Sécurité et authentification

Nextcloud est conçu pour protéger les données des utilisateurs
grâce à de multiples niveaux de protection.

Nextcloud comprend la nécessité de remplir un ensemble d'exigences de sécurité de base, et Nextcloud 11 s'appuie sur ces principes de sécurité pour fournir une solution sécurisée à ses clients.

NCC Group

Sécurité de classe entreprise vérifiée

Nos clients se soucient profondément de leur sécurité et nous aussi. Nextcloud s'aligne aux normes de l'industrie telles que l'article 14 de la norme ISO/IEC27001-2013 et aux normes, directives et principes de sécurité qui y sont associés. Notre solution s'articule autour de multiples éléments qui vous garantissent une sécurité optimale, comme des fonctionnalités de sécurité sophistiquées, une application des meilleures pratiques dans le respect des politiques existantes et le design, lui-même validé par des tests standardisés.

Étude de sécurité par NCC Group

Intégration

Les nouvelles technologies devraient s'intégrer aux processus et à l'infrastructure existants. Nextcloud vous permet de tirer parti des investissements de sécurité existants.

STORAGE AND DATABASE

Technologie de stockage et de base de données existante

Nextcloud est compatible avec toutes les solutions de stockage existantes, notamment les technologies de stockage d'objets, permettant de garder les données sous le contrôle d'administrateurs informatiques de confiance et de les gérer selon des règles établies. Nextcloud fonctionne avec des bases de données SQL standard comme PostgreSQL, MySQL et MariaDB pour le stockage des comptes utilisateurs et des métadonnées.

image/svg+xml SECURITY TOOLS

Outils de sécurité existants

Nextcloud inclut des outils de supervision et s'intègre aux outils existants de gestion des données maîtres, de prévention de perte des données, de journalisation d'événements et de sauvegarde, permettant d'utiliser les chaînes d'outils en place pour superviser, sauvegarder et restaurer des systèmes.

SECURITY POLICIES

Politiques et processus de sécurité actuels

Grâce au fait que Nextcloud est un système sur site et à sa capacité à mettre à profit les technologies de stockage et de base de données existantes, les politiques de sécurité et les processus de gestion actuels peuvent être maintenus pour gérer et contrôler les opérations avec Nextcloud. Nextcloud GmbH n'a à aucun moment accès à vos données et ne peut interférer avec les processus définis, permettant ainsi à votre service informatique de garder le contrôle.

Authentification

Presque tous les mécanismes d'authentification et de provisionnement fonctionnent avec Nextcloud, ce qui facilite l'intégration à votre répertoire utilisateur.

CanvasCreated using Figma

LDAP / Active Directory

Nextcloud est compatible avec l'annuaire LDAP/Active Directory grâce à un assistant d'installation facile.

SSO/SAML 2.0

Nextcloud prend en charge Single Sign On (SSO) et dispose d'une authentification native SAML 2.0 (et Shibboleth) dans son front-end web.

L'intégration native de SAML élimine le besoin de logiciels externes comme les modules Apache. Le SAML natif est compatible avec tous les serveurs Web et prend en charge l'adhésion aux groupes, une gestion flexible des sessions et des mots de passe spécifiques aux applications. Il peut gérer plusieurs fournisseurs d'identité et se connecter aux serveurs Samba avec Kerberos.

CanvasCreated using Figma

Authentification par variable d'environnement

Nextcloud peut fonctionner avec Kerberos et d'autres mécanismes d'authentification comme OAuth2, OpenID Connect, JWT, CAS ou toute base de données SQL gérée par des modules Apache.

CanvasCreated using Figma

Authentification à deux facteurs

Nextcloud supporte les jetons de matériel Universal 2nd Factor (U2F) et les mots de passe à usage unique (TOTP), ainsi que l'authentification à deux facteurs par NFC et Gateway Signal/Telegram/SMS pour augmenter la sécurité du traitement des connexions utilisateur.

CanvasCreated using Figma

Provisioning automatisé ou manuel

Nextcloud dispose d'une IPA de provisionnement REST facile à utiliser pour créer et configurer les comptes utilisateurs.

