Pourquoi avez-vous besoin d'un certificat SSL ?
5 sept. 2017 | Bianca Cordonnier
Que vous soyez un particulier ou une entreprise, vous devriez penser à la sécurité de votre business en ligne de la même façon que vous pensez à la sécurité de votre maison ou entreprise.
Ce guide vous donnera les informations dont vous avez besoin pour prendre la meilleure décision en considérant vos options de sécurité en ligne. Pour un glossaire, consultez "Tech Talk Made Simple" à la fin de ce document.
Sécurité de Site web
Quelle est la première chose que vous faites lorsque vous recherchez un nouveau produit ou service ? Si votre réponse immédiate n'était pas pour dire «Google it», alors vous êtes bizarre. Les clients sont des créatures savantes et n'utilisent pas seulement des sites Web pour savoir ce que vous faites; ils les utilisent également pour savoir qui vous êtes et si vous êtes assez digne de confiance pour vous remettre leur argent durement gagné.
Que vous soyez en commerce électronique ou en électricité, en maisons de vacances ou en hedge funds, votre site Web est l'un de vos actifs commerciaux les plus importants. C'est votre magasin 24h / 24, et vous devez vous assurer que c'est sécurisé et fonctionne à son meilleur.
Vous ne laisseriez pas votre ordinateur portable lorsque vous quitterez un café ou la porte de votre stockroom ouverte, alors pourquoi vous risquez-vous de sécuriser le site Web ?
Cette section examine les risques d'ignorer la sécurité du site Web et, à quel point cela peut nuire à votre entreprise. Nous expliquons également les bases de la sécurité du site Web, de telle sorte que vous puissiez l'imposer à celui qui contrôle les cordes de la bourse. Et, bien sûr, un business case ne serait pas complet sans regarder les avantages ajoutés et le retour sur investissement que la bonne sécurité du site Web peut offrir.
Calcul du coût de l'ignorance des études de sécurité du site Web
Calculer le coût de l'ignorance des études de sécurité sur le site Web, les enquêtes et les questionnaires en abondance ont montré qu'un client malheureux est beaucoup plus vocal qu'un heureux. Si votre site déclenche un avertissement de sécurité dans le navigateur de l'utilisateur visiteur ou pire, il infecte l'ordinateur d'un client, ce client va raconter à tous ses amis et collègues et grâce aux médias sociaux peut-être même dans le monde entier. Aie.
Et ce n'est pas seulement votre réputation dont vous devez vous soucier. Si vous avez un site de commerce électronique, des avertissements et une sécurité insuffisante, cela signifie des chariots abandonnés et des clients perdus.
Dans une récente étude de consommation en ligne de Symantec, 56 pour cent des répondants se rendent sur le site Web d'un concurrent pour terminer leur achat et seulement 11 pour cent revenir au premier site après avoir vu un avertissement de sécurité (Symantec Online Consumer Study, mars 2011).
Ce que vous risquez de perdre
Les coûts potentiels d'une violation de données ou d'une infection malveillante sur votre site Internet vont au-delà du coût immédiat d'une vente perdue ou d'un bon paiement. Votre entreprise peut perdre beaucoup plus :
Argent
La plupart des clients qui ne voient pas un indice visuel prouvant que votre site est sécurisé ne vous feront pas confiance et vous ne gagnerez pas leurs affaires. Pour ceux qui vous donnent le bénéfice du doute, s'ils voient un navigateur ou un avertissement de sécurité (voir la section II - «Comprendre les certificats SSL de base» pour en savoir plus sur les avertissements du navigateur), c'est tout: pas d'intérêt, pas d'achat, aucun revenu.
Si les choses devienent pires et les moteurs de recherche pénalisent votre site en le mettant sur la liste noire (Est-ce que vous savez que Google seul identifie et localise quelque 10 000 sites dangereux ? Consultez le site de Google: - www.google.fr/intl/fr/goodtoknow/ protection / internet /), l'effet est presque identique à la fermeture de votre site. Les gens ne pourront pas vous trouver, et même une fois que vous n'êtes plus dans la liste noire, vos classements sur les moteurs de recherche pourraient être gravement endommagés.Perte de visiteurs est une perte de revenus.
