Guide de la sécurité FileMaker 15 : Recommandations pour la configuration des options de sécurité

Ce guide décrit les fonctions de sécurité disponibles sur la plateforme FileMaker et les étapes à suivre en tant que développeur de solutions, administrateur de serveur ou professionnel de l'informatique pour appliquer ces fonctions de sécurité à vos solutions FileMaker.

Selon vos exigences de certification et de conformité en termes de sécurité, vous pouvez être amené à suivre des étapes supplémentaires. Il est de votre responsabilité de comprendre parfaitement ces exigences.

Pour obtenir les dernières mises à jour de sécurité FileMaker, consultez la FileMaker Knowledge Base.

Les fonctions de la plateforme FileMaker vous permettent de contrôler l'accès aux données, les opérations et le développement dans un fichier FileMaker. Les principales fonctions sont les suivantes :

• Authentification avec des comptes : FileMaker crypte les informations d'identification stockées dans les solutions de façon à ce qu'elles ne puissent pas être décryptées. Les utilisateurs peuvent également s'authentifier via Active Directory ou Open Directory.
• Contrôle d'accès avec des jeux de privilèges : vous définissez les autorisations qui déterminent les niveaux d'accès à votre solution. Vous pouvez définir autant de jeux de privilèges que vous voulez.
• Cryptage des données sur le disque et sur le réseau : vous pouvez crypter les données stockées dans une solution FileMaker et exiger un cryptage SSL (Secure Socket Layer) des données entre FileMaker Server et FileMaker Pro, FileMaker Go et FileMaker WebDirect.
• Surveillance et administration du serveur : l'Admin Console de FileMaker Server vous permet de surveiller l'accès aux solutions, déconnecter les utilisateurs inactifs et créer des sauvegardes de vos solutions.

La plateforme FileMaker utilise un modèle de sécurité unifié, où la sécurité que vous établissez pour une solution est effective sur tous les clients.

Les paramètres de sécurité définis dans une solution à l'aide de FileMaker Pro s'appliquent uniquement aux informations et au schéma (modèles, tables, rubriques, relations et scripts) stockés dans cette solution.

Les paramètres de sécurité configurés dans FileMaker Server sont spécifiques au serveur et s'appliquent à toutes les solutions hébergées par ce serveur.

Consultez les sections Configuration système requise pour FileMaker Pro et Configuration système requise pour FileMaker Server.

Renforcez la sécurité des solutions que vous créez dans FileMaker Pro à l'aide des fonctions FileMaker Pro permettant d'authentifier les utilisateurs, de limiter l'accès à la solution, de crypter les données et d'améliorer les fonctionnalités de façon sécurisée.

A propos de l'authentification

A propos des comptes par défaut

Attribution d'un mot de passe au compte Admin

Désactivation du compte Invité

Création de comptes

Demande à l'utilisateur de saisir un mot de passe

Authentification dans les solutions multifichiers

Si vous hébergez des fichiers avec FileMaker Server, vous pouvez créer des comptes de serveur externe authentifiés par Active Directory ou Open Directory. Vous pouvez ensuite utiliser votre serveur d'authentification pour contrôler l'accès aux bases de données, au lieu de gérer une liste indépendante de comptes dans chaque fichier de base de données FileMaker Pro.

Vous pouvez également utiliser les comptes et les groupes de sécurité locaux sur le serveur hébergeant FileMaker Server. Reportez-vous à l'Aide de votre système d'exploitation.

Utilisez l'authentification externe si :

• Votre entreprise utilise déjà Active Directory ou Open Directory.
• D'autres fichiers accèderont à votre fichier FileMaker dans une solution multifichier.
• Votre entreprise applique une politique de mot de passe minimale. FileMaker Pro peut mettre en application des normes élémentaires, comme la fréquence de modification et la longueur des mots de passe. L'authentification externe permet un meilleur contrôle des mots de passe, tel que l'application d'exigences en matière de complexité des mots de passe.

Si vous hébergez des fichiers avec FileMaker Server installé sur Windows Server et que vous utilisez Active Directory pour l'authentification externe, les utilisateurs Windows peuvent utiliser l'authentification unique avec FileMaker Pro.

