> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Guide de l’administrateur de la sécurité FedRAMP

> Guide de l’administrateur de la sécurité FedRAMP de Devin Desktop pour configurer, gérer, exploiter et désactiver en toute sécurité les comptes administratifs de plus haut niveau. Comprend des définitions des rôles, des procédures de cycle de vie des comptes et un tableau de référence de tous les paramètres de sécurité contrôlés par les administrateurs.

<div id="fedramp-security-admin-guide">
  # Guide de l’administrateur de la sécurité FedRAMP
</div>

Ce guide explique comment mettre en place, configurer, exploiter et désaffecter en toute sécurité les comptes administratifs de plus haut niveau dans Devin Desktop. Il couvre les définitions des rôles administratifs, les procédures du cycle de vie des comptes, ainsi que tous les paramètres de sécurité gérés par les administrateurs, avec leurs fonctions associées, leur impact sur la sécurité et les valeurs recommandées.

<Note>Ce guide est rédigé pour le déploiement FedRAMP de Devin Desktop, qui s’exécute sur AWS GovCloud. Le déploiement FedRAMP utilise un portail Enterprise dédié et une authentification basée sur le SSO (OIDC ou SAML 2.0). Certaines fonctionnalités décrites dans d’autres sections de la documentation Devin Desktop pour l’offre SaaS ne sont pas disponibles dans l’environnement FedRAMP.</Note>

***

<div id="administrative-role-definitions">
  ## Définitions des rôles administratifs
</div>

Devin Desktop utilise un système de contrôle d’accès basé sur les rôles (RBAC) pour gérer les privilèges administratifs. Les rôles sont gérés via l’Admin Portal, dans la section Settings > Role Management, et peuvent être attribués à des utilisateurs individuels.

<div id="built-in-roles">
  ### Rôles intégrés
</div>

Devin Desktop comprend deux rôles intégrés qui ne peuvent pas être supprimés.

| Rôle            | Description                                                                                                                                                                                                                               | Autorisations par défaut           |
| --------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------- |
| **Admin**       | Accès administratif complet aux Settings de l’organisation, à la gestion des utilisateurs, aux analyses et aux contrôles de sécurité. Il s’agit du niveau de privilège le plus élevé qu’un utilisateur puisse avoir au sein d’une équipe. | Toutes les autorisations activées  |
| **Utilisateur** | Accès standard pour l’utilisateur final, sans autorisations administratives. Les utilisateurs peuvent accéder aux fonctionnalités de codage de Devin Desktop, mais ne peuvent ni consulter ni modifier les Settings de l’organisation.    | Aucune autorisation administrative |

<div id="custom-roles">
  ### Rôles personnalisés
</div>

Les administrateurs peuvent créer des rôles personnalisés pour appliquer le principe du moindre privilège. Les rôles personnalisés se composent d’autorisations granulaires sélectionnées dans les catégories ci-dessous. Pour créer un rôle personnalisé, accédez à l’Admin Portal, puis ouvrez la section Role Management dans Settings.

<div id="permission-reference">
  ### Référence des autorisations
</div>

Le tableau ci-dessous répertorie toutes les autorisations pouvant être attribuées à des rôles dans le déploiement FedRAMP. Chaque autorisation contrôle l’accès à une fonction administrative spécifique.

