Onglet Sécurité
À propos de l’onglet Sécurité
Toutes les données et marques Qualtrics sont protégées avec le plus grand soin. Cependant, vous pouvez parfois avoir besoin de paramètres de sécurité supplémentaires, tels que la possibilité de suivre les utilisateurs connectés, d’ajouter des exigences supplémentaires aux mots de passe, de modifier le nombre d’échecs de connexion entraînant un verrouillage de compte et bien plus encore.
Si vous avez acheté le package de sécurité Enterprise, les administrateurs de la marque peuvent accéder à tous ces paramètres et bien plus encore en accédant à la page Admin et en sélectionnant Sécurité.
Paramètres de sécurité
Les paramètres de sécurité sont la première section sous l’onglet Sécurité.
Autoriser des connexions par procuration
Les connexions
par proxy permettent aux administrateurs de l’organisation ou à des comptes privilégiés supérieurs de se connecter à différents comptes utilisateur de cette organisation via l’onglet Utilisateurs. En désélectionnant Autoriser les connexions par proxy, vous le faites pour qu’aucun administrateur de la marque ou aucun représentant d’assistance ne puisse directement se connecter au compte d’un utilisateur.
Activer l’identification à deux facteurs
Lorsque vous sélectionnez Activer l’authentification à deux facteurs, les utilisateurs doivent fournir un code de vérification après avoir indiqué leur nom d’utilisateur et leur mot de passe pour se connecter. Les utilisateurs peuvent définir une méthode préférée de réception de ce code, par exemple, par e-mail ou via une application d’authentification sur leur téléphone.
Lors de la prochaine connexion, les utilisateurs passeront par le processus d’inscription dans lequel ils configureront leur méthode de vérification préférée.
Les utilisateurs recevront également un e-mail avec des codes de sauvegarde, qui serviront d’option de récupération s’ils perdent l’accès à leur méthode de vérification. Si un utilisateur doit réinitialiser ses codes de sauvegarde ou reconfigurer sa configuration d’authentification à deux facteurs, il peut le faire à partir de ses Paramètres utilisateur.
Une fois la configuration terminée, les futures connexions de cet utilisateur utiliseront le processus d’authentification à deux facteurs.
Les utilisateurs peuvent sélectionner personnellement un certain nombre d’applications d’authentification, y compris Google Authenticator, Duo Mobile et Authy.
Exigences minimales de mot de passe
Vous pouvez personnaliser les exigences des mots de passe créés dans votre organisation. Lorsque vous laissez un champ vide, cela signifie que cette fonctionnalité n’est pas requise dans le mot de passe. L’exemple ci-dessus illustre les exigences de mot de passe par défaut.
Sessions utilisateur
- Minutes d’inactivité jusqu’à la déconnexion automatique : déterminez la durée pendant laquelle une personne peut accéder à son compte, ne pas naviguer dans les pages ou effectuer des modifications, avant qu’elle ne soit déconnectée. Cela peut être utile pour empêcher les passants d’accéder aux comptes laissés ouverts sur les écrans inactifs.
Astuce Qualtrics : le délai d’expiration de la session par défaut est de 60 minutes sans activité de l’utilisateur.
- Nombre maximal de sessions simultanées par utilisateur : déterminez le nombre de personnes pouvant être actives dans un compte à la fois. Si ce nombre est dépassé, l’utilisateur le plus récent tentant de se connecter ne sera pas autorisé à accéder au compte.
Astuce Qualtrics : le nombre maximal de sessions simultanées par défaut pour toutes les marques est de 500.
Blocage de compte
Lorsqu’un utilisateur envoie de façon répétée son nom d’utilisateur ou son mot de passe à un compte incorrect, le système le verrouille. Il s’agit d’une fonctionnalité disponible pour toutes les marques Qualtrics, qui garantit que les étrangers ne peuvent pas accéder à des comptes qui ne leur appartiennent pas.
Cependant, avec l’onglet Sécurité, vous pouvez indiquer plus de détails sur le fonctionnement de ce système de verrouillage de compte.
- Sélectionnez le nombre d’échecs de tentatives de connexion.
- Sélectionnez la période au cours de laquelle ces tentatives de connexion ont lieu.
- Sélectionnez le nombre de minutes pendant lesquelles le compte sera verrouillé avant de pouvoir se reconnecter.
Désactiver les comptes inactifs
Parfois, les comptes sont assis dans une marque pendant longtemps sans aucune utilisation. Il peut être fastidieux de suivre ces comptes individuellement et vous ne souhaitez pas nécessairement définir une date d’expiration du compte.
Vous pouvez choisir de désactiver les comptes après un certain nombre de jours prédéterminés. Notez que la désactivation d’un compte ne le supprimera pas. En tant qu’administrateur de l’organisation, vous pouvez toujours réactiver le compte.
Sessions actives
La section Sessions actives vous montrera tous les utilisateurs actuellement connectés à votre marque, ainsi que des informations d’identification.