Si vous utilisez l'authentification externe, il est possible qu'une personne accède à votre fichier en simulant l'environnement d'authentification externe ou en utilisant de manière incorrecte les groupes. Il est de votre responsabilité d'empêcher cela en assurant la sécurité de votre serveur d'authentification externe. Activez le cryptage de base de données appliqué aux fichiers de votre solution pour réduire ce risque. Avec le cryptage de base de données, les utilisateurs doivent saisir le mot de passe de cryptage avant de pouvoir partager le fichier sur FileMaker Server. Consultez la section Cryptage des données de ce guide.

Pour utiliser l'authentification, configurez des comptes d'authentification externe dans le fichier à l'aide de FileMaker Pro, puis hébergez le fichier avec FileMaker Server et configurez-le pour l'authentification externe. Consultez la rubrique Création de comptes authentifiés par l'intermédiaire d'un serveur externe de l'Aide FileMaker Pro, la section Activation de l'authentification externe de ce guide et l'article Configuration de clients FileMaker Pro et de FileMaker Server pour utiliser l'authentification externe à l'aide du protocole LDAP de la FileMaker Knowledge Base.

Informations importantes concernant l'utilisation de l'authentification externe

• Vous devez utiliser le serveur d'authentification externe pour réinitialiser les mots de passe.
• Définissez l'ordre dans lequel vous souhaitez que FileMaker authentifie les comptes. Lorsque plusieurs comptes partagent un nom et un mot de passe de compte, ou lorsqu'un compte externe appartient à plusieurs groupes, FileMaker ouvre le fichier avec le premier compte correspondant dans l'ordre d'authentification. Tous les comptes correspondants indiqués après le premier sont ignorés.
• Ne créez aucun compte authentifié en externe disposant du jeu de privilèges Accès intégral. Conservez un compte FileMaker local à des fins administratives, au cas où le fichier doit être supprimé de FileMaker Server. S'il n'existe aucun compte FileMaker local, FileMaker ne peut pas ouvrir le fichier s'il n'est pas hébergé ou si le serveur d'authentification n'est pas disponible.

A propos des jeux de privilèges

Création de jeux de privilèges

Définition des privilèges d'accès aux données et de conception

Définition des privilèges étendus

Définition des autres privilèges

Suppression du jeu de privilèges Accès intégral

Cryptage d'une solution

Cryptage de données Conteneur

Créez des modèles qui limitent l'affichage des données et l'accès aux fonctions par les utilisateurs en fonction de leurs besoins et jeux de privilèges. De plus, vous pouvez masquer la barre d'outils et fournir à la place des boutons qui exécutent les tâches autorisées.

Si la solution est exécutée dans FileMaker WebDirect ou FileMaker Go, créez des modèles pour l'utiliser rapidement avec ces clients. Consultez le Guide de FileMaker WebDirect et le Guide de développement de FileMaker Go.

Remarque : La limitation de l'accès aux données et aux fonctionnalités d'une solution n'empêche pas les utilisateurs d'accéder aux données via les actions de script, les fonctions, AppleScript ou par quelque autre moyen que ce soit. Définissez des jeux de privilèges pour limiter l'accès des utilisateurs aux données et aux fonctions dans tous les clients. Consultez la section Définition des jeux de privilèges de ce guide.

Les fonctions, les scripts et les déclencheurs de script permettent d'améliorer la sécurité des tâches courantes, telles que la suppression, l'audit et la gestion d'enregistrements. Par exemple, utilisez les scripts pour :

• ajouter ou supprimer des comptes, réinitialiser des mots de passe de compte, modifier des mots de passe, activer ou désactiver des comptes et se reconnecter sous un autre nom d'utilisateur ;
• archiver des enregistrements lorsque vous ne souhaitez pas qu'un utilisateur les supprime ;
• obtenir des informations sur la session et l'état actuels d'un utilisateur à des fins d'audit et de conformité aux règlements ;
• fournir des messages personnalisés lorsque des limitations de sécurité affectent l'utilisateur.

Important N'utilisez pas les fonctions, les scripts ou les déclencheurs de script pour remplacer les fonctions de sécurité FileMaker.