| Category            | Permission               | Description                                                                                    |
| ------------------- | ------------------------ | ---------------------------------------------------------------------------------------------- |
| **Teams**           | Teams Read-Only          | Accès en lecture seule à la page de gestion des Teams                                          |
| **Teams**           | Teams Update             | Possibilité de mettre à jour les rôles des utilisateurs sur la page Teams                      |
| **Teams**           | Teams Delete             | Possibilité de supprimer des utilisateurs depuis la page Teams                                 |
| **Analytics**       | Analytics Read           | Accès en lecture à la page Analytics et aux tableaux de bord                                   |
| **Attribution**     | Attribution Read         | Accès en lecture à la page Attribution                                                         |
| **License**         | License Read             | Accès en lecture à la page License                                                             |
| **SSO**             | SSO Read                 | Accès en lecture à la page de configuration du SSO                                             |
| **SSO**             | SSO Write                | Possibilité de configurer et de modifier les paramètres du fournisseur SSO                     |
| **Service Key**     | Service Key Read         | Accès en lecture à la page des clés de service                                                 |
| **Service Key**     | Service Key Create       | Possibilité de créer de nouvelles clés de service pour l’accès à l’API                         |
| **Service Key**     | Service Key Update       | Possibilité de modifier les clés de service existantes                                         |
| **Service Key**     | Service Key Delete       | Possibilité de révoquer et de supprimer des clés de service                                    |
| **Role Management** | Role Read                | Accès en lecture à l’onglet des rôles dans Settings                                            |
| **Role Management** | Role Create              | Possibilité de créer de nouveaux rôles                                                         |
| **Role Management** | Role Update              | Possibilité de modifier les définitions de rôles existantes                                    |
| **Role Management** | Role Delete              | Possibilité de supprimer des rôles                                                             |
| **External Chat**   | External Chat Management | Possibilité de modifier la configuration des modèles de chat externes                          |
| **Indexing**        | Indexing Read            | Accès en lecture à la page de configuration de l’indexation                                    |
| **Indexing**        | Indexing Create          | Possibilité de créer de nouveaux index                                                         |
| **Indexing**        | Indexing Update          | Possibilité de mettre à jour les dépôts indexés existants                                      |
| **Indexing**        | Indexing Delete          | Possibilité de supprimer des index                                                             |
| **Indexing**        | Indexing Management      | Possibilité d’effectuer des opérations de gestion et d’élagage de la base de données des index |
| **Fine-Tuning**     | Fine-Tuning Read         | Accès en lecture à la page de fine-tuning                                                      |
| **Fine-Tuning**     | Fine-Tuning Create       | Possibilité de créer des jobs de fine-tuning                                                   |
| **Fine-Tuning**     | Fine-Tuning Update       | Possibilité de mettre à jour des jobs de fine-tuning                                           |
| **Fine-Tuning**     | Fine-Tuning Delete       | Possibilité de supprimer des jobs de fine-tuning                                               |

<Note>Certaines de ces autorisations (comme Attribution, License, SSO, Indexing et Fine-Tuning) existent dans le système RBAC, mais les pages du portail correspondantes ne sont pas disponibles dans le déploiement FedRAMP multitenant. Ces autorisations sont incluses dans l’interface utilisateur de gestion des rôles par souci d’exhaustivité, mais ne donnent accès à aucune fonctionnalité active dans cet environnement.</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## Procédures du cycle de vie du compte administrateur
</div>

Cette section décrit le cycle de vie complet d’un compte administratif principal, depuis sa création initiale jusqu’à sa mise hors service.

<div id="account-setup">
  ### Configuration du compte
</div>

L’**intégration via le SSO** constitue la principale méthode de provisionnement dans le déploiement FedRAMP. La plateforme prend en charge OIDC et SAML 2.0 pour l’intégration de l’authentification unique. Les utilisateurs s’authentifient via le fournisseur d’identité configuré et, après la première connexion qui crée leur compte, un administrateur leur attribue le rôle approprié via le Admin Portal. Notez que l’intégration SSO dans l’environnement FedRAMP nécessite une coordination avec l’équipe Devin Desktop FedRAMP et ne peut pas être configurée en libre-service.

Chaque nouveau compte administrateur doit être configuré conformément au principe du moindre privilège. Privilégiez des rôles personnalisés avec uniquement les autorisations nécessaires aux responsabilités de l’administrateur, plutôt que d’attribuer le rôle Admin complet, sauf si l’utilisateur a besoin d’un accès complet au système.

