Authentification et contrôle d'accès
Guide complet du système d'authentification de Cothon incluant l'authentification à deux facteurs (2FA), l'authentification unique (SSO), la gestion des sessions, les politiques de mots de passe et la configuration de Supabase Auth
Authentification et contrôle d'accès
Le système d'authentification de Cothon est construit sur Supabase Auth, offrant une sécurité de niveau entreprise avec plusieurs méthodes d'authentification, une gestion complète des sessions et des contrôles d'accès granulaires. Que vous soyez un professionnel de l'approvisionnement solo ou que vous gériez une équipe de coordonnateurs de soumissions, notre cadre d'authentification garantit que seuls les utilisateurs autorisés peuvent accéder à vos données de propositions sensibles et à votre intelligence concurrentielle.
Ce guide couvre tout, depuis l'authentification de base par mot de passe jusqu'à l'intégration SSO d'entreprise avancée, la configuration de l'authentification à deux facteurs et le contrôle d'accès basé sur les rôles pour les organisations.
Méthodes d'authentification
Cothon prend en charge plusieurs méthodes d'authentification pour s'adapter aux différentes exigences de sécurité et politiques organisationnelles.
Authentification par courriel et mot de passe
La méthode d'authentification par défaut utilise des adresses courriel et des mots de passe robustes sécurisés par hachage conforme aux normes de l'industrie.
Avertissement
Sécurité des mots de passe : Cothon utilise le hachage Argon2id pour le stockage des mots de passe, un algorithme à mémoire intensive qui résiste aux attaques par force brute. Les mots de passe ne sont jamais stockés en texte clair ou avec un chiffrement réversible. Même les administrateurs de Cothon ne peuvent pas récupérer votre mot de passe—seulement le réinitialiser.
Si vous soupçonnez que votre mot de passe a été compromis, changez-le immédiatement dans Paramètres → Sécurité → Changer le mot de passe.
Authentification par lien magique
Les liens magiques offrent une authentification sans mot de passe par courriel, idéale pour un accès rapide ou pour les utilisateurs qui préfèrent ne pas gérer de mots de passe.
Considérations de sécurité :
- Les liens magiques sont aussi sécurisés que votre compte courriel. Activez la 2FA sur votre fournisseur de courriel.
- Les liens expirent après 10 minutes ou la première utilisation, selon ce qui arrive en premier.
- Seul le lien magique le plus récent est valide ; demander un nouveau lien invalide les liens précédents.
- Si quelqu'un accède à votre courriel, il peut accéder à votre compte Cothon via les liens magiques. Utilisez l'authentification par mot de passe + 2FA pour une sécurité maximale.
Authentification sociale (OAuth)
Cothon prend en charge l'authentification OAuth avec Google et Microsoft pour une création de compte et une connexion plus rapides.
Note
Sécurité OAuth : Lorsque vous vous authentifiez avec Google ou Microsoft, Cothon reçoit uniquement votre adresse courriel et vos informations de profil de base. Nous ne recevons jamais votre mot de passe ni l'accès à vos courriels, fichiers ou autres données de compte. Les jetons OAuth sont stockés chiffrés et sont uniquement utilisés pour vérifier votre identité lors de la connexion.
Authentification unique d'entreprise (SSO)
Les plans entreprise prennent en charge l'intégration SSO SAML 2.0 avec des fournisseurs d'identité d'entreprise comme Okta, Azure AD, OneLogin et Google Workspace.
Succès
Avantages du SSO : L'authentification unique offre un contrôle d'accès centralisé, une intégration/désintégration simplifiée et une sécurité améliorée grâce aux politiques d'authentification d'entreprise appliquées. Lorsqu'un employé quitte votre organisation et est retiré de votre fournisseur d'identité, il perd immédiatement l'accès à Cothon—aucune suppression manuelle de compte requise.
Authentification par jeton API
Pour l'accès programmatique à l'API de Cothon, utilisez des jetons API au lieu des identifiants utilisateur.
