Qu’est-ce que le HTTPS ?

Le HTTP est le protocole qui permet aux ordinateurs des utilisateurs de communiquer avec les serveurs du web. Cependant, il s’agit d’un protocole non chiffré, c’est à dire que les informations circulent en clair entre le navigateur et le serveur. Elles peuvent donc être interceptées par un tiers pour un usage frauduleux. D’où la nécessité de la mise au point d’un système de chiffrement des données échangées et de certificats qui s’achètent auprès d’autorités de confiance et qui garantissent l’identité de votre interlocuteur en ligne. Depuis fin 2016, les sites non commerciaux peuvent se procurer un certificat gratuitement sur Let’s Encrypt.

Système de chiffrement + certificat = le « S » de HTTPS.

Le HTTPS garantit l’authenticité du site aux utilisateurs, ce qui permet de se prémunir contre l’usurpation d’identité en ligne. Il permet aussi de protéger l’intégrité et la confidentialité des données échangées via un formulaire, comme vos identifiants de connexion.

Faut-il basculer votre site en HTTPS ?

Un site non sécurisé est source d’un déficit de confiance dans la sécurité des données échangées. Un simple formulaire de contact ou de connexion est suffisant pour activer l’affichage d’alertes de sécurité sur tous les navigateurs actuellement à jour, ce qui est anxiogène.

La stratégie Google

En aout 2014, Google annonce son intention d’encourager les sites internet à évoluer vers la sécurisation de leurs contenus. Il confirme alors que le HTTPS produira un bonus de référencement (en).

Depuis l’automne 2016, à travers son navigateur Chrome, Google intensifie les affichages d’alertes (en) pour contenus non sécurisés afin d’inciter les sites à adopter le HTTPS.

La moitié des internautes français utilise soit Chrome, soit Firefox pour circuler sur le web. Depuis le début de l’année 2017, ces deux logiciels mettent en garde les internautes contre les sites insuffisamment sécurisé. Ces avertissements sont de nature à dissuader les visiteurs de rester ou de revenir sur votre site, ce qui est, par définition, une bonne raison de basculer en HTTPS.

Même si cette orientation n’a plus été confirmée depuis l’annonce d’août 2014 (voir ci-contre), Google est susceptible de favoriser le référencement d’un site HTTPS plutôt que d’un site non sécurisé dans un avenir proche.

Comment passer votre site en HTTPS ?

Basculer en HTTPS nécessite de se procurer un certificat pour son nom de domaine, de l’installer sur son hébergement et d’activer le protocole sécurisé; un ensemble de manipulations qui demande tout de même une certaine maitrise technique du webmastering.

Par ailleurs, le passage en HTTPS crée souvent des pages à contenu mixte. Cela signifie que vos pages intègrent des contenus extérieurs à votre site (comme des images, par exemple) et que ces sites ne sont pas eux-mêmes sécurisés. Ce qui provoque cet affichage — pas réellement de nature à rassurer vos visiteurs — et un risque non négligeable de désindexation par Google. De la même manière, mal paramétré, le passage en HTTPS crée des problèmes de redirection ou de duplication des anciennes pages. Cela peut perturber l’accès à certaines fonctionnalités, bloquer des sections du site. Ces dysfonctionnements sont de nature à faire fuir clients et robots de référencement.

Pour corriger ces erreurs de paramétrage, il vous faudra mobiliser le temps et les compétences nécessaires. Sur un site d’entreprise déjà en production, avec une boutique en ligne ou même un système de gestion des contenus, il est vivement conseillé de vous tourner vers un prestataire expérimenté qui vous garantit une transition en toute quiétude.

Enregistrer

Enregistrer

GrizzlyDev, votre partenaire sécurité

Chez GrizzlyDev, nous disposons des compétences, de l’expérience et de l’infrastructure nécessaires pour mener à bien le passage de votre site en HTTPS.

Ces derniers mois, nous avons mené à bien de nombreuses migrations HTTPS dans une grande variété de configuration de sites.

Notre méthodologie protège votre site de toute manipulation malencontreuse. En effet, nous disposons de serveurs de test sur lesquels votre site sera entièrement cloné, passé en HTTPS, testé, débogué et validé. Nous vérifions ainsi au préalable et en toute sécurité le bon fonctionnement de tous les liens, médias, pages et formulaires de votre site en version sécurisée.

