Pleine confianceDans le monde numérique actuel, la protection des informations sensibles est une préoccupation autant pour les organisations de toutes tailles.
Cet article explore certains principes fondamentaux de la cybersécurité, en se concentrant sur l'intégrité, la gestion des accès et le partage de fichiers.
Nous aborderons des sujets clés, tels que le chiffrement des documents, l'utilisation des plateformes de signature électronique, et les méthodes de partage sécurisé, y compris les solutions "zero-knowledge".
Les outils que je vais te présenter vont te permettre de travailler en protégeant mieux les données sensibles de ton organisation
🌘 Retour sur les 3 piliers de la cybersécurité
Pour protéger des contrats et des documents officiels, on doit appliquer nos trois piliers de la cybersécurité. Heureusement, les solutions en ligne de signature de contrats permettent de valider l'authenticité des signataires et de garantir une forme d'intégrité du document, avec les signatures.
Parmi les plateformes les plus reconnues pour la signature de documents en ligne, on retrouve DocuSign, PandaDoc et Adobe Sign. Lors de ton inscription, tu as utilisé la plateforme Adobe Sign pour signer le contrat de formation.
🌘 Garantir la confidentialité
Pour garantir la confidentialité d'un document, il doit être chiffré et accessible uniquement par les personnes autorisées. C'est ici que notre carte d'entreprise intervient. Pour chaque type de contrat, on identifie les parties prenantes, puis on donne les accès nécessaires pour modifier, signer ou consulter le document.
Les plateformes de signature en ligne offrent ce type d'accès. Pour l'entreposage de copies de ces documents, un partage de fichiers en ligne permet d'accès en lecture aux parties prenantes autorisées.
Je te conseille de faire un dossier par partie prenante, puis par type de contrat. Comme ça, tu n'as qu'un seul accès à donner au lieu de devoir le faire pour chaque document.
La partie prenante doit aussi s'assurer de la confidentialité du contrat de ce côté. Si c'est une autre entreprise, alors elle pourra appliquer des règles similaires à toi. C'est une bonne occasion pour l'inviter ici ! Si c'est un client particulier, il sera difficile de contrôler qui a accès au document. Cependant, tu peux toujours partager quelques bonnes pratiques que tu as apprises ici à ta clientèle !
🌘 Garantir l'intégrité
L'objectif des plateformes en ligne est de fournir une certaine forme de protection de l'intégrité du document. Il y a peu de jurisprudence au Canada quant aux plateformes de signature en ligne. Au niveau de la loi, 4 provinces reconnaissent les signatures électroniques: Québec, Ontario, Alberta et Colombie-Britannique, ainsi que le gouvernement fédéral.
Pour qu'une signature électronique soit reconnue, le document doit inclure un historique de toutes les modifications avec des marqueurs de temps exacts (à la seconde). Il y a aussi d'autres considérations plus techniques que l'on peut retrouver dans les différentes lois.
Au Canada, c'est la Loi sur la protection des renseignements personnels et les documents électroniques: https://laws-lois.justice.gc.ca/fra/lois/p-8.6/TexteComplet.html
Au Québec, c'est la Loi concernant le cadre juridique des technologies de l’information: https://www.legisquebec.gouv.qc.ca/fr/document/lc/C-1.1
En Ontario, c'est la Loi de 2000 sur le commerce électronique: https://www.ontario.ca/fr/lois/loi/00e17
🌘 Garantir l'accessibilité
Comme les plateformes de signature électronique sont en ligne, c'est toujours une bonne idée de se faire une copie locale des documents, surtout dans une optique de préservation à long terme. Comme le contrat signé existe d'abord sur une plateforme web, les deux autres copies que l'on doit faire doivent donc être locales. Ton ordinateur et ton disque externe chiffré sont deux bons endroits pour entreposer le contrat.
