Guide de démarrage rapide

Installez et lancez SecureReport UQAC en moins de 5 minutes.

Prérequis

• Node.js 20+ — nodejs.org
• npm (inclus avec Node.js)
• Aucune base de données externe requise (SQLite integre)

Installation

# Cloner le depot
git clone https://github.com/topomap/securereport-uqac.git
cd securereport-uqac

# Installer les dependances
npm install

Lancement

# Mode developpement (rechargement automatique)
npm run dev

# Mode production
npm run build
npm start

Utilisateurs par defaut

Quatre comptes sont crees automatiquement lors de l'initialisation :

Premier accès

1. Ouvrez http://localhost:3800 dans votre navigateur
2. Connectez-vous avec le compte admin / admin123
3. Explorez le tableau de bord avec les 6 rapports de démonstration
4. Testez le portail public sur http://localhost:3800/portal.html

Tableau de bord

Le tableau de bord est la page d'accueil de l'application. Il fournit une vue synthétique de l'activité de sécurité en temps réel.

Cartes statistiques

Quatre indicateurs cles sont affichés en haut du tableau de bord :

Graphiques

• Répartition par catégorie — Graphique à barres horizontales montrant les catégories les plus fréquentes (top 10)
• Répartition par sévérité — Distribution des rapports par niveau de sévérité (faible, moyen, élevé, critique)
• Tendance 30 jours — Courbe d'evolution du nombre de rapports sur le dernier mois

Rapports recents

Les 10 derniers rapports sont affichés avec leur numéro, titre, auteur, catégorie, sévérité et statut. Un clic permet d'ouvrir le detail du rapport.

Gestion des rapports

Les rapports d'incidents sont au coeur de SecureReport. Chaque événement de sécurité est documenté dans un rapport structuré, traitable et traçable.

Types de rapports

Champs d'un rapport

• Numéro — Généré automatiquement au format RPT-YYYY-NNNN
• Titre — Résumé court de l'événement
• Description — Recit détaillé de l'incident
• Lieu — Localisation sur le campus
• Catégorie — Classification de l'événement
• Sévérité — Faible, Moyen, Eleve ou Critique
• Date de l'incident — Horodatage de l'événement
• Personnes impliquees — Informations sur les temoins ou victimes
• Actions prises — Mesures appliquees sur le terrain

Recherche et filtres

La liste des rapports supporte les filtres suivants, combinables entre eux :

• Recherche texte libre (titre, description, numéro)
• Filtre par statut (brouillon, soumis, approuve, rejete, archive)
• Filtre par catégorie
• Filtre par sévérité
• Filtre par plage de dates
• Filtre par auteur (superviseurs et administrateurs)

Cycle de vie d'un rapport

Chaque rapport suit un flux de travail rigoureux garantissant la qualite et la traçabilité des informations.

Etapes détaillées

1. Brouillon draft

L'agent créé un rapport qui est automatiquement sauvegarde en brouillon. La sauvegarde automatique s'execute toutes les 30 secondes pendant l'edition. L'agent peut modifier librement le contenu tant que le rapport est en brouillon.

2. Soumis submitted

Lorsque l'agent juge le rapport complet, il le soumet pour approbation. Le rapport apparait alors dans la file d'attente des superviseurs. Aucune modification n'est possible une fois soumis (sauf par un administrateur).

3. Approuve approved

Un superviseur ou administrateur valide le rapport. La date d'approbation et le nom de l'approbateur sont enregistres. Le rapport est alors considere comme officiel.

4. Rejete → Brouillon

Si le superviseur constate des lacunes, il peut rejeter le rapport avec un motif obligatoire. Le rapport retourne en statut brouillon et l'agent recoit le motif de rejet pour correction.

5. Archive archived

Les rapports approuves peuvent etre archives par un superviseur ou administrateur pour liberer la vue active tout en conservant l'historique complet.

Creation et edition

Creer un rapport

1. Cliquer sur le bouton + Nouveau rapport (tableau de bord ou liste des rapports)
2. Sélectionner le type de rapport (incident, quotidien, suivi)
3. Remplir les champs du formulaire
4. Le brouillon est sauvegarde automatiquement toutes les 30 secondes
5. Cliquer sur Soumettre lorsque le rapport est complet

Sauvegarde automatique

Pendant l'edition d'un brouillon, SecureReport sauvegarde automatiquement le contenu toutes les 30 secondes via l'endpoint PUT /api/reports/:id/autosave. Un indicateur visuel confirme chaque sauvegarde. Cette fonctionnalitée previent toute perte de données en cas de deconnexion ou de fermeture accidentelle du navigateur.

