Sécurisation de l'environnement
Une nouvelle réglementation européenne va entrer en application en mai 2018 : il s'agit du Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) :
L'objectif de ce règlement est de :
- protéger les données informatisées concernant les citoyens européens et leur en redonner le contrôle
- harmoniser les règles dans ce domaine au sein de l'Union Européenne
- améliorer la confiance dans les entreprises IT de l'Union Européenne et donc leur compétitivité aux niveaux européen et mondial.
Dans ce cadre, nous avons commencé à réfléchir à l'incidence de ce règlement vis à vis des progiciels LD SYSTEME, et plus particulièrement ici du logiciel LDPaye. Du fait de la contrainte de temps (LDPaye Version 9.50 devant absolument être opérationnel début janvier 2018 pour offrir le support du cahier technique DSN 2018.1), nous n'avons pas pu avancer beaucoup sur les conséquences pratiques de ce règlement vis à vis des nombreuses données nominatives manipulées dans un logiciel de paye. Cela sera pris en compte dans la prochaine version.
Mais d'ores et déjà, nous avons travaillé sur la sécurisation « globale » du progiciel, afin d'éviter tout accès non autorisé aux données. C'est ce que nous appelons désormais un « environnement sécurisé » et qui est décrit ci-après.
Dans LDPaye, l'accès aux données des différentes sociétés gérées dans le logiciel se fait au travers d'un environnement, lui-même composé de différentes tables (fichiers) : table des utilisateurs, table des sociétés, tables des droits d'accès pour chaque couple (Société, Utilisateur)... Mais la gestion de cet environnement était peu sécurisée : une personne ayant accès au répertoire des données, par l'explorateur Windows par exemple, pouvait ouvrir les fichiers de l'environnement et ainsi mettre à mal la sécurité éventuellement mise en place dans le progiciel.
Le passage d'un environnement non sécurisé à un environnement sécurisé n'est pas une opération anodine. Cela nécessite de faire quelques choix, et surtout de prévenir tous les utilisateurs du progiciel des nouvelles règles d'authentification qui vont s'appliquer suite à la bascule en environnement sécurisé.
Cela ne se fait donc pas automatiquement lors de l'installation de la version 9.50. C'est une opération qui reste de votre ressort, que vous ferez au moment de votre choix, mais qui en tout état de cause devra être réalisée avant mai 2018.
Désormais, à l'ouverture de session, dans le cas d'une nouvelle installation de LDPaye, l'environnement, sera créé directement en mode sécurisé.
En revanche, s'il existe un environnement existant (non sécurisé, tel qu'en version 9 par exemple), un libellé rouge Environnement non sécurisé apparaît en bas à droite de la fenêtre d'ouverture de session pour signaler ce fait.
Pour enclencher la procédure de bascule à un environnement sécurisé, il faut cliquer sur ce message (ou par Alt+F2), après s'être identifié avec un profil utilisateur de type Administrateur. On accède alors à la fenêtre d'activation/modification du mode de sécurité, fenêtre décrite plus loin.
A compter du 01/02/2018, un message supplémentaire sera affiché lors de l'ouverture d'une société par un administrateur de sécurité. Cette fenêtre stipule que l'environnement devra être sécurisé au plus tard pour le 1er mai 2018. L'utilisateur pourra alors, depuis cette fenêtre :
A compter du 15/03/2018, le report ne sera possible que d'un jour ou d'une semaine. Et à compter du 15/04/2018, que d'un jour. Et enfin, à partir du 01/05/2018, aucune ouverture de session ne sera possible si on n'est pas déjà dans un environnement sécurisé.
A l'activation de l'environnement sécurisé, si aucun utilisateur n'existe dans le fichier des utilisateurs (cas d'une nouvelle installation), l'utilisateur doit saisir un code utilisateur qui sera donc créé à la validation de l'environnement, ainsi qu'un mot de passe.
