Mise en place de la sécurité dans les applications Sage Experts

Mise en place de la sécurité dans les applications Sage Experts

 

Coup d’œil rapide

Sage génération Experts

Sage Acquisition Experts et Sage Conseil Experts

Sécurité dans l’application

Bases de données SQL

Bases de données MONGODB

Fichiers et répertoires

Localisation des données personnelles

Ces recommandations font partie des bonnes pratiques de sécurité.

Sage Génération Experts

Le principe de base de la sécurité est le POLP (Principle Of Least Privilege) : les droits des utilisateurs doivent se limiter aux permissions minimales dont ils ont besoin pour leur activité.

Ce principe s’applique aux utilisateurs, aux applications et aux services.

La sécurité des applications Sage Génération Experts Connect s’appuie sur la sécurité Windows. Il est donc important que :

  • chaque utilisateur Sage Génération Experts Connect ait son propre compte utilisateur Windows permettant de l’identifier ;
  • chaque utilisateur utilise les applications dans une session Windows ouverte avec son propre login.

Certaines bases de données ayant leur accès ouvert, un cryptage des supports (disque dur, serveur, ordinateur…) est conseillé (BitLocker par exemple…).

Les droits sur les éléments externes à l’application (répertoires et fichiers) peuvent alors être accordés au compte utilisateur Windows associé à l’utilisateur Sage Génération Experts Connect.

Sage Acquisition Experts et Sage Conseil Experts

Le principe de base de la sécurité est le POLP (Principle Of Least Privilege) : les droits des utilisateurs doivent se limiter aux permissions minimales dont ils ont besoin pour leur activité.

Ce principe s’applique aux utilisateurs, aux applications et aux services.

Aussi, il est conseillé de limiter l’accès aux postes de travail aux seules personnes autorisées. Les OS offrent tous des moyens de contrôle pour ce faire (Mots de passe, Active directory, etc.).

La sécurité des applications Sage Acquisition Experts et Sage Conseil Experts est basée sur la sécurité Windows, il est important que chaque utilisateur Sage Experts et Sage Conseil Experts ait son propre compte utilisateur Windows l’identifiant et que chaque utilisateur utilise les applications dans une session Windows ouverte avec son propre login et mot de passe.

Certaines bases de données ayant leur accès ouvert, un cryptage des supports (disque dur, serveur, ordinateur…) est conseillé (BitLocker par exemple…).

Les bonnes pratiques de sécurité imposent de limiter les accès aux minimums requis pour les tâches à accomplir, il est donc conseillé de ne donner les droits d’accès aux applications qu’aux utilisateurs en ayant explicitement besoin.

Si des données transitent sur des volumes temporaires (exemple transfert d’écritures comptables) il convient aussi d’en limiter l’accès. Les droits sur ces éléments externes à l’application (répertoires et fichiers) peuvent alors être accordés au compte utilisateur Windows associé à l’utilisateur Sage Acquisition Experts et Sage Conseil Experts.

Sécurité dans l’application

La sécurité dans l’application Sage Génération Experts Connect s’appuie sur une gestion de profils d’utilisateurs propres à l’application. Ces profils gèrent les accès aux différentes parties du logiciel et les droits des utilisateurs sur des dossiers ou groupes de dossiers.

Ainsi, un utilisateur peut avoir accès à la Production Comptable pour un ensemble de dossiers, mais pas à la Production Sociale pour ces mêmes dossiers. De même, cet utilisateur peut ne pas devoir accéder aux fonctions touchant à l’Entité (Facturation, Comptabilité, Paie du cabinet).

L’administrateur doit accorder à chaque utilisateur les droits pour accéder aux fonctions de l’application nécessaires à son activité.

Les droits définis dans l’application ne concernent que les fonctions de l’application. L’application ne gère pas les droits système (accès aux répertoires et aux fichiers), ceux-ci doivent donc être gérés séparément par l’administrateur.

Afin d’assurer une sécurité maximale, nous recommandons d’utiliser une politique de mots de passe forts. Dans Sage Génération Experts Connect, il est possible d’activer cette politique renforcée par l’intermédiaire de l’utilisateur identifié comme Administrateur.

Il sera alors nécessaire, tout d’abord, de définir un utilisateur Administrateur, si cela n’est pas déjà fait. Ensuite, celui-ci pourra activer la politique de mots de passe renforcés. Cette politique nécessitera ensuite que chaque utilisateur change son mot de passe, afin de se conformer aux règles appliquées.