Comme un contrat doit être préservé pour toute la durée de ton entreprise, c'est important de le marquer comme un contenu à préserver à long terme dans ton tableau de décision. Un disque externe a une durée de vie approximative de 5 à 10 ans, selon la qualité. Il faut donc penser à changer son disque aussi avec une certaine fréquence (aux 5 ans, c'est une bonne chose).
Généralement, les contrats vont être sous la forme d'un fichier PDF. C'est un format standard qu'on peut juger stable dans le temps, puisqu'il répond à la norme ISO 32000-2 : 2020: https://www.iso.org/standard/75839.html. Le contenu à préserver à très long terme peut aussi être préservé avec une copie additionnelle papier.
🌘 Choisir sa plateforme de signature en ligne
Le choix ici est surtout au niveau des fonctionnalités et de la reconnaissance des plateformes dans ta juridiction au niveau légal.
Au Canada, les plateformes Adobe Sign, PandaDoc et DocuSign (et sûrement plusieurs autres) sont reconnues par nos tribunaux.
Ces plateformes permettent notamment l'intégration avec d'autres services via des API, mais, encore une fois, assure-toi que les données circulent sur des plateformes qui protègent la confidentialité.
Si tu utilises des outils de formulaire tels que Tally ou Google Forms, assure-toi de demander le consentement pour la transmission des données vers la plateforme que tu auras choisie.
🌘 Aller au delà des signatures électroniques
Il y a aussi d'autres technologies pour signer des documents officiels, tels que les clés asymétriques basées sur le modèle PGP (Pretty Good Privacy). Si, par exemple, tu veux signer des copies originales de fichiers que tu ne peux pas modifier, telles que des images, c'est cette méthode qui est privilégiée.
C'est une des techniques les plus utilisées pour authentifier les fichiers qui composent les logiciels, entre autres sur les dépôts des distributions Linux. Je vais te la présenter dans la prochaine leçon.
🌘 Utiliser OpenPGP pour signer des documents et les valider
Les clés PGP, aussi connues sous le nom de OpenPGP, GPG ou GnuPG, sont des paires de clés de chiffrement et de déchiffrement qui peuvent servir à chiffrer des documents, mais aussi à générer des signatures qui servent pour vérifier l'authenticité.
🌘 Pourquoi utiliser OpenPGP ?
Les clés PGP, aussi connues sous le nom de OpenPGP, GPG ou GnuPG, sont des paires de clés de chiffrement et de déchiffrement qui peuvent servir à chiffrer des documents, mais aussi à générer des signatures qui servent pour vérifier l'authenticité. Elles respectent le standard OpenPGP, ce qui leur permet d'être durables dans le temps et de ne pas dépendre d'une technologie privative (qui appartient à une entreprise privée).
Si, par exemple, tu veux signer des copies originales de fichiers que tu ne peux pas modifier, telles que des images, c'est cette méthode qui est privilégiée.
🌘 Installer GnuPG
🌘 Windows
Tu peux obtenir le logiciel GnuPG sur le site suivant: https://gnupg.org/
Sur Windows, le logiciel se nomme GPG4Win.
Pour télécharger, il y a un formulaire de contribution volontaire. Tu peux mettre 0$ pour voir apparaître le lien Téléchargement.
Tu peux valider l'intégrité du fichier avec sa signature intégrée.
Voici comment faire:
- Localise le fichier téléchargé
- Identifie le numéro de série de la signature sur la page web
- Clique sur le fichier avec le bouton droit
- Affiche les propriétés
- Affiche l'onglet de signatures numériques
- Clique sur Détail de la signature
- Clique sur Afficher le certificat
- Compare le numéro de série de la signature
Si les deux concordent, tu as un fichier original.
Tu peux ensuite l'installer en double cliquant sur le fichier et en acceptant les divers avertissements de Windows Defender.
Choisir l'option Browser Integration
Choisis les options par défaut par la suite. Tu vas avoir installé Gpg4Win. Le logiciel vient avec des utilitaires pour chiffrer des fichiers et des courriels dans Outlook.