Ainsi, le basculement en ligne se fait de manière totalement transparente pour vos utilisateurs. Votre site ne rencontrera aucun problème : déconnexion, dysfonctionnement, interruption de service ou page à contenu mixte, ce qui rassure vos clients sans nuire à votre référencement.

Pour communiquer auprès des familles et recruter des bénévoles et partenaires, l’association dispose depuis 2007 d’un site internet et d’un extranet pour coordonner les adhérents. Ce site, développé dans une solution propriétaire obsolète n’est plus adapté aux besoins d’autonomie de ses administrateurs et utilisateurs. La mission de GrizzlyDev a donc été assez complexe dans le cadre d’une refonte globale de l’outil.

1. Nouveau CMS : WordPress présente aujourd’hui toutes les qualités recherchées par l’E.S.A.. C’est un CMS standard maintenu par une forte communauté, facile à administrer et mettre à jour et dont l’extrême modularité permet d’ajouter toutes les fonctionnalités nécessaires en fonction des besoins spécifiques de chaque utilisateur. Notre expertise sur WordPress était la garantie d’obtenir un outil sur mesure tout en conservant une grande autonomie grâce aux mises à jour standards, c’est-à-dire un site durable.
2. Nouvelles fonctionnalités : L’ergonomie par défaut de WordPress offre déjà de nombreuses possibilités, comme la gestion des différents niveaux d’utilisateurs, entre les rédacteurs qui disposent d’une interface conviviale pour rédiger l’information d’une antenne locale et les administrateurs qui valident les articles et pilotent le site. Les dernières versions simplifient aussi la mise en ligne des contenus audios et vidéos. L’ajout de quelques plugins a ouvert des fonctionnalités importantes pour l’E.S.A. comme la carte interactive intégrée des implantations de l’association, avec recherche géographique; la gestion du fond documentaire — avec le plugin de gestion de fichiers — ou les carrousels d’images en complément d’information ou de navigation.
3. Nouveau design : La conception du design a été confiée à notre partenaire Bruno Ghiringhelli dont le studio graphique maitrise la communication institutionnelle et les codes graphiques en vigueur pour une meilleure efficacité et visibilité de nos clients. Le choix s’est porté sur un habillage clair, aéré et un flat design adapté aux contraintes du responsive design, c’est à dire de l’affichage adapté à tous les appareils accédant à internet : ordinateurs de bureau ou portables, tablettes, smartphone, etc.
4. Nouvelle navigation : L’arborescence a été simplifiée grâce aux pages en scrolling. Les utilisateurs et les visiteurs ne sont jamais à plus de deux clics de l’information qu’ils recherchent.
5. Sécurisation de l’information : La grande spécialité de GrizzlyDev. Le nouveau site sous WordPress a bénéficié d’un environnement de développement dédié pendant toute la phase des travaux. Ceci a facilité les tests et les étapes de validation avant une mise en ligne simplifiée par basculement sur le nouvel espace d’hébergement.

L’E.S.A. a bénéficié de toute l’expertise de GrizzlyDev en terme de sécurité, hébergement, référencement naturel et conseils pendant les phases de développement préalables; le nouveau site est évidemment éligible à notre contrat de maintenance standard : assistance de gestion du site, maintenance du CMS et de ses plugins, analyses statistiques du serveur web Apache, formation continue, sauvegarde incrémentielle des données, etc.

Comment partager vos fichiers en toute sécurité?

Tout a commencé un jour d’été en 2012, lorsque Bluetouff, au détour de ses recherches sur le régime syrien, tombe par hasard sur le serveur extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses), utilisé par les chercheurs pour stocker et échanger leurs documents de travail. Au lieu d’être protégées par un identifiant et un mot de passe, comme elles auraient dû l’être, ces données, indexées sur Google, étaient accessibles sans le moindre piratage. Sans avoir besoin « d’aucune autre connaissance technique que celles de savoir se servir d’un moteur de recherche, d’un navigateur et d’une souris », note Numerama.
Un blogueur condamné pour avoir trouvé des documents via Google, BigBrowser, 6 février 2014

Si les médias se sont surtout attardés sur l’aspect juridique de cette affaire, chez GrizzlyDev, c’est sur les questions techniques que nous voulons attirer votre attention.

Il ne s’agit, ni plus ni moins, que de la question centrale de la diffusion de documents de travail partagés au sein d’une institution aussi importante que peut l’être l’ANSES. Nous concevons tous que des scientifiques et ingénieurs rattachés à cette organisation puissent avoir besoin d’échanger des informations ainsi que des données, comme c’est également le cas dans la plupart des entreprises contemporaines. Si les boites mail suffisent pour de petits documents de formats bureautiques, un travail d’équipe suppose souvent l’échange de fichiers suffisamment volumineux pour que l’envoi en fichier-joint de courriel ne soit plus envisageable.