<div id="authentication-and-mfa-requirements">
  ### Exigences en matière d’authentification et de MFA
</div>

Le déploiement FedRAMP utilise exclusivement l’authentification unique (SSO) et prend en charge les protocoles OIDC et SAML 2.0. L’authentification par e-mail et mot de passe n’est pas disponible. Tous les utilisateurs doivent s’authentifier via le fournisseur d’identité configuré.

L’authentification multifacteur (MFA) est imposée par le fournisseur d’identité de l’organisation. Devin Desktop hérite des politiques MFA configurées dans l’IdP connecté, ce qui signifie que toutes les exigences relatives au niveau de sécurité de l’authentification (par exemple, l’obligation d’un second facteur, l’utilisation de méthodes d’authentification résistantes au phishing ou l’application de politiques d’accès conditionnel) sont définies au niveau de l’IdP. Les organisations doivent configurer leur IdP afin d’exiger le MFA pour tous les utilisateurs accédant à l’application Devin Desktop, en particulier pour les comptes ayant des rôles administratifs.

<Warning>Devin Desktop recommande vivement d’exiger le MFA pour tous les comptes administratifs. Configurez votre fournisseur d’identité pour imposer le MFA comme condition d’accès à l’application Devin Desktop.</Warning>

<div id="account-setup">
  ### Configuration du compte
</div>

Après la création d’un compte administrateur, les étapes de configuration suivantes doivent être effectuées.

**L’attribution des rôles** détermine le périmètre de l’accès administratif du compte. Attribuez les rôles via l’Admin Portal en accédant à l’onglet Manage Team, en repérant l’utilisateur, en cliquant sur Edit, puis en sélectionnant le rôle approprié dans la liste déroulante. Les modifications prennent effet immédiatement.

**La gestion des clés de service** est requise lorsque l’administrateur a besoin d’un accès à l’API pour l’automatisation ou l’analyse. Les clés de service sont créées dans Settings avec des autorisations limitées au périmètre correspondant à l’usage prévu de la clé. Chaque clé de service doit recevoir un nom explicite (par exemple, "Analytics Dashboard") et se voir attribuer un rôle disposant des autorisations minimales requises.

<div id="account-operation">
  ### Fonctionnement du compte
</div>

Les pratiques opérationnelles courantes pour les comptes administratifs comprennent les éléments suivants.

Des **contrôles réguliers des accès** doivent être effectués pour vérifier que les comptes administratifs ont toujours besoin de leur niveau d’accès actuel. Consultez régulièrement la liste des utilisateurs ayant le rôle Admin dans l’onglet Manage Team et ajustez les rôles à mesure que les responsabilités évoluent.

La **surveillance de l’activité** est disponible via les tableaux de bord d’analyse intégrés. Les administrateurs disposant de l’autorisation Analytics Read peuvent suivre l’activité des utilisateurs, les indicateurs d’engagement et l’utilisation des fonctionnalités. L’Analytics API fournit un accès programmatique à ces données pour l’intégration avec des systèmes de supervision externes.

La **rotation des clés de service** doit être effectuée régulièrement. Pour effectuer une rotation de clé, créez une nouvelle clé de service avec les mêmes autorisations, mettez à jour le système qui l’utilise pour qu’il utilise la nouvelle clé, puis supprimez l’ancienne clé.

<div id="account-decommissioning">
  ### Mise hors service du compte
</div>

Lorsqu’un administrateur n’a plus besoin d’accès, le compte doit être mis hors service rapidement en suivant la procédure ci-dessous.

