Devriez-vous sécuriser votre site Web?
27 octobre 2017
Par
David Paradis
Pas l'temps de lire l'article? Écoute-le!
Propulsé par

À compter du 28 octobre 2017, le navigateur Internet Google Chrome mettra en place une nouvelle mesure visant à rendre le Web plus sécuritaire: il mettra en garde ses utilisateurs lorsqu’ils interagissent avec des champs de formulaire sur un site non protégé par un protocole de chiffrement des données, que ce soit SSL ou TLS. Il s’agit d’une pratique déjà présente sur d’autres navigateurs comme Firefox et qui fait suite à d’autres mesures mises en place en janvier dernier sur Chrome. À l’échelle planétaire, Google Chrome est utilisé dans une proportion entre 50 et 60%, il est donc évident que ce changement impactera les visiteurs de vos sites Internet si ceux-ci contiennent un formulaire, peu importe la nature de celui-ci. Avant que les navigateurs prennent l'initiative d'alerter leurs utilisateurs sur la sécurité des sites qu'ils visitent, ces derniers devaient vérifier si l'URL dans la barre d'adresse était précédé par HTTP ou HTTPS, le second signifiant que les données transigées sur le serveur sont chiffrées.

L’image ci-dessous illustre ce que vos utilisateurs voient actuellement si votre site n’est pas sécurisé (sous Chrome 58) et ce qu’ils verrons lors de la prochaine mise à jour de Google Chrome (version 62)

😒 Ça donne quoi, dans le fond, HTTPS?

En gros, l'ajout du S au bon vieux HTTP signifie que les données qui transigent entre l'ordinateur de vos visiteurs et votre serveur, par le biais de votre site Internet, sont protégées. Protégées comment? Lorsque des données sont entrées sur votre site par l'utilisateur, celles-ci sont encryptées de façon à ce qu'elle ne soient pas utilisables par quelqu'un qui les intercepterait. C'est tout. Votre site n'est pas plus protégé contre les attaques ou le piratage, et votre mot de passe "brocoli" servant à vous connecter à votre CMS n'est pas moins un trou de sécurité. Seules les données transmises par vos utilisateurs vers votre serveur sont concernées.

Quel impact aura l'initiative de Chrome pour vous?

À court terme, l’impact sera sans doute limité. Il est évident que certains visiteurs seront refroidis par ces avertissements, mais la majorité passeront probablement outre ces messages. Ce qui est important cependant est que si vous le faites, faites-le bien. Si vous envoyez vos visiteurs vers un site sécurisé dont le certificat de sécurité n'est pas valide, par exemple, l'avertissement qu'offriront les navigateurs à vos utilisateurs sera un peu plus dissuasif :

Ce genre d'avertissement risque de pousser le visiteur vers la sortie et surtout, de faire du tort à l'image de votre organisation. Pour le commun des mortels, l'association entre "VotreEntreprise.com" et "Des pirates tentent de dérober mes informations" risque de laisser des traces indélébiles dans leur mémoire.

Que devez vous faire?

D’abord, il n’y a pas d’extrême urgence 🚒, à moins que votre site soit principalement une plateforme transactionnelle (et si c’est le cas, c’était déjà une urgence avant que Chrome n’annonce cette mise à jour).  Toutefois, il ne s’agit pas de la première démarche de Google et des autres browsers en ce sens et ce ne sera certainement pas la dernière. C’est pourquoi nous vous suggérons de ne pas attendre inutilement avant de mettre en place un certificat de sécurité SSL sur vos sites. Qu'elle soit nécessaire ou non, Il s’agit d’une pratique qui protège vos utilisateurs contre l’usurpation de leurs informations et en matière de protection des données, le "trop" est généralement mieux perçu que le "pas assez". Par ailleurs, vous pourriez même constater un avantage par rapport à votre positionnement dans les moteurs de recherche: il s'agit effectivement d'un facteur reconnu par Google dans son algorithme de positionnement. C'est toutefois un facteur avec un impact faible, qui est susceptible d'avoir des impacts sur d'autres facteurs de plus grande importance si ce n'est pas fait comme il se doit, notamment sur le temps de chargement des pages.

Si vous faites affaires avec une agence Web, communiquez avec eux pour leur demander des conseils à ce sujet: ils sont très certainement au courant de ce qui s’en vient et devraient être prêts à répondre à vos questions. Si vous vous avez fait affaires avec Eckinox pour la conception de votre site Web d’entreprise, communiquez avec David ou Dave (choisissez votre préféré!) et on vous expliquera ce que cela implique pour vous. Si vous avez conçu votre site Web sans avoir recours à une agence, référez-vous à la documentation fournie par votre hébergeur ou communiquez avec un spécialiste!

Pas l'temps de lire l'article? Écoute-le!
Propulsé par
Par
David Paradis

Voici un autre article qui pourrait vous intéresser...

L'enjeu de la valorisation d'un projet Web

Par David Paradis
7 avril 2017
Dans le cadre du Web à Québec 2017, j’ai assisté à la présentation de M. Élie Sloïm, chef d’entreprise chez Opquast, portant sur les bonnes pratiques de qualité pour un projet Web. Pendant la conférence de M. Sloïm, il a été question de la difficulté pour les professionnels du Web et les agences à justifier auprès de leurs clients la valeur de leur travail […]
Lire la suite
Retour vers les articles de blogue