Les entreprises doivent gérer une certaine quantité d’informations qui n’ont pas vocation à être rendues publiques sur Internet, mais qu’elles souhaitent rendre accessibles à des personnes ou des groupes de personnes bien définis afin de faciliter le travail collaboratif.
Il est toujours possible de recourir à des services spécialisés d’échange de fichiers en ligne, comme Dropbox, l’un des plus connus après du grand public. Cela dit, est-ce que vous pouvez confier toutes les données de votre entreprise à des services externes ? Quel contrôle avez-vous sur la possible divulgation de vos données ?

Sécurité publique. Nous pouvons divulguer vos informations à des tiers si nous estimons que cela est raisonnablement nécessaire afin de (a) respecter la loi ; (b) protéger toute personne contre des dommages corporels graves, voire la mort ; (c) lutter contre la fraude ou les atteintes portées à Dropbox ou à nos utilisateurs ; ou (d) protéger les droits de propriété de Dropbox.
Règles de confidentialité de Dropbox du 20 février 2014

Certaines organisations choisissent de monter un extranet sur l’un de leurs hébergements Internet. C’est la solution qui a été retenue par l’ANSES. Malheureusement, il manquait un système performant de contrôle des accès, puisque les données ont été référencées et accessibles depuis Google.
Un simple système d’alerte sur les logs des dossiers concernés aurait pu rapidement informer les services informatiques de l’ANSES d’une faille de sécurité.

Il est difficile d’imaginer pire scénario pour la direction des services informatiques (DSI) d’une entreprise que la dissémination de données internes, voire confidentielles, sur les réseaux publics. Il n’est pas possible, non plus, d’envisager des mesures de formation suffisantes des utilisateurs quant aux bonnes pratiques à respecter dans la diffusion et le partage de dossiers de travail avec d’autres interlocuteurs.
La meilleure alternative possible pour verrouiller efficacement le partage de données dans l’entreprise est toujours de développer l’outil informatique le mieux adapté aux pratiques internes.

C’est pour répondre à ce besoin fondamental des entreprises modernes que GrizzlyDev vous aide à auditer les solutions déjà existantes dans votre structure afin de déterminer si les usages sont bien adaptés aux objectifs assignés à votre Système d’Informations (SI).
Notre longue expérience des problématiques de sécurité dans un monde à la fois concurrentiel et collaboratif nous a conduits à développer une expertise forte dans la création et la gestion d’espaces collaboratifs sécurisés d’échange de fichiers, gérés de manière simple et efficace. C’est dans cette optique que GrizzlyDev a créé PartagerFichier qui répond très bien, par exemple, à la contrainte de circulation de fichiers PDF trop volumineux pour les boites de courriel.

PartagerFichier.fr se présente comme une solution sur mesure, directement implémentée dans votre système d’information. Notre cahier des charges prend en compte l’ensemble de vos contraintes en terme de niveau d’accessibilité de l’information, de traçabilité des partages (partage : qui, quoi, quand ; consultation : qui, quoi, quand ; ce qui était en ligne : quoi, quand), d’historisation des usages…
Des dimensions essentielles oubliées dans le système d’information de L’ANSES.

Sauvegarde des données entreprise via le cloud

Si de plus en plus d’entreprises sont conscientes de la nécessité d’investir dans des systèmes performants de sauvegarde de leurs données, peu d’entre elles sont sensibilisées à la problématique du Plan de Reprise d’Activité (PRA).

Pourquoi sauvegarder quotidiennement votre système d’information, si ce n’est pour pouvoir continuer à travailler, même quand le pire est arrivé?

Pour illustrer notre propos, voici la solution concrète que nous avons déployée pour l’un de nos clients.

Un PRA de 4 heures seulement.

L’entreprise P. est un cabinet d’expertise qui produit des rapports quotidiennement. L’activité se déploie sur deux sites distants d’une trentaine de kilomètres, la maison mère, site A et une filiale, site B.

L’entreprise P. crée, de par la nature même de son activité, un flux continu de données qu’elle doit nécessairement archiver. Chaque dossier client ouvert comprend différents documents et pèse dans les 10 à 15 Mo. L’ensemble des données de l’entreprise représente une masse de 3 To en expansion constante.