Si vous constatez une activité de compte suspecte ou si vous souhaitez forcer un utilisateur à se déconnecter pour une raison quelconque, sélectionnez le ou les utilisateurs et cliquez sur Terminer la session. Cliquez sur Terminer toutes les sessions pour mettre fin à toutes les sessions actives.
Pour ajuster le format du tableau, cliquez sur la flèche vers le bas en regard d’une colonne et sélectionnez une action.
Les actions disponibles sont les suivantes :
- Épingler la colonne : épinglez la colonne afin qu’elle ne puisse pas être déplacée. Cela rendra également la colonne visible lorsque vous faites défiler horizontalement.
- Détacher une colonne : désépingler une colonne épinglée.
- Déplacer la colonne vers la gauche : déplacez la colonne 1 position vers la gauche.
- Déplacer la colonne vers la droite : déplacez la position de la colonne 1 vers la droite.
Vous pouvez également passer la souris entre les colonnes et faire glisser le séparateur de colonnes pour modifier la largeur d’une colonne.
  ;
Journaux d’activité
Dans la section Journaux des activités, vous pouvez afficher différentes actions qui ont eu lieu au sein de la marque.
Pour chaque entrée, vous pourrez voir un type d’événement, une date, une activité, le nom d’utilisateur du compte auquel il est arrivé, l’adresse IP où cette activité a eu lieu et un ID de session.
Il existe deux types d’événements différents, Information et Sécurité :
- Les informations concernent un événement standard, par exemple un utilisateur qui s’est connecté avec succès ou qui a réinitialisé son mot de passe.
- La sécurité concerne un événement qui pourrait-on être un problème de sécurité, tel qu’un échec de connexion ou une connexion à un moment anormal.
Vous pouvez filtrer vos événements par intervalle de temps, type d’activité ou en saisissant un nom d’utilisateur particulier qui vous intéresse.
Type d’activité
Il existe plusieurs types d’activité que vous pouvez filtrer.
- Connexions : affichez les connexions régulières, proxy, SSO et échouées. Pour déterminer si la connexion était un proxy ou non, cliquez sur un utilisateur et affichez les informations à droite. La connexion par proxy aura la valeur Vrai. Pour plus d’informations sur la connexion proxy, cliquez sur Détails du proxy.
Attention : si vous remarquez un événement de sécurité dans vos journaux d’activité, voici quelques étapes à suivre :
- Connexion anormale marquée comme événement de sécurité : vérifiez les détails de l’événement de connexion. Si la connexion au proxy est fausse, vérifiez directement auprès de l’utilisateur s’il connaît bien l’événement. Si l’utilisateur n’est pas familiarisé avec l’événement, vous pouvez demander à l’utilisateur de réinitialiser ses identifiants sur son compte Qualtrics.
- Anomalous Login Where Proxy Login is True (Connexion au proxy = Vrai) : si vous voyez que cette connexion proxy a une valeur vraie, vérifiez auprès du propriétaire du compte s’il reconnaît l’identifiant de connexion. Si l’activité de connexion ou les détails de l’agent imbriqués dans les détails du proxy ne sont pas reconnus, veuillez contacter le support de Qualtrics pour que nous puissions examiner cela plus en détail.
- Plusieurs connexions anormales au même compte : si vous voyez plusieurs connexions anormales à un compte particulier, une raison possible pour cela peut être connectée aux paramètres SSO de votre organisation. Lorsqu’une session expire, la méthode d’authentification SAML SSO reconnecte automatiquement l’utilisateur et est enregistrée en tant que nouvel événement de connexion.
- Modifications de mot de passe : chaque fois qu’un utilisateur modifie son propre mot de passe sur la page Paramètres du compte.
- Réinitialisation du mot de passe : chaque fois qu’un mot de passe est réinitialisé. Cela inclut les utilisateurs qui sélectionnent Mot de passe oublié ? sur la page de connexion, les administrateurs de l’organisation envoient des réinitialisations de mot de passe, ou l’utilisateur doit modifier son mot de passe car le mot de passe a expiré ou vous définissez de nouvelles exigences minimales.
- Créations de session : chaque fois qu’un compte est connecté, ce qui crée une nouvelle session. Ceci est différent des connexions car il ne compte pas les échecs ou ne vous permet pas de rechercher des remplaçants. Si vous cliquez sur un utilisateur, il s’affichera à la fin de la session.
- Interruption de session : chaque fois qu’une session se termine, soit parce qu’un utilisateur s’est déconnecté, soit parce qu’un administrateur l’a forcé à le faire. Pour voir lequel, cliquez sur la rupture du contrat de travail et consultez la zone Motif.
- Utilisateurs : chaque fois qu’un utilisateur est créé ou supprimé. Le type d’événement sera supprimé pour les utilisateurs supprimés. Cliquez sur un utilisateur pour obtenir plus d’informations, telles que son nom d’utilisateur, avant qu’il ne soit résilié.
- Organisations : chaque fois que des modifications sont apportées à l’ensemble de la marque. Cela inclut les modifications du type de marque, de l’URL de base, de la date d’expiration et de la description de la marque. Chaque modification est indiquée par la valeur d’origine et la nouvelle valeur.