Un ensemble de stratégies de sécurité pour votre tenant (et ceux de vos clients) sont configurables dans le portail MSP Password Boss. L'article reprend leurs objectifs et les recommandations de l'éditeur.
Article de référence (en Anglais) : Security policy recommendations
Depuis le Partner Portal de Password Boss (portail de gestion MSP), en cliquant sur une Company puis dans l'onglet Policies : vous obtenez une liste de stratégies de sécurité que nous allons explorer ensemble.
Précision de l'éditeur
Password Boss fournit un ensemble de stratégies de sécurité que vous pouvez configurer en fonction de votre besoin de sécurité et de ceux de vos clients.
L'ensemble des stratégies sont expliquées en détail plus bas dans cet article. Pour information, en cliquant directement sur le nom de la stratégie, un détail s'affiche (texte en anglais).
Voici quelques lignes directrices pour tirer le meilleur parti des politiques de sécurité :
1. Il peut être judicieux de commencer à activer les stratégies de sécurité progressivement.
2. Lorsque vous apportez des modifications aux politiques de sécurité, assurez-vous d'en informer vos clients et utilisateurs à l'avance afin qu'ils soient au courant des modifications.
3. Si vous activez l'une des politiques restrictives (comme la désactivation du partage), ajoutez ces restrictions à vos politiques internes et informez les utilisateurs à l'avance afin qu'il y ait moins de sollicitations au support.
4. Plusieurs des politiques sont conçues pour fonctionner ensemble. Par exemple, la politique de sauvegarde des éléments professionnels dans le coffre-fort professionnel avec la politique de sauvegarde des éléments professionnels.
5. Zoom sur la politique de sauvegarde des éléments professionnels : Cette politique de sécurité offre une sauvegarde des éléments professionnels pour l'ensemble des utilisateurs de votre tenant. À l'activation de cette stratégie, une clé de déchiffrement s'affiche :
- Ne perdez pas cette clé ;
- Vous avez besoin de la clé pour accéder aux fichiers de sauvegarde de vos utilisateurs.
- Password Boss ne stocke nulle part une copie de cette clé. Sans cette clé, vous ne pouvez pas accéder aux sauvegardes.
Liste des politiques et recommandations
Les politiques sont présentées dans l'ordre d'apparition dans la page Policies du Partner Portal.
En termes de légende dans le tableau :
✔️ Activé : L'éditeur recommande l'activation de cette stratégie ;
✔️🔥Activé : L'éditeur recommande fortement l'activation de cette stratégie ;
❌ Désactivé : L'éditeur recommande la désactivation de cette stratégie ;
Au besoin : L'éditeur n'a pas de recommandation, l'activation ou la désactivation dépend du contexte du client.
Stratégies "Standard"
Nom de la politique | Objectif de la politique |
Recommandation |
Online backups and device sync |
L'activation de cette politique signifie que les membres de votre équipe ne peuvent pas désactiver les sauvegardes de leurs comptes. Article de référence (en Anglais) : Online backups and device sync |
Recommandation : ✔️ Activé |
2-Factor Authentication |
Chaque membre de l'équipe doit activer 2FA sur son compte Password Boss. Article de référence (en Anglais) : 2-Factor Authentication |
Recommandation : ✔️ Activé 👉 Cela renforce la sécurité d'ouverture du logiciel avec une couple Mail + Clé maitre + 2FA |
Remove business profile items when users are removed |
Si l'utilisateur est retiré de votre compte, le contenu du profil d'entreprise sera supprimé du compte Password Boss de l'utilisateur. Si vous le désactivez : les éléments du compte professionnel seront transférés dans le compte personnel. Article de référence (en Anglais) : Remove business profile items when users are removed |
Recommandation : ✔️ Activé |
Force business items into business profile |
Cette stratégie vous permet de vous assurer que les éléments professionnels sont stockés dans le profil professionnel. On se base pour ça sur la déclaration de plusieurs noms de domaines et leurs identifications dans le nom de connexion. Article de référence (en Anglais) : Force business items into business profile |
Recommandation : ✔️ Activé 👉 Cette politique est intéressante avec l'activation en complément de la sauvegarde de l'ensemble des éléments professionnels. |
Disable Sharing |
L'activation de cette règle désactive la possibilité de partager des éléments (Interne Tenant comme Externe) Article de référence (en Anglais) : Disable sharing |
Recommandation : ❌ Désactivé |
Disable Emergency Access |
Offre la possibilité de désactiver la fonctionnalité de l'accès d'urgence (accès à un tiers de confiance de l'utilisateur au coffre-fort). Article de référence (en Anglais) : Disable emergency access |
Recommandation : ✔️ Activé 👉 Politique indispensable pour se prémunir du risque de fuite de données |
Disable Exports |