Bases de données SQL

Pour assurer son fonctionnement, l’application Sage Gestion Cabinet Experts nécessite l’installation préalable du Runtime Microsoft ® SQL Server™ ou Express sur un poste serveur par un administrateur (se reporter aux prérequis pour connaître les versions supportées).

L’accès à cette base de données est sécurisé par un mot de passe. Il est fortement recommandé de le changer par un mot de passe fort personnel.

Bases de données MONGODB

La gestion des contacts disponible dans Sage Génération Experts Connect s’appuie sur une base de données MongoDB.

L’accès à cette base de données est sécurisé par un mot de passe. Il est fortement recommandé de le changer par un mot de passe fort personnel.

Fichiers et répertoires

Droits minimums à affecter aux utilisateurs de l’application

Les répertoires de l’application peuvent être sécurisés directement depuis le système d’exploitation tel que décrit dans les paragraphes suivants.

Néanmoins, il conviendra de respecter un minimum de droits sur certains répertoires comme repris dans le tableau ci-dessous :

Droits minimums à accorder en fonction des répertoires

* Autorisation spéciale : clic droit sur le dossier /Propriétés/Sécurité/Avancé : ajoutez l’utilisateur et lui affecter l’autorisation en lecture uniquement sur le dossier.

Pour les produits de la gamme Conseil :

Droits minimums à accorder en fonction des répertoires

Répertoire de l’entité

Les données concernant l’Entité (données comptables, données relatives aux immobilisations, données sociales, données relatives à la Gestion cabinet, données relatives au Dossier Permanent, données relatives à la GED…) sont enregistrées dans le répertoire \Coala\ents\<Code entité>.

Pour sécuriser ces données, il est recommandé de limiter les accès en Lecture/Ecriture aux seules personnes habilitées à travaillées sur ces données.

Il est néanmoins nécessaire de laisser, a minima, le droit de Lecture sur le Dossier Permanent de l’entité à laquelle est rattaché chaque collaborateur.

Répertoire des dossiers clients

Les données concernant chaque dossier (données comptables, données relatives aux immobilisations, données sociales, données relatives à la Révision, données relatives à la GED…) sont enregistrées dans le répertoire \Coala\grps\, dans chaque groupe de dossier.

Il est recommandé de sécuriser à minima les dossiers contenant des données de Production Sociale. Cependant, l’ensemble des dossiers peuvent avoir leur accès autorisé en Lecture/Ecriture aux seules personnes autorisées à travailler sur ces dossiers.

Répertoires utilisés dans la GED

Le module GED disponible dans Sage Génération Experts Connect utilise une arborescence de documents dans chaque dossier client ou entité.

La sécurisation des répertoires des dossiers clients permettra de sécuriser également les documents stockés pour le traitement des dossiers concernés.

Autorisation des services Sage aux répertoires de Génération Experts Connect

Les services <>Sage CoalaHttpServer, Sage NetLocker et Sage ServicesMonitor, doivent pouvoir intervenir sur le répertoire d’installation de l’application sans contraintes.

Il est donc nécessaire de s’assurer que l’utilisateur associé à ces services (par défaut Système ) a les droits en Lecture\Ecriture sur ces répertoires.

Sage Dashboard Experts

Sage Dashboard Expert est un outil qui permet de consolider certaines données produites par les applications Production Experts afin de construire des états statistiques. Dans ce cadre, certaines données sont répliquées. Afin d’augmenter le niveau de sécurité autour de cette application, nous recommandons d’activer la connexion sécurisée à Dashboard.

Celle-ci imposera à chaque utilisateur de s’authentifier à chaque accès demandé à Dashboard.

Localisation des données personnelles

Les données à caractère personnel (nom, adresses, téléphones, etc…) sont présentes en différents endroits en fonction des modules.

Il est donc possible d’y accéder en consultation et/ou en modification via les interfaces dédiées à cet usage.

Les informations personnelles peuvent être modifiées ou rendues anonymes de façon manuelle depuis les fiches tiers dans les différentes applications.

Les archives légales de fin d’année sont, par nature, dans des formats standard et non protégés afin d’être lisibles en cas de contrôle fiscal. Dans la mesure où elles peuvent potentiellement contenir des données personnelles (exemple: IBAN, salaires…), il est de la responsabilité des utilisateurs de les stocker en toute sécurité.

Les fichiers de transfert d’informations contiennent des informations sensibles (import/export). Il convient de les stocker sur des supports sécurisés et de les détruire dès qu’ils ont été traités.