Modification

• Agents : peuvent modifier uniquement leurs propres brouillons
• Superviseurs : peuvent consulter tous les rapports mais ne peuvent pas les modifier directement
• Administrateurs : peuvent modifier tout rapport, quel que soit son statut

Export PDF

Chaque rapport peut etre exporte en document PDF professionnel pour archivage, impression ou transmission par courriel.

Contenu du PDF

• En-tete avec le logo UQAC Sécurité et le numéro de rapport
• Informations completes du rapport (type, sévérité, catégorie, lieu, etc.)
• Description détaillée de l'incident
• Personnes impliquees et actions prises
• Historique d'audit complet (creation, soumission, approbation)
• Pied de page avec horodatage de generation

Generation

L'export est disponible via le bouton Exporter PDF dans le detail de chaque rapport, ou via l'endpoint API GET /api/reports/:id/pdf. Si Puppeteer est installe sur le serveur, un vrai fichier PDF est généré ; sinon, un document HTML imprimable est retourne en remplacement.

Roles et permissions

SecureReport implemente un controle d'accès base sur les roles (RBAC) avec trois niveaux hierarchiques.

Description des roles

Agent agent

Utilisateur de terrain. Les agents de sécurité redigent les rapports d'incidents et les rapports quotidiens. Ils ne voient que leurs propres rapports et ne peuvent pas approuver.

Superviseur supervisor

Responsable d'équipe. Les superviseurs consultent tous les rapports, approuvent ou rejettent les soumissions, et gerent les signalements publics. Ils n'ont pas accesà la gestion des utilisateurs ni aux catégories.

Administrateur admin

Accès complet au système. Les administrateurs gerent les utilisateurs, les catégories, consultent le journal d'audit, et disposent de toutes les permissions des autres roles.

Matrice des permissions

Catégories d'événements

Les catégories permettent de classifier les rapports et signalements pour faciliter le suivi et l'analyse statistique.

Catégories par defaut

Structure arborescente

Les catégories supportent une hierarchie parent/enfant. Chaque sous-catégorie est liée à une catégorie parente via le champ parent_id. L'interface d'administration affiché cette arborescence et permet d'ajouter des sous-catégoriesà n'importe quel niveau.

Gestion (administrateur)

• Ajouter : nom, icone, couleur et catégorie parente optionnelle
• Modifier : mise à jour du nom, de la couleur ou de l'icone
• Desactiver : suppression logique (les rapports existants conservent leur catégorie)
• Reordonner : champ sort_order pour controler l'affichage

Portail public de signalement

Le portail public permetà toute personne (etudiants, employes, visiteurs) de signaler un incident de sécurité sans avoir besoin de compte utilisateur.

Accès

Le portail est accessibleà l'adresse /portal.html. Aucune authentification n'est requise.

Formulaire de signalement

Le formulaire contient les champs suivants :

• Nom (facultatif) — le signalement peut etre anonyme
• Courriel (facultatif) — pour un eventuel suivi
• Telephone (facultatif)
• Catégorie — liste deroulante des catégories actives
• Lieu de l'incident
• Description (obligatoire) — recit de l'observation

Suivi des signalements

Apres soumission, le système généré un numéro de reference au format SIG-YYYY-NNNN. Le signalement apparait dans la section « Signalements » de l'interface interne avec le statut Nouveau. Les agents peuvent alors :

• Assigner le signalementà un agent spécifique
• Modifier la priorite (faible, moyen, élevé, critique)
• Changer le statut (nouveau → assigne → en cours → resolu → ferme)
• Ajouter des notes internes

Journal d'audit

SecureReport enregistre automatiquement chaque action significative dans un journal d'audit immuable, assurant une traçabilité complete.

Actions tracees

Informations enregistrees

Chaque entree du journal contient :

• Utilisateur — ID et nom de l'auteur de l'action
• Action — Type d'operation effectuee
• Entite — Type et identifiant de l'objet concerne
• Ancienne valeur — Etat precedent (pour les modifications)
• Nouvelle valeur — Etat apres l'action
• Adresse IP — IP du client
• Horodatage — Date et heure de l'action

Consultation et filtres

Le journal d'audit est accessible uniquement aux administrateurs. Les filtres disponibles :

• Par utilisateur
• Par type d'action
• Par type d'entite (rapport, utilisateur, catégorie, signalement)
• Par plage de dates

Les 500 entrees les plus récentes sont affichées. Les données d'audit ne sont jamais supprimees.

Statistiques

Le module de statistiques offre une analyse détaillée de l'activité de sécurité avec plusieurs dimensions d'analyse.

