Paramètres de sécurité dans Office 365 pour des analyses

Microsoft a annoncé que l'exécution des macros dans Office 365 sera bloquée par défaut dans les fichiers téléchargés depuis Internet, à partir de juin 2022. Cela signifie que vous ne pouvez pas exécuter une macro dans une analyse dans Office 365, si vous avez téléchargé l'analyse via InSite.

Veuillez noter :

Mise à jour du 12 mai 2022 : Microsoft a retiré la mesure décrite dans cet article. Pour plus d'informations, consultez cet article de Microsoft. Nous laisserons cet article jusqu'à ce qu'il y ait plus de clarté sur cette question.

Quelles sont les possibilités

Quel est l'impact de ce changement ?

Microsoft indique que l'exécution d'une macro dans les fichiers téléchargés depuis Internet est bloquée par défaut. La version finale de la mise à jour d'Office n'a pas encore été publiée. En outre, il existe de nombreux paramètres de sécurité Office que vous pouvez déterminer vous-même en tant qu'utilisateur ou organisation. AFAS ne peut donc pas dire avec certitude ce que le changement signifiera en pratique pour chaque client AFAS.

Ce changement de Microsoft devrait avoir un impact si vous téléchargez une analyse via InSite et souhaitez y exécuter une macro.

Cette modification du Office ne devrait pas avoir d'impact dans les situations suivantes :

• L'analyse ne contient pas de macro.
• Vous ouvrez l'analyse, mais elle contient une macro que vous n'exécutez pas.
• Vous modifiez une macro, mais vous ne l'exécutez pas.
• Vous ouvrez une analyse en cliquant sur la notification du centre de communication Profit.
• Vous téléchargez l'analyse avec la macro à exécuter via Profit (via Généralités / Export / Mes fichiers).

La modification ne s'applique pas à la publication des analyses du cockpit, qui s'effectue sur les serveurs AFAS.

De quelle version d'Office s'agit-il ?

Consultez cet article de Microsoft pour plus d'informations et savoir quelles versions (calendrier de livraison) sont concernées par ce changement. Si vous utilisez cette version d'Office, cela aura des conséquences sur l'édition et la consultation des analyses.

Cette évolution ne concerne que les versions Windows d'Office, pas les autres systèmes d'exploitation tels que Mac, Office Web ou Office pour Android ou iOS.

Comment pouvez-vous continuer à travailler en toute sécurité ?

Les méthodes ci-dessous sont des solutions possibles. AFAS ne peut pas vous conseiller à ce sujet, car il s'agit de quelque chose qui relève de votre propre gestion de système. C’est donc à l’administrateur informatique de votre propre organisation de déterminer la meilleure méthode.

• Méthode 1 : Ouvrir l'analyse via la notification PCC ou Profit

  Ouvrez l'analyse via la notification du Profit Communication Center ou via Mes fichiers dans Profit.

• Méthode 2 : Déverrouiller manuellement le fichier téléchargé à chaque fois

  Si vous avez téléchargé l'analyse via InSite, le fichier est bloqué par défaut. Vous pouvez débloquer le fichier ; vous devez le faire à chaque téléchargement.

• Méthode 3 : Ajouter l'InSite comme site Windows de confiance

  Cela empêchera Windows de marquer le fichier comme un téléchargement non sécurisé qui fera qu'Office bloquera l'exécution des macros.

• Méthode 4: Ouvrir l'analyse à partir d'un emplacement sécurisé

  Cette méthode fonctionne pour les analyses Profit et vos propres analyses. Elle est recommandée si vous utilisez l'analyse Informations d'absence Vernet (Profit) pour fournir à Vernet des données d'absentéisme. Lorsque vous utilisez Vernet, AFAS recommande de toujours utiliser l'analyse Profit et non une copie.

• Méthode 5: Associer un certificat aux macros dans l'analyse

  Cette méthode vous permet de continuer à utiliser vos propres analyses. Vous associez un certificat dans chaque analyse, qui vous permet d'indiquer que les macros peuvent être exécutées.

