Partager ses fichiers (et avec qui !) : les étapes pas à pas

(en cours d’écriture)

Un message a été scindé en un nouveau sujet : Hyperliens d’un document non cliquables

Salut @pyg

Je ne sais pas vraiment ce que tu comptes écrire mais d’expérience, ce sujet c’est juste l’enfer !

C’est donc pertinent (+1) de donner un cadre général pour aider les administrateurs à bien régler l’accès au framaspace.

Pour info, voilà ce qui me parait important en terme de « Politique d’Accès » sachant que la difficulté c’est arbitrer entrer simplicité de partage, robustesse de l’accès (permalink…), administration des accès (personnes, groupes, lien public, lien interne…)

Voici quelques bonnes pratiques:

• ne jamais donner accès nominativement à une personne mais toujours à un groupe auquel elle appartient
• ne jamais donner accès spécifiquement à un fichier mais toujours à un dossier auquel il appartient
• limiter le nombre de groupe à des besoins d’accès (idéalement croiser besoin d’en connaitre plus niveau de confidentialité ou « Trust Level »)
• limiter les besoins d’accès à des choses « simples » (lecture seule, lecture écriture, admin)

J’ai essayé de mettre cela en place avec framaspace et ca a l’air de fonctionner

• appliquer toujours le principe de moindre privilège (les personnes doivent justifier le besoin d’un accès pour l’obtenir)
• 4 dossiers de têtes portant le niveau de confidentialité et faciliter la diffusion des informations
• 4 groupes correspondant pour affecter le personnel « interne »
• cercles de contact pour diffuser à l’extérieur
• par construction seul le C0 est ouvert aux cercles
  
  

  Image43947×2068 577 KB

Au final, les règles d’accès sont simples:

• personnel interne : affecter une personne à son niveau de confidentialité en fonction de son « trust level »
• personnel externe : affecter la personne à un cercle de diffusion en fonction de son besoin d’en connaître

Règles de diffusion:

• toujours envoyé un lien interne (pas sur que ca marche avec les cercles j’ai pas encore testé)
• envoyer un lien public uniquement pour le C0

NB: Avec cette approche, il est possible de gérer le droit d’en connaître en créant des dossiers et groupe de confidentialité associé de type C3-DAF, C3-R&D pour ségréguer les informations sensibles.

MAIS j’ai l’impression qu’il y a une faille originelle dans la gestion des « liens publics ».
Il est possible de restreindre l’accès sur un dossier mais de partager publiquement un fichier/dossier qui est dedans :-o

Ai-je raté un truc dans le paramétrage qui empêcherait de partager publiquement un dossier ? Si cela existe, il suffirait alors d’interdire le lien public sur le C1, C2 et C3 pour sécuriser les accès.

Après j’ai vu qu’il y avait pleins de petits paramètres dans les settings en particulier sur les partages… je n’ai pas testé l’effet de ces changements donc je te laisse expliquer ce qui est le mieux.

En espérant que cela soit contributif.
Rémi

Ça l’est !

Je trouve ta proposition très intéressante.
Je me demande par contre si la séparation par degré de confidentialité n’est pas quelque chose de trop complexe pour des petites organisations.
Je suis carrément pour cette solution, mais je me demande si elle n’implique pas de tirer un fil qui sort du cadre de Framaspace (à savoir l’hygiène numérique, les modèles de menaces, les bonnes pratiques de sécurité, etc).

Il ne faut pas oublier que sur les +1200 structures ayant un espace Framaspace, une grande partie n’est pas forcément à l’aise avec l’outil numérique ou a un modèle de menace très limité (ex: le club de Bridge de Pouilly en Auxois). Evidemment, ça ne veut pas dire qu’il ne faut pas traiter de sécurité, au contraire.

Mais j’avoue que je ne sais pas trop par quel bout le prendre :

• faire une « grosse » partie, sur la base de ce que tu as fais ?
• scinder en 2 ou 3 parties :
  • « identifier son modèle de menace »
  • « bonnes pratiques » (arborescence, nommage, cercles, etc)
  • « utiliser les options de partage »

Moi, j’étais parti uniquement sur « utiliser les options de partage » (y compris pour des raisons de temps disponible), mais bon, ta proposition me fait réfléchir

Dans les ressources pouvant être utiles :

• Comment partager des fichiers en toute sécurité tout en respectant la vie privée ? - Nextcloud
• Guide de survie des aventures sur Internet - ritimo

Si tu as des avis, propositions, n’hésites pas.

