Avec le déploiement progressif du nouveau DocuWare — notre prochaine génération de clients web et mobiles, présentée pour la première fois à la DocuWorld —, beaucoup d’entre vous testent déjà la solution et nous font des retours précieux. Un sujet récurrent mérite une clarification de notre part.
Le nouveau DocuWare propose une recherche multi-armoires optimisée prenant en compte les autorisations ainsi qu’Aura pour des analyses assistées par l’IA. Ces deux fonctions consultent les documents là où un utilisateur détient des droits d’accès — indépendamment des dialogues de recherche ou de résultats. C’est intentionnel et cela constitue la base de nos futures solutions. Mais cela met également en lumière un point important : là où l’accès était auparavant, en pratique, régulé via des dialogues plutôt que par les autorisations d’armoire, les utilisateurs peuvent désormais trouver des documents qui leur étaient auparavant inaccessibles – même si le modèle d’autorisation n’a pas changé.
Il ne s’agit pas d’un changement fondamental et le système d’autorisations n’a pas été modifié. Cependant, la distinction entre dialogues et autorisations n’a jamais été aussi cruciale. Dans notre nouvel article de blog, nous expliquons à quoi servent les autorisations des armoires et les dialogues, où sont les limites des dialogues et les points à vérifier dans les paramétrages de vos clients.
Un retour concret ?
Si vous utilisez des paramétrages basés sur les dialogues et souhaitez donner votre avis, participez à notre courte enquête.
Deux outils, deux usages — et pourquoi les confondre peut nuire à la sécurité documentaire
DocuWare offre deux moyens de contrôler la gestion documentaire des utilisateurs : les autorisations d’armoire et les dialogues. Ces deux éléments coexistent souvent, ce qui prête à confusion et fait croire qu’ils ont le même but. Ce n’est pas le cas — l’une des erreurs de configuration les plus courantes consiste à attendre d’un dialogue ce pour quoi il n’a jamais été conçu.
En bref: les autorisations sécurisent les documents. Les dialogues définissent la façon dont les utilisateurs les consultent et travaillent avec. Un dialogue n’a jamais été un niveau d’autorisation dans DocuWare — il est essentiel de veiller à cela dans chaque configuration.
Autorisations : la couche de sécurité
Les autorisations d’armoire déterminent à quoi un utilisateur a réellement accès — quels documents, quels champs d’index, et quelles opérations (recherche, affichage, modification, suppression, exportation, etc.). Elles sont appliquées au niveau des données par la plateforme elle-même, quel que soit le chemin d’accès à l’armoire.
C’est cette couche qui protège vos documents et données d’index. Sans autorisation, pas d’accès — que ce soit via le client, l’API ou une intégration.
En savoir plus sur les autorisations d’armoire →
Dialogues : des vues pour un travail plus rapide et ciblé
Les dialogues sont des vues. Ils déterminent comment les utilisateurs effectuent des recherches, affichent les résultats, classent et interagissent avec les documents : les bons champs, dans le bon ordre, préfiltrés pour un service, simplifiés à l’essentiel. Ils rendent le travail quotidien plus rapide et plus clair.
Mais un dialogue ne fait que filtrer ce qui est affiché. Il ne modifie pas les droits d’accès de l’utilisateur. Par exemple, si un dialogue de recherche impose un champ comme filtre, ou si une liste de résultats n’affiche pas un champ, les documents et les données associés restent accessibles — ils n’apparaissent simplement pas dans cette vue.
En savoir plus sur les dialogues d’armoire →
Pourquoi un dialogue ne sécurise pas les documents
Une configuration qui s’appuie sur le masquage ou le filtrage par dialogue pour restreindre l’accès à certains documents correspond à une « sécurité par l’obscurité » – mais cacher n’est pas sécuriser.
En effet, un dialogue filtre uniquement l’affichage, mais les données sous-jacentes restent accessibles à toute personne disposant de l’autorisation. Un document caché dans un dialogue reste accessible :
-
via la plateforme DocuWare / les API,
-
en inspectant le trafic du navigateur, ou
-
par tout autre client ou intégration sur la même armoire.
Si l’autorisation le permet, les données sont accessibles. Le dialogue ne fait que ne pas les afficher.
Comment bien s’y prendre ?
La méthode fiable est simple : contrôlez les accès avec des autorisations d’armoire — et non avec des dialogues.
-
Repérez les dialogues utilisés à des fins de sécurité. Si une configuration cache des documents via un champ absent ou un dialogue masqué, considérez-le comme une faille d’autorisation.
-
Transférez ces règles au niveau des autorisations. Utilisez les autorisations d’armoire pour définir à quoi chaque utilisateur ou rôle peut réellement accéder. Cette règle s’appliquera alors partout : client, API, intégrations.
-
Réservez les dialogues à ce pour quoi ils sont conçus : vues personnalisées, masques simplifiés, listes de résultats par service. Ne leur demandez pas d’assurer la sécurité.
-
Réalisez des vérifications proactives. Un rapide contrôle des profils d’autorisations d’armoire garantit que ce qui est caché l’est également en termes d’accès — pour une configuration plus propre et solide.
En résumé :
-
Les autorisations protègent les documents. Les dialogues organisent la façon dont les utilisateurs y accèdent.
-
Les dialogues filtrent ce qui est affiché, pas ce qui est autorisé.
-
S’appuyer sur des dialogues masqués, c’est faire de la « sécurité par l’obscurité » — les données restent accessibles par l’API, le navigateur ou d’autres clients.
-
D’où la nécessité de paramétrer correctement les autorisations d’armoire et de remplacer tout masquage par des dialogues par des contrôles d’accès effectifs.