Perspicacités

Jaspersoft : une approche multicouche de la sécurité des données

Jaspersoft provides data security with a multi-layered approach

L'époque où les rapports et les analyses étaient réservés aux opérations de backend est révolue. Aujourd'hui, de nombreuses organisations intègrent l'analyse dans les applications destinées aux clients. Bien que cette solution soit pratique et efficace, elle présente un risque de sécurité important dont les organisations doivent être conscientes. Les rapports et les analyses intégrées peuvent parfois contenir des informations sensibles, telles que des informations personnelles sur les clients, des secrets d'affaires et des informations financières. Si ces données tombaient entre de mauvaises mains, les organisations pourraient être confrontées à de graves conséquences sur le plan de la sécurité et sur le plan juridique. Il est donc impératif que les organisations contrôlent les données que les différents types d'individus peuvent voir ou auxquelles ils peuvent accéder. En bref, les organisations doivent donner la priorité à la sécurité lorsqu'elles utilisent des outils de reporting.

Pourquoi la sécurité est-elle importante pour les rapports et les analyses intégrées ?

La sensibilité des données généralement contenues dans les rapports est l'une des principales raisons pour lesquelles la sécurité doit être un élément essentiel des outils de reporting. En l'absence d'une sécurité solide, ces données sont exposées à des risques :

  • Violations de données : l'une des plus grandes menaces à laquelle les organisations (grandes et petites) doivent se préparer est celle des acteurs malveillants qui cherchent à voler des données. Les attaquants peuvent utiliser les données volées de différentes manières, par exemple en les vendant sur le Dark Web ou en les utilisant pour extorquer de l'argent à l'organisation concernée.   

  • Non-conformité : les normes industrielles, telles que HIPAA, PCI DSS et GDPR, fixent des exigences pour les entreprises dans leurs secteurs respectifs sur la façon dont elles doivent traiter les données. Si des pirates ou des personnes non autorisées accèdent aux données de l'organisation, vous risquez la non-conformité, ce qui entraîne généralement des amendes ou des pénalités.

  • Perte de confiance des clients : vos clients attendent de vous que vous protégiez leurs données sensibles. Si vous n'y parvenez pas, ils auront du mal à faire confiance à vos services ou à vos produits. Cela peut effrayer les clients existants et potentiels.

  • Questions juridiques : les violations de données et la non-conformité peuvent entraîner des poursuites judiciaires de la part des clients concernés. Les procédures judiciaires sont généralement coûteuses et entraînent des contraintes financières pour votre organisation. 

Architecture de sécurité de Jaspersoft

Jaspersoft est un outil de reporting créé dans un souci de sécurité. Son architecture suit un modèle de sécurité multicouche qui comprend plusieurs pratiques de sécurité décrites ci-dessous :

Utilisateurs, rôles et autorisations de ressources 

Jaspersoft s'appuie sur les rôles et les comptes d'utilisateurs pour mettre en œuvre le contrôle d'accès par le biais de l'authentification et l'autorisation. En outre, pour protéger vos rapports, données et tableaux de bord contre les menaces internes, Jaspersoft vous permet de mettre en place des protocoles de différenciation entre les utilisateurs et les administrateurs. 

Les administrateurs ont plus de droits d'accès et d'action que les utilisateurs normaux. Ils surveillent l'activité du serveur et peuvent accéder à des ressources sensibles telles que les connexions aux bases de données. Ils peuvent également gérer d'autres utilisateurs et définir leurs rôles. Les rôles des utilisateurs déterminent les autorisations dont ils disposent. Par conséquent, un utilisateur ne peut accéder qu'aux ressources auxquelles les administrateurs l'autorisent à accéder.

Menus et pages

Les rôles des utilisateurs déterminent les menus et les pages que les différents utilisateurs peuvent voir. Par exemple, seuls les administrateurs peuvent accéder au menu Gérer, qui permet aux personnes ayant un rôle d'administrateur d'ajouter ou de supprimer des utilisateurs et de définir leur rôle. Avec Jaspersoft, vous pouvez modifier l'accès à ces pages et menus. 

Organisations

Les organisations ont également des utilisateurs et des administrateurs. Cependant, ces deux groupes ne peuvent accéder qu'aux ressources de l'organisation. Par exemple, si les administrateurs ont plus de privilèges que les utilisateurs, ils ne peuvent pas voir ou accéder aux ressources, y compris les utilisateurs et les rôles, d'autres organisations. JasperReports Server y parvient efficacement en séparant les organisations, même si elles sont configurées ensemble. 

Authentification

Cette pratique de sécurité limite l'accès aux rapports en s'appuyant sur l'identification de l'utilisateur. Pour ce faire, il faut d'abord définir les comptes des utilisateurs afin de leur donner une identité unique. Ces comptes d'utilisateurs sont ensuite sécurisés par des mots de passe. Sur Jaspersoft, les données relatives aux utilisateurs et à leurs autorisations se trouvent dans une base de données privée à laquelle seuls les administrateurs peuvent accéder par le biais des pages d'administration. 

