Sites


CIVICRM

Faire attention à la sécurité

CiviCRM est une application web, donc nécessite un serveur web pour fonctionner. La majorité des sites web partagent des informations publiques. Dans le cas de CiviCRM, des données personnelles y seront enregistrées, donc il faut faire attention à l'ensemble du processus pour accéder et stocker les données.

Une approche recommandée pour limiter l'accès à des données très sensibles est d'utiliser un VPN (réseau privé virtuel, ou « virtual private network ») qui encapsulera la communication dans un tunnel sécuritaire encrypté lorsque vous y accédez d'un réseau public. Une des méthodes moins compliquées pour faire un VPN est d'utiliser un tunnel SSH. Ceci limitera qui peut accéder à l'application à partir d'Internet.

Communication encryptée

CiviCRM reposant sur le serveur, le client (l'utilisateur ou l'administrateur) y accèdera probablement par un réseau local ou par Internet. Toute la communication entre le client et le serveur n'est pas encryptée par défaut. Par conséquent, une personne sur le réseau pourrait intercepter les informations et même accéder à CiviCRM par votre compte.

Pour assurer la sécurité des communications, vous devez vous assurer que votre serveur web (ou votre hébergement web) supporte la communication par SSL (de l'anglais « Secure Sockets Layer »).  Vous pourrez ainsi créer ou obtenir un certificat SSL d'un émetteur de confiance et l'installer sur votre serveur, puis forcer que toutes les communications soient encryptées (en forçant l'utilisation du protocole HTTPS) à partir de la section administrative de CiviCRM.

Les copies de sauvegarde et leur sécurité

Tous les systèmes informatiques, tôt ou tard, peuvent avoir des problèmes matériels ou logiciels. La seule façon de vous assurer de ne pas perdre de données lors d'un tel incident est en créant des copies de sauvegarde périodiquement de toutes les données, des logiciels et des configurations. Les copies de sauvegardes ont deux objectifs : récupérer les données en cas d'incident, mais aussi la rétention de données.

La récupération de données permet, bien entendu, d'éviter de perdre des données, mais aussi de minimiser les délais en cas de panne. La rétention permet de vérifier l'état du système dans le temps. Par exemple, une organisation des droits humains pourrait être victime de sabotage. Il est important de pouvoir vérifier l'état de la base de données à un moment précis dans le temps (et de la comparer à l'état présent) pour découvrir des anomalies.

Finalement, il ne faut pas non plus négliger la sécurité des sauvegardes comme tel. Par exemple, une copie de sauvegarde des données est souvent faite « hors-site », c'est à dire dans un autre endroit physique que le serveur, en cas de feu ou de vol. Cependant, il ne faut pas oublier que ces sauvegardes contiennent des données sensibles. En général, il est recommandé d'utiliser un logiciel qui permet d'encrypter les sauvegardes, ainsi que d'utiliser un mécanisme physique pour limiter l'accès aux données (p. ex. les entreposer dans un coffre fort).

Jurisdiction sur l'entreposage des données

Tel que déjà mentionné, CiviCRM fonctionne à partir d'un serveur (ou même d'un « nuage »). Si une organisation travaille dans un domaine elle receuille des informations sensibles sur un pays ou un gouvernement (par exemple, une organisation des droits humains), il est important de savoir où vos données sont stockées. Ceci est particulièrement important si vous hébergez votre site « dans le nuage », où il n'est pas toujours évident de savoir où sont les serveurs physiquement. Informez-vous sur leur emplacement physique ainsi que sur les lois encadrant l'accès aux données par le gouvernement.

Autres considérations

Beaucoup d'intrusions à des systèmes ont souvent très peu à voir avec la sécurité des systèmes informatiques. Très souvent un accès non-authorisé se fait par ingénérie sociale (« social engineering », c'est à dire d'obtenir un accès au système par un mélange d'imposture, de charisme ou d'abus de confiance), par un accès physique au serveur ou par une forme de violence envers les gens qui ont accès au système. Par conséquent, pour assurer la sécurité des données, vous devez également former régulièrement vos utilisateurs et vou assurez qu'ils sont familiers avec les toutes les précautions nécessaires.

Il y a une erreur de communication avec le serveur Booktype. Nous ne savons pas actuellement où est le problème.

Vous devriez rafraîchir la page.