Je n'ai jamais utilisé les utilitaires graphiques, je vais te montrer comment faire avec la ligne de commande parce qu'ils sont identiques sur tous les systèmes.
🌘 MacOS
Sur macOS, le logiciel se nomme Mac GPG. Tu peux le trouver sur le site de GPGTools https://gpgtools.org/. C'est un logiciel de type Freemium, avec des fonctionnalités payantes.
Tu peux aussi simplement installer GPG2, l'outil en ligne de commande.
Tu peux l'installer avec Homebrew (si tu n'as pas encore Homebrew, c'est ici: https://brew.sh.
brew install gpg2
🌘 Linux
Tu devrais déjà avoir GPG installé sur ton système. Sinon, tu peux le trouver dans ton gestionnaire de paquets sous le nom gnupg2 ou gpg2.
🌘 Valider l’authenticité d'un document
Pour valider l’authenticité d'un document, il faut avoir entre les mains le document qui a été signé, le fichier qui contient la signature et la clé publique du signataire.
Une fois que tu as ces trois éléments sous la main, le logiciel GnuPG peut t'aider à vérifier la signature.
À partir d'une invite de commande ouverte dans le répertoire où se trouvent les fichiers, exécute les commandes suivantes:
- Commence par importer la clé publique du signataire dans le logiciel GnuPG
gpg --import fichier_cle_signataire.key
- Ensuite, vérifie la signature contre le fichier
gpg --verify fichier_signature.asc fichier_a_verifier
Tu vas avoir un exemple pratique à la page suivante
🌘 Un exemple !
Tu peux télécharger ma clé GnuPG ici :
Enregistre-la sous le nom cle_francois.key.
Ensuite, tu peux ouvrir un terminal de ligne de commande, puis entrer
gpg --import cle_francois.key
Tu vas avoir cette sortie
gpg: clef 0BAB11809D47BB0D : « François Pelletier <francois@jevalide.ca> » 1 nouvelle signature
gpg: Quantité totale traitée : 1
gpg: nouvelles signatures : 1
Télécharge maintenant le message :
Et la signature
Tu peux maintenant vérifier que c'est bien moi qui aie signé le message
gpg --verify ceci-est-un-message-signe.txt.asc ceci-est-un-message-signe.txt
Tu devrais avoir la sortie suivante
gpg: Signature faite le dim 05 fév 2023 14:27:00 EST
gpg: avec la clef RSA 84F1D193FA9D1E0C15E7837C0BAB11809D47BB0D
gpg: issuer "francois@jevalide.ca"
gpg: Bonne signature de « François Pelletier <francois@jevalide.ca> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg: Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 84F1 D193 FA9D 1E0C 15E7 837C 0BAB 1180 9D47 BB0D
🌘 Réseau de confiance
Le système de clés OpenPGP fonctionne avec un réseau de confiance. Donc, pour qu'une clé soit reconnue comme authentique, elle doit avoir été signée avec celle d'une autre personne, suite à une vérification d'identité faite en personne, dans une rencontre nommée cérémonie de signature de clés (key signing party).
🌘 Signer un document avec GnuPG
Pour signer un document, tu dois créer ta propre paire de clés publiques et privées
gpg --gen-key
Pour créer une signature, tu utilises ensuite cette commande. Le paramètre -sb crée une signature dans un fichier séparé. Le paramètre --armor crée une clé ASCII qui peut être envoyée sous forme de fichier texte. Le paramètre -u définit l'utilisateur de la clé privée.
gpg -sb --armor -u <ton adresse courriel ici> ceci-est-un-message-signe.txt
La signature sera enregistrée dans le même répertoire que le fichier, avec l'extension .asc ajoutée à la fin. Ici, le fichier se nommera ceci-est-un-message-signe.txt.asc
🌘 Partager du contenu temporaire de manière sécurisée avec le zéro knowledge
Il nous arrive de devoir partager certaines informations de manière plutôt spontanée à d'autres parties prenantes. Des coordonnées bancaires, un numéro d'assurance sociale pour un T4A, un mot de passe pour une application partagée en ligne qu'on est en train de tester.