Notez les points suivants :

• Par défaut, les scripts s'exécutent avec le jeu de privilèges du compte actuellement connecté, ce qui peut causer des problèmes si un script essaie d'exécuter une action que l'utilisateur n'est pas autorisé à faire. Testez tous les scripts avec tous les jeux de privilèges afin de protéger l'intégrité de vos données.
• Lorsque vous utilisez des actions de script pour communiquer avec des systèmes hors FileMaker, choisissez des options disponibles qui interagissent via le cryptage SSL. Par exemple, l'action de script Insérer depuis URL inclut l'option Vérifier les certificats SSL, et l'action de script Envoyer courrier permet la communication avec les serveurs SMTP via le cryptage SSL.
• Les fonctions vous permettent d'obtenir des informations sur l'utilisateur actuel. Par exemple, utilisez la fonction Obtenir(PrivilegesEtendusCompte) pour déterminer si un utilisateur dispose d'un privilège spécifique.

Consultez les rubriques Page de référence des fonctions, Page de référence des actions de script et Page de référence des déclencheurs de script de l'Aide FileMaker Pro.

Limitez les références à une solution pour empêcher l'accès au schéma de la solution par des fichiers non autorisés. Pour qu'un autre fichier puisse accéder au schéma et aux données de la solution, le fichier doit être autorisé au sein de la solution, ou l'utilisateur doit saisir des informations d'identification valides pour la solution.

Vous pouvez spécifier que seuls les comptes disposant du jeu de privilèges Accès intégral peuvent créer des références à la solution, de façon à ce que les seuls les concepteurs et les administrateurs de solutions peuvent faire référence à la solution.

Dans une solution multifichier, vous devez autoriser chaque fichier qui doit accéder au schéma d'un autre fichier.

Consultez la rubrique Autorisation d'accès aux fichiers de l'Aide FileMaker Pro.

Définissez une version minimale de FileMaker Pro ou FileMaker Go qui est autorisée à accéder à la solution. Les nouvelles versions des clients FileMaker fournissent des fonctions et des modifications de sécurité non disponibles dans les anciennes versions ; par conséquent, limitez les clients qui peuvent accéder à la solution. Consultez la rubrique Définition des options de fichier de l'Aide FileMaker Pro.

Utilisez uniquement des plug-ins provenant de sources approuvées, car ils peuvent accéder à votre solution et la modifier, ainsi que se connecter à d'autres services sur Internet.

Pour renforcer la sécurité et empêcher l'installation de plug-ins non autorisés, vous pouvez activer ou désactiver l'installation des fichiers de plug-in. Il s'agit d'une préférence propre à FileMaker Pro et non au fichier, qui détermine si des plug-ins peuvent être installés sur l'ordinateur de l'utilisateur.

Consultez la rubrique Définition des préférences des plug-ins de l'Aide FileMaker Pro. Pour activer les plug-ins dans FileMaker Server, consultez la section Activation des plug-ins dans FileMaker Server ci-dessous.

FileMaker Server héberge les solutions des clients suivants :

• FileMaker Pro
• FileMaker Go
• FileMaker WebDirect
• Utilisateurs et applications Web via le moteur de publication Web de FileMaker Server
• Applications ODBC et JDBC.

Les sections suivantes décrivent la procédure de configuration de la sécurité dans l'Admin Console de FileMaker Server.

Avant de commencer, assurez-vous d'installer FileMaker Server à un emplacement sécurisé et d'utiliser le cryptage SSL pour crypter la communication HTTPS entre les clients et le serveur :

• Sécurisation de l'ordinateur exécutant FileMaker Server
• Installation des composants FileMaker Server derrière votre pare-feu
• Configuration du cryptage SSL

Vous pouvez utiliser votre serveur d'authentification pour contrôler l'accès aux fichiers sans avoir à gérer une liste indépendante de comptes dans chaque fichier.

Configurez des comptes d'authentification externe dans le fichier à l'aide de FileMaker Pro, puis hébergez le fichier avec FileMaker Server et configurez-le pour l'authentification externe. Pour configurer des comptes dans FileMaker Pro, consultez la section Configuration de l'authentification externe de ce guide.

Pour activer l'authentification externe dans FileMaker Server :

1. Dans l'Admin Console, choisissez Serveur de base de données > Sécurité.
2. Sélectionnez Comptes FileMaker et de serveur externe dans la section Authentification client.

Pour utiliser Active Directory ou Open Directory, le serveur où FileMaker Server est installé doit être membre du domaine utilisé pour l'authentification externe.

Faites des tests approfondis. Consultez la section Test des paramètres de sécurité de ce guide.