Sous votre contrôle

Le contrôle est la clé de la sécurité. Avec Nextcloud, votre service informatique reprend le contrôle de ses données, gérées selon ses politiques et procédures. Nextcloud s'intègre dans l'outillage que vous utilisez dans votre centre de données comme la journalisation et la détection d'intrusion et fonctionne avec les mécanismes d'authentification existants comme SAML, Kerberos et LDAP. Les fonctionnalités de Nextcloud sont :

MONITORING

Journalisation et supervision

Nextcloud intègre des outils de supervision et de journalisation compatibles avec les outils standards de l'industrie tels que Splunk, Nagios et OpenNMS. Il offre également un journal d'activités complet et conforme pour la production de rapports et la vérification.

PERMISSION AND FILE ACESS

Permissions

Les administrateurs peuvent définir des permissions pour le partage et l'accès aux fichiers à l'aide de groupes. Les autorisations de stockage sous-jacentes, comme les droits d'accès Windows Network Drive, sont respectées par Nextcloud.

CanvasCreated using Figma

Conservation des données

Définissez des règles pour la conservation des données, ce qui vous assure un nettoyage régulier des fichiers ou l'assurance que les données sont conservées pendant une durée déterminée.

image/svg+xml Canvas Canvas Created using Figma

Contrôle d'accès aux fichiers précis

Les outils de workflow performants de Nextcloud permettent aux administrateurs de limiter l'accès aux données conformément aux exigences opérationnelles et légales et d'effectuer des actions automatiques comme la conversion de fichiers. Définissez des restrictions telles que "les fichiers XLSX du département RH ne peuvent pas être accessibles en dehors des plages IP de l'entreprise" ou "les employés aux Etats-Unis ne sont pas autorisés à accéder aux données clients des data centers européens" que Nextcloud appliquera.

ENCRIPTION

Chiffrement

Nextcloud utilise le chiffrement SSL/TLS standard lors du transfert des données. En outre, les données au repos dans le stockage peuvent être chiffrées à l'aide d'un chiffrement AES-256 de qualité militaire avec gestion des clés par serveur ou sur mesure. En option et sur une base de données par dossier, les données peuvent également être chiffrés de bout en boutdans le client, le serveur assurant le partage et la gestion des clés à l'aide d'un modèle Zero-Knowledge.

Veuillez noter que le chiffrement de bout en bout est actuellement (début 2019) en version bêta. La V2 est prévue pour la fin de l'été 2019.

image/svg+xml PERMISSION AND FILE ACESS PERMISSION AND FILE ACESS

Conformité aux normes

Nextcloud fournit tous les éléments nécessaires à la conformité aux réglementations telles que HIPAA et GDRP : une documentation complète sur notre portail client, des applications spécifiques pour les requêtes de données, ainsi que des capacités de chiffrement et de sécurité intégrés à Nextcloud.
Pour en savoir plus, consultez notre page sur la conformité aux normes.

Partage protégé

Pour les clients de Nextcloud, l'échange sécurisé des données est essentiel. Nextcloud offre des mécanismes de protection conformes aux standards de l'industrie et ajoute des fonctionnalités innovantes et uniques telles que Video Verification.

Sécuriser les liens partagés

Nextcloud offre la meilleure protection du marché pour les partages de fichiers.

Les administrateurs peuvent définir des valeurs par défaut ou imposer ces options.
En savoir plus sur le partage.

Video Verification

Dans des situations où une sécurité extrême est nécessaire et où l'identité d'un destinataire doit être vérifiée avec une certitude absolue avant de lui accorder l'accès aux données, Nextcloud a lancé en exclusivité la fonction Video Verification.

Video Verification permet d'imposer un appel vidéo Nextcloud Talk avant de donner accès à un partage, en s'assurant que l'identité du destinataire est correctement vérifiée. L'appel peut être décroché via les applications Nextcloud Talk Mobile ainsi que l'interface web.

Processus de sécurité

Le développement de Nextcloud est conforme aux processus de sécurité les plus avancés de l'industrie. Les bugs de sécurité sont comme une dette technique : les corriger plus tard coûte cher. Notre stratégie est d'éviter que cela ne se produise en mettant l'accent sur la sécurité tout au long du cycle de vie de nos produits et en faisant en sorte que ceux qui nous échappent soient trouvés et corrigés aussitôt que possible.