Même si on souhaite éviter ce genre de partages, c'est parfois inévitable. On doit alors aller vers des solutions de type Zero-Knowledge.
Ces services en ligne offrent un partage de contenu (texte, fichiers et autres formats de collaboration) chiffré de bout en bout localement, dans le navigateur.
Le Zero Knowledge est un modèle d'application web où le chiffrement se fait localement sur l'ordinateur de l'utilisateur. Le serveur n'est jamais informé du contenu ni du lien utilisé pour accéder au contenu.
Ces services n'ont besoin, par design, d'aucune autorisation, d'aucun compte à créer. Ils sont essentiellement des contenants chiffrés de contenu jetable !
Certains logiciels connus sont:
- Lufi (Lufi) est une application de partage de fichiers simple et chiffrée.
- Jirafeau (Jirafeau) est une autre application de partage de fichiers simple et chiffrée.
- CryptPad (CryptPad) est un service de collaboration en ligne, basé sur du logiciel libre, qui propose éditeur de texte, tableur, feuilles de calcul et stockage sécurisé pour les documents. Il a chiffré vos données à la volée avec des clés privées détenues par l'utilisateur.
- PrivateBin (PrivateBin) est une alternative libre et autonome aux services de partage de texte neutre, inspiré par paste.apache.org, mais respectant la vie privée des utilisateurs grâce au chiffrement client-côté.
- PageCrypt (PageCrypt) (PageCrypt) est un outil en ligne permettant de crypter et partager des pages web HTML facilement, avec la protection d'un mot de passe.
Tu pourras retrouver ce type de services sur les différentes plateformes membres du collectif CHATONS, dont les Services FACiLes.
Pour ma part, je t'offre les services zéro-knowledge suivants (sans aucune garantie):
🌘 Gérer les données confidentielles des clients, partenaires et employés
Plusieurs logiciels ont une structure en arbre, ou hiérarchique. Les systèmes de fichiers sont un bon exemple, la hiérarchie se crée avec la structure de répertoires. Les stockages infonuagiques, tels que Dropbox, Google Drive et OneDrive/SharePoint, sont aussi sous une structure hiérarchique.
Les logiciels de prise de note de type Wiki sont aussi des bons exemples de système hiérarchique. Parmi eux, on compte Notion, Confluence, OneNote et Joplin (il est libre, celui-là !).
Enfin, on retrouve aussi les logiciels de gestion de projet et de tâches, où on peut avoir plusieurs niveaux de profondeur. Encore ici, Notion peut servir à ça. Sinon, on retrouve dans cette catégorie Asana, ClickUp, JIRA, Trello, Nextcloud Deck et OpenProject (ces deux derniers sont libres, j'utilise Nextcloud Deck dans mon entreprise).
Sur ta carte d'entreprise, tu peux identifier tous les outils que tu utilises qui ont une composante hiérarchique.
Ce que je vais te montrer ici, c'est bon pour presque tous les logiciels de ce type.
En utilisant la même structure partout, tu te simplifies la vie et du même coup, tu augmentes ta sécurité et tu retrouves plus facilement toutes les données pour une partie prenante (les clients, en particulier, qui pourront demander toutes leurs données que tu as sur eux dès 2024 au Québec, et qui peuvent déjà avec le RGPD)
🌘 La pyramide de gestion des répertoires et des accès
Cet outil, que j'ai nommé la pyramide de gestion des répertoires et des accès, est une suggestion pour organiser tout ton contenu dans tes différents logiciels, et pour appliquer les règles de gestion des accès.
🌘 Premier niveau
Au premier niveau, on retrouve les différents domaines de ton entreprise. C'est le niveau administrateur, donc un accès très restreint, seulement pour toi, ou pour les personnes de grande confiance et responsable de la technique dans ton entreprise.