Avertissement
Sécurité des jetons : Les jetons API fournissent le même accès que votre compte utilisateur. Traitez-les comme des mots de passe :
- Ne validez jamais les jetons dans le contrôle de version (utilisez des variables d'environnement)
- Ne partagez pas les jetons par courriel ou messagerie
- Révoquez les jetons immédiatement s'ils sont compromis
- Utilisez des jetons en lecture seule dans la mesure du possible
- Activez l'expiration des jetons pour tous les jetons non-production
Si un jeton est compromis, révoquez-le immédiatement dans Paramètres → Sécurité → Jetons API.
Authentification à deux facteurs (2FA)
L'authentification à deux facteurs ajoute une deuxième couche de sécurité critique, nécessitant à la fois votre mot de passe et un code temporel pour vous connecter.
Applications d'authentification TOTP
L'authentification par mot de passe à usage unique basé sur le temps (TOTP) utilise des applications comme Authy, Google Authenticator ou 1Password.
Conseil
Sauvegarder votre 2FA : Si vous perdez l'accès à votre application d'authentification (téléphone perdu, réinitialisation d'appareil, etc.), vous pouvez utiliser les codes de récupération pour retrouver l'accès. Cependant, nous recommandons fortement :
- Utiliser une application d'authentification qui prend en charge la sauvegarde cloud (comme Authy)
- Configurer la 2FA sur plusieurs appareils (ajouter Cothon à la fois sur votre téléphone et votre ordinateur)
- Imprimer les codes de récupération et les stocker dans un endroit sûr
Sans codes de récupération ou accès à l'authentificateur, la récupération du compte nécessite une vérification d'identité avec notre équipe de support et peut prendre 3 à 5 jours ouvrables.
2FA par SMS (Bêta)
L'authentification par SMS envoie un code de vérification à votre téléphone par message texte. Bien que plus pratique que les applications d'authentification, le SMS est moins sécurisé en raison des attaques par échange de carte SIM.
Avertissement
Limitations de sécurité du SMS : La 2FA par SMS est vulnérable aux attaques par échange de carte SIM, où un attaquant convainc votre opérateur téléphonique de transférer votre numéro vers une nouvelle carte SIM. Pour une sécurité maximale, nous recommandons fortement d'utiliser les applications d'authentification TOTP au lieu du SMS.
La 2FA par SMS est actuellement en version bêta et peut avoir des délais de livraison selon votre opérateur et votre emplacement.
Clés de sécurité matérielles (Bientôt disponible)
Cothon prendra bientôt en charge les clés de sécurité matérielles FIDO2/WebAuthn (YubiKey, Google Titan) pour une authentification résistante au hameçonnage. Contactez enterprise@cothon.ca pour rejoindre le programme d'accès anticipé.
Gestion de la 2FA
Une fois la 2FA activée, vous pouvez la gérer depuis Paramètres → Sécurité → Authentification à deux facteurs.
Voir les codes de récupération Cliquez sur "Voir les codes de récupération" pour afficher vos codes de récupération sauvegardés. Cela nécessite d'entrer votre mot de passe pour des raisons de sécurité.
Si vous avez utilisé des codes de récupération, générez-en de nouveaux en cliquant sur "Générer de nouveaux codes de récupération". Cela invalide tous les codes de récupération précédents.
Désactiver la 2FA Pour désactiver l'authentification à deux facteurs (non recommandé), cliquez sur "Désactiver la 2FA". Cela nécessite :
- Entrer votre mot de passe
- Entrer un code 2FA actuel (ou un code de récupération)
Vous recevrez une confirmation par courriel que la 2FA a été désactivée.
Changer de méthode 2FA Pour passer de TOTP à SMS (ou vice versa) :
- Désactivez la méthode 2FA actuelle
- Activez la nouvelle méthode 2FA en suivant les étapes de configuration
Perdu l'accès à la 2FA ? Si vous avez perdu l'accès à votre application d'authentification et n'avez pas de codes de récupération :
- Contactez support@cothon.ca depuis votre adresse courriel enregistrée
- Fournissez une preuve d'identité (pièce d'identité gouvernementale correspondant au nom de votre compte)
- Notre équipe de support vérifiera votre identité et désactivera la 2FA (3 à 5 jours ouvrables)
- Vous recevrez un lien de réinitialisation de mot de passe sécurisé par courriel
- Configurez à nouveau la 2FA immédiatement après avoir retrouvé l'accès
Attention
Prévention du verrouillage de compte : Avant d'activer la 2FA, assurez-vous que vous :
- Avez sauvegardé vos codes de récupération dans un endroit sécurisé
- Vous êtes connecté avec succès avec un code 2FA au moins une fois
- Avez accès à votre adresse courriel enregistrée (pour la récupération de compte)
Perdre à la fois votre authentificateur et vos codes de récupération peut entraîner un verrouillage permanent du compte si vous perdez également l'accès à votre courriel.
