Skip to Content
Paramètres & SécuritéBonnes pratiques

Bonnes pratiques de sécurité

Ce guide regroupe les recommandations de sécurité pour protéger votre organisation et vos données sur Hasfy. Suivre ces bonnes pratiques réduit significativement les risques d’accès non autorisé et de compromission.

Mots de passe

Règles appliquées par Hasfy

Hasfy impose une longueur de mot de passe comprise entre 8 et 128 caractères. Aucune règle de complexité (majuscule, chiffre, caractère spécial) n’est imposée par l’application.

Nos recommandations

PratiqueRecommandation
Longueur12 caractères ou plus
ComplexitéMélangez lettres, chiffres et caractères spéciaux
UnicitéN’utilisez jamais le même mot de passe que sur d’autres services
GestionnaireUtilisez un gestionnaire de mots de passe (1Password, Bitwarden, etc.) pour générer et stocker vos mots de passe
ChangementModifiez votre mot de passe immédiatement en cas de suspicion de compromission
PartageNe partagez jamais votre mot de passe, même avec un collègue ou l’équipe Hasfy

Phrases de passe

Une technique efficace consiste à utiliser une phrase de passe : une suite de mots aléatoires facile à retenir mais difficile à deviner. Par exemple, cheval-batterie-correct-agrafeuse est plus long, plus mémorable et plus sécurisé que P@ssw0rd123!.

Activer la 2FA sur tous les comptes

L’activation de la 2FA est la mesure de sécurité la plus impactante que vous puissiez prendre. Elle est disponible pour tous les rôles (Owner, Admin, Technicien, Employé). Chaque utilisateur l’active individuellement depuis Paramètres > Sécurité. Consultez le guide Authentification à deux facteurs.

Recommandation : activez la 2FA sur tous les comptes de votre organisation, en priorité sur les comptes Owner, Admin et Technicien, qui ont accès aux données et aux équipements de votre parc.

Sessions

Hasfy applique automatiquement les règles suivantes à vos sessions, sans configuration possible :

  • Expiration par inactivité : une session expire après 24 heures sans activité
  • Durée de vie maximale : une session expire au plus tard 7 jours après la connexion, même si elle reste active entre-temps
  • Déconnexion automatique des autres sessions : à chaque connexion réussie, Hasfy déconnecte automatiquement toutes vos autres sessions actives sur vos autres appareils

Recommandation : sur un poste partagé, déconnectez-vous systématiquement après usage : ne comptez pas uniquement sur l’expiration automatique.

Réinitialisation de mot de passe

Le lien reçu via « Mot de passe oublié ? » a une durée de validité limitée. S’il a expiré, demandez-en simplement un nouveau.

Protection contre les tentatives de connexion répétées

Notre fournisseur d’authentification (Supabase Auth) inclut des protections de base contre les attaques par force brute sur la page de connexion.

Sécurité du navigateur

Recommandations

  • Utilisez un navigateur à jour : Chrome, Firefox, Safari ou Edge dans sa dernière version
  • HTTPS : vérifiez que l’URL affiche bien https://app.hasfy.fr avec le cadenas
  • Extensions : limitez les extensions de navigateur, certaines peuvent intercepter vos données
  • Mode privé : utilisez le mode navigation privée sur les postes partagés
  • Autocomplétion : si vous n’utilisez pas de gestionnaire de mots de passe, désactivez l’enregistrement automatique des mots de passe dans le navigateur

Détection de phishing

Hasfy ne vous demandera jamais :

  • Votre mot de passe par email ou téléphone
  • De cliquer sur un lien pour « vérifier » votre compte (sauf lors d’actions que vous venez d’initier)
  • D’installer un logiciel en dehors du processus officiel d’installation de l’agent

Si vous recevez un email suspect prétendant provenir de Hasfy, faites-le-nous suivre via la page Nous contacter.

Clés API

Si vous utilisez l’API Hasfy (voir Documentation API), appliquez ces principes :

PratiqueDétail
Principe du moindre privilègeCréez des clés avec uniquement les scopes nécessaires
ExpirationÀ la création, choisissez une durée de validité : jamais, 30, 90, 180 ou 365 jours
Rotation régulièrePour forcer une rotation périodique, choisissez une expiration de 90 jours à la création plutôt que « jamais »
SéparationUtilisez une clé différente pour chaque application ou intégration
Stockage sécuriséNe stockez jamais une clé en dur dans le code source : utilisez des variables d’environnement ou un coffre-fort de secrets
Révocation immédiateRévoquez une clé dès qu’elle n’est plus nécessaire ou en cas de doute

Surveillance

Dans Paramètres > API, chaque clé affiche directement sa dernière utilisation (date et adresse IP) et son nombre d’appels, sans qu’un onglet séparé soit nécessaire. La création et la révocation de clés sont enregistrées dans le journal d’audit (Paramètres > Audit).

Contrôle d’accès et départ d’un collaborateur

Principe du moindre privilège

Attribuez à chaque utilisateur le rôle minimum nécessaire pour accomplir ses tâches. Voir le détail des permissions par rôle sur la page Utilisateurs & groupes :

  • Un utilisateur qui crée uniquement des tickets → Employé
  • Un technicien qui gère équipements et tickets → Technicien
  • Un responsable IT qui configure l’organisation → Admin
  • Le responsable de la facturation et de l’organisation → Owner

Revue régulière des accès

Effectuez une revue des accès régulièrement depuis la page Utilisateurs & groupes :

  1. Vérifiez que les rôles correspondent toujours aux fonctions actuelles de chaque membre
  2. Désactivez les comptes des personnes ayant quitté l’organisation
  3. Ajustez les rôles si les responsabilités ont changé

Checklist de départ d’un collaborateur

Lorsqu’un collaborateur quitte votre organisation, depuis la page Utilisateurs & groupes (Admin/Owner) :

  • Désactiver son compte, ou le retirer de l’organisation
  • Si ses responsabilités sont reprises par quelqu’un d’autre, ajuster le rôle de cette personne
  • Révoquer ses clés API personnelles (un Admin/Owner peut révoquer les clés de n’importe quel membre)
  • Vérifier le journal d’audit (Paramètres > Audit) pour ses dernières actions

Sécurité de l’agent et de l’enrôlement des équipements

L’agent Hasfy installé sur vos machines communique en HTTPS avec les serveurs Hasfy.

Jetons d’installation

Pour installer l’agent sur un équipement, vous générez un jeton d’installation depuis la page Équipements > Installer :

  • Usage unique : le jeton est invalidé dès sa première utilisation
  • Durée de vie limitée : 30 minutes pour une installation interactive depuis l’application, 7 jours pour un envoi par email ou un déploiement en masse (MDM)
  • Lié à votre organisation : un jeton ne peut servir que pour votre organisation
  • Révocation manuelle : vous pouvez révoquer un jeton à tout moment depuis la même page

Chaque génération, utilisation et révocation de jeton est enregistrée dans le journal d’audit (Paramètres > Audit).

Écran de génération d'un jeton d'installation

Signaler un incident de sécurité

Si vous suspectez un incident de sécurité :

  1. Changez immédiatement votre mot de passe
  2. Si la 2FA n’est pas encore activée, activez-la (voir Authentification à deux facteurs) : votre prochaine connexion déconnectera automatiquement vos autres sessions
  3. Contactez notre équipe via la page Nous contacter en décrivant l’incident
  4. Si applicable, prévenez l’Owner de votre organisation
Sauvegarde des donnéesVue d'ensemble