Cliquez sur chaque étape du processus pour en savoir plus

Formation à la sécurité

  • Nous fournissons une documentation détaillée sur les vulnérabilités courantes en matière de sécurité Web.
  • Nous organisons des formations internes et publiques en matière de sécurité.
  • Les développeurs ont pour tâche de résoudre eux-mêmes les problèmes de sécurité qu'ils ont causés.

Exigences

Réalisation

  • Les fonctions qui présentent un risque pour la sécurité sont interdites (par exemple la désérialisation, les déclarations non préparées et les comparaisons non sécuritaires).
  • Nos fonctions internes sont conçues pour fournir des valeurs par défaut sécurisées aux développeurs.
  • Nous employons un processus d'examen de code obligatoire strict avec 2 réviseurs en plus du développeur original.

Vérification

  • Nous effectuons régulièrement des scans de sécurité statiques et dynamiques tels que Burp, Veracode et autres.
  • Nous suivons les processus de sécurité standard du marché et les faisons vérifier de manière indépendante.
Consultez nos rapports d'examen en matière de sécurité :

Réponse

Primes aux bugs de sécurité

Nextcloud protège votre sécurité avec un programme de primes aux bugs de sécurité allant jusqu'à 5000 $.

Programme HackerOne

Nous nous sommes associés à la plateforme HackerOne en raison de son extraordinaire popularité auprès des professionnels de la sécurité informatique. Plus de 3 000 hackers ont signalé plus de 24 000 bugs sur la plateforme. Ce programme sur HackerOne nous permet d'exploiter efficacement les connaissances collectives d'un grand nombre de ces experts en sécurité.

Nextcloud's commitment to responsiveness and putting security first puts them in the best position to attract top hacker talent to continue to supplement the good work their internal security team is doing to protect customers.

-- Michiel Prins, co-founder HackerOne.

Quiconque signale une vulnérabilité de sécurité dans Nextcloud peut gagner jusqu'à 5 000 $, ce qui fait de notre prime aux bugs de sécurité une des plus élevées de l'industrie open source. Pour plus de détails, voir notre annonce, notre mise à jour de 2017 et notre livre blanc HackerOne de 2018.

Nextcloud’s lightning fast response times are impressive and make them a model for how to build an efficient bug bounty triage and response process.

-- Michiel Prins, co-founder HackerOne.

Vous trouverez ici un exemple d'article sur le blog de RhinoSecurityLabs au sujet d'un problème de sécurité que nous avons traité (HackerOne disclosure). Et voici un autre exemple.

Téléchargez notre livre blanc sur HackerOne.

Authentification sécurisée

L'authentification est la première étape pour sécuriser vos données

in action

Sécurité renforcée

Le système d'authentification de Nextcloud prend en charge l'authentification enfichable, y compris l'authentification à deux facteurs et les mots de passe spécifiques aux périphériques, avec en plus une liste des navigateurs et périphériques connectés qui se trouve dans la page personnelle des utilisateurs. Pour plus de protection, l'accès au système de fichiers peut être refusé aux jetons de mot de passe spécifiques certains appareils.

Les applications Universal 2nd Factor (U2F) et TOTP (Time based One-Time Password) permettent aux utilisateurs de sécuriser leurs comptes avec des outils comme Yubikeys ou Google Authenticator. L'authentification NFC est également supportée (Yubikey Neo). Une application de passerelle à 2 facteurs est disponible qui prend en charge des seconds facteurs par les applications de messagerie sécurisée Télégramme et Signal ainsi qu'une variété de passerelles SMS.

Les sessions d'utilisateurs actives peuvent être invalidées par le biais d'une liste, en supprimant l'utilisateur dans les paramètres administrateur ou en modifiant les mots de passe. Les utilisateurs peuvent gérer leurs propres sessions et périphériques.

Conseils de sécurité

Nous rendons la sécurisation de votre système aussi simple que possible

in action

Vérifications automatisées et conseils

Nextcloud détecte les problèmes lors de son installation et prévient lorsqu'il trouve des fichiers inconnus ou modifiés. Les administrateurs peuvent trouver des conseils de sécurité et des avertissements dans la page de configuration.