La fenêtre Gestion des solutions dans FileMaker Pro, FileMaker Go et FileMaker WebDirect affiche une liste des solutions hébergées. Par défaut, la liste affiche toutes les solutions disponibles sur un serveur. L'administrateur de serveur peut limiter cette liste de façon à afficher uniquement les solutions auxquelles l'utilisateur actuel peut accéder.

1. Dans l'Admin Console, choisissez Serveur de base de données > Sécurité.
2. Sélectionnez N'afficher que les bases de données autorisées.

Consultez la rubrique Paramètres de sécurité du serveur de base de données de l'Aide FileMaker Server.

Assurez-vous que toutes les bases de données hébergées invitent les clients à saisir un nom et un mot de passe de compte. Les types de bases de données suivants ne sont pas sécurisés :

• les bases de données qui disposent d'un compte Invité utilisant le jeu de privilèges Accès Intégral ;
• les bases de données qui disposent d'un compte Accès intégral avec un mot de passe vide ;
• les bases de données qui disposent d'un compte Accès intégral avec un mot de passe stocké dans la base de données (utilisant l'option Connexion via de la boîte de dialogue Options de fichier).

Pour empêcher l'hébergement de ces bases de données non sécurisées :

1. Dans l'Admin Console, choisissez Serveur de base de données > Sécurité.
2. Dans la section Exiger des bases de données protégées par mot de passe, sélectionnez Héberger uniquement les bases de données protégées par mot de passe.

FileMaker Pro 15 vérifie ce paramètre lorsqu'un utilisateur FileMaker Pro tente de charger une base de données à l'aide de l'élément de menu Charger sur FileMaker Server. Lorsque ce paramètre est activé, FileMaker Pro 15 n'autorise pas le chargement des types de bases de données non sécurisés ci-dessus. (Les utilisateurs de FileMaker Pro 13 ou FileMaker Pro 14 peuvent charger les bases de données non protégées par mot de passe, mais FileMaker Server ne les ouvre pas pour l'hébergement lorsque ce paramètre est activé.)

Consultez la rubrique Paramètres de sécurité du serveur de base de données de l'Aide FileMaker Server.

Lorsqu'il est exécuté, FileMaker Server journalise les activités du serveur. Les fichiers journaux vous permettent de collecter les informations d'accès aux clients ainsi que d'autres informations nécessaires à des fins de conformité d'audit.

Pour afficher, trier, filtrer et exporter les entrées de fichier journal, choisissez le volet Log Viewer dans l'Admin Console, sélectionnez un ou plusieurs modules de fichier journal pour les Journaux, puis saisissez une plage de dates en utilisant les rubriques Début et Fin.

Pour voir les messages de journal relatifs aux fonctions de sécurité, saisissez le mot-clé « SECURITY: » dans la rubrique Filtre.

Consultez la rubrique Affichage des entrées de fichier journal de l'Aide FileMaker Server.

Définissez la durée maximale pendant laquelle les utilisateurs FileMaker peuvent rester inactifs lorsqu'ils sont connectés à un fichier hébergé par FileMaker Server. Cette durée d'inactivité maximale réduit le risque d'accès à vos fichiers via un ordinateur ou un appareil mobile sans surveillance. Vous devez toutefois choisir une durée d'inactivité suffisamment longue pour éviter les déconnexions fréquentes.

Dans la boîte de dialogue Modifier le jeu de privilèges de FileMaker Pro, sélectionnez Déconnecter les utilisateurs du serveur en cas d'inactivité pour chaque jeu de privilèges que vous souhaitez voir déconnecté lorsqu'un utilisateur est inactif. Comme vous pouvez définir cette option pour chaque jeu de privilèges, certains utilisateurs sont déconnectés tandis que d'autres restent toujours connectés en cas d'inactivité. Les utilisateurs connectés disposant du jeu de privilèges Accès Intégral ne sont jamais déconnectés en cas d'inactivité.

Dans FileMaker Server, pour spécifier la durée d'inactivité :

1. Dans l'Admin Console, choisissez Serveur de base de données > Clients FileMaker.
2. Sélectionnez Définir la durée d'inactivité maximale autorisée pour les clients FileMaker et saisissez la durée (en minutes).

Consultez la rubrique Paramètres des clients FileMaker de l'Aide FileMaker Server.