Dimensions d'analyse

• Par catégorie — Distribution des rapports par type d'événement
• Par sévérité — Répartition par niveau de gravite
• Par statut — Etat actuel des rapports dans le flux de travail
• Par type — Répartition entre incidents, quotidiens et suivis
• Par mois — Evolution temporelle de l'activité
• Par auteur — Volume de rapports par agent
• Par lieu — Top 10 des lieux les plus frequents
• Delai moyen d'approbation — Temps entre soumission et approbation en heures

Export CSV

L'integralite des rapports peut etre exportee au format CSV via le bouton Exporter CSV. Le fichier contient les colonnes : numéro, type, titre, description, lieu, sévérité, statut, catégorie, auteur, date d'incident, dates de creation, soumission et approbation, personnes impliquees et actions prises.

Architecture technique

Stack technologique

Diagramme d'architecture

Structure du projet

Base de données

SecureReport utilise SQLite pour le stockage persistant. La base de données est creee automatiquement au premier lancement via le schema defini dans src/db/schema.ts.

Schema des tables

Index de performance

API — Authentification

L'authentification est geree par sessions HTTP avec cookies httpOnly. Toutes les routes API (sauf le portail public) requierent une session valide.

{
  "username": "agent1",
  "password": "agent123"
}

{
  "id": 3,
  "username": "agent1",
  "fullName": "Patrick Gagnon",
  "role": "agent"
}

{ "error": "Identifiants invalides" }

{ "ok": true }

{
  "id": 3,
  "username": "agent1",
  "fullName": "Patrick Gagnon",
  "role": "agent"
}

API — Rapports

{
  "id": 1,
  "report_number": "RPT-2026-0001",
  "type": "incident",
  "title": "Alarme incendie - Pavillon principal",
  "severity": "high",
  "status": "approved",
  "author_name": "Patrick Gagnon",
  "category_name": "Incendie",
  "audit": [...],
  "custom_fields": [...]
}

{
  "type": "incident",
  "title": "Vol de laptop - Bibliotheque",
  "description": "Description détaillée...",
  "location": "Bibliotheque, 2e etage",
  "severity": "medium",
  "category_id": 4,
  "incident_date": "2026-03-29 09:15",
  "involved_persons": "Etudiant - confidentiel",
  "actions_taken": "Cameras verifiees"
}

{ "ok": true, "auto_saved_at": "2026-03-29T10:15:00Z" }

{ "reason": "Description incomplete, veuillez preciser le lieu exact." }

API — Catégories

[
  {
    "id": 1,
    "name": "Sécurité physique",
    "parent_id": null,
    "color": "#E74C3C",
    "icon": "🔒",
    "active": 1,
    "sort_order": 1
  }
]

{
  "name": "Harcelement",
  "parent_id": null,
  "color": "#9B59B6",
  "icon": "⚠",
  "sort_order": 10
}

API — Utilisateurs

[
  {
    "id": 1,
    "username": "admin",
    "full_name": "Jean-Pierre Tremblay",
    "role": "admin",
    "email": "admin@uqac.ca",
    "active": 1
  }
]

{
  "username": "agent3",
  "password": "motdepasse",
  "full_name": "Marc-Andre Simard",
  "role": "agent",
  "email": "agent3@uqac.ca"
}

{
  "full_name": "Nouveau nom",
  "role": "supervisor",
  "active": 1,
  "password": "nouveau_mot_de_passe"
}

API — Signalements

{
  "reporter_name": "Martin Cote",
  "reporter_email": "martin@email.com",
  "reporter_phone": "418-555-0123",
  "description": "Eclairage defectueux dans le stationnement sud.",
  "location": "Stationnement Sud",
  "category_id": 6
}

{
  "signal_number": "SIG-2026-0004",
  "message": "Votre signalementà ete enregistre avec succes."
}

{
  "status": "in_progress",
  "assigned_to": 3,
  "priority": "high",
  "admin_notes": "Agent Gagnon envoyé sur place."
}

API — Statistiques

{
  "cards": {
    "totalToday": 3,
    "pendingApproval": 2,
    "myReports": 5,
    "openSignals": 3,
    "totalReports": 6,
    "totalApproved": 3
  },
  "byCategory": [...],
  "bySeverity": [...],
  "trend": [...],
  "recentReports": [...]
}

Sécurité

SecureReport implemente plusieurs couches de sécurité pour protégér les données sensibles des rapports d'incidents.

Hachage des mots de passe

Les mots de passe sont haches avec l'algorithme SHA-256 combineà un salt unique avant stockage en base de données. Le mot de passe en clair n'est jamais stocke ni journalise.