  Cette méthode ne fonctionne pas pour les analyses Profit, car celles-ci ne contiennent jamais votre propre certificat. Si vous souhaitez sécuriser une analyse Profit au moyen d'un certificat, vous devez commencer par faire une copie de l'analyse.

• Méthode 6: Utiliser une politique Microsoft

  Attention:

  Outre les modifications de la stratégie de sécurité Office 365 décrites ici, la réduction de la surface d'attaque des points de terminaison Office 365 Defender (Office 365 Defender Endpoint Attack Surface Reduction) peut être activée dans l'organisation. Cela peut entraîner le message suivant : le fichier ne peut pas être ouvert car le format de fichier ou l'extension de fichier n'est pas valide.

Méthode 1 : Ouvrir l'analyse via la notification PCC ou Profit

Lorsque vous téléchargez l'analyse via InSite, votre ordinateur la marque comme dangereuse. Vous pouvez éviter cela en utilisant l'une des méthodes suivantes :

• Si le Profit Communication Center est installé et connecté, vous recevrez une popup dès que l'analyse sera prête. En cliquant dessus, l'analyse sera ouverte directement dans Excel.
• Si vous ouvrez une analyse via Profit, téléchargez le fichier d'analyse via Généralités / Export / Mes fichiers.

Méthode 2 : Déverrouiller manuellement le fichier téléchargé à chaque fois

Si l'exécution des macros est bloquée dans l'analyse, vous verrez la barre rouge ci-dessous :

Si vous cliquez sur la barre rouge du message, l'article suivant s'ouvre. Microsoft explique la situation et comment débloquer le fichier afin de pouvoir continuer à exécuter les macros.

Méthode 3 : Ajouter l'InSite comme site Windows de confiance

1. Appuyez sur la touche Windows et recherchez "Internet".
2. Ouvrez "Options Internet".
3. Allez dans l'onglet "Sécurité".
4. Cliquez sur "Sites de confiance", puis sur "Sites".
5. Ajoutez l'adresse de votre InSite, éventuellement aussi celle de votre Test-site (et éventuellement Accept-site).

   Par exemple https://12345.afasinsite.nl et https://12345.insitetest.afas.online.

   

L'administrateur système peut définir cette option pour tous les utilisateurs avec une politique de groupe.

Méthode 4 : Définir un emplacement sécurisé

Vous définissez un emplacement de fichier sécurisé dans Excel. Lorsqu'une analyse est ouverte à partir de cet emplacement, les macros peuvent être exécutées.

Attention :

Si vous ouvrez une analyse à partir de Profit, elle sera enregistrée par défaut dans le dossier Téléchargements de votre PC. Chaque fois que vous ouvrez une analyse, vous devez la déplacer du dossier Téléchargements vers le dossier sécurisé, puis ouvrir l'analyse. Si cela vous paraît trop complexe, il est préférable d'utiliser des certificats.

Avec les analyses Profit, vous ne pouvez pas joindre de certificat, vous devez alors toujours déplacer l'analyse dans le dossier sécurisé.

Étapes de la mise en place d'un emplacement sécurisé

Méthode 5 : Associer le certificat à l'analyse

Vous pouvez utiliser des certificats dans les situations suivantes :

• Pour toutes les analyses que vous avez créées/adaptées dans le passé.
• Pour les nouvelles analyses basées sur une analyse Profit ou une collecte de données.

Si vous avez associé un certificat dans une analyse et que vous copiez cette dernière, la nouvelle analyse contiendra également le certificat. Dans cette situation, il n'est pas nécessaire d’associer un certificat.

Attention :

Lorsque vous générez des cockpits via AFAS Online, votre certificat n'est pas utilisé. AFAS gère la sécurité d'une manière différente afin que vos macros continuent à fonctionner.

AFAS elle-même ne délivre pas de certificats pour les clients. En effet, AFAS n'a aucune connaissance des macros créées et utilisées par les clients, vous devez donc utiliser votre propre certificat.