FileMaker Server permet deux types de sauvegardes : planifiées et progressives. Si les données d'un fichier sont supprimées, vous pouvez les récupérer dans la sauvegarde. Veillez à choisir un lieu sécurisé dans lequel stocker les sauvegardes.

Avec une sauvegarde planifiée, FileMaker Server vérifie si les données ont été modifiées depuis la dernière sauvegarde et, le cas échéant, crée une copie intégrale des bases de données et des données de conteneur modifiées.

Avec une sauvegarde progressive, FileMaker Server crée deux sauvegardes complètes de toutes les bases de données hébergées dans le dossier de sauvegarde progressive. Puis, après l'intervalle défini, il applique toute modification à la copie de sauvegarde la plus ancienne.

FileMaker Server enregistre les sauvegardes uniquement sur des disques locaux. Utilisez d'autres outils pour copier les sauvegardes locales et les conserver hors-site en vue d'une récupération d'urgence.

Important FileMaker Server crée la structure de répertoire des sauvegardes. Pour utiliser un fichier de sauvegarde, laissez le fichier d'origine inchangé dans le dossier de sauvegarde. N'ouvrez, ne modifiez et ne déplacez jamais le fichier de sauvegarde d'origine du dossier de sauvegarde avec FileMaker Pro. Copiez plutôt le fichier et utilisez exclusivement la copie.

Consultez la rubrique Compréhension des options de sauvegarde de l'Aide FileMaker Server.

En tant qu'administrateur de serveur, vous pouvez utiliser les groupes administrateur pour déléguer les tâches d'administration des bases de données aux autres utilisateurs. Vous conservez le contrôle exclusif et total de FileMaker Server. Les administrateurs de groupe ne sont pas autorisés à configurer FileMaker Server et vous indiquez les tâches d'administration de bases de données que les administrateurs de groupe peuvent effectuer.

Vous pouvez utiliser l'authentification externe pour valider les informations d'identification des utilisateurs de vos groupes administrateur et assurer la connexion à l'Admin Console. Consultez la section Activation de l'authentification externe de ce guide.

Consultez la rubrique Configuration des paramètres de groupe administrateur de l'Aide FileMaker Server.

Les développeurs de solutions peuvent configurer des bases de données FileMaker Pro de façon à utiliser l'action de script Exécuter script sur serveur pour des raisons de performances. Pour des raisons de sécurité, l'administrateur du serveur peut décider d'autoriser ou non l'action de script Exécuter script sur serveur dans les solutions hébergées.

Pour désactiver l'utilisation de l'action de script Exécuter script sur serveur, sélectionnez Serveur de base de données > Clients FileMaker dans l'Admin Console, puis définissez le Nombre maximum de sessions de script simultanées sur 0 (zéro). Toute valeur supérieure à zéro autorise l'action de script Exécuter script sur serveur dans les solutions hébergées.

Consultez la rubrique Paramètres des clients FileMaker de l'Aide FileMaker Server.

Les développeurs de solutions peuvent configurer des bases de données FileMaker Pro de façon à utiliser les plug-ins côté serveur. Pour activer les plug-ins dans FileMaker Pro, consultez la section Activation des plug-ins de ce guide.

Dans l'Admin Console, choisissez Serveur de base de données > Plug-ins de serveur, puis sélectionnez le paramètre Permettre au moteur de script FileMaker d'utiliser des plug-ins. Ce paramètre permet au moteur de script FileMaker d'utiliser des plug-ins de fonctions externes.

Lorsque ce paramètre est activé, vous pouvez autoriser les scripts planifiés et qui utilisent l'action de script Exécuter script sur serveur à installer, mettre à jour et charger des plug-ins en sélectionnant le paramètre Autoriser l'action de script Installer le fichier de plug-in à installer, mettre à jour et charger les plug-ins de serveur. Si vous pensez que certains plug-ins peuvent constituer un risque pour la sécurité, laissez cette case décochée. Lorsque cette case est décochée, vous pouvez toujours installer manuellement des plug-ins sur le serveur, puis sélectionner Serveur de base de données > Plug-ins de serveur pour les activer ou les désactiver.

Consultez la rubrique Paramètres des plug-ins de serveur de l'Aide FileMaker Server.

