Concrètement :

• Jusqu’au 15 mars 2026, les certificats SSL pouvaient être émis avec une durée maximale de 398 jours (environ 13 mois).
• À partir du 15 mars 2026, cette durée maximale passera à 200 jours (environ 6 mois et 20 jours).
• À partir de mars 2027, cette durée atteindra 100 jours, puis en 2029 : 47 jours …

L’objectif de ces réductions de durée est de limiter l’impact de clés compromises dans le temps et de réduire les fenêtres d’exposition aux attaques.

En tant qu’hébergeur à haute valeur ajoutée, nous devons adapter nos processus : les opérations que nous réalisions annuellement devront maintenant être planifiées 2 fois par an.

Bien que ce changement augmente la fréquence de nos actions techniques, il contribue à :

• Une meilleure sécurité de vos services
• Une infrastructure plus moderne et résiliente.

L’article Réduction de la durée de validité d’un certificat : ce qui change est apparu en premier sur Ice Development.

Sécurité

Les cybercriminels trouvent constamment de nouveaux moyens d’exploiter les vulnérabilités des logiciels, et un site web ainsi que ses différents composants ne font pas exception à la règle. Il faut garder en tête que des cyberattaques sont tentées en permanence sur l’ensemble des sites reliés à internet, sans exception. Suivant la gravité de ces vulnérabilités, une attaque fructueuse peut avoir des conséquences catastrophiques sur votre activité et votre image avec par exemple la pose d’un ransomware (logiciel qui verrouille vos données et les rend indisponibles tant qu’une rançon n’a pas été payée) ou le vol des données de vos clients.

> En effectuant régulièrement les mises à jour, vous vous assurez de disposer des derniers dispositifs et correctifs de sécurité.

Performance

Ces mises à jour peuvent contribuer à améliorer la vitesse et les performances générales de votre site web ce qui se traduit par une meilleure expérience utilisateur pour vos visiteurs. La vitesse de chargement des pages de votre site est également un élément important qui peut influer sur plusieurs choses, par exemple sur votre référencement naturel auprès des différents moteurs de recherche comme Google ou Bing ou sur votre taux de conversion dans le cas d’un site e-commerce.

Compatibilité

Votre site internet se doit d’être compatible avec les dernières versions des navigateurs web, des appareils et des logiciels. La mise à jour de votre site web garantit que celui-ci fonctionne correctement sur tous les appareils et navigateurs, offrant ainsi une expérience transparente à vos visiteurs. Les problèmes de compatibilité peuvent avoir un impact négatif sur l’expérience de l’utilisateur et entraîner une perte de visiteurs, ce qui peut nuire au succès de votre site web.

Fonctionnalités

Les mises à jour des composants de votre site internet contiennent régulièrement des améliorations des fonctionnalités existantes mais aussi de nouvelles fonctionnalités. L’accès à ces nouveautés permet de faciliter les nouveaux développements, réduire leurs coûts et également d’offrir la meilleure expérience utilisateur possible à vos visiteurs.

Chez Ice Development, nous développons uniquement sur des versions dites LTS « Long Term Support », selon les informations de Sensio.
Il en est de même quelle que soit la technologie utilisée (WordPress, Magento, …), il est impératif de maintenir à jour votre environnement !

Vous avez un projet Symfony à mettre à jour ?

Contactez-nous

L’article L’importance des montées de versions Symfony est apparu en premier sur Ice Development.

‘S’ comme sécurité, de la différence entre HTTP et HTTPS

HTTP (Hyper Text Transfer Protocol = Protocole de Transfert Hypertexte) est un protocole qui désigne l’échange qui est fait entre un internaute et le serveur avec lequel il est mis en relation lors d’une navigation internet. Plus précisément, cela permet à l’internaute d’accéder à des données stockées sur un serveur.

L’ajout d’un certificat SSL (Secure Socket Layer) sur le protocole HTTP, garantit la sécurisation des échanges sur votre site. Cela assure la confidentialité des données et rend impossible toutes tentatives de truquage des informations échangées, en effet, l’ensemble de la communication entre votre site et le visiteur sera cryptée grâce au certificat SSL.

Pourquoi passer à l’HTTPS ?

Améliorer son positionnement sur Google

Google prend position et favorise, depuis janvier 2017, les sites sécurisés.
L’impact sur le référencement a été constaté sur de nombreux sites.

Rassurer vos visiteurs

Google Chrome affiche désormais un cadenas vert à côté de l’URL concernée en gage de « certification Google » de la sécurité du site et des échanges avec les internautes. De fait, cela rassurera vos visiteurs, ils seront mis en confiance, ce qui est essentiel sur un site e-commerce par exemple.

Mais Google indique également la mention « non sécurisé » pour les sites n’ayant pas de certification SSL. Les sites e-commerces en sont donc naturellement impactés étant donné que le nombre de fraudes bancaires sur internet est croissant, cela aura un impact psychologique négatif sur vos visiteurs.

Augmenter la vitesse de votre site

La vitesse de chargement de votre site sur ordinateur sera également accélérée en HTTPS étant donné que le protocole est bien plus récent que celui du HTTP qui date de 1999.

Comment passer votre site HTTP en HTTPS ?

Contactez-nous dès maintenant pour recevoir un devis afin de sécuriser votre site via le passage en https.

Contactez-nous pour passer en HTTPS.

L’article Pourquoi vous devez absolument sécuriser votre site avec l’HTTPS ? est apparu en premier sur Ice Development.