Si vous souffrez d'une violation de données, il peut y avoir des amendes à payer ou des clients pour compenser. Une infection grave pourrait signifier que vous devez embaucher des spécialistes pour le réparer. Aucune de ces choses n'est moins chers.
Ensuite, bien sûr, il existe des heures-heures passées à répondre aux failles de sécurité du site Web: vous devez suivre les logiciels malveillants, rechercher des vulnérabilités, renouveler ou postuler des certificats SSL, enquêter sur toute perte de données et mettre à jour vos systèmes et mots de passe.
Le temps de récupération moyen d'une cyber attaque en 2012 était de 24 jours, selon l'Étude sur le coût de l'étude de cybercriminalité de Ponemon Institute, parrainé par Hewlett Packard (voir www. Symantec.com/connect/blogs/cost-cybercrime-2012) et le Le coût moyen était un montant de 591 780 $. C'est le temps et l'argent qui auraient pu être mieux dépensés pour les ventes ou le développement.
Réputation et confiance
Une fois que les gens voient un avertissement de navigateur ou entendez un rapport d'information sur une violation de sécurité ou une infection de logiciels malveillants, votre réputation est détruite. Le public en général est bien informé sur les menaces en ligne, et s'il existe un indice selon lequel leurs données ne seront pas sécurisées avec vous, vous pouvez dire “au revoir” à leurs cartes de credit.
Un avertissement de certificat SSL expiré, par exemple, suggèrons que vous ne vous souciez ni de la sécurité ou que vous avez cessé vos activités. Ou au moins, cela suggère une mauvaise organisation et si vous ne pouvez pas conserver vos certificats SSL pour savoir quel type d'expérience client êtes-vous susceptible de fournir ?
Classement des moteurs de recherché
Il peut prendre jusqu'à six semaines pour quitter une liste noire du moteur de recherche. Pendant ce temps-là, lorsque les gens recherchent votre produit ou service, quelle que soit l'optimisation des moteurs de recherche que vous avez fait, personne ne vous trouvera.
Même sans liste noire, les avertissements du navigateur peuvent endommager votre classement de recherche. Si un visiteur voit une indication que votre site pourrait ne pas être sécurisé, il est probable qu'il s'en débarrasse. Le plus souvent, les gens cliquent après avoir essayé d'accéder à votre site, moins le classement de votre moteur de recherche se déroule.
Règlement et conformité
La sécurité du site Web n'est pas toujours facultative. Il existe des règles et des règlements touchant des processus tels que la collecte et le stockage de données et les transactions de paiement. Une mauvaise sécurité du site Web vous coûtera cher.
Au Royaume-Uni, par exemple, le Commissariat à l'information peut infliger des amendes allant jusqu'à 500 000 £ pour des violations graves de la Loi sur la protection des données et du Règlement sur la protection des renseignements personnels et les communications électroniques.
La protection des données est un sujet vaste que nous pouvons pas le detailer en un seul article .Après tout, en ce qui concerne la conformité, il est beaucoup plus facile d'être proactif que réactif.
Directive européenne sur la protection des données
La directive européenne sur la protection des données couvre l'ensemble du cycle de vie des données - à partir du moment où vous décidez de la collecter à la façon dont vous disposez. Les propriétaires du site Web prennent garde: «des mesures techniques et organisationnelles appropriées doivent être prises contre le traitement non autorisé ou illicite de données personnelles et contre la perte accidentelle ou la destruction de données personnelles», selon le Bureau du Commissaire à l'information (see http://ico.org.uk/for_organisations/ data_protection/the_guide/the_principles).
Afin de définir «approprié», vous devez comprendre ce que fait votre site Web:
- ✓ Un blog ou un site d'information de base: vous ne collectez que des données de visiteurs anonymes, par exemple via Google Analytics en utilisant des cookies simples. Le site Web est accessible au public et vous collectez peu ou pas de données personnelles donc vos obligations sont moins onéreuses qu'avec des sites qui collectent des données plus détaillées.