Dans l'Admin Console, si vous sélectionnez Paramètres généraux > Notifications par e-mail pour saisir les informations de configuration SMTP d'un serveur de messagerie, vérifiez la sécurité de ce dernier. Le serveur de messagerie doit toujours utiliser le protocole TLS (Transport Layer Security) le plus récent pour la communication.

Consultez la rubrique Paramètres de notification par e-mail de l'Aide FileMaker Server.

Le logiciel FileMaker est exécuté sur vos ordinateurs et votre réseau. Les clients peuvent accéder à vos données hébergées via l'intranet de votre entreprise ou Internet. Lorsque vous considérez la sécurité de la plateforme FileMaker, tenez également compte à la sécurité de votre environnement système.

Les sections suivantes vous expliquent comment renforcer la sécurité de votre environnement système pour la plateforme FileMaker.

Bien que certains comptes et jeux de privilèges assurent une protection appropriée des bases de données, cette méthode n'est pas fiable à 100 %. Vous devez protéger l'accès à vos fichiers et informations et ne pas vous reposer uniquement sur les privilèges d'accès de FileMaker Pro. Par exemple :

• Protégez matériellement la sécurité des ordinateurs, disques durs et supports de stockage de sauvegarde sur lesquels résident les fichiers de base de données. Par exemple, placez l'ordinateur exécutant FileMaker Server dans une pièce verrouillée.
• Si vous hébergez des bases de données FileMaker Pro sur un ordinateur partagé sur un réseau, utilisez les paramètres de sécurité et les mots de passe du système d'exploitation pour limiter l'accès aux dossiers et fichiers au personnel autorisé.
• Configurez la fonction d'économiseur d'écran de votre système d'exploitation de façon à ce que la sortie du mode veille nécessite la saisie d'un mot de passe.
• N'exécutez jamais d'autres services réseau tels qu'un serveur de messagerie sur l'ordinateur sur lequel se trouve FileMaker.
• Vérifiez que tous les autres services réseau offrent le niveau de sécurité le plus élevé possible en utilisant, par exemple, le protocole TLS le plus récent. Vous devez désactiver la prise en charge des protocoles non sécurisés, par exemple, SSLv2 et SSLv3, sur ces services réseau.

FileMaker Server peut inclure trois composants au maximum :

• Serveur de base de données
• Moteur de publication Web
• Module de serveur Web

Vous pouvez déployer ces composants sur un ou deux ordinateurs. En cas de déploiement sur plusieurs ordinateurs, vous pouvez contrôler la relation de chaque ordinateur avec votre pare-feu. Par exemple, vous pouvez choisir de placer tous les composants derrière votre pare-feu pour limiter l'accès au réseau local. Sinon, vous pouvez placer les données les plus sensibles stockées sur le serveur de base de données derrière le pare-feu et autoriser l'accès des clients aux données publiques non sensibles via FileMaker WebDirect.

Important Pour optimiser la sécurité de votre solution de base de données, notamment sur Internet, utilisez un pare-feu du côté public d'un déploiement FileMaker Server. Utilisez également SSL pour le serveur Web. Consultez la section Configuration du cryptage SSL de ce guide.

Consultez le chapitre 1 du Guide de démarrage de FileMaker Server.

Cryptez les données transmises entre le serveur de base de données et les clients FileMaker en utilisant la technologie SSL. Un certificat SSL est un fichier de données fourni par une autorité de certification (CA) qui identifie de façon numérique l'expéditeur, le destinataire ou les deux parties d'une transaction sécurisée. Les certificats SSL sont installés sur les ordinateurs exécutant des applications FileMaker afin d'assurer des connexions sécurisées entre FileMaker Server et les clients FileMaker. FileMaker Server fournit un certificat SSL par défaut signé par FileMaker, Inc. qui ne vérifie pas le nom du serveur.

Important Le certificat par défaut de FileMaker est uniquement destiné à des fins de test. Un certificat SSL personnalisé est requis à des fins de production.

Le cryptage SSL est particulièrement important si les clients accèdent à vos données hébergées sur Internet. Si vous n'utilisez aucun cryptage, vos données peuvent être affichées par le logiciel qui surveille votre réseau.