Les administrateurs peuvent définir des règles de qualité des mots de passe appliquées par Nextcloud ainsi que limiter ou désactiver le partage, imposer des dates d'expiration et des mots de passe sur les partages, désactiver la prévisualisation et plus encore.

Vous pouvez trouver plus d'informations sur le renforcement de votre installation Nextcloud dans notre guide complet de renforcement

Nous mettons à votre disposition le Nextcloud Security Scanner pour vérifier la sécurité de votre serveur de cloud privé.

Chiffrement côté serveur

Chiffrement

Recourir au chiffrement pour atteindre le plus haut degré de confidentialité et de sécurité

in action

Transfert de données chiffré

Nextcloud applique la norme industrielle TLS pour chiffrer les données en transfert. L'utilisation de systèmes de type Object Storage comme Amazon S3 ou d'autres systèmes de stockage externes peut être sécurisée par le chiffrement côté serveur.

Chiffrez les données au repos

Le chiffrement côté serveur peut également être utilisé sur le stockage local. Cependant, comme c'est toujours le cas pour le chiffrement côté serveur, les clés de chiffrement seront présentes dans la mémoire du serveur Nextcloud pendant la période où l'utilisateur est connecté et pourraient être récupérées par un pirate informatique déterminé. C'est pourquoi nous veillons à ce que les clés ne soient pas stockées en clair sur un stockage permanent et que les clés au repos soient chiffrées à l'aide d'un chiffrement robuste.

Chiffrez d'un client à l'autre

Le chiffrement de bout en bout côté client et par dossier est disponible en tant qu'option dans toutes les versions à partir de Nextcloud 13, permettant de protéger les données extrêmement sensibles, même en cas d'une intrusion dans le serveur. Le serveur facilite l'échange de clés pour la synchronisation entre les appareils et le partage, mais n'a jamais accès aux données ou aux clés sous une forme non chiffrée. Lire plus sur le sujet ici.

in action

Chiffrement côté serveur avec gestion flexible des clés

Nextcloud prend en charge la gestion des clés de chiffrement enfichables. Si vous disposez d'un serveur de clés externe ou d'un module matériel de sécurité, vous pouvez les faire fonctionner avec Nextcloud.

Notre gestion par défaut des clés de chiffrement permet aux administrateurs de définir une clé de récupération à l'échelle du système pour les fichiers chiffrés. Ainsi, même lorsque les utilisateurs perdent leur mot de passe, les fichiers peuvent toujours être déchiffrés. Les fichiers chiffrés peuvent être partagés, mais après avoir modifié les paramètres de chiffrement, les partages devront être partagés à nouveau. Grâce à nos outils de ligne de commande, les données peuvent être chiffrées, déchiffrées ou rechiffrées si nécessaire.

En cas de besoin de chiffrer les données au repos pour des raisons de régulations ou de normes, et si vous n'avez pas spécifiquement besoin de sécuriser ces données pour les besoins de votre entreprise, le chiffrement local des données en utilisant notre gestion de clés intégrée peut satisfaire aux exigences de conformité.

Apprendre comment utiliser le chiffrement côté serveur dans notre documentation

in action

Chiffrement de bout en bout fluide dans les clients

Nextcloud propose une solution intégrée de niveau entreprise pour le chiffrement de bout en bout. Elle permet aux utilisateurs de choisir un ou plusieurs dossiers sur leur bureau ou leur client mobile pour un chiffrement de bout en bout. Les dossiers peuvent être partagés avec d'autres utilisateurs et synchronisés entre les périphériques mais ne sont jamais lisibles par le serveur.

Cette solution est simple d'utilisation mais extrêmement sécurisée grâce à l'application du principe de preuve à divulgation nulle de connaissance au serveur ainsi qu'au principe de la protection de l'identité par la cryptographie. Elle permet de ne pas compromettre la sécurité en utilisant un navigateur pour chiffrer ou déchiffrer des fichiers dont le code provient du serveur. De plus, tous les dossiers ne sont pas concernés, une décision de chiffrer ou non pouvant être prise par dossier. Le partage est sécurisé sans qu'il ne soit nécessaire d'échanger des mots de passe et les fichiers n'ont pas besoin d'être re-chiffrés et rechargés lorsque les droits d'accès des autres utilisateurs sont modifiés.