Effectivement dans le cas du club de bridge de Pouilly c’est un peu superfétatoire (j’adore ce mot).
Et je te rejoins sur le fait qu’il faut que nos propositions soient populaires au bon sens du terme.

Du coup, il faudrait définir une architecture à couche, qui fait le pont entre le Bridge et une forme plus structurée et sécurisée.

Archi Pouilly (j’ai pas dit pourrie) pour les débutants

• un seul espace « Public » (C0)
• pas de groupe et pas de cercle
• partage public en lecture
• partage interne en lecture-écriture

Archi Semi-Ouverte pour les confirmés
= Archi Association

• un espace « Privé » (C1)
• Groupe C0-Public et C1-Privé affecté aux membres internes

Archi Organisation pour les experts
= Archi Semi-Ouverte

• un espace « Confidentiel » (C2) voire « Secret » (C3)
• Groupe C2-Confidentiel et C3-Secret affectés aux membres internes
• espaces de diffusions restreintes « Cercle de Diffusion »
• Cercles de diffusion affectés aux espaces de diffusion

D’expérience le plus difficile c’est de gérer la diffusion de 1 document dans plusieurs cercles sans le dupliquer !
Le cas d’usage typique c’est le « cercle de relecteurs » d’un « ensemble de document » genre « dataRoom investisseur »
Je ne sais pas si tu as des solutions pour ça avec nextcloud,
mais c’est ce qui m’a juste fait pété un câble avec sharepoint.

Ca te dit que je fasse une « petite infographie didactique » de cette architecture « statique » pour inclure dans ton document ?

D’ailleurs pourrais-tu partager le lien collaboratif de ton doc que je puisse y participer (si mon TrustLevel est suffisant ) ?

Après il faudra intégrer les autres éléments d’archi « dynamique » (cf. ton 1er lien) pour compléter la gestion tout en restant très simple et didactique.

je ne pense pas qu’il soit opportun d’intégrer dans ce doc des éléments de sensibilisation aux risques cyber (cf. ton 2eme lien)

Il vaut mieux faire deux docs (cf. Approche Diatixis):

1. orienté action pour expliquer l’architecture(Tutorial) et les « HowTo » basiques
2. orienté cognition pour expliquer les enjeux, les risques et les bonnes pratiques

Tu me dis comment tu veux t’y prendre.

@suivre

Beaucoup de choses dans tout ça.

Mais, déjà, merci de ton enthousiasme

Ca me va, parce que c’est assez modulaire.

Sur le principe, ça me va très bien. Après, faut voir comment ça serait expliqué, mais le fond primant sur la forme, autant avancer

Alors tout dépend évidemment du niveau de confidentialité de ton document.
Avec un niveau de confidentialité plutôt faible (90% des cas), je ne me casse pas la tête :

1. je m’arrange pour que les fichiers soient dans un dossier
2. je met le dossier parent avec un partage
   • public,
   • protégé par mot de passe,
   • permettant l’édition (si besoin)
   • avec une date d’expiration courte

Par contre, pour une confidentialité très élevée, c’est clairement plus complexe.
Sur Framaspace, je gèrerai ça « manuellement » (liste d’utilisateurs, ou groupes d’utilisateurs)

En dehors de Framaspace, il existe l’app GitHub - nextcloud/groupfolders: 📁👩‍👩‍👧‍👦 Admin-configured folders shared by everyone in a group. https://github.com/nextcloud-releases/groupfolders pour Nextcloud, qui pourrait en partie répondre à ce besoin de granularité plus fine.
(Nous ne proposons pas Groupfolders sur Framaspace car nous ne mettons à dispo que des apps soutenues par Nextcloud GmbH ou maintenues par nous-mêmes. Mais aussi parce que ça rajouterait une sacrée couche de complexité pour les use-cases de type « Club de Bridge »).

Moi je prends tout !
Donc, si ça te fais envie, vas-y !