Pour utiliser le cryptage SSL :

1. Demandez un certificat SSL personnalisé correspondant à votre nom de serveur spécifique auprès d'une autorité de certification approuvée et prise en charge par FileMaker, Inc. Créez une demande de signature de certificat (CSR) dans l'Admin Console en sélectionnant Serveur de base de données > Sécurité.
2. Contactez une autorité de certification pour acheter un certificat personnalisé, en lui envoyant la demande de signature de certificat.
3. Une fois que vous avez reçu votre certificat personnalisé de l'autorité de certification, dans l'Admin Console, sélectionnez Serveur de base de données > Sécurité pour importer le certificat personnalisé sur votre ordinateur serveur et activer les paramètres de cryptage SSL.
4. Redémarrez votre système pour autoriser l'application du certificat personnalisé.

Remarques :

• Ne partagez jamais le même certificat SSL entre l'ordinateur sur lequel se trouve FileMaker Server et un ordinateur exécutant des services réseau moins sécurisés, par exemple, un serveur de messagerie.
• N'utilisez jamais la même clé privée pour générer plusieurs certificats SSL qui sont utilisés sur différents ordinateurs, par exemple, l'un exécutant FileMaker Server et l'autre un serveur de messagerie. Une attaque réussie sur le serveur de messagerie pourrait compromettre tous les autres certificats qui utilisent la même clé privée.

Consultez la rubrique Sécurisation de vos données de l'Aide FileMaker Server.

Consultez l'article Liste des fournisseurs et des types de certificats SSL pris en charge par la plateforme FileMaker de la FileMaker Knowledge Base.

Définition des autres options SSL

Test du cryptage SSL

FileMaker Server nécessite une mise à jour minimale de Java Runtime Environment. Si cette version minimale n'est pas disponible lors de l'installation de FileMaker Server, le programme d'installation installe Java Runtime Environment.

Des mises à jour de sécurité de Java sont fréquemment publiées sur le site java.com. Les mises à jour de FileMaker Server peuvent inclure des mises à jour de Java, mais le site java.com fournit des mises à jour plus fréquemment.

La FileMaker Knowledge Base contient un article FileMaker Server et Java (en anglais), qui répertorie la version recommandée de Java que vous devez utiliser avec FileMaker Server. Avant d'appliquer une mise à jour de Java sur l'ordinateur où FileMaker Server est installé, consultez cet article.

Pour la Publication Web personnalisée avec PHP, vous devez installer PHP sur l'ordinateur où se trouve le module de serveur Web. Lorsque vous installez FileMaker Server, vous pouvez choisir d'installer ou non la version de PHP prise en charge par FileMaker ou d'utiliser votre propre moteur PHP.

Des mises à jour de sécurité de PHP sont fréquemment publiées sur le site php.net. Les mises à jour de FileMaker Server peuvent inclure des mises à jour de PHP, mais le site php.net fournit des mises à jour plus fréquemment. Pour appliquer des mises à jour de PHP plus fréquemment, installez et gérez votre propre moteur PHP.

Si vous gérez votre propre moteur PHP, vous devez installer manuellement l'API FileMaker pour PHP pour pouvoir utiliser la Publication Web personnalisée avec PHP. Consultez le Guide de la Publication Web personnalisée FileMaker Server.

FileMaker Server utilise une page de site Web par défaut pour le serveur de base de données FileMaker. Cette page ne révèle aucune information de sécurité sur votre serveur, mais indique que le serveur exécute FileMaker Server. Les clients peuvent consulter la page par défaut aux URL suivantes :

• http://[hôte]
• https://[hôte]

où [hôte] correspond à l'adresse IP ou au nom de domaine de l'ordinateur maître dans votre déploiement de FileMaker Server.

Pour remplacer cette page par défaut, remplacez le fichier « index.html » trouvé sur cet ordinateur maître aux emplacements suivants :

• Windows : [lecteur]:\Program Files\FileMaker\FileMaker Server\HTTPServer\conf\index.html
• OS X (pour HTTP) : /Library/FileMaker Server/HTTPServer/htdocs/index.html
• OS X (pour HTTPS) : /Library/FileMaker Server/HTTPServer/htdocs/httpsRoot/index.html

La plateforme FileMaker utilise des mots de passe pour l'authentification dans plusieurs zones. FileMaker Server nécessite la saisie d'un mot de passe pour le compte administrateur. FileMaker Pro vous permet de définir des mots de passe de compte et de cryptage. Utilisez des mots de passe forts. Lorsque vous créez un mot de passe, le logiciel FileMaker l'analyse et vous informe de son niveau de sécurité.

