcer la protection en remplaçant le mot de passe par les clés SSH.
Fail2ban pour sécuriser votre connexion
Il est possible d'utiliser Fail2ban pour protéger votre serveur contre les attaques par force brute. Ce logiciel surveille les fichiers journaux (logs) de votre serveur et bloque les connexion s'il y a trop de tentatives échouées.
Activation de SELinux ou App Armor
Activez les modules de sécurité qui protègent votre serveur contre les programmes malveillants ou non sécurisés. Sur les systèmes basés sur RHEL, on utilise SELinux. Sur les systèmes basés sur Debian, vous pouvez utiliser AppArmor.