Administration
Utilisateurs, rôles, permissions, clés API, sessions, audit et sécurité — gouvernance du CRM.
Politique de mots de passe & comptes
- Longueur minimale
- 12 caractères
- Complexité requise
- Majuscules + minuscules + chiffres + symbole
- Rotation
- 180 jours
- Historique anti-réutilisation
- 5 derniers mots de passe
- Verrouillage compte
- 5 échecs / 10 min
- Blocage IP
- 20 échecs / heure (whitelist exemptée)
- Durée session inactive
- 60 min
- Cookies
- HttpOnly · Secure · SameSite=Lax
Configurable par tenant via EspoCRM PasswordPolicy. Toute modification est journalisée.
Transport, en-têtes & secrets
- TLSLet's Encrypt — auto-renew (certbot)
- HSTSmax-age=63072000; includeSubDomains; preload
- CSPDefault-src 'self' · frame-src modules externes autorisés
- Referrer policystrict-origin
- Secrets repoAucun (.env serveur uniquement)
Alertes sécurité
- Tous les administrateurs ont la 2FA active.
- 3 utilisateurs métier sans 2FA — relance recommandée.
- Aucune clé API en clair dans la base — toutes hachées (SALT).
- 1 clé API expire dans 14 jours — Garage Drummond / Sandbox.
- Aucune tentative de bruteforce active sur les comptes admin (24 h).