🌘 Second niveau
Ensuite, on crée un dossier ou une branche pour chacun des types de parties prenantes. Si tu partages du contenu à toutes les parties prenantes du même groupe, tu peux alors créer un groupe d'accès au niveau de la gestion des identités et des accès.
La plupart des logiciels permettent de créer des groupes, soit en rassemblant les utilisateurs, soit par un système d'étiquettes, puis de leur attribuer différents types de permissions: lecture, écriture, exécution, mise à jour ...
🌘 Troisième et quatrième niveau
Après, on tombe au niveau de l'individu ou de l'entreprise. C'est à ce niveau qu'on va créer des comptes utilisateur.
Idéalement, à moins que ça soit une contrainte budgétaire, c'est toujours mieux de créer de vrais accès pour ses parties prenantes au lieu de faire des liens de partage invités, qu'on limite pour les contributeurs externes temporaires (par exemple, un imprimeur qui a besoin des fichiers de ton ou ta graphiste)
🌘 Cinquième et sixième niveau
Enfin, dans les deux derniers niveaux, c'est là qu'on va davantage organiser selon le type de contenu. C'est utile ici, par exemple si on partage des accès pour différents logiciels.
En dernier, on met un classement pour la maturité des fichiers (brouillon, version de travail, version finale, archives).
Ce dernier niveau peut aussi être dans le nom de fichier, si tu décides d'adopter des règles de nomenclature pour nommer tes fichiers de façon uniforme.
🌘 Version modifiable
Tu vas peut-être souhaiter personnaliser ce document pour l'imprimer. Il a été conçu avec le logiciel Diagrams.net (anciennement draw.io).
Le fichier source est disponible ici: gestion-repertoires-acces.drawio
🌘 Sécuriser son partage de fichiers
Comme nous avons vu dans la section précédente, il y a trois niveaux d'accès qui peuvent être donnés dans un partage de fichiers: le groupe, l'utilisateur et l'invité.
Nous avons tendance, bien souvent, à créer des liens invités, parce que c'est facile et rapide. Mais, dans une vision à long terme, où il y a de plus en plus de parties prenantes et de personnes dans chaque groupe de parties prenantes, utiliser seulement des liens de partage va devenir très difficile à suivre. Garder des traces de tous ces liens n'est certainement pas une tâche facile.
On doit donc commencer à créer des groupes et des utilisateurs. Par où commencer ?
Ça dépend de ton modèle d'affaires.
-
Si tu offres de la formation à des groupes, par exemple, c'est naturel de commencer par créer des groupes d'utilisateurs.
- Pour créer ces groupes, tu devras quand même créer des comptes utilisateur.
- Mais, tu vas pouvoir garder ça au plus simple: courriel, nom et prénom vont souvent suffire.
- Chaque utilisateur est ensuite affecté aux bons groupes, et ce sont ces groupes qui sont ensuite assignés aux différents répertoires.
-
Si, par contre, tous tes services sont individuels, tu voudras probablement par
-
Créer des comptes utilisateur et les assigner chacun aux bons répertoires de partage de fichiers tout de suite.
-
Tu vas avoir un répertoire par client dans chacun des domaines où il est une partie prenante.
-
Ensuite, tu pourras ajouter les utilisateurs dans les groupes qui sont pertinents pour eux.
Je vais te présenter deux exemples de création de partage sécurités. On va commencer par Google Drive, qui est le produit le plus commun, mais aussi un peu différent des autres. Ensuite, je vais te présenter Nextcloud, qui ressemble davantage à ce que tu pourras trouver dans les systèmes pour entreprises. C'est similaire à Dropbox et OneDrive, entre autres.
🌘 Google Drive
Je vais tenir pour acquis ici que tu as un compte Google Drive personnel, et non un espace Google Workspace pour entreprise.
Idéalement, tu devrais seulement utiliser Google Workspace, car l'utilisation de Google Drive personnel n'est pas autorisée pour les entreprises. Mais, je vais être honnête, ça me regarde pas tant rendu là ! Je veux seulement te prévenir !
