Politiques de sécurité
Niveau des applications et sécurité des fonctionnalités
Il convient de prendre en compte suffisamment tôt la question de la sécurité de l’application ; par exemple au cours de la phase de préparation de votre projet, avant même de commencer à générer et configurer l’application. Pour protéger votre application des hackers et éviter les accès et utilisations non autorisés, vous devez gérer deux types de sécurités : la sécurité de l’application et la sécurité des fonctionnalités.
Sécurité de l’application
La sécurité de l’application se concentre sur la protection de l’application contre les utilisateurs externes et non autorisés. Par exemple, avec la sécurité de l’application, vous :
- réduisez le risque que des utilisateurs non autorisés accèdent à votre application ou en dérobent des données ;
- identifiez les utilisateurs autorisés qui ont besoin d’un accès à l’application ;
- créez des politiques de mot de passe et d’authentification.
La sécurité de l’application tient compte de tous les moyens par lesquels vous pouvez protéger l’application, comme le recours à des outils de sécurité tiers ou l’activation de l’authentification multifactorielle. Son objectif est d’empêcher les utilisateurs non autorisés d’accéder à votre application ou d’en consulter les données.
Sécurité des fonctionnalités
La sécurité des fonctionnalités se concentre sur l’application, en déterminant les types de dossier, les fonctionnalités et les données auxquels les utilisateurs autorisés peuvent accéder ou non. Par exemple, avec la sécurité des fonctionnalités, vous :
- configurez des rôles de sécurité pour les personas identifiés dans chaque type de dossier de sorte que les utilisateurs autorisés puissent accéder aux fonctionnalités de l’application dont ils ont besoin ;
- évitez que les utilisateurs voient les fonctionnalités ou accèdent aux données qui ne les concernent pas ;
- concevez le contrôle d’accès basé sur les rôles (RBAC, role-based access control), le contrôle d’accès basé sur les attributs (ABAC, attribute-based access control) et le contrôle d’accès basé sur les clients (CBAC, client-based access control).
Par exemple, dans une application de traitement des salaires, le responsable métier souhaite que chaque manager puisse consulter l’historique de ses subordonnés directs, mais pas celui de ses homologues ou d’autres membres du personnel. De plus, aucun manager ne doit pouvoir modifier le salaire des employés. Toutefois, le responsable du traitement des salaires et le directeur financier peuvent voir l’historique de paie de tous les employés et mettre à jour les salaires. Lors de la documentation de la story du responsable, déterminez les fonctionnalités de paie auxquelles le responsable peut et ne peut pas accéder.
Vérifiez vos connaissances avec l’interaction suivante :
Configurer la sécurité de l’application sur Pega Platform
Pour limiter l’accès non autorisé à vos applications, vous pouvez notamment configurer les paramètres de l’onglet Security Policies de la page d’accueil Authentication dans App Studio. Dans Dev Studio, ouvrez le menu et sélectionnez Org & Security > Authentication > Security Policies pour afficher et mettre à jour les politiques de sécurité pour l’ensemble du serveur Pega Platform™.
Après avoir mis à jour un paramètre, cliquez sur
au bas de la page pour enregistrer une mise à jour. Les modifications apportées aux politiques de sécurité deviennent actives dès la soumission du formulaire.L’onglet Security Policies est divisé en deux sections : Frequently required policies et Other policies. Les politiques Password, CAPTCHA, Lockout et Audit font partie des politiques fréquemment requises, tandis que Multi-factor authentication et Operator disablement sont classées dans les autres politiques.
Nom de la police | Description | Options de configuration de la politique |
---|---|---|
Mot de passe | Régit les niveaux de sécurité des mots de passe d’utilisateur. | Utilisez la section Password policies pour personnaliser les exigences relatives à la longueur, à la complexité et à la prévisibilité des mots de passe. |
CAPTCHA | Détermine si une personne a bien entré le mot de passe.
|
Utilisez la section CAPTCHA policies pour configurer un CAPTCHA afin de vérifier les tentatives de connexion. Lorsque cette option est activée, vous pouvez :
|
Lockout | Définit le comportement du système lorsque des utilisateurs saisissent un mot de passe incorrect.
|
Utilisez la section Lockout policies pour personnaliser la durée pendant laquelle les utilisateurs devront attendre après l’échec d’une tentative de connexion. Les options indiquées dépendent de l’activation ou de la désactivation de la politique de verrouillage. Lorsqu’une pénalité de verrouillage est activée, vous pouvez :
Lorsqu’une politique de verrouillage est désactivée, vous pouvez :
|
Audit | Détermine la quantité de détails inscrits dans le journal du système pour un problème de sécurité. | Utilisez la section Audit policies pour personnaliser le niveau de détail capturé pour les tentatives de connexion. |
Multi-factor authentication | Définit plusieurs facteurs, ou éléments de preuve, que les utilisateurs doivent fournir pour confirmer leur identité. | Utilisez la section Multi-factor authentication policies (using one-time password) pour configurer les paramètres d’un mot de passe à usage unique envoyé aux utilisateurs par e-mail ou SMS. Pour achever le processus de connexion, les utilisateurs doivent saisir le mot de passe à usage unique dans le délai imparti. |
Operator disablement | Définit la durée d’inactivité avant que l’accès d’un utilisateur soit désactivé. | Utilisez la section Operator disablement policy pour désactiver automatiquement l’accès pour les utilisateurs inactifs pendant le nombre de jours spécifié. Pour empêcher le système de désactiver l’accès des utilisateurs qui en ont besoin, ajoutez l’ID opérateur de l’utilisateur à la liste Exclusion list of operator IDs. |
Politiques d’authentification à facteurs multiples
Les mots de passe sont un moyen d’authentifier les utilisateurs. Pour accroître la sécurité, activez l’authentification à facteurs multiples (multi-factor authentication) pour authentifier les utilisateurs. Avec l’authentification à facteurs multiples, les utilisateurs n’obtiennent l’accès qu’après avoir fourni plusieurs facteurs, ou éléments de preuve, pour confirmer leur identité.
Dans l’image suivante, cliquez sur les icônes + pour en savoir plus sur les différents facteurs d’authentification.
Vérifiez vos connaissances avec l’interaction suivante :
This Topic is available in the following Module:
Want to help us improve this content?