C19. Comment optimiser la sécurité de ma base de données?

Les données traitées par un cabinet d’avocats étant particulièrement sensibles, la question de la sécurité de la base de données timeSensor LEGAL est à prendre très au sérieux. L’article suivant vous permettra d’en savoir plus sur la sécurisation du fonctionnement de la base de données.

Généralités

Cet article de la FAQ concerne uniquement les paramètres de sécurité de la base de données 4D. Il est également très important que la sécurité de votre propre infrastructure soit garantie. Entre autres choses, votre réseau doit être sécurisé à l’aide d’un pare-feu et les postes de travail doivent être tenus à jour par un logiciel. Nous vous recommandons de faire contrôler périodiquement la sécurité de votre infrastructure par un spécialiste indépendant.

Cryptage de la base de données

En mode multi-utilisateur, votre application client communique en permanence avec la base de données 4D. Pour éviter que le trafic des données entre le client et le serveur 4D ne soit intercepté, il est impératif de chiffrer la communication entre le client et le serveur 4D. Procédez comme suit:

  • ¥ Dans la fenêtre d'administration du serveur 4D, cliquez sur «Serveur d'application» et vérifiez si le cryptage est activé ou non. Si un «Oui» est visible à côté de SSL, le cryptage est bien activé. Dans ce cas, vous n'avez rien à faire.
  • ¥ Sinon, sélectionnez la commande «Paramètres utilisateur pour le fichier de données…» (macOS) ou «Paramètres des données utilisateur» (Windows) sous «Paramètres de la base de données» dans le menu «Fichier» (macOS) ou «Modifier» (Windows).
  • Cliquez sur l'onglet «Client-Serveur» dans la fenêtre
  • Cochez la case «Connexions client-serveur cryptées»
  • Cliquez sur «OK» pour enregistrer les paramètres
  • Redémarrez le serveur de base de données

Pour que les clients puissent par la suite se connecter à chacun des postes de travail avec le cryptage SSL, vous devez maintenant basculer la connexion sur les postes de travail. Procédez de la façon suivante:

  • Démarrez le client et maintenez la touche Alt/Option enfoncée
  • Dans la fenêtre de connexion, cliquez sur «Personnalisé»
  • Dans le champ «Nom de l'application:», saisissez: ^timeSensor

Remarque: l’accent circonflexe a pour effet d’activer le cryptage SSL lors des futures connexions au serveur par le client

  • Saisissez l’IP de votre serveur dans le champ «Adresse réseau»
  • Connectez-vous comme d'habitude

Remarque pour les administrateurs: si vous gérez un grand nombre de postes de travail, vous pouvez également utiliser votre outil de déploiement pour déployer un client préconfiguré. Vous trouverez dans le dossier de l'application client un sous-dossier «Database» contenant le fichier «EnginedServer.4Dlink». Le chemin exact est le suivant:

  • macOS: Contents/Database/EnginedServer.4Dlink (dans le package du programme client)
  • Windows: timeSensor Client/Database/EnginedServer.4Dlink

Editez ce fichier XML comme indiqué dans l'exemple. Là encore, il est impératif qu'un accent circonflexe soit placé devant le nom de la base de données (^timeSensor).

Gestion du mot de passe

Depuis tSL 7.0/build 2139, les mots de passe des utilisateurs ne sont plus stockés dans la base de données. Par conséquent, l'administrateur n’a plus accès aux mots de passe des utilisateurs – seul un code de hachage est stocké dans la base de données. Cette amélioration de la sécurité n’a toutefois un sens que si tous les utilisateurs choisissent des mots de passe sécurisés. Nous vous recommandons par conséquent de suggérer à vos utilisateurs d’utiliser des mots de passe suffisamment forts.

Si un mot de passe incorrect est saisi trois fois de suite dans un compte utilisateur, la boîte de dialogue du mot de passe se ferme et l'utilisateur concerné reçoit un ticket l'informant de l'échec de la tentative d'accès.

Les administrateurs peuvent également être informés d’incidents de ce type en cochant la case «Envoyer des tickets en cas de messages relatifs à la sécurité» dans leur compte d'utilisateur. Définissez cette option ainsi qu’un processus à suivre en cas d’incident de ce genre dans votre cabinet. En cas d’échec de tentative d'accès, il convient de déterminer au minimum si l'utilisateur a oublié son mot de passe ou s'il s'agit d'une tentative d'accès par un tiers.

Boîte de dialogue de connexion

Lors de la connexion à la base de données, la fenêtre de connexion de timeSensor LEGAL s’affiche en premier lieu. timeSensor LEGAL offre différents niveaux de sécurité pour cette fenêtre: vous pouvez définir le niveau souhaité dans les paramètres (sous «Admin»/«Personnalisés»). Dans cette fenêtre, cliquez sur l'onglet «Sécurité» et réglez le curseur «Fenêtre de connexion» sur le niveau souhaité:

  • Niveau 1 («Plus de confort»): il s’agit de la boîte de dialogue de connexion «classique». Elle affiche la liste des utilisateurs, la liste des entités actives (s'il y a plusieurs entités), et mémorise automatiquement le dernier utilisateur ou la dernière entité pour qu’ils soient automatiquement présélectionnés. Bien que cette boîte de dialogue soit la plus conviviale, elle n’est pas idéale pour des raisons de confidentialité, dans la mesure où elle révèle les noms des utilisateurs et des entités. Nous vous recommandons par conséquent de n’utiliser ce niveau que si vous utilisez timeSensor LEGAL dans un environnement réduit et protégé.
  • Niveau 2: à ce niveau, la boîte de dialogue n'affiche ni liste d'utilisateurs ni liste d'entités. L'utilisateur doit donc les saisir manuellement. Les dernières entrées sont toutefois mémorisées par timeSensor LEGAL: ces champs sont automatiquement suggérés et seul le mot de passe doit être saisi.
  • Niveau 3: la boîte de dialogue n'affiche ni liste d'utilisateurs ni liste d'entités, et timeSensor LEGAL ne mémorise que la dernière entité. Le nom d'utilisateur et le mot de passe doivent donc être saisis manuellement par l'utilisateur à chaque nouvelle connexion.
  • Niveau 4 («Plus de sécurité»): la boîte de dialogue n'affiche ni liste d'utilisateurs ni liste d'entités, et timeSensor LEGAL ne mémorise aucune information. Le code d'entité, le nom d'utilisateur et le mot de passe doivent donc être saisis manuellement à chaque nouvelle connexion. Il s'agit du niveau de sécurité le plus élevé. Nous vous recommandons d’opter pour ce dernier si votre base de données est dans le cloud.