Il y a un peu plus de 2 ans, notre blog publiait un article présentant l’intérêt de passer un site web du protocole http à https, à l’époque il s’agissait de sécuriser les échanges et de légitimer les sites publics, depuis les choses ont évoluées :
On ne parle plus d’intérêt mais de nécessité.
Mais heureusement la mise en place d’un certificat sur un serveur s’est simplifiée.
Voila donc une nouvelle version de cette invitation à passer au https, mais cette fois ci cette invitation sera plus pressante ! Et en détail les raisons qui font qu’il est plus que temps de passer tous vos sites en ssl, dotés d’un certificat valide et suffisamment crypté (Sha256).
La sécurité
L’arrivée du RGPD, et la mise en avant du caractère privé de nos données d’identité a poussé les acteurs tant privés que publics à vanter les mérites du https
Mais soyons clair, le https ne vous protégera pas d’un mot de passe trop faible ou bien volé par phishing, par contre vous réfléchirez peut-être à 2 fois si un site vous demande de « confirmer » vos données ou le cryptogramme de votre carte bancaire sans vous proposer le petit cadenas symbole du https même si ce n‘est déjà plus une garantie d’innocuité.
Et puis le message n’est manifestement pas encore arrivé partout : certains sites gouvernementaux ou de presse sont encore http mais on verra plus loin qu’ils commencent a en payer le prix.
Heureusement de plus en plus d’organisations imposent le https en interne, mais souvent se heurtent à la fabrication de certificats valides.
Pour rappel, le https chiffre les échanges et protège donc les données en général et de sécurité en particulier d’une interception par un tiers (voir https://www.apsynet.fr/a-man-in-the-middle/) .
Le référencement de sites
De façon corollaire et pour motiver les troupes, Google met en avant ostensiblement les sites https, et affirme déclasser les sites non https, il est difficile de mesurer le niveau d’opprobre réel mais pour exemple les sites des ministères français caracolent en tête des résultats quand ils sont https (finances, défense, intérieur) et plongent dans le classement quand ils sont http (culture, sport),
Sur ce point si votre site est public, sa crédibilité est en jeu.
Les applications mobiles
Les mobiles ne sont pas encore l’outil standard pour la navigation en entreprise, mais ce qui est sûr, c’est que les applications sont devenues incontournables sur les mobiles.
Et dès lors que ces applications exploitent le moindre flux réseaux, elles ne sont autorisées à accéder qu’à des sites https certifiés.
L’offre de certificats
C’est souvent le point le plus bloquant, soit pour des raisons de cout soit pour des raisons techniques, heureusement l’offre a évolué, on peut trouver simplement des certificats pour les sites publics, et la génération des certificats de domaines valides est dorénavant moins complexe.
J’aurai prochainement l’occasion de réaliser un panorama des possibilités dans un prochain billet.
Alors on y va ?
Vous voilà donc motivé, j’espère, pour migrer vos sites, et n’hésitez pas à nous contacter pour les sites Apsynet DataCenter…
Olivier Piochaud, PDG d’Apsynet