Google Drive n'est pas le meilleur outil pour implémenter une structure de gestion des accès.
C'est toujours un peu bordélique. Mais, c'est le système de fichiers en ligne le plus commun, presque tout le monde en a un, même si ce n'est pas notre outil principal. Alors, allons-y !
Dans Google Drive, l'utilisateur est un compte Google. Dans la plupart des cas, ce sont des courriels @gmail.com, sauf si tu as un forfait Google Workspace avec ton nom de domaine.
On va commencer par voir comment créer des groupes d'utilisateurs, puis on va s'occuper de donner les accès par la suite.
🌘 Créer un groupe d'utilisateurs Google
Google a son propre produit de groupes, nommé Google Groups. C'est un système de courriel et de forums en ligne qui date de très longtemps, et qui a ensuite été utilisé pour créer une forme de gestion d'accès dans les autres produits de Google.
L'écosystème de Google est complexe et est composé de nombreux produits différents, certains qui ont été achetés à d'autres entreprises, et beaucoup qui n'ont pas survécu au fil du temps.
Tu peux rejoindre le site de Google Groupes à l'adresse: https://groups.google.com/my-groups?pli=1
Pour créer un groupe, clique sur Créer un groupe en haut à gauche
Ensuite, donne un nom au groupe. Ça va aussi lui créer une adresse courriel. Dans la plupart des systèmes, les groupes ont aussi leur propre adresse courriel, c'est tout à fait normal. Ce sera l'identifiant à utiliser.
Tu vas ensuite pouvoir préciser les diverses options de sécurité du groupe.
- Qui peut rechercher le groupe: Si c'est un groupe privé, il faut mettre Membres du groupe
- Qui peut rejoindre le groupe: idéalement, tu devrais garder le contrôle sur le groupe, à moins que ce soit, par exemple, le moyen pour accéder à un produit promotionnel gratuit.
Qui peut afficher les conversations. À moins que tu veilles utilisez la fonctionnalité de forum, je te conseille de tout mettre avec l'option la plus à gauche. - Qui peut publier des messages. Même chose que précédemment ici.
- Qui peut afficher la liste des membres. Même chose que précédemment ici.
Si ton groupe est utilisé seulement pour partager des documents, et que, par exemple, tu ne souhaites pas que tes clients sachent qui sont tes autres clients, ou que tu fais un appel d'offres entre différents fournisseurs auxquels tu partages des documents communs, tu vas souhaiter limiter la visibilité des membres du groupe seulement à toi ou à tes employées et employés (gestionnaires du groupe).
Ce sera alors le deuxième choix depuis la gauche.
Enfin, tu peux préparer l'accueil et ajouter les membres avant de créer le groupe
Pour ajouter de nouveaux membres, tu dois aller dans Personnes/Membres dans le menu de gauche, puis cliquer sur Ajouter des membres en haut.
Une fois que tu as complété, tu peux aussi sauvegarder la liste des accès de ton groupe en cliquant sur le bouton Télécharger à droite d'Ajouter des membres. Encore une fois, ici, je te conseille d'archiver ce fichier avec un mot de passe comme je t'ai montré précédemment.
Si le groupe est un groupe avec un abonnement libre, ce sont aussi des contacts d'affaires additionnels que tu aimerais sauvegarder avec tes autres contacts, comme on a vu précédemment.
Tu peux aussi lui donner un nom plus pertinent, le nom par défaut ne précisant pas que c'est un groupe Google.
Pour ajouter des accès sur un répertoire dans Google Drive, sélectionne-le, puis ouvre le menu du haut, puis choisis l’item Partager.
Entre ensuite l'adresse courriel du groupe @googlegroups.com dans le champ du contact. Ensuite, choisis la permission Éditeur (droit de modifier) ou Lecteur (lecture seulement) pour les membres de ce groupe.
N'oublie pas, par exemple, que tu peux donner la permission Lecteur à tous et ajouter la permission Éditeur à un autre groupe plus restreint.
