Sécurité et connexion
L'authentification de téo repose sur une plateforme d'identité professionnelle qui implémente les standards de sécurité les plus exigeants.
Protocoles et standards
| Standard | Description |
|---|---|
| OAuth 2.0 | Protocole d'autorisation standard de l'industrie |
| OpenID Connect | Couche d'identité au-dessus d'OAuth 2.0 |
| SAML v2 | Support pour l'authentification fédérée d'entreprise |
Méthodes d'authentification (primaire)
L'authentification primaire répond à la question « qui êtes-vous ? » — elle ouvre la session. téo en propose plusieurs :
| Méthode | Description | Activée par défaut |
|---|---|---|
| Email + mot de passe | Authentification propre à téo | ✅ |
| Connexion via votre compte Google | Selon votre structure | |
| Microsoft | Connexion via votre compte Microsoft 365 | Selon votre structure |
| Clé d'accès (passkey) | Reconnaissance biométrique (Face ID, Touch ID, Windows Hello) ou code PIN de l'appareil. Remplace le mot de passe sur les appareils où elle est enregistrée. | ✅ |
La clé d'accès est une méthode d'authentification primaire : elle remplace le mot de passe au moment de la connexion. Ce n'est pas un second facteur. Si la validation en deux étapes est activée, elle s'applique en plus, après la validation de la clé d'accès.
Clé d'accès et reconnexion rapide
Après une connexion classique, téo propose à l'utilisateur d'enregistrer une clé d'accès (« Se connecter sans mot de passe la prochaine fois ? »). C'est entièrement au choix de l'utilisateur. La clé est liée à l'appareil : un utilisateur peut en enregistrer plusieurs (téléphone perso, ordinateur de bureau…). Le mot de passe reste la méthode de secours universelle.
Côté technique, seuls les capteurs intégrés à l'appareil (Face ID, Touch ID, Windows Hello, PIN) sont acceptés — les clés USB externes ne sont pas exigées. La biométrie / le PIN est demandé quand l'appareil le propose, sans bloquer si l'appareil n'en dispose pas.
Validation en deux étapes (MFA)
La validation en deux étapes répond à la question « est-ce bien vous ? » — elle se déclenche après l'authentification primaire (mot de passe ou clé d'accès). Les deux méthodes sont activées par défaut sur toutes les structures : les utilisateurs n'ont qu'à choisir laquelle (ou lesquelles) activer depuis leur espace sécurité.
Méthodes disponibles
| Méthode | Description | Activée par défaut |
|---|---|---|
| Application d'authentification | Code temporaire à 6 chiffres généré par une app sur le téléphone (Google Authenticator, Microsoft Authenticator, Authy, 1Password…). | ✅ |
| Code à 6 chiffres envoyé à l'adresse email du compte. Méthode universelle de secours. | ✅ |
Par défaut, la validation en deux étapes est disponible pour tous les utilisateurs mais optionnelle : chaque utilisateur choisit librement de l'activer.
Sur demande à l'assistance téo, elle peut être rendue obligatoire pour une structure entière. Dans ce cas, tout utilisateur sans 2FA configurée est forcé d'en mettre une en place dès sa prochaine connexion, via un écran intermédiaire « Configurez la validation en deux étapes » avant l'accès à téo. Voir Sécurité des comptes (côté admin).
Fonctionnement
- L'utilisateur s'identifie via mot de passe ou clé d'accès
- Un second facteur (code 6 chiffres) est demandé — sauf si l'appareil est marqué comme « de confiance » depuis moins de 30 jours
- L'utilisateur fournit le code reçu (email) ou généré (app)
- L'accès est accordé après vérification
L'application d'authentification offre le meilleur compromis sécurité / autonomie (fonctionne sans réseau, résiste à la compromission de la boîte mail). Activer aussi l'email comme méthode de secours évite les sollicitations admin en cas de perte de téléphone.
Protection du mot de passe
Les mots de passe ne sont jamais stockés en clair. Notre plateforme d'authentification utilise :
| Technologie | Rôle |
|---|---|
| bcrypt | Algorithme de hachage adaptatif avec salage automatique |
| Facteur de coût configurable | Renforcement contre les attaques par force brute |
Ce traitement est irréversible : même en cas de compromission de la base de données, les mots de passe restent protégés.
Politique de mot de passe
| Critère | Exigence |
|---|---|
| Longueur minimale | 8 caractères |
| Complexité | Au moins une majuscule, une minuscule et un chiffre |
| Historique | Les anciens mots de passe ne peuvent pas être réutilisés |
Protection contre les attaques
Attaques par force brute
téo intègre une protection contre les attaques par force brute (tentatives répétées de mots de passe) :
- Ralentissement progressif après plusieurs échecs
- Blocage temporaire du compte en cas de tentatives suspectes
- Alertes automatiques
Une attaque par force brute consiste à tester automatiquement un grand nombre de mots de passe jusqu'à trouver le bon. La protection de téo rend cette approche inefficace.
Mots de passe compromis
téo vérifie si votre mot de passe a été exposé lors de fuites de données connues (via des bases publiques comme Have I Been Pwned).
Si c'est le cas :
- Vous êtes informé lors de votre connexion
- téo vous demande de modifier votre mot de passe
- Un lien de réinitialisation vous est proposé
Gestion des sessions
| Paramètre | Valeur |
|---|---|
| Durée de session | Configurable par l'administrateur |
| Inactivité | Déconnexion automatique après période d'inactivité |
| Sessions multiples | Possibilité de limiter les connexions simultanées |
- Utilisez un mot de passe unique pour téo
- Activez la validation en deux étapes (au moins une méthode, idéalement deux pour avoir un secours)
- Privilégiez un gestionnaire de mots de passe (1Password, Bitwarden, Apple Keychain, Google Password Manager…)
- Activez une clé d'accès sur votre appareil personnel pour des connexions ultra-rapides
→ Voir Gérer la sécurité de mon compte pour la procédure pas à pas.
Gestion des accès et des permissions
Après l'authentification, téo gère l'accès de chaque utilisateur aux différentes fonctionnalités et données de l'application. Ce système de permissions garantit que chaque membre de votre équipe dispose des droits nécessaires à son rôle, tout en protégeant les informations sensibles.
Les accès sont définis par :
- Les équipes : Chaque équipe est associée à un ensemble de droits prédéfinis (par exemple, accès au module de facturation, possibilité de modifier des dossiers, etc.).
- Les droits individuels : Des permissions spécifiques peuvent être attribuées à un utilisateur en dehors de son équipe.
- Les rôles spéciaux : Certains rôles (comme les administrateurs ou les utilisateurs en mode consultation seule) bénéficient de droits étendus ou restreints.
Ces permissions déterminent quels modules, fonctionnalités et types de données un utilisateur peut consulter, créer, modifier ou supprimer.
Pour plus de détails sur la configuration des droits d'accès, consultez les sections :
Voir aussi
- Gérer la sécurité de mon compte - Guide pas à pas pour les utilisateurs
- Sécurité et hébergement - Infrastructure technique
- RGPD et données personnelles - Protection des données personnelles
- Règles métiers - Les règles métiers liées aux droits et permissions
Cet article vous a été utile ?