Gestion des sessions
Cothon utilise des JSON Web Tokens (JWT) pour la gestion des sessions, équilibrant sécurité et commodité utilisateur.
Comment fonctionnent les sessions
Lorsque vous vous connectez, Cothon émet deux jetons :
-
Jeton d'accès : Jeton de courte durée (15 minutes) inclus dans toutes les requêtes API. Contient votre ID utilisateur, adhésions organisationnelles et permissions.
-
Jeton de rafraîchissement : Jeton de longue durée (30 jours) utilisé pour obtenir de nouveaux jetons d'accès. Stocké de manière sécurisée dans des cookies httpOnly, inaccessibles à JavaScript.
Cette architecture signifie :
- Vous restez connecté jusqu'à 30 jours sans ressaisir les identifiants
- Les jetons d'accès expirent rapidement, limitant les dommages s'ils sont interceptés
- Les jetons de rafraîchissement sont sécurisés dans des cookies httpOnly, empêchant les attaques XSS
Sessions actives
Visualisez et gérez toutes les sessions actives dans Paramètres → Sécurité → Sessions actives.
| Colonne | Description | Exemple |
|---|---|---|
| Appareil | Navigateur et système d'exploitation | Chrome 122 sur macOS |
| Emplacement | Emplacement géographique approximatif (basé sur IP) | Vancouver, BC, Canada |
| Adresse IP | Adresse IP publique | 192.0.2.45 |
| Dernière activité | Requête API la plus récente | Il y a 5 minutes |
| Créée | Quand cette session a été établie | 28 mars 2026 à 9h15 |
| Actuelle | Si c'est votre session actuelle | ✓ (coche) |
Note
Journalisation des adresses IP : Cothon enregistre les adresses IP pour la surveillance de sécurité et la prévention de fraude. Nous utilisons les adresses IP pour :
- Détecter les modèles de connexion inhabituels (par ex., connexions depuis différents pays en quelques minutes)
- Appliquer la limitation de débit et prévenir les abus
- Enquêter sur les incidents de sécurité
Les adresses IP sont considérées comme des renseignements personnels sous la LPRPDE. Nous conservons les journaux de session (incluant les adresses IP) pendant 90 jours, puis les supprimons définitivement. Voir Confidentialité des données pour les pratiques complètes de traitement des données.
Délai d'expiration et d'inactivité des sessions
Les sessions sont soumises à plusieurs politiques de délai d'expiration :
| Type de délai | Durée | Comportement |
|---|---|---|
| Expiration du jeton d'accès | 15 minutes | Automatiquement rafraîchi en arrière-plan ; l'utilisateur ne subit aucune interruption |
| Expiration du jeton de rafraîchissement | 30 jours | Nécessite une reconnexion ; l'utilisateur est redirigé vers l'écran de connexion |
| Délai absolu | 90 jours | Toutes les sessions expirent indépendamment de l'activité ; nécessite une reconnexion |
| Délai d'inactivité | 30 jours | Les sessions sans activité sont automatiquement révoquées |
Se souvenir de moi : Cocher "Se souvenir de moi" lors de la connexion prolonge le jeton de rafraîchissement à 90 jours au lieu de 30 jours.
Politiques d'entreprise : Les plans entreprise peuvent configurer des politiques de délai de session personnalisées :
- Durées de vie des jetons d'accès plus courtes (5 à 60 minutes)
- Délais d'inactivité (15 minutes à 24 heures)
- Durée maximale absolue de session (1 à 90 jours)
- Forcer la réauthentification pour les opérations sensibles (même avec une session valide)
Contactez enterprise@cothon.ca pour configurer des politiques de session personnalisées.