Notre solution est prête pour l'utilisation en entreprise et peut prendre en charge un module matériel de sécurité pour l'émission de certificats, donnant accès à un journal d'audit complet et permettant en option aux administrateurs de créer une clé de récupération maître hors ligne.

En apprendre plus sur le chiffrement de bout en bout dans les clients sur cette page.

Mesures de sécurité passives

En plus des mesures de sécurité actives telles que l'authentification et le chiffrement, Nextcloud protège vos données par défaut, sans aucune intervention de l'administrateur.

Recognized quality

Protection contre les attaques par force brute

Notre fonction Brute Force Protection enregistre les tentatives de connexion invalides et ralentit les tentatives multiples à partir d'une seule adresse IP (ou plage IPv6). Cette fonction est activée par défaut et protège vos données contre un attaquant qui tente de deviner un ou plusieurs mots de passe utilisateurs.

Les jetons de réinitialisation de mot de passe sont invalidés lorsque des informations critiques comme l'adresse e-mail de l'utilisateur ont été modifiées pour protéger contre les attaques de phishing.

Nextcloud demande aux administrateurs système de confirmer le mot de passe pour les actions critiques de sécurité.

Limite de débit

Notre fonction Rate Limiting permet à un développeur de spécifier à quelle fréquence une plage IP ou un utilisateur peuvent envoyer une requête au cours d'une période donnée. Cela peut être utile pour les appels d'IPA coûteux, pour empêcher les utilisateurs d'accéder à trop de données dans une plus petite période de temps ou pour durcir les protections contre les attaques de force brute. Cette fonction est utilisée par les applications Nextcloud pour protéger les utilisateurs contre le spam et la surcharge.

En apprendre plus sur ces protections sur notre blog.

Renforcement de la sécurité

Nextcloud recourt à un large éventail de fonctions de renforcement de sécurité supplémentaires, notamment :

  •  Content Security Policy 3.0

      Content Security Policy est une fonction HTTP qui permet au serveur de définir des restrictions spécifiques pour une ressource lorsqu'elle est ouverte dans un navigateur. Par exemple, vous pouvez ainsi décider de ne permettre le chargement d'images ou de JavaScript qu'à partir de cibles spécifiques.

      La version 3.0 de cet outil est la version la plus récente et la plus stricte de ce standard, augmentant ainsi les obstacles à l'exploitation d'une vulnérabilité Cross-Site Scripting par les attaquants.

  • Same-Site Cookies

      Same-Site cookies est une mesure de sécurité supportée par les navigateurs modernes qui prévient l'exploitation de vulnérabilités CSRF et contribue à la protection de votre confidentialité. Nextcloud impose la présence des cookies same-site à chaque requête en forçant leur utilisation dans l'intergiciel en charge de la requête.

      Nous incluons le préfixe __Host au cookie (si supporté par le navigateur et le serveur). Cela atténue les vulnérabilités aux injections de cookies au sein de logiciels tiers potentiels partageant le même domaine de deuxième niveau.

Pour en savoir plus sur les fonctions de renforcement, consultez notre blog.

Détection de connexions suspectes basée sur le machine learning

Nextcloud intègre une technologie de machine learning qui forme un réseau neuronal aux connexions réussies sur l'instance et l'utilise pour classer les tentatives de connexion. Si le réseau neuronal détecte une connexion classifiée comme suspecte par le modèle formé, il en informe l'utilisateur et enregistre une entrée dans le journal pour l'administrateur système.

Lorsque l'utilisateur est averti, il peut mettre fin à la session suspecte et procéder à la réinitialisation du mot de passe. L'administrateur peut également prendre des mesures, comme désactiver les comptes utilisateurs ou forcer les utilisateurs à choisir un nouveau mot de passe.

Bien évidemment, la solution est conçue pour protéger la confidentialité et toutes les données restent sur votre serveur !

Lire plus sur notre blog

Vous avez désactivé javascript. Nous essayons de faire en sorte que les bases de notre site web fonctionnent, mais certaines fonctionnalités seront manquantes.

Ce site Web utilise des cookies. En visitant notre site, vous acceptez notre politique de confidentialité. J'accepte