Il existe plusieurs alternatives pour utiliser les certificats. L'administrateur informatique de votre propre organisation doit décider quelle est la meilleure option. L'utilisation d'un certificat géré de manière centralisée vous coûtera plus d'efforts et de temps au début, mais c'est l'approche la plus simple pour vos utilisateurs. Voici les possibilités :

• Votre organisation achète un certificat commercial.
• Votre organisation dispose d'une autorité de certification (CA) interne qui émet des certificats. Cette solution vous permet d'émettre des certificats pour l'ensemble de l'organisation. De plus, elle n'entraîne aucun coût supplémentaire, contrairement à un certificat public/commercial.

  Étapes pour émettre des certificats via l'autorité de certification Active Directory

  Les macros des fichiers Microsoft Office contiennent du code de programmation VBA. Pour pouvoir signer ce code de programmation, vous avez besoin d'un certificat de signature de code. Cet exemple illustre comment vous pouvez émettre un tel certificat avec votre propre autorité de certification. Il n’illustre qu'une façon de mettre cette opération en place. Vous pouvez l'ajuster vous-même et l'adapter à la politique de votre organisation. Décidez vous-même à qui vous confiez un certificat de signature de code, car le code de programmation ne se trouve pas seulement dans les macros. Par exemple, vous pouvez également signer un logiciel que vous avez créé vous-même avec un certificat de signature de code.

  Dans cette explication, nous supposons qu'une autorité de certification est présente. Cette explication contient les parties suivantes (la configuration d'une autorité de certification n'est pas décrite ici) :

  • Certificat de déploiement
  • L'utilisateur final demande un certificat
  • Appliquer l'horodatage lors de la signature (recommandé)

    Attention:

    Travailler avec des certificats relève de votre propre responsabilité. AFAS ne fournit aucune assistance à cet égard et n'assume aucune responsabilité pour la conception chez les clients.

  Certificat de déploiement :

  1. Lancez Certsrv.msc.
  2. Allez vers : Certificate Templates / Manage.

     

  3. Sélectionnez Code Signing template et choisissez Duplicate Template.

     

  4. Accédez à l'onglet : General.
  5. Saisissez un nom pour le modèle.

     

  6. Accédez à l'onglet : Subject Name.
  7. Vérifiez E-mail name et User principal name.

     

  8. Accédez à l'onglet : Request Handling.
  9. Selectionnez Signature dans le champ Purpose.

     

  10. Accédez à l'onglet : Extensions.
  11. Assurez-vous que seule la mention Code signing est sélectionnée dans Application Policies.

      

  12. Accédez à l'onglet : Security.
  13. Précisez qui peut demander un certificat pour ce modèle.

      Un point de départ pourrait être d'inclure ici les groupes d'utilisateurs qui ont le droit de gérer/modifier les analyses dans Profit. Utilisez Autoenroll si vous souhaitez émettre des certificats automatiquement. Dans cet exemple, nous choisissons Enroll, afin de pouvoir illustrer ultérieurement comment un utilisateur final peut lui-même demander un certificat.

      

  14. Enregistrez le modèle.
  15. Sélectionnez l'option Certificate template to issue au niveau de Certificate Authority pour émettre le nouveau modèle.

      

  L'utilisateur final demande un certificat :

  Si vous avez choisi Enroll au lieu d’Autoenroll dans le modèle de certificat, les utilisateurs finaux doivent demander eux-mêmes un certificat. Voici comment procéder.

  1. Lancez Certmgr.msc.
  2. Cliquez avec le bouton droit sur le dossier Personal et cliquez sur Request new certificate.

     

  3. Choisissez Active Directory Enrollment Policy et cliquez sur Next.

     

  4. Choisissez le modèle créé pour signer les macros et cliquez sur Enroll.

     

  Appliquer l'horodatage lors de la signature (recommandé)

  Cette partie est facultative. Vous pouvez choisir d'inclure un horodatage lors de la signature. Dans ce cas, vous pouvez vérifier si le certificat était valide au moment où la signature a été insérée. Par conséquent, la signature reste valide même si le certificat a déjà expiré et vous pouvez continuer à exécuter les macros par la suite. Si vous n'incluez pas d'horodatage, vous ne pouvez pas vérifier quand la signature a été définie et les macros ne peuvent plus être exécutées lorsque le certificat a expiré. Il est donc recommandé d’inclure un horodatage.