C'est une pratique courante que j'ai vue dans les grandes entreprises de toujours créer deux groupes, un pour la lecture, et un pour l'écriture. Ça fait deux groupes à gérer, mais c'est beaucoup plus sécuritaire parce qu'on limite les risques de modifications par erreur du contenu à un groupe plus restreint.
🌘 Nextcloud
Je vais maintenant te partager comment faire avec un système de classe entreprise. Pour ma part, tous mes fichiers partagés sont dans un Nextcloud, que j'héberge sur mon serveur. Nextcloud est un logiciel libre qui offre des fonctionnalités similaires à SharePoint ou OneDrive Entreprise. Tu vas donc plus facilement pouvoir faire la comparaison si c'est ce que tu utilises.
Dans Nextcloud, les utilisateurs et groupes sont configurés sur la même page. Chaque utilisateur peut être membre d'un ou plusieurs groupes, et nommé administrateur d'un ou plusieurs groupes aussi.
Nextcloud a aussi une particularité, c'est de pouvoir créer des répertoires qui appartiennent à un groupe. C'est super pratique pour créer des répertoires de travail par projet ou par domaine où les membres changent fréquemment et où c'est possible à un moment donné qu'il n'y a aucun membre original. Dans les organismes à but non lucratif, c'est un scénario assez fréquent après quelques années.
Il y a aussi une autre forme d'organisation, nommée les cercles, qui est plus informelle et qui permet de créer des communautés de membres qui ont leur propre espace de type Wiki.
Bref, je m'égare, mais je suis vraiment passionné de ce logiciel que j'utilise depuis des années déjà !
On commence par ajouter un groupe en cliquant sur Ajouter un groupe depuis le menu Utilisateurs.
On nomme le groupe, puis on le sauvegarde directement avec la flèche. Un groupe en soi ne donne aucun type de permissions globales dans Nextcloud, les permissions sont toujours au niveau des dossiers et des fichiers pour le cas qui nous intéresse.
Nextcloud permet aussi de gérer des projets, des agendas et d'autres types de contenus qu'on ne couvre pas dans la formation.
Dans les systèmes d'entreprise, la création d'un groupe demande toujours une authentification additionnelle.
On peut maintenant ajouter un utilisateur dans notre groupe. Si on se positionne dans le groupe depuis le menu en bas à gauche, on crée un nouvel utilisateur et il sera automatiquement membre du groupe.
Pour partager un répertoire, on clique sur le répertoire, puis on va dans la section partage. On recherche ensuite le groupe que l'on veut ajouter.
On peut ensuite définir les différents niveaux de permission du groupe sur le répertoire. Les permissions dans Nextcloud sont beaucoup plus avancées que dans Google Drive, on peut notamment permettre le repartage par les utilisateurs, et autoriser ou non le téléchargement du contenu.
On peut aussi configurer des permissions temporaires avec une date d'expiration. C'est très utile, par exemple pour un produit avec un accès pour une durée limitée.
Enfin, pour partager le répertoire, il faut créer un lien interne et non un lien de partage pour les invités.
🌘 Ces concepts se généralisent
Ces deux exemples devraient se généraliser à la plupart des systèmes de partage de fichiers. Si tu en utilises un qui te semble suffisamment différent pour ne pas te reconnaître dans les deux que je te présente, fais-moi signe sur le forum Garde ça secret et je pourrai développer du nouveau contenu !
Dans la prochaine section, je vais te présenter une solution pour chiffrer les fichiers que tu entreposes dans un système de fichiers infonuagique.
🌘 Chiffrer ses fichiers dans l'infonuagique avec Cryptomator
Dans cette section, je te présente le logiciel Cryptomator.
C'est un outil qui permet de chiffrer les données que l'on synchronise sur les stockages cloud. L'avantage c'est qu'il permet de chiffrer seulement certains fichiers dans un répertoire et non tout notre contenu partagé.