Je n’ai aucun souci avec ton TrustLevel, puisque ce doc… n’existe pas encore

Dans mon idée, je souhaitais rester avec un seul outil (ici : le forum). En effet, Discourse permet de créer des sujets en mode « Wiki »
Par exemple : tu devrais pouvoir éditer le premier message de Centre de ressources pour ajouter tes propres ressources.
(et pour créer un « post wiki », il faut d’abord créer un sujet dans le forum, puis le basculer en mode wiki)

Mais… je ne suis pas convaincu que ça soit l’idéal.
Donc, là,me revient l’envie de proposer… un Framaspace pour Framaspace (= avoir un « framaspace.frama.space »)
Où l’idée serait par exemple d’utiliser l’outil « Collectives » (wiki interne aux Nextclouds) pour gérer les documentations (ex : framaspace.frama.space/apps/collectives/Docs )

J’ai pas d’avis très tranché sur la question. Donc si tu as un avis…

Vu le temps dont je dispose (trop limité), c’est clair que moi j’étais parti pour faire un truc assez bateau. Genre :

• « les différentes options de partage » (en gros Partager un fichier - Documentation Nextcloud Coopaname et les 2 pages liées)
• Use Case #1 : Fred (user fspace) souhaite partager avec Camille (user fspace)
• Use case #2 : Fred souhaite créer un dossier de dépôt de photos
• Use case #3 : Fred souhaite partager un dossier avec l’ensemble de l’asso (groupe Everyone)
• Use case #4 : Fred souhaite partager un dossier avec les membres du projet « Jardin » (Cercle « Jardin »)
• Use case #5 : Fred souhaite partager un dossier avec Bob (non user)
• Use case #6 : Fred souhaite rendre public les statuts de l’asso (partage public)
• etc

Ta proposition est enthousiasmante, mais je crains qu’elle ne prenne plus de temps (d’où le fait que je te réponde « Si tu as envie, vas-y », parce que ça ne me coûte rien )

Je suis tout à fait d’accord. L’avantage du (2) étant que ça bougera assez peu. Le (1) est un « attendu » de la part des utilisateurs (qui ne voudront pas passer 20mn à lire qqchose alors qu’ils ont un besoin clair selon eux (« Mais, je veux juste trouver quelle est la manip pour partager ce fichier avec Bob ! »), mais à clairement l’inconvénient d’être moins stable dans le temps (ex: les captures écrans ne seront plus valables, ou, dans la prochaine version de NC, les « cercles » vont être renommés « équipes »)

J’ai pas une méthodologie arrêtée.
Par contre, je peux faire une proposition :

1. Tranchons déjà sur « où rédiger collaborativement ? »

• sur le forum, en utilisant le mode « wiki » ?
• sur un espace Framaspace dédié ?
• autre ?

2. Répartissons nous des envies/objectifs de docs.

• comme je te l’ai dit, moi je suis parti en mode How-To (actions), car autour de moi, c’est ce que réclament les utilisateurs
• te concernant, ça peut être de la doc orienté action, ou cognition. Tu proposes ton aide bénévole, et autant je suis « coordinateur » des espaces (et responsable devant les utilisateurs du bon fonctionnement de l’outil), autant on a été clair dans la FAQ que l’aide et le support étaient, eux, communautaires. Donc, Framasoft « participe et aide », mais je me vois mal imposer des choses.

Heureux de voir que nous partageons les orientations principales.

Je réponds de manière directe

framaspace (d’autant que ca permettra d’étendre le principe aux autres outils )

Je te laisse initier le doc avec sa table des matières et trois lignes par § pour que chacun puisse voir exactement ce qu’il y a à remplir.
Et de ce que je comprends à ce stade:

• une partie focalisée sur les cas d’usage (plutôt toi) pour répondre aux besoins « opérationnels » des utilisateurs comme tu l’évoques
• une partie focalisée sur la configuration (plutôt moi) initiale de l’environnement en fonction du besoin communautaire (pouilly, semi-ouverte ou organisation)

@suivre

Au fait @pyg je me demandais si nextcloud avait imaginé une fonctionnalité pour partager des documents entre 2 framaspace.

En cours de création

Ca marche (j’essaie de faire ça aujourd’hui, parce que ce soir : congés pour 2 ou 3 semaines )

C’est en place !
Tu peux aller sur https://framaspace.frama.space et cliquer sur « S’inscrire »
Je recevrai alors un email, validerai ton inscription et te passerai en admin.