Si au moins un utilisateur existe déjà, on a obligatoirement ouvert une session avec un profil Administrateur pour arriver à cette fenêtre. C'est donc ce code utilisateur qui est proposé. Il faut simplement ressaisir le mot de passe de cet utilisateur pour le confirmer.
Dans les deux cas, il faut saisir en bas à gauche un mot de passe de sauvegarde, mot de passe qui sera le mot de passe par défaut utilisé pour protéger toutes les sauvegardes réalisées à partir de cet environnement. Cela est décrit plus en détail au chapitre Sauvegarde sécurisée.
Enfin, en partie droite de cette fenêtre, il faut choisir en une sécurisation faite via Active Directory, le gestionnaire des utilisateurs au sein d'un domaine Windows, ou par simple contrôle d'un mot de passe interne à LDPaye.
Cas 1 : Dans le cas d'Active Directory, il doit indiquer les paramètres permettant d'atteindre le serveur LDAP :
Enfin, dès lors qu'on confie la gestion de la sécurité à Active Directory, tout utilisateur LDPaye doit être rattaché à un utilisateur Windows. Cela se fait en spécifiant, dans la fiche de l'utilisateur, un code utilisateur LDAP, qui est toujours de la forme <Nom utilisateur Windows>@<Nom domaine Windows>.
Dans cette fenêtre d'initialisation de l'environnement sécurisé, il faut donc compléter le code utilisateur LDAP de l'utilisateur courant.
Et par la suite, pour chaque utilisateur de LDPaye, il faut également aller renseigner ce code utilisateur LDAP pour que l'utilisateur en question puisse ouvrir une session dans LDPaye, en indiquant son code utilisateur LDPaye et le mot de passe de l'utilisateur Windows qui lui a été associé.
Cas 2 : dans le cas du contrôle par mot de passe interne à LDPaye, il est seulement demandé la taille minimale du mot de passe. Celle-ci pouvant aller de 5 (au minimum, il n'est donc plus possible d'avoir des utilisateurs sans mot de passe) à 20 (taille maximum d'un mot de passe en mode sécurisé).
Notez que les mots de passe déjà enregistrés ne sont pas modifiés. Mais à chaque ouverture de session postérieure à la mise en place de cet environnement sécurisé, tout utilisateur ayant un mot de passe ne respectant pas cette contrainte de longueur minimale devra obligatoirement se choisir un nouveau mot de passe.
ATTENTION : ce mot de passe est désormais sensible à la casse (minuscules/majuscules).
Enfin, sachez que dans un environnement sécurisé, les données de chaque répertoire au sein de l'environnement sont marquées avec un code de sécurité propre à l'environnement. On ne peut donc plus déplacer un répertoire de paye (répertoire dont le nom est de la forme REP_XXX) d'un environnement à un autre. La seule méthode fiable consiste à passer par une sauvegarde/restauration, sachant que lors de la restauration dans un environnement autre que celui au sein duquel la sauvegarde a été faite, il faudra saisir le mot de passe du fichier de sauvegarde, mot de passe qui aura été indiqué lors de la sauvegarde ou à défaut le mot de passe des sauvegardes propre à l'environnement d'origine.
Si vous disposez d'un domaine de sécurité Windows et que vous souhaitez mettre en place une politique de gestion des mots de passe rigoureuse, il est préférable d'opter pour une sécurité gérée au travers d'Active Directory. La gestion des utilisateurs Windows faite par Active Directory permet déjà d'imposer de nombreuses contraintes sur les mots de passe, allant bien au-delà de la simple longueur minimale proposée par LDPaye :
Cela suppose toutefois que la gestion des utilisateurs de LDPaye est en partie déléguée à l'administrateur du domaine Windows, donc bien souvent en dehors du service Paye.