Tu peux obtenir gratuitement la version pour Windows, macOS et Linux depuis leur site web.
Pour l'utiliser sur mobile avec Android ou iOS, tu dois par contre acheter une licence pour un coût d'environ 20$ ou 15 euros.
🌘 Créer un nouveau coffre
Pour créer une nouvelle voûte, clique sur Add Vault, puis sur Create New Vault
Donne ensuite un nom à ta voûte. Ce sera aussi le nom du répertoire sur ton disque (Linux) ou comme point d'accès réseau (sur macOS et Windows).
Choisis la localisation de ton stockage sur ton ordinateur. Ce sera l'endroit où les données chiffrées seront entreposées.
Tu peux ici choisir iCloud si tu es sur macOS, OneDrive sur Windows ou tout autre service que tu utilises pour synchroniser des données avec un service infonuagique.
Tu peux aussi utiliser Cryptomator sur une clé USB ou ton disque dur, mais je te recommande plutôt de chiffrer ton disque à la place.
Entre un mot de passe unique et nouveau (que tu peux générer avec le gestionnaire de mots de passe Bitwarden) et choisis aussi de générer une clé de récupération.
Copie ta clé de récupération et ajoute une entrée à ton gestionnaire de mots de passe.
Dans BitWarden, tu peux créer des entrées additionnelles pour chaque logiciel dans le bas de la page, dans la section "Custom Fields".
Ajoute ta clé de récupération dans un nouveau champ "Hidden".
🌘 Utiliser une offre existante
Pour ajouter un coffre existant sur un autre appareil, clique sur Add Vault (Ajouter un coffre), puis Open Existing Vault (Ouvrir un coffre existant).
Sur ton disque, choisis le fichier vault.cryptomator situé dans le répertoire que tu veux ajouter
🌘 Ouvrir le coffre
Entre ton mot de passe, puis clique sur Unlock. Tu peux aussi demander de mémoriser ton mot de passe. Si tu utilises un ordinateur partagé, je ne te le conseille pas par contre !
Tu peux maintenant afficher le disque partagé.
🌘 Localiser les données déchiffrées
Tout dépendamment de ton système d'exploitation, les données déchiffrées ne sont pas au même endroit.
Sur Linux, elles sont dans un répertoire local à ton utilisateur (dans ~/.local/).
Sur macOS, elles sont dans un disque réseau FUSE (Filesystem in user space), que tu pourras trouver dans ton répertoire racine (Shift+Command+C).
Pour faciliter l'utilisation, ils recommandent d'installer aussi MacFUSE: https://github.com/osxfuse/osxfuse/releases.
Choisis le fichier avec l'extension .dmg le plus récent sur cette page.
Je te conseille de créer des raccourcis en glissant les disques dans tes favoris.
Sur Windows, elles sont dans un partage réseau SMB. Pour y accéder, on utilise un chemin UNC (commence par \\) ou une nouvelle lettre de disque.
C'est aussi possible d'utiliser d'autres types de volumes avec des logiciels additionnels.
Tu peux trouver tous les détails sur les volumes sur le site de documentation de Cryptomator: https://docs.cryptomator.org/en/latest/desktop/volume-type/
🌘 Conclusion
La cybersécurité repose sur trois piliers fondamentaux : la confidentialité, l'intégrité et l'accessibilité.
Pour garantir la confidentialité, le chiffrement et la gestion rigoureuse des accès sont essentiels.
L'intégrité des documents est assurée par des plateformes de signature électronique reconnues et des technologies comme OpenPGP, qui permettent de vérifier l'authenticité des fichiers.
Enfin, l'accessibilité est maintenue par des copies locales et une organisation hiérarchique des données, facilitant la gestion et la récupération à long terme. Nous avons aussi vu comment chiffrer des fichiers stockés dans l'infonuagique.
En adoptant ces pratiques et en choisissant les outils que je t'ai suggérés dans l'article, tu seras en mesure de mieux protéger les informations sensibles de ton organisation.