<Steps>
  <Step title="Révoquer le rôle d’administrateur">
    Accédez à Admin Portal, ouvrez l’onglet Manage Team, repérez l’utilisateur, cliquez sur Edit et changez son rôle de Admin à User (ou à un rôle personnalisé sans autorisations administratives).
  </Step>

  <Step title="Révoquer les clés de service">
    Supprimez toutes les clés de service créées par l’administrateur sortant ou utilisées exclusivement par celui-ci. Accédez à Settings, puis à Service Key, et supprimez les clés concernées.
  </Step>

  <Step title="Supprimer ou désactiver le compte">
    Supprimez l’utilisateur via l’onglet Manage Team en cliquant sur Delete à côté de son nom. Cela désactivera le compte Devin Desktop de l’utilisateur et libérera sa licence.
  </Step>

  <Step title="Vérifier les accès résiduels">
    Vérifiez que le compte mis hors service n’apparaît plus dans aucun rôle administratif en consultant la liste des utilisateurs de Manage Team filtrée sur le rôle Admin. Confirmez que toutes les clés de service associées au compte ont bien été supprimées.
  </Step>
</Steps>

<Warning>Mettez immédiatement hors service les comptes administratifs lorsqu’un administrateur change de rôle ou quitte l’organisation. Retarder leur mise hors service crée un risque de sécurité inutile.</Warning>

***

<div id="security-settings-reference">
  ## Référence des paramètres de sécurité
</div>

Le tableau ci-dessous répertorie tous les paramètres de sécurité contrôlés par les administrateurs disponibles dans le Admin Portal du déploiement FedRAMP. Chaque entrée décrit la fonction du paramètre, son impact sur la sécurité et la configuration recommandée pour un déploiement exigeant sur le plan de la sécurité.

| Paramètre                                      | Fonction                                                                                                                                                                                                                                                                                                                                         | Impact sur la sécurité                                                                                                                                                                                                                                            | Valeur recommandée                                                                                                                                                                                                                  |
| ---------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Contrôle d’accès basé sur les rôles (RBAC)** | Contrôle les actions administratives que chaque utilisateur peut effectuer en fonction du rôle et des autorisations qui lui sont attribués. Géré dans la section Role Management de Settings.                                                                                                                                                    | Limite la portée d’un compte compromis en restreignant les autorisations au strict nécessaire pour chaque utilisateur. Des attributions de rôles trop larges augmentent l’impact potentiel de la compromission d’un seul compte.                                  | **Configurez selon le principe du moindre privilège.** Créez des rôles personnalisés avec uniquement les autorisations nécessaires à chaque administrateur. Réservez le rôle Admin intégré à un nombre restreint d’administrateurs. |
| **Autorisations des clés de service**          | Définissent le périmètre des jetons d’accès d’API selon des ensembles d’autorisations spécifiques et contrôlent ainsi les opérations que les systèmes automatisés peuvent effectuer. Géré dans la section Service Key de Settings.                                                                                                               | Des clés de service dotées d’autorisations excessives peuvent être exploitées si elles sont divulguées, accordant un accès non autorisé à la gestion des utilisateurs, à l’analyse ou à d’autres fonctions.                                                       | **Limitez le périmètre aux autorisations strictement nécessaires.** Créez des clés de service dédiées pour chaque intégration, avec uniquement les autorisations dont elle a besoin. Effectuez une rotation régulière des clés.     |
| **Configuration du fournisseur SSO**           | Configure le fournisseur d’identité utilisé pour toute l’authentification des utilisateurs, avec prise en charge des protocoles OIDC et SAML 2.0. L’authentification par e-mail/mot de passe n’est pas disponible. La configuration du SSO nécessite une coordination avec l’équipe Devin Desktop FedRAMP. Géré dans la section SSO de Settings. | Centralise l’authentification via l’IdP de l’organisation, ce qui permet d’appliquer la MFA, l’accès conditionnel et les politiques de session. Une mauvaise configuration pourrait bloquer l’accès à tous les utilisateurs ou autoriser des accès non autorisés. | **Configurez-le avec le fournisseur d’identité approuvé par votre organisation (OIDC ou SAML 2.0).** Vérifiez la configuration en testant la connexion avec un compte non administrateur avant un déploiement à grande échelle.     |

*Dernière mise à jour : 28 janvier 2026*