Empêcher votre équipe d'exporter les mots de passe et autres éléments enregistrés depuis le client Password Boss Windows ou Mac. Remarque : Ne s'applique pas aux utilisateurs qui sont administrateurs du Tenant. Article de référence (en Anglais) : Disable exports |
Recommandation : ✔️ Activé Niveau : No Profiles 👉 L'éditeur recommande un niveau élevé et strict sur cette politique ; et de définir celle-ci sur "Personal Profile Only" que quand un besoin d'exportation s'exprime (exemple : utilisateur quittant la société). |
Master Password Change |
Force l'utilisateur à changer son mot de passe maître (permettant le déverrouillage de ses coffres-forts) au bout de x jours sans réutiliser plus de x mots de passe précédents. Article de référence (en Anglais) : Master password change |
Recommandation : Au besoin 👉 Cela dépend de la politique de l'entreprise et de l'application des recommandations des autorités d’informations nationales. |
Stratégies "Avancée"
Nom de la politique | Objectif de la politique |
Recommandation |
Backup all business profile items |
Cette politique est une sauvegarde supplémentaire du seul contenu du profil professionnel de chaque utilisateur. Lorsque cette politique est activée, une clé de déchiffrement est générée et fournie à l'utilisateur qui active cette politique. La sauvegarde de l'utilisateur va pouvoir ensuite être lue via un applicatif Password Boss Backup File Viewer avec le fichier de sauvegarde et la clé de déchiffrement générée au moment de l'activation de cette politique. Article de référence (en Anglais) : Backup all business profile items |
Recommandation : ✔️🔥Activé 👉⚠️ Restreignez l'accès à cette clé de déchiffrement puisque toute personne ayant accès à la clé a accès à tous les éléments du profil professionnel de chaque utilisateur. |
Restrict sharing to specific recipients |
Permet de restreindre le partage à des destinataires spécifiques. Article de référence (en Anglais) : Restrict sharing to specific recipients |
Recommandation : ❌ Désactivé 👉 Généralement non nécessaire à l'intérieur d'un MSP. 👉 Cette politique peut être intéressante pour un client ayant des règles de sécurité stricte sur le partage des informations. |
Choose location for online backups |
Vous pouvez choisir un emplacement pour les sauvegardes en ligne. Article de référence (en Anglais) : Choose location for online backups |
Recommandation : ✔️🔥Activé 👉 Pour la territorialité en Union européenne vous pouvez choisir l'Irlande (EU) ou Francfort (EU). |
Restrict business profile items from Emergency Access |
Empêche que les éléments professionnels soient partagés via l'accès d'urgence. Article de référence (en Anglais) : Restrict business profile items from Emergency Access |
Recommandation : ✔️🔥Activé 👉⚠️ Cette politique est indispensable pour éviter toutes fuites de données. |
User change notifications |
L'activation de cette politique permet à chaque administrateur de Password Boss de recevoir un email quand : - Des utilisateurs sont ajoutés, supprimés ; - Sur téléchargement des fichiers de sauvegarde Article de référence (en Anglais) : User change notifications |
Recommandation : Au besoin 👉 L'éditeur n'indique pas de recommandation. |
Restrict user portal access |
Cette politique limite la capacité de tout utilisateur non administrateur à se connecter au portail utilisateur (portal.passwordboss.com). Un utilisateur non-administrateur dispose d'un nombre de fonctionnalités limitées dans le portail utilisateur. Article de référence (en Anglais) : Restrict portal access |
Recommandation : ❌ Désactivé 👉 Pour des utilisateurs finaux, le portail apporte peu de valeur. Pour le référent technique chez vos clients, ce dernier peut utiliser le portail ou utiliser le portail de gestion (partner.passwordboss.com) |
Disable Password Boss on individual pages or entire domains |
Cette politique vous permet de désactiver de manière centralisée l'exécution de Password Boss sur des pages ou des sites pour tous les utilisateurs de votre entreprise Article de référence (en Anglais) : Disable Password Boss on Pages or Sites |
Recommandation : Au besoin 👉 Selon vos besoins. Pour les utilisateurs d'Autotask, un article existe sur les URLs à déclarer : Disabling Password Boss on Autotask |
Password Auditing |
Lorsque cette stratégie est activée, tous les accès par mot de passe et l'utilisation de tous les mots de passe dans le profil professionnel de chaque utilisateur sont consignés. Les rapports d'accès sont disponibles dans le portail des partenaires sous l'onglet Rapports. L'accès aux rapports d'audit de mot de passe est limité aux utilisateurs du portail partenaire avec le rôle d'administrateur (ou qui ont spécifiquement reçu l'autorisation Rapports -> Audit de mot de passe via un rôle d'accès personnalisé). Article de référence (en Anglais) : Password Auditing |
Recommandation : ✔️Activé |
En espérant que cette KB vous permette de faire les meilleurs choix pour votre organisation dans la gestion de vos clients et la sécurisation des mots de passe.