Chiffrement pour protéger des données

Introduction

La fonctionnalité Chiffrement de données au repos sur le Panneau de configuration permet de garantir la sécurité des données sensibles sur votre portail.

Chiffrement est une transformation réversible d'informations afin de garantir une confidentialité des données stockées sur un disque. Alors, si un intrus parvenait à accéder aux données sur un disque dur, celles-ci seraient rendues inexploitables, car chiffrées.

Le chiffrement est basé sur la paradigme encrypt-then-mac (AES-256-CBC + HMAC-SHA256) qui est mis en place pour tout l'ensemble de données dans l'instance ONLYOFFICE et qui est conforme aux normes internationales de protection des données AES-256 . Le chiffrement AES-256 est une méthode de chiffrement symétrique avec l'algorithme CipherMode.CBC utilisée pour chiffrer les données sur le portail, tandis que la fonction de hachage SHA256 associée au filtrage du code d'authentification des messages HMAC permet de vérifier l'intégrité et l'authenticité des données chiffrées.

Cette fonctionnalité n'est disponible que dans la version de serveur.

Préparer le processus de chiffrement

Avant de commencer le processus de chiffrement, il faut effectuer quelques opérations préliminaires.

1. Arrêtez manuellement les services qui apportent des modifications aux fichiers stockés sur ordinateur.

   Sous Docker (au sein du conteneur Community Server):

   systemctl stop onlyofficeMail*
   systemctl stop onlyofficeThumbnailBuilder.service

   Sous Linux:

   sudo service onlyofficeMail* stop
   sudo service onlyofficeThumbnailBuilder stop

   Sous Windows:

   Passez à Panneau de configuration > Outils d'administration -> Services et arrêtez les services suivants: ONLYOFFICE Mail Watchdog, ONLYOFFICE Mail Imap, ONLYOFFICE Mail Cleaner, ONLYOFFICE Mail Aggregator, ONLYOFFICE Thumbnail Builder. Pour ce faire, faites un clic droit sur le service et sélectionnez Arrêter.

2. Connectez-vous à votre portail et cliquez sur l'icône Panneau de configuration sur la Page d'accueil. Vous pouvez aussi accéder aux Paramètres du portail et sélectionner Panneau de configuration sur le panneau de gauche.
3. Passez à la section Sauvegarde et sauvegardez des données.
4. Désactivez la fonctionnalité Sauvegarde automatique des données.
5. Sélectionnez l'option Stockage local pour Connecter stockage de données statiques et Connecter un CDN.
   L'option Chiffrement de données au repos fonctionne uniquement pour le stockage en local.
6. Assurez-vous d'avoir suffisamment d'espace disque disponible.

Une fois l'étape de préparation terminée, vous pouvez passez à l'étape suivante.

Chiffrer le stockage

1. Passez à l'onglet Stockage sur le Panneau de configuration.
2. Activez l'option Avertir les utilisateurs que le portail ne sera pas disponible pour informer des utilisateurs actifs par e-mail lors du lancement de chiffrement.
   Une fois le chiffrement terminé avec succès, tous utilisateurs actifs recevront une notification par e-mail. Si une erreur se produit lors du chiffrement, tous les administrateurs (sans tenir compte de l'option Notifier des utilisateurs) recevront une notification de l'échec du chiffrement par e-mail.
3. Cliquez sur Chiffrement de données au stockage, et ensuite sur OK pour lancer le chiffrement.

Le temps nécessaire à la réalisation de cette procédure dépend du volume de données. Tous les portails sont rendus indisponibles pendant le processus de déchiffrement. Une fois le déchiffrement terminé, toutes les données deviennent disponibles sur le portail.

Il vous faut également lancer manuellement les services qui apportent des modifications aux fichiers stockés sur ordinateur.

Sous Docker (au sein du conteneur Community Server):

systemctl start onlyofficeMailAggregator.service
systemctl start onlyofficeMailCleaner.service
systemctl start onlyofficeMailImap.service
systemctl start onlyofficeMailWatchdog.service
systemctl start onlyofficeThumbnailBuilder.service

Sous Linux:

sudo service onlyofficeMailAggregator start
sudo service onlyofficeMailCleaner start
sudo service onlyofficeMailImap start
sudo service onlyofficeMailWatchdog start
sudo service onlyofficeThumbnailBuilder start

Sous Windows:

Passez à Panneau de configuration > Outils d'administration -> Services et lancez les services suivants: ONLYOFFICE Mail Watchdog, ONLYOFFICE Mail Imap, ONLYOFFICE Mail Cleaner, ONLYOFFICE Mail Aggregator, ONLYOFFICE Thumbnail Builder. Pour ce faire, faites un clic droit sur le service et sélectionnez Lancer.

Déchiffrer le stockage

Pour déchiffrer des données sur le portail,

1. Arrêtez manuellement les services qui apportent des modifications aux fichiers stockés sur ordinateur selon les instructions au-dessus.
2. Passez à l'onglet Stockage sur le Panneau de configuration.
3. Activez l'option Avertir les utilisateurs que le portail ne sera pas disponible pour informer les utilisateurs actifs par e-mail lors du lancement de déchiffrement.
   Une fois le déchiffrement terminé avec succès, tous utilisateurs actifs recevront une notification par e-mail. Si une erreur se produit lors du déchiffrement, tous les administrateurs (sans tenir compte de l'option Notifier des utilisateurs) recevront une notification de l'échec du déchiffrement par e-mail.
4. Cliquez sur Déchiffrement de données au stockage, et ensuite sur OK pour lancer le chiffrement.
   

Le temps nécessaire à la réalisation de cette procédure dépend du volume de données. Tous les portails sont rendus indisponibles pendant le processus de déchiffrement. Une fois le déchiffrement terminé, toutes les données deviennent disponibles sur le portail.

Il vous faut également lancer manuellement les services qui apportent des modifications aux fichiers stockés sur ordinateur selon les instructions au-dessus.