- ✓ Un site d'entreprise, dédié au marketing de produit: la personnalisation avancée vous permet de créer un profil des visiteurs de votre site. Vous utilisez ces données pour cibler vos campagnes de marketing, de sorte que vous devez vous assurer que les visiteurs acceptent de recueillir ces données. Lorsque vous rassemblez des informations plus détaillées, les dommages potentiels d'une infraction augmentent, ce qui signifie que vos obligations de sécurité augmentent aussi.
- ✓ Un site Web dédié aux annonces: à côté de la collecte d'informations qui profite à vos visiteurs, vous pouvez également transmettre une partie de cette information sur un réseau publicitaire tiers afin qu'ils puissent cibler leurs campagnes. Rappelez-vous que, en tant que contrôleur de données, vous êtes responsable de la manière dont ces informations sont stockées et utilisées par le réseau publicitaire. Des considérations similaires s'appliquent si votre site interagit avec des sites de réseautage social, tels que Facebook, pour partager des informations.
- ✓ Un site de commerce électronique: pour traiter les transactions, vous enregistrez une adresse, un numéro de téléphone, des détails de carte de crédit et d'autres informations financières. Même si vous utilisez une facture de tiers, vous collectez toujours certains détails et créez des sessions protégées par login et mot de passe entre votre site et le client. Ces types de transaction sont plus attrayants pour les voleurs, donc une protection raisonnable de ces données signifie des niveaux de sécurité plus élevés.
- ✓ Un forum de discussion ou d'autres sites traitant d'informations très sensibles: les sites qui enregistrent des données comme l'affiliation religieuse ou les dossiers médicaux et les antécédents criminels doivent prendre soin particulier car ils traitent des données personnelles sensibles, une catégorie spécifique de la directive.
Comprendre les certificats SSL de base
Qu'est-ce qu'un certificat SSL?
Un certificat SSL est un fichier informatique numérique (ou un petit code) comportant deux fonctions spécifiques:- Authentification et vérification: le certificat SSL contient des informations sur l'authenticité de certains détails concernant l'identité d'une personne, d'une entreprise ou d'un site Web, qu'il affichera sur les visiteurs de votre site Web lorsqu'ils cliquent sur le symbole de cadenas ou la marque de confiance du navigateur (p. Ex. Sceau sécurisé Norton ™). Les critères de vérification utilisés par les autorités de certification pour déterminer si un certificat SSL doit être délivré sont les plus stricts avec un certificat SSL de validation étendue (EV); ce qui en fait le certificat SSL le plus fiable disponible.
- Cryptage des données: le certificat SSL permet également le cryptage, ce qui signifie que les informations sensibles échangées via le site Web ne peuvent être interceptées et lues par personne autre que le destinataire prévu.
- De la même manière qu'un document d'identité ou un passeport ne peut être délivré que par les autorités gouvernementales du pays, un certificat SSL est le plus fiable lorsqu'il est délivré par une Autorité de certification (CA) de confiance. L'autorité de certification doit suivre des règles et des règles très strictes concernant les personnes qui peuvent ou non recevoir un certificat SSL. Lorsque vous disposez d'un certificat SSL valide à partir d'une autorité de certification approuvée, vos clients, clients ou partenaires ont un degré de confiance supérieur.
Où puis-je utiliser un certificat SSL?
La réponse courte à cette question est que vous utiliserez un certificat SSL partout où vous souhaitez transmettre des informations de manière sécurisée.
Voici quelques exemples :- Assurer la communication entre votre site Web et le navigateur Internet de votre client.
- Sécuriser les communications internes sur votre intranet d'entreprise.
- Sécurisation des communications par courrier électronique envoyées à votre réseau ou à votre réseau (ou adresse email privée).
- Sécurisation des informations entre les serveurs (internes et externes) .
- Sécurisation des informations envoyées et reçues via les appareils mobiles.
Différents types de certificats SSL
Il existe actuellement un certain nombre de certificats SSL différents sur le marché.