Une fois l'environnement sécurisé mis en place, et après avoir modifié toutes les fiches utilisateur pour leur associer un utilisateur Windows (cas d'Active Directory) ou après que chaque utilisateur a ouvert une session au moins une fois pour modifier son mot de passe s'il ne respecte pas la contrainte de longueur minimale, il est vivement conseillé de faire une sauvegarde ce cet environnement. En effet, comme cela est indiqué au chapitre suivant, il ne sera pas possible de restaurer par la suite une ancienne sauvegarde d'environnement faite donc avant la bascule en environnement sécurisé.
A partir de la version 9.50, un nouveau format de sauvegarde .SVL est utilisé, que l'environnement soit sécurisé ou non. Ce format est un format propriétaire, il ne peut et ne doit pas être ouvert par un autre outil que le progiciel.
A chaque nouvelle sauvegarde, un mot de passe de sauvegarde est demandé. Si l'on est déjà dans un environnement sécurisé, le mot de passe de sauvegarde par défaut de cet environnement est pré-inscrit. Mais on peut éventuellement indiquer un autre mot de passe, notamment dans le cas où la sauvegarde doit être transmise à un tiers.
A la restauration, LDPaye Version 9.50 est capable de restaurer des sauvegardes à l'ancien format (.SAV + .WDZ) ou au nouveau format (fichier unique .SVL).
Dans le cas d'une sauvegarde au format .SVL, toujours protégé par un mot de passe, et dans le cas où le mot de passe de la sauvegarde est différent du mot de passe de sauvegarde de l'environnement courant, seul un administrateur de sécurité pourra restaurer la sauvegarde, en saisissant le mot de passe de sauvegarde.
Note : les sauvegardes à l'ancien format, non sécurisées, ne peuvent pas faire l'objet de ces vérifications et sont donc toujours « restaurables » sans mot de passe particulier.
Seul cas de blocage : c'est celui où l'on cherche à restaurer, dans un environnement déjà sécurisé, une sauvegarde de l'environnement lui-même faite en mode non sécurisé. Il nous a paru préférable d'empêcher ce type de restauration pour éviter des tentatives de contournement de cet environnement sécurisé. Si vous êtes confronté à cette situation, contactez votre prestataire de services.
Dans la fenêtre d'ouverture de session, en cas de saisie d'un mot de passe invalide plus de 3 fois consécutivement, il y a désormais une temporisation systématique de 10 secondes avant de pouvoir faire une nouvelle tentative.
Dans le cas où les mots de passe sont gérés en interne par LDPaye (cas 2 de la sécurisation), si un utilisateur a perdu son mot de passe, il peut toujours faire appel à un autre utilisateur étant Administrateur qui pourra réinitialiser son mot de passe.
Si c'est le mot de passe de l'administrateur lui-même qui a été perdu, il faut appliquer la procédure suivante :
Dans le cas où les mots de passe sont gérés en interne par LDPaye (cas 2 de la sécurisation), tout utilisateur peut désormais modifier son mot de passe très facilement par la nouvelle option de menu Fichier/Modifier mon mot de passe.
Il existe toutefois une possibilité, pour un administrateur, d'interdire à certains utilisateurs la modification de leur propre mot de passe. Cela se fait en allant décocher, dans la fiche de chaque utilisateur, l'option L'util. a le droit de modifier son mot de passe. Cette méthode peut être mise en œuvre si l'administrateur souhaite imposer des règles de gestion de mot de passe plus strictes qu'une simple longueur minimale : par exemple, un mélange de caractères minuscules et majuscules, de chiffres voire même de caractères spéciaux. L'administrateur choisit donc lui-même les mots de passe et a la garantie que l'utilisateur ne pourra remplacer ce mot de passe « complexe » au profit d'un mot de passe plus simple qui serait trop facile à retrouver.
Toujours dans l'esprit de renforcer la sécurité, LDPaye affiche désormais systématiquement sur son fond d'écran, en bas à droite, le nom de l'utilisateur courant ainsi que la date et heure de la dernière connexion faite dans LDPaye par cet utilisateur.