Sessions simultanées
Cothon permet des sessions simultanées illimitées par défaut, vous pouvez donc être connecté sur :
- Votre ordinateur de bureau au bureau
- Votre ordinateur portable à la maison
- Votre tablette pour les présentations
- Votre téléphone pour un accès rapide
Limites d'entreprise : Les organisations peuvent limiter les sessions simultanées par utilisateur (par ex., maximum 3 sessions actives). Lorsque la limite est atteinte, la session la plus ancienne est automatiquement révoquée.
Stockage sécurisé des sessions
Cothon implémente plusieurs protections pour la sécurité des sessions :
Cookies httpOnly : Les jetons de rafraîchissement sont stockés dans des cookies httpOnly qui ne peuvent pas être accessibles par JavaScript, empêchant les attaques XSS de voler les jetons.
Flag Secure : Tous les cookies sont marqués Secure, garantissant qu'ils sont uniquement transmis via des connexions HTTPS.
Protection SameSite : Les cookies utilisent SameSite=Lax pour prévenir les attaques de falsification de requête inter-sites (CSRF).
Rotation des jetons : Chaque fois qu'un jeton d'accès est rafraîchi, le jeton de rafraîchissement est également pivoté, limitant la fenêtre de vulnérabilité si un jeton est compromis.
Empreinte digitale : Les sessions sont liées à des caractéristiques spécifiques d'appareil/navigateur. Les tentatives de réutilisation de jetons depuis différents appareils sont rejetées.
Politiques de mots de passe
Cothon applique des politiques de mots de passe robustes pour protéger les comptes contre les accès non autorisés.
Exigences de mots de passe
Tous les mots de passe doivent répondre à ces exigences :
Indicateur de force du mot de passe : Lors de la création ou du changement de mots de passe, Cothon affiche un indicateur de force en temps réel :
- Faible (rouge) : Ne répond pas aux exigences minimales
- Passable (orange) : Répond aux exigences mais pourrait être plus fort
- Bon (jaune) : Mot de passe robuste avec une bonne complexité
- Fort (vert) : Excellent mot de passe avec une entropie élevée
Visez des mots de passe "Forts" pour une sécurité maximale.
Conseil
Créer des mots de passe robustes : Utilisez une approche par phrase de passe pour des mots de passe mémorables mais sécurisés :
- Choisissez 4-5 mots aléatoires :
Correct Horse Battery Staple - Ajoutez des chiffres et symboles :
Correct4Horse9Battery!Staple - Variez la capitalisation :
Correct4horse9Battery!staple
Ou utilisez un gestionnaire de mots de passe comme 1Password, Bitwarden ou LastPass pour générer et stocker des mots de passe aléatoires complexes.
Changements de mot de passe
Changez votre mot de passe dans Paramètres → Sécurité → Changer le mot de passe.
Changements de mot de passe forcés : Dans certaines situations, vous pouvez être obligé de changer votre mot de passe :
- Votre mot de passe a été trouvé dans une violation de données
- Votre compte a montré des signes d'accès non autorisé
- Votre organisation applique la rotation périodique des mots de passe (fonctionnalité entreprise)
Réinitialisation du mot de passe
Si vous oubliez votre mot de passe, utilisez le flux de réinitialisation du mot de passe.
Avertissement
Sécurité du lien de réinitialisation : Les liens de réinitialisation de mot de passe sont à usage unique et expirent après 1 heure. Si quelqu'un d'autre clique sur le lien avant vous, il devient invalide. Utilisez toujours le courriel de réinitialisation le plus récent.
Si vous recevez un courriel de réinitialisation de mot de passe que vous n'avez pas demandé :
- Ne cliquez pas sur le lien
- Changez immédiatement votre mot de passe via le flux de connexion normal
- Activez la 2FA si elle n'est pas déjà activée
- Examinez les sessions actives et révoquez toute session suspecte
- Contactez support@cothon.ca pour signaler l'incident
Contrôle d'accès basé sur les rôles (RBAC)
Les organisations Cothon utilisent le contrôle d'accès basé sur les rôles pour gérer les permissions des membres de l'équipe.