Authentification externe

JasperReports Server utilise le cadre Spring Security, qui prend en charge l'intégration des mécanismes d'authentification de l'entreprise, tels que :

  • Single Sign-On (SSO) via CAS (JA-SIG Central Authentication Service)

  • Service d'authentification et d'autorisation Java (JAAS)

  • Accès anonyme

  • LDAP (utilisé pour Novell eDirectory et Microsoft Active Directory)

Politiques en matière de mots de passe

Les politiques relatives aux mots de passe permettent de préserver l'intégrité des mots de passe. Avec Jaspersoft, vous pouvez tirer parti de plusieurs politiques, notamment :

  • Expiration du mot de passe : cette politique oblige les utilisateurs à modifier régulièrement leurs mots de passe. Elle vous permet de définir une durée pendant laquelle les utilisateurs peuvent utiliser leurs mots de passe pour accéder à leurs comptes et rapports. Passé ce délai, l'utilisateur ne peut plus se connecter tant qu'il n'a pas modifié son mot de passe. Il convient de noter que Jaspersoft n'applique pas l'expiration des mots de passe par défaut, c'est à vous de l'activer. 

  • Modèles forts : Jaspersoft vous permet également d'imposer des mots de passe forts pour les comptes d'utilisateurs. Il s'agit essentiellement de demander aux utilisateurs de créer des mots de passe difficiles à deviner en définissant des paramètres spécifiques, tels qu'un nombre minimum de caracètres ou l'utilisation de caractères spéciaux, de chiffres et de lettres (majuscules et minuscules). Comme pour l'option d'expiration du mot de passe, c’est à vous d'activer les modèles forts, car le modèle par défaut de Jaspersoft accepte n'importe quel mot de passe, y compris un mot de passe vide.

Sécurité des applications

En tant qu'administrateur système, vous ne le savez que trop bien : les pirates informatiques sont toujours à la recherche d'opportunités pour pirater des serveurs en vue d'une violation de données ou d'une prise de contrôle complète du système. Jaspersoft vous permet de protéger les données de vos rapports contre ces agresseurs grâce à plusieurs mécanismes et outils, notamment :

  • Validation des entrées : cette pratique de sécurité protège vos données de reporting contre les injections SQL et les scripts intersites (XSS).

  • Chiffrement : Jaspersoft vous permet d'obscurcir les mots de passe stockés dans les fichiers de configuration. Ces mots de passe comprennent ceux qui permettent d'accéder aux bases de données d’exemple et à la base de données interne du serveur JasperReports. Ainsi, même si des personnes non autorisées accèdent aux fichiers de configuration, elles ne peuvent pas les voir ou les utiliser pour obtenir un accès élevé.

  • Prévention de la falsification des requêtes intersites (CSRF) : pour prévenir les Attaques CSRF, Jaspersoft s'appuie sur la dernière mise à jour de CSRFGuard de l'OWASP. Cela permet de vérifier que chaque requête, telle que PUT, POST et DELETE, soumet un jeton valide. Lorsqu'un utilisateur non autorisé utilise un jeton non valide, le serveur ne répond pas et enregistre une erreur.

Pourquoi faire confiance à Jaspersoft pour la sécurité des rapports ?

L'architecture de sécurité de Jaspersoft parle d'elle-même. Nos chiffres prouvent que les entreprises reconnaissent notre engagement en matière de sécurité. Jaspersoft enregistre en moyenne plus de 80 000 téléchargements par mois. De plus, notre solution de reporting existe depuis deux décennies et est l'une des solutions de reporting intégrées les plus déployées au monde.

Vous souhaitez essayer gratuitement Jaspersoft pendant 30 jours pour voir si l'outil répond à vos exigences en matière de sécurité ? Inscrivez-vous dès aujourd'hui.

Essayez Jaspersoft gratuitement pendant 30 jours

Concevez, intégrez et diffusez efficacement des rapports et des tableaux de bord à grande échelle avec Jaspersoft.

Ressources Associées

Démos en direct mensuelles avec questions-réponses

Animées par nos ingénieurs solutions chaque troisième mercredi dans trois régions.

S'inscrire maintenant

Accès sécurisé simplifié : implémentation de l'intégration OAuth dans le serveur JasperReports

Ce webinaire montre comment JasperReports Server exploite l'intégration OAuth 2.0 pour renforcer à la fois la sécurité et l'expérience utilisateur, en vous guidant à travers le processus de configuration pour permettre une authentification et une autorisation sécurisées et transparentes pour vos utilisateurs.

 Séminaire web à la demande (41:23)

Protégez vos données : maîtrise des fichiers de sécurité de domaine dans JasperReports Server

Ce webinaire propose une analyse approfondie de la gestion des fichiers de sécurité de domaine dans JasperReports Server, en montrant comment définir des règles d'accès précises au niveau des lignes et des colonnes qui protègent les informations sensibles en fonction de l'utilisateur et du rôle.

 Séminaire web à la demande (49:26)

Vous souhaitez essayer ?

Commencez votre essai de 30 jours dès maintenant.