- Le premier type de certificat SSL est un certificat auto-signé. Comme son nom l'indique, il s'agit d'un certificat qui est généré à des fins internes et n'est pas délivré par un CA. Étant donné que le propriétaire du site Web génère son propre certificat, il ne détient pas le même poids qu'un certificat SSL authentifié et vérifié par une autorité de certification.
- Un certificat validé par le domaine est considéré comme un certificat SSL de niveau d'entrée et peut être émis rapidement. Le seul contrôle de vérification effectué consiste à s'assurer que le demandeur possède le domaine (adresse du site Web) où ils prévoient utiliser le certificat. Aucun contrôle supplémentaire n'est effectué pour s'assurer que le propriétaire du domaine est une entité commerciale valide.
- Un certificat SSL entièrement authentifié est la première étape vers une véritable sécurité en ligne et un renforcement de la confiance. Prenant un peu plus de temps à émettre, ces certificats ne sont accordés qu'une fois que l'organisation passe un certain nombre de procédures de validation et vérifie pour confirmer l'existence de l'entreprise, la propriété du domaine et le pouvoir de l'utilisateur de demander le certificat.
- Un nom de domaine est souvent utilisé avec un certain nombre de suffixes d'hôtes différents. Pour cette raison, vous pouvez utiliser un certificat de Wildcard qui vous permet de fournir une sécurité SSL complète à n'importe quel hôte de votre domaine - par exemple, host.your_domain.com (où "host" varie mais le nom de domaine reste constant).
- Similaire à un certificat Wildcard, mais un peu plus polyvalent, le certificat SSL SAN (Sujet Nom alternatif) permet d'ajouter plus d'un domaine à un seul certificat SSL.
- Les certificats Code signing sont spécifiquement conçus pour s'assurer que le logiciel que vous avez téléchargé n'a pas été falsifié pendant l'itinéraire. Il existe de nombreux cybercriminels qui manipulent les logiciels disponibles sur Internet. Ils peuvent attacher un virus ou un autre logiciel malveillant à un paquet innocent tel qu'il est téléchargé. Ces certificats s'assurent que cela n'arrive pas.
- Les certificats SSL Extended Validation (EV) offrent la norme industrielle la plus élevée pour l'authentification et fournissent le meilleur niveau de confiance du client disponible. Lorsque les consommateurs visitent un site Web sécurisé avec un certificat SSL EV, la barre d'adresse devient verte (dans les navigateurs haute sécurité) et un champ spécial apparaît avec le nom du propriétaire légitime du site Web avec le nom du fournisseur de sécurité qui a émis le Certificat SSL EV. Il affiche également le nom du titulaire du certificat et CA émettrice du certificat dans la barre d'adresse. Cette garantie visuelle a contribué à accroître la confiance des consommateurs dans le commerce électronique.
Navigateur: un logiciel que vous utilisez pour accéder à Internet. Par ex. : Microsoft Internet Explorer (IE); Mozilla Firefox, Apple Safari, RockMelt et Google Chrome
Conclusion
La confiance fait toute la différence dans le monde des affaires en ligne. L'investissement dans la technologie pour protéger les clients et gagner leur confiance est un facteur de réussite critique pour toute entreprise qui fait des affaires en ligne ou héberge un site de commerce électronique. La mise en œuvre efficace des certificats SSL (protocol Https )et le placement correct et l'utilisation des marques de confiance sont des outils éprouvés dans l'établissement de la confiance du client.
Avec l'acquisition de Symantec Authentication Services, Symantec est aujourd'hui le premier fournisseur mondial de certificats SSL, ce qui permet d'assurer aux clients qu'ils sont à l'abri de la recherche, de la navigation, de l'achat et de la connexion *. Symantec sécurise plus d'un million de serveurs Web dans le monde entier, plus que tout autre CA. * Symantec sécurise également plus des deux tiers des sites Web en utilisant Extended Validation SSL - y compris les plus grands noms du commerce électronique et de la banque. * Lorsque vous choisissez Symantec, vous pouvez soyez assuré que votre site Web et votre réputation sont protégés par l'autorité de certification avec un bilan éprouvé et la marque de confiance la plus reconnue sur Internet.