Rôles organisationnels
Chaque membre d'organisation a l'un des quatre rôles :
| Rôle | Permissions | Cas d'utilisation |
|---|---|---|
| Propriétaire | Accès complet incluant la suppression d'organisation, la facturation et la gestion des membres | Fondateur d'organisation ou sponsor exécutif |
| Admin | Tous les accès sauf la suppression d'organisation et les changements de facturation | Administrateurs informatiques, gestionnaires d'approvisionnement |
| Membre | Peut créer/modifier/supprimer des analyses de soumissions et propositions, voir les données d'organisation | Coordonnateurs de soumissions, rédacteurs de propositions |
| Observateur | Accès en lecture seule aux analyses de soumissions et propositions ; ne peut pas créer ou modifier | Cadres, parties prenantes, comités d'examen |
Matrice de permissions détaillée
| Capacité | Propriétaire | Admin | Membre | Observateur |
|---|---|---|---|---|
| Analyses de soumissions | ||||
| Voir les analyses | ✓ | ✓ | ✓ | ✓ |
| Créer des analyses | ✓ | ✓ | ✓ | ✗ |
| Modifier ses propres analyses | ✓ | ✓ | ✓ | ✗ |
| Modifier les analyses d'autres | ✓ | ✓ | ✓ | ✗ |
| Supprimer des analyses | ✓ | ✓ | ✓ | ✗ |
| Partager des analyses en externe | ✓ | ✓ | ✓ | ✗ |
| Propositions | ||||
| Voir les propositions | ✓ | ✓ | ✓ | ✓ |
| Générer des propositions | ✓ | ✓ | ✓ | ✗ |
| Modifier les propositions | ✓ | ✓ | ✓ | ✗ |
| Exporter les propositions | ✓ | ✓ | ✓ | ✓ |
| Opportunités | ||||
| Parcourir les opportunités | ✓ | ✓ | ✓ | ✓ |
| Sauvegarder les opportunités | ✓ | ✓ | ✓ | ✗ |
| Analyser les opportunités | ✓ | ✓ | ✓ | ✗ |
| Paramètres | ||||
| Mettre à jour le profil d'entreprise | ✓ | ✓ | ✗ | ✗ |
| Gérer les capacités | ✓ | ✓ | ✗ | ✗ |
| Configurer les paramètres IA | ✓ | ✓ | ✗ | ✗ |
| Gérer les termes signalés | ✓ | ✓ | ✓ | ✗ |
| Gestion d'équipe | ||||
| Inviter des membres | ✓ | ✓ | ✗ | ✗ |
| Retirer des membres | ✓ | ✓ | ✗ | ✗ |
| Changer les rôles des membres | ✓ | ✓ | ✗ | ✗ |
| Voir les journaux d'audit | ✓ | ✓ | ✗ | ✗ |
| Facturation et abonnement | ||||
| Voir les informations de facturation | ✓ | ✗ | ✗ | ✗ |
| Mettre à jour les méthodes de paiement | ✓ | ✗ | ✗ | ✗ |
| Changer le plan d'abonnement | ✓ | ✗ | ✗ | ✗ |
| Annuler l'abonnement | ✓ | ✗ | ✗ | ✗ |
| Organisation | ||||
| Mettre à jour les paramètres d'organisation | ✓ | ✓ | ✗ | ✗ |
| Supprimer l'organisation | ✓ | ✗ | ✗ | ✗ |
| Configurer le SSO | ✓ | ✓ | ✗ | ✗ |
| Gérer les jetons API | ✓ | ✓ | ✗ | ✗ |
Gestion des membres de l'équipe
Les Propriétaires et Admins d'organisation peuvent gérer les membres de l'équipe dans Paramètres → Organisation → Membres de l'équipe.
Note
Adhésion multi-organisationnelle : Les utilisateurs peuvent appartenir à plusieurs organisations (par ex., si vous êtes consultant travaillant avec plusieurs clients). Changez d'organisation en utilisant le sélecteur d'organisation dans la barre de navigation supérieure. Votre rôle peut différer selon les organisations.