Nous sommes intervenus dans un premier temps pour mettre à jour le système informatique (SI) et plus particulièrement sa composante matérielle. Nous avons commencé par remplacer les 3 serveurs physiques de l’entreprise par une seule machine que nous avons consolidé tant du point de vue matériel que logiciel et sur laquelle nous avons virtualisé les 3 anciens serveurs, grâce à la solution de virtualisation VMWare vSphere. Cette consolidation est très avantageuse pour notre client : une seule machine physique = un seul contrat de maintenance. En concentrant les ressources financières sur une seule machine, on peut pousser la puissance et les capacités de stockage du système.

La question du PRA s’est très vite posée lors de ce nouveau déploiement : l’entreprise P. sauvegarde chaque soir ses données sur un NAS local, mais en cas de destruction physique du site de la maison mère, les données sont irrémédiablement perdues et l’entreprise ne peut maintenir son activité, ce qui est un risque majeur. En fonction des contraintes et des ressources disponibles, nous avons proposé à entreprise P. un PRA de seulement 4 heures. Autrement dit, en cas de sinistre sur le site A., nous garantissons la reprise de l’activité de l’entreprise sous 4 heures pour un investissement tout à fait modeste au regard des enjeux économiques d’une suspension d’activité. La reprise utilise les données sauvegardées lors de la dernière réplication valide, soit les enregistrement validés 12 à 36 heures avant le sinistre.

Nous avons proposé à l’entreprise P. de dupliquer son serveur de virtualisation sur le site B. Ainsi, il nous a suffi de déployer une deuxième machine identique à la première dans le second établissement de l’entreprise et d’y programmer à l’aide de la technologie VEEAM un système automatique de réplication différentielle sur la machine clone via une simple ligne haut débit et qui s’exécute durant la nuit.

En cas de destruction du site A, il nous suffit de démarrer le serveur de secours du site B et d’effectuer un reroutage réseau. Ainsi les utilisateurs du réseau informatique de l’entreprise P. pourront de manière totalement transparente et à partir de n’importe quelle machine, se connecter sur leur bureau à distance via le protocole RDP. Ils retrouveront leur environnement de travail habituel, tel qu’ils l’avaient laissé la veille au soir. Grâce à la solution de sauvegarde intégrale GrizzlyDev, l’entreprise P. n’a pas de perte d’activité à déplorer ni de destruction de données.

Cette solution, à fois efficace et économique, ne nécessite que deux serveurs de virtualisation distants, une sauvegarde locale type NAS et un protocole de sauvegarde différentiel via une simple ligne haut débit.

Évaluer la perte d’exploitation maximum supportable

Toute perte d’exploitation est une perte sèche pour l’entreprise. Certaines peuvent même lui être fatales.

Notre second cas d’école porte sur une entreprise qui avait déjà une solution de sauvegarde de ses données sur un serveur Microsoft Hyper-V. Dans ce cas, l’entreprise Y. sauvegarde ses données en local et n’a prévu aucun PRA en cas de sinistre. La seule sauvegarde externalisée des données se fait manuellement et une fois par semaine. Notre diagnostic PRA a démontré que dans le meilleur des cas, l’entreprise perdrait entre 24 et 48 heures d’activité et qu’elle pouvait perdre jusqu’à 8 jours de données de travail.

La révision de la politique de sauvegarde nous a permis d’optimiser les performances du système, mais dans une certaine limite, puisqu’il s’agissait d’une intervention sans investissement matériel.

Nous sommes parvenus à limiter la perte de données de 8 jours comme précédemment à seulement 12 à 36 heures avant le sinistre, ce qui est tout de même un gain important. Pour le PRA, le gain est relatif au temps mis pour rééquiper l’entreprise en matériel. Cette étape n’est pas maîtrisable par nos services puisqu’elle dépend du contrat de maintenance souscrit pour le matériel informatique. Cela peut varier de 4 heures pour une simple panne matérielle avec un contrat de support de haut niveau jusqu’à une semaine en cas de rééquipement à neuf. Une fois le matériel nécessaire redéployé, GrizzlyDev intervient pour la restauration des données sauvegardées, ce qui prend de 20 heures, généralement, jusqu’à 40 heures en prenant en compte les aléas informatiques.

Ces deux cas d’école montrent l’importance d’un diagnostic PRA du système d’information de l’entreprise, quels que soient sa taille et son secteur d’activité.