FileMaker Pro et FileMaker Server vous permettent d'utiliser l'authentification externe pour les mots de passe de compte. Avec l'authentification externe, vous gérez les mots de passe à l'aide d'Active Directory sous Windows ou d'Open Directory sous OS X au lieu de les stocker dans le logiciel FileMaker. Consultez la section Configuration de l'authentification externe de ce guide.

Une fois que vous avez configuré les fonctions de sécurité FileMaker, testez la sécurité de votre solution.

• Configurez un compte de test pour chaque jeu de privilèges. Activez ces comptes dans l'environnement de test mais désactivez-les dans votre système de production.
• Etablissez la liste des fonctionnalités à tester. Passez en revue l'ensemble de la liste pour chaque compte de test.
• Notez les résultats obtenus.
• Répétez les tests pour chaque fonctionnalité ajoutée.

Evaluez continuellement votre niveau de sécurité afin de vérifier la protection de vos données. Vérifiez que les utilisateurs exécutent les dernières versions plus sécurisées de leur système d'exploitation et du logiciel FileMaker.

Il est de votre responsabilité de connaître parfaitement les exigences de conformité en termes de sécurité et de mettre en place les mesures nécessaires.

Outre les directives énoncées dans le présent document, vous pouvez être amené à suivre des étapes supplémentaires, selon vos exigences réglementaires ou internes (COBIT, HIPAA, ISO, PCI, NIST, FIPS, etc.).

• Si vous devez crypter l'ensemble du trafic réseau, activez SSL dans FileMaker Server, puis configurez SSL pour les applications et les serveurs externes qui communiquent avec le serveur de base de données.
• Si vous avez des normes de mot de passe standard, utilisez un serveur d'authentification externe.
• Si vous avez besoin d'une piste d'audit, vous pouvez simplement en créer une avec FileMaker Pro en utilisant des tables et des scripts. Pour des exigences plus complexes, il est conseillé d'utiliser un plug-in d'audit disponible dans le commerce.
• Windows : comme FileMaker Server dépend de Windows pour la gestion de SSL, installez les dernières mises à jour de sécurité Windows.

Fournissez une documentation sur un modèle figurant dans votre solution ou une page Web pour expliquer aux utilisateurs Web comment interagir avec la solution en toute sécurité. Incluez des informations sur les comptes, les mots de passe, la connexion sécurisée à FileMaker Server, l'utilisation des fonctions et des scripts, et toute autre question de sécurité ou exigence relative à votre solution.

FileMaker utilise différentes méthodes de cryptage en fonction du stockage ou de la transmission des données. Ce tableau répertorie les types de cryptage utilisés par FileMaker.

Consultez l'article Ports utilisés par FileMaker Server de la FileMaker Knowledge Base.

© 2016 FileMaker, Inc. Tous droits réservés.

FileMaker, Inc.
5201 Patrick Henry Drive
Santa Clara, Californie 95054

FileMaker et FileMaker Go sont des marques commerciales de FileMaker, Inc. déposées aux Etats-Unis et dans d'autres pays. Le logo en forme de dossier et FileMaker WebDirect sont des marques commerciales de FileMaker, Inc. Toutes les autres marques sont la propriété de leurs détenteurs respectifs.

La documentation de FileMaker est protégée par la législation sur les droits d'auteur. Vous n'êtes pas autorisé à créer des copies supplémentaires ni à distribuer cette documentation sans l'accord écrit de FileMaker. Vous devez posséder une copie sous licence valide de FileMaker pour utiliser cette documentation.

Toutes les personnes, sociétés, adresses e-mail et URL citées dans les exemples sont fictives et toute ressemblance avec des personnes, des sociétés, des adresses e-mail ou des URL existantes ne serait que pure coïncidence. La liste des auteurs est disponible dans les documents Remerciements fournis avec ce logiciel. Les produits tiers et les adresses URL sont mentionnés à titre indicatif uniquement, et non pas à titre de recommandation. FileMaker, Inc. se dégage de toute responsabilité concernant les performances de ces produits.

Pour en savoir plus, visitez notre site Web à l'adresse suivante : http://www.filemaker.com/fr/.