  Créez la clé de registre ci-dessous avec ses paramètres. Dans cet exemple, nous utilisons le serveur d'authenticode d'horodatage de DigiCert, mais cela peut être un autre serveur de votre choix.

  

• Vous utilisez un certificat auto-signé et vous l’associez dans le fichier Excel.

  Étapes pour créer et gérer un certificat auto-signé

  Cette méthode ne convient que pour les petites organisations ou pour les travaux de test.

  Attention:

  Les étapes suivantes expliquent comment créer un certificat auto-signé et l’associer dans Excel. Le certificat se trouve sur votre PC. Vous ne pouvez donc pas effectuer l'analyse sur un autre PC, à moins d'exporter le certificat et de l'importer sur l'autre PC. Voir les autres étapes ci-dessous.

  Travailler avec des certificats relève de votre propre responsabilité. AFAS ne fournit aucune assistance à cet égard et n'assume aucune responsabilité pour la conception chez les clients.

  Étape 1 : Créer un certificat auto-signé :

  Vous créez le certificat et le placez dans le dossier Trusted Root Certification Authorities / Certificates.

  1. Lancez l'outil SELFCERT.EXE.

     Cet article indique le dossier où vous pouvez trouver l'outil.

     Si vous n'êtes pas autorisé à lancer l'outil ou si vous ne le trouvez pas, veuillez contacter l'administrateur système de votre propre organisation.

  2. Saisissez un nom et cliquez sur OK.

     

  3. Appuyez sur la touche Windows de votre clavier et exécutez certmgr.msc.
  4. Copiez le certificat du dossier Personal vers Trusted Root Certification Authorities / Certificates.

     Si vous faites glisser le fichier, vous devez maintenir la touche CTRL enfoncée tout en le faisant glisser. Cette action copie le fichier.

     

  5. Un message s’affiche ensuite. Lisez-le attentivement et confirmez-le pour déplacer le certificat.

  Étape 2 : Certificat de liaison dans Excel :

  1. Ouvrez Profit.
  2. Allez à : Généralités / Export / Gestion / Analyse.
  3. Ouvrez une analyse dans Excel.
  4. Allez dans Affichage / Macros et ouvrez une macro.
  5. Allez dans Outils / Signature numérique et associez la signature.

     

  6. Allez vers : ANALYSE PROFIT / Sauvegarder dans Profit

  Voir également :

  • Modification et sauvegarde des analyses

  Étape 3 : Définir Excel pour l'utilisation des certificats :

  Vous définissez que l'exécution des macros basées sur un certificat valide est autorisée. Ceci s'applique bien sûr à toutes les macros dans Excel, et pas seulement aux analyses AFAS.

  1. Dans Excel, allez dans Fichier / Options, onglet Centre de gestion de la confidentialité.
  2. Cliquez sur : Paramètres du Centre de gestion de la confidentialité.
  3. Allez à l'onglet : Paramètres des macros.
  4. Sélectionnez Désactiver les toutes les macros VBA, a l'exception des macros signées numériquement.

     

  Vous avez maintenant terminé de configurer l'utilisation des certificats. Suivez les étapes ci-dessous pour gérer les certificats.

  Gérer, exporter et importer des certificats :

  1. Lancez l'invite de commande (CMD) et exécutez certmgr.msc.
  2. Vous pouvez trouver vos propres certificats ici. Si vous faites un clic droit sur un certificat, vous pouvez l'exporter.

     

  3. Si vous voulez importer un certificat sur un autre PC, ouvrez certmgr.msc sur ce PC.
  4. Ouvrez le dossier Personnel/Certificats.
  5. Allez à : Action / Toutes les tâches / Importer.

Méthode 6 : Politique de Microsoft

Utilisez une politique Microsoft pour éviter tout blocage indésirable des macros. AFAS n'offre aucune assistance dans ce domaine et la configuration n'est pas décrite dans l'aide. La configuration de cette stratégie incombe à l'administrateur système de votre propre organisation. Consultez cet article de Microsoft pour plus d'informations.