J’ai fais une pseudo doc dans un « Collectifs » (visible en lecture seule ici : Framaspace (frama.space) )

Oui !
Ca s’appelle le partage fédéré, et ça marche plutôt bien !
https://docs.nextcloud.com/server/latest/user_manual/fr/files/federated_cloud_sharing.html

Excellent !!! je vais regarder ce de près
merci @pyg

Hello,
Pour ma part voici comment j’ai organisé le frama.space de notre asso:
(c’est finalement assez similaire à la proposition de @FougereLegere quoique plus flexible)

• Créer un compte admin
• Depuis ce compte admin: Créer l’arborescence des dossiers et fichiers souhaités et les partager avec les bons droits aux bons groupes (et donc créer les bons groupes)
• Limiter l’espace de stockage par user à 5 ou 15MB ² (afin que tous les fichiers soient « hébergés » par le compte admin et qu’il n’y ait pas de perte en cas de turnover)
• Ne pas utiliser les cercles

²: l’inconvénient de cette restriction est pour l’utilisation de Deck: les user vont ajouter une PJ directement sur une carte, ce qui va l’ajouter à leur dossier Deck et donc compter dans leur espace de stockage. La méthode de contournement consiste à leur dire de mettre le fichier dans un des dossiers partagé par l’admin, ou à augmenter leur espace de stockage.

Création des groupes: L’idée est que les groupes reflètent l’organisation de l’asso (ex chez nous: un groupe CA, un groupe Équipe (pour les salarié·e·s), puis un groupe par branche (hébergement, accompagnement…)).
Une personne peut évidemment faire partie de plusieurs groupes.

Création de l’arborescence des dossiers: Généralement: un dossier par groupe + des dossiers généraux (administratif, communication …) .

Note : Il est possible d’utiliser les Equipes (Cercles), plutôt que les groupes, ce qui apporte plus de flexibilité. Voir ce comparatif.

Merci @Cyp !
(ca tombe bien j’étais encore en train de jouer avec framaspace il y a 2h)

Pas compris comment cela fonctionne. Il se passe quoi quand le membre sature son espace ? ca bascule automatiquement sur le compte admin ?
Je suis preneur d’explications plus précises.

tu peux justifier stp @Cyp ce qui te pousse à déconseiller l’usage les cercles, car dans mon référentiel de cas d’usage ca me parait indispensable…

Limitation de l’espace de stockage:

• tu peux mettre un espace de stockage par défaut aux utilisateurs (taper « 15MB » par ex)

1. Quand le user sature son espace, il ne peut plus y ajouter de fichier (un message d’erreur apparait)
2. Le user va finir par contacter l’admin (moi) pour trouver une solution. (il y a peut être moyen d’envoyer une alerte auto à l’admin si l’espace de stockage d’un user est saturé, je n’ai pas cherché)
3. Solutions de l’admin: Proposer à l’user de mettre son fichier dans un dossier partagé par l’admin (puis de l’ajouter en PJ via fichiers à Deck si c’était la manip de base tentée par l’user). Ou sinon augmenter l’espace de stockage de ce user.

le GROS problème avec framaspace (sauf si j’ai raté un truc) c’est que si tu « insères en PJ » un document qui est déjà présent dans tes documents, il fait une copie dans le dossier « Deck »…
NB: a priori c’est pareil dans Talk, il duplique…

La logique attendue serait un lien soft sur le doc (après c’est peut-être un lien hard type linux qui te fait croire que c’est deux fichiers mais en fait c’est qu’un seul… j’ai pas trop testé)

En terme d’archi, TOUS les « modules » du framaspace devrait uniquement gérer des « références asset » (genre le hash du contenu binaire), ce qui permet de détecter « par construction » les doublons (même hash = même doc, image…).

Le stockage « physique » du fichier serait quelque part dans un dossier AssetDB en mode classique (un dossier pour chaque combinaisons des deux premiers digit de la signature)
L’affichage « logique » se ferait de plusieurs manières sans créer de doublon:

• dans une arborescence classique qui est juste là pour retrouver son doc dans un « arbre » avec le module « Fichiers » (à noter qu’un même fichier pourrait être dans deux dossiers !)
• dans une conversation dans le module « Talk »
• dans une carte dans le module « Deck »

Avec ce système on peut faire vraiment une GED intelligente.
Pour info, sharepoint ne le fait pas non plus…

Désolé, je suis un peu trop parti dans l’archi (déformation pro)

ok compris, donc ca induit donc un « bottleneck » sur l’admin qui peut rapidement devenir pénible

Je n’ai jamais utilisé les cercles, et juste avec les groupes, ça fonctionne très bien.
Du peu que j’ai pu lire des cercles sur le forum nextcloud (cercles vs groupes), c’est pas toujours supporté par certaines apps NC etc. Mais c’est possiblement des infos datées…
Mon avis: Si on peut s’en passer, autant s’en passer.

@Cyp je viens de faire le test et la pièce jointe dans un deck est « liée » au document présent dans le module « Fichier ».

Donc pas besoin de se prendre la tête si le fichier est dupliqué dans Deck