Sessions et cookies

• Sessions gerees par express-session
• Cookies marques httpOnly (inaccessibles au JavaScript client)
• Duree de session : 8 heures
• Secret de session configurable via variable d'environnement

Controle d'accès par role (RBAC)

Chaque route API est protégée par un middleware d'authentification et, le cas echeant, un middleware de verification de role. Les middlewares sont :

• requireAuth — Verifie qu'une session valide existe
• requireRole(...roles) — Verifie que le role de l'utilisateur est dans la liste autorisee

Audit trail automatique

Chaque action est enregistree dans la table audit_log avec l'identifiant de l'utilisateur, l'adresse IP, l'horodatage et les valeurs avant/apres. Ce journal est en lecture seule et ne peut etre ni modifié ni supprimé depuis l'interface.

Ameliorations prévues

• Protection CSRF (tokens synchroniseur)
• Rate limiting sur les endpoints d'authentification
• Migration vers bcrypt/Argon2
• Cookies Secure et SameSite=Strict en production (HTTPS)
• Headers de sécurité HTTP (Helmet.js)

Déploiément

Prérequis serveur

• Ubuntu 22.04+ ou Debian 12+ (recommande)
• Node.js 20 LTS
• 512 Mo RAM minimum
• 1 Go espace disque

Installation production

# Cloner et installer
git clone https://github.com/topomap/securereport-uqac.git /opt/securereport
cd /opt/securereport
npm ci --production

# Compiler TypeScript
npm run build

# Configurer les variables d'environnement
cp .env.example .env
nano .env

# Lancer avec un gestionnaire de processus
npm install -g pm2
pm2 start dist/server.js --name securereport
pm2 save
pm2 startup

Configuration reverse proxy (Caddy)

securereport.uqac.ca {
    reverse_proxy localhost:3800
    encode gzip
    header {
        X-Frame-Options DENY
        X-Content-Type-Options nosniff
        Referrer-Policy strict-origin-when-cross-origin
    }
}

Configuration Nginx (alternative)

server {
    listen 443 ssl http2;
    server_name securereport.uqac.ca;

    ssl_certificate     /etc/ssl/certs/securereport.crt;
    ssl_certificate_key /etc/ssl/private/securereport.key;

    location / {
        proxy_pass http://127.0.0.1:3800;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Sauvegarde de la base de données

# Sauvegarde quotidienne via crontab
0 2 * * * cp /opt/securereport/uqac-security.db \
  /backup/securereport-$(date +\%Y\%m\%d).db

Variables d'environnement

Conformite UQAC — Avis 2089-26

Mapping des exigences de l'avis d'interet 2089-26 de l'UQAC pour le Logiciel de redaction de rapport de sécurité pour la Direction des infrastructurés.

Feuille de route

Version 1.0 Actuelle

• Application web SPA complete
• Gestion des rapports (CRUD + workflow d'approbation)
• 3 types de rapports : incident, quotidien, suivi
• Gestion des roles (agent, superviseur, administrateur)
• Journal d'audit complet
• Catégories hierarchiques avec icones et couleurs
• Portail public de signalement
• Tableau de bord avec statistiques et graphiques
• Export PDF des rapports
• Export CSV des données
• Sauvegarde automatique des brouillons
• Recherche et filtres avances
• Base de données SQLite (zero configuration)
• Documentation complete

Version 1.1 Planifiee

• Notifications par courriel (nouveau rapport, approbation, rejet)
• Pieces jointes (photos, documents) sur les rapports
• Recherche avancee plein texte
• Migration vers bcrypt pour le hachage des mots de passe
• Protection CSRF
• Rate limiting sur les endpoints d'authentification
• Headers de sécurité HTTP (Helmet.js)
• Script de migration des données Offisir
• Mode hors ligne (PWA)

Version 2.0 Future

• Integration Active Directory / LDAP (authentification UQAC)
• Application mobile native (iOS / Android)
• API publique documentée (OpenAPI/Swagger)
• Geolocalisation des incidents sur une carte du campus
• Tableau de bord temps réel (WebSocket)
• Rapports planifiés automatiques (envoyes par courriel)
• Archivage et purge automatique des données anciennes
• Multi-tenant (support de plusieurs campus)

Support

Équipe

Methodologie

TOPOMAP Technologies utilise une approche agile acceleree par l'intelligence artificielle (Claude Code, agents autonomes) permettant de livrer des solutions completes dans des delais significativement reduits par rapport aux méthodes traditionnelles, tout en maintenant un haut niveau de qualite.