Permissions au niveau du projet (Bientôt disponible)
Les versions futures prendront en charge le contrôle d'accès au niveau du projet, vous permettant de :
- Créer des projets privés au sein d'une organisation
- Accorder à des membres spécifiques l'accès aux soumissions sensibles
- Définir des rôles spécifiques au projet (remplaçant les rôles à l'échelle de l'organisation)
Contactez enterprise@cothon.ca pour demander un accès anticipé.
Journaux d'accès et pistes d'audit
Les Admins et Propriétaires d'organisation peuvent examiner les journaux d'audit complets dans Paramètres → Sécurité → Journaux d'audit.
Ce qui est journalisé
Cothon enregistre tous les événements pertinents pour la sécurité :
| Catégorie d'événement | Événements spécifiques | Rétention |
|---|---|---|
| Authentification | Connexion (succès/échec), déconnexion, changement de mot de passe, réinitialisation de mot de passe, activation/désactivation de 2FA | 2 ans |
| Autorisation | Changements de rôle, octroi de permissions, création/révocation de jeton API | 2 ans |
| Accès aux données | Vues d'analyses de soumissions, exports de propositions, téléchargements de documents | 1 an |
| Modification de données | Créer/modifier/supprimer des analyses, créer/modifier des propositions, changements de paramètres | 1 an |
| Gestion d'équipe | Invitations de membres, retraits de membres, changements de rôle | 3 ans |
| Organisation | Changements de paramètres, configuration SSO, gestion de jetons API | 3 ans |
Chaque entrée de journal inclut :
{
"timestamp": "2026-03-30T14:23:45.123Z",
"event_type": "bid_analysis.viewed",
"actor": {
"user_id": "usr_abc123",
"email": "jane.smith@acmecorp.com",
"name": "Jane Smith",
"role": "Member"
},
"target": {
"type": "bid_analysis",
"id": "analysis_xyz789",
"name": "Ville de Vancouver - AO de gestion de flotte"
},
"metadata": {
"ip_address": "192.0.2.45",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"location": "Vancouver, BC, Canada"
},
"result": "success"
}
Recherche dans les journaux d'audit
Utilisez des filtres pour trouver des événements spécifiques :
Succès
Rapports de conformité : Les journaux d'audit soutiennent la conformité aux réglementations d'approvisionnement gouvernemental exigeant la documentation de l'accès aux informations de soumission sensibles. De nombreux appels d'offres du secteur public exigent que les soumissionnaires démontrent qui a accédé aux données de propositions et quand.
Les journaux d'audit de Cothon fournissent une traçabilité complète pour les audits de conformité et les enquêtes de sécurité.
Détection d'anomalies
Cothon signale automatiquement les modèles suspects dans les journaux d'audit :
| Type d'anomalie | Description | Action |
|---|---|---|
| Emplacement inhabituel | Connexion depuis un pays où l'utilisateur ne s'est jamais connecté auparavant | Alerte courriel à l'utilisateur + admin |
| Export groupé | Téléchargement de >50 analyses de soumissions en <1 heure | Alerte courriel à l'admin |
| Changements rapides de permissions | Plusieurs changements de rôle en 5 minutes | Alerte courriel à l'admin |
| Pic d'échecs de connexion | >5 échecs de connexion en 10 minutes | Compte temporairement verrouillé, alerte courriel |
| Accès hors heures | Accès aux données en dehors des heures de travail typiques (pour les comptes entreprise) | Journalisé pour examen (alertes configurables) |
Les admins reçoivent des résumés de sécurité hebdomadaires mettant en évidence les événements signalés pour examen.
Meilleures pratiques de sécurité
Pour les utilisateurs individuels
Pour les organisations
Foire aux questions
Ressources supplémentaires
- Sécurité API - Intégration API sécurisée et authentification webhook
- Confidentialité des données - Conformité LPRPDE et pratiques de confidentialité
- Vue d'ensemble de la sécurité - Documentation complète de l'architecture de sécurité
- Configuration du compte - Guide de configuration initiale du compte
Besoin d'aide ?
- Questions de sécurité : security@cothon.ca
- Support technique : support@cothon.ca
- Configuration SSO entreprise : enterprise@cothon.ca
Dernière mise à jour : 30 mars 2026
Related Articles
Was this page helpful?