En effet, la réglementation générale de la protection des données personnelles (RGPD) entre en application le 25 Mai 2018. C’est un peu technique, mais ICE DEVELOPMENT vous explique tout : vos responsabilités, les risques et surtout ce que vous devez absolument faire d’ici le 25.

Pourquoi la Commission européenne met-elle en place la RGPD ?

Renforcer les droits des internautes

Dès le 25 Mai, les internautes auront la possibilité d’exercer les 4 droits fondamentaux suivants :

• Le droit de regard : Ils doivent être informés de la nature des données récoltées et de leur exploitation.
• Le droit d’opposition : Ils peuvent demander à tout moment l’effacement total de leurs données.
• Le droit de récupérer ces données pour les transmettre à un tiers.
• Le droit d’accès : Ils peuvent avoir accès à leurs données quand ils le souhaitent.

Co-responsabiliser :

Vous êtes clients de Ice Development et nous stockons les données de vos clients dans nos serveurs, vous êtes donc un responsable de traitement de données et nous sommes, non seulement votre partenaire, mais aussi votre sous-traitant.

La RGPD co-responsabilise le responsable de traitement de données et son sous-traitant. Ce dernier aura autant de responsabilités et d’obligations que l’entreprise responsable du traitement de données. La transparence et la confiance seront les piliers de cette relation.

À qui s’applique la RGPD ?

La RGPD cible toutes les organisations, privées ou publiques, qui réalisent du traitement de donnée à partir du moment où :

• L’organisation est établie en Europe
• L’organisation traite les données de citoyens européens

Quelles sont vos obligations en termes d’informations ?

Les mentions obligatoires

Pour générer vos mentions obligatoires, vous pouvez utiliser le générateur de la CNIL, en cliquant ici.

Les cookies

Lors de l’ouverture d’une page web, il n’est plus autorisé d’obliger l’internaute à accepter les cookies. Des boutons « accepter » ou « refuser » doivent être visibles et le message lié doit être compréhensible par un enfant. Un lien vers les mentions légales qui expliquent pourquoi, et comment sont utilisés les cookies est recommandé.

Les formulaires

Pour chaque donnée personnelle récoltée vous devez définir un objectif clair et précis et définir une limitation dans le temps pour la conservation des données. Ces objectifs et limite de conservation doivent figurer sur le site et les termes utilisés doivent être compréhensibles par un enfant.

Le délégué responsable de la protection de données

La nomination d’un délégué responsable de la protection de données est obligatoire si votre structure :

• Est une entité publique.
• Réalise un suivi régulier et systématique des personnes à grande échelle.
• Réalise des traitements sensibles ou liées à des condamnations pénales et infractions.

Il est tout de même conseillé de nommer un délégué responsable de la protection de données que vos clients, ou employés, pourront contacter à tout moment pour faire valoir leurs droits.

Ce délégué peut être :

• Un salarié.
• Un prestataire contractuel.
• Une entreprise spécialisée.

Vos responsabilités et obligations

Prioriser les actions à mener

Une entreprise qui traite des données se doit d’être organisée pour être en conformité avec la loi. Pour cela, la structure doit lister et prioriser toutes les actions de traitement de données qu’elle entreprend. Cette liste est ensuite mise à disposition dans les mentions légales du site.

Lister les événements qui peuvent intervenir

Comme le protocole d’alerte incendie, il faut toujours anticiper le pire. Une structure qui récupère ou traite des données doit être en alerte sur une faille potentielle. Lister les événements qui peuvent survenir est un moyen de mettre en place des protocoles d’actions et ainsi régler les problèmes de façon organisée et rapide.

Les deux documents obligatoires en cas de contrôle

1. Contrat liant votre entreprise et un sous-traitant

Le contrat doit comprendre des clauses obligatoires :

• L’objet du traitement
• La nature et la finalité du traitement
• Le type de données personnelles et les catégories de personnes concernées
• Les obligations et les droits du responsable de traitement de données
• Au terme de la prestation, il est nécessaire de supprimer toutes les données ou les renvoyer à votre client
• Au terme de la prestation, il est nécessaire de détruire toute les copies existantes sauf obligation légale de les conserver (Si le pays concerné en a fait une loi)

2. Registre de traçabilité

Le registre de traçabilité est obligatoire. Il doit regrouper, l’ensemble des informations liées à la récupération et au traitement de données. Vous devez lister toutes les activités de votre entreprise qui nécessitent un traitement de données (formations, gestion des payes, prospection…).
Pour chaque activité de traitement de données, vous devez définir :

• L’objectif poursuivi
• Lister les données recueillies par catégorie
• Qui a accès aux données
• La durée de conservation des données

Téléchargez le modèle de registre proposé par la CNIL.

Le traitement de données à risques

Le traitement de données sensibles est considéré comme un traitement de données risqué, puisque ce traitement peut avoir un impact direct sur la vie privée des personnes concernées.

Les données sensibles

Une donnée est dite sensible lorsqu’elle :

• est liée à l’orientation sexuelle
• porte sur l’appartenance politique, religieuse ou syndicale
• concerne les données biométriques, génétiques,
• révèle les origines raciales ou ethniques

Le traitement de données à risques

Le traitement de données a des effets qui peuvent être considérés risqués lorsque le traitement :

• Conduit à la notation d’une personne.
• Concerne une base de données à grande échelle.
• Vise l’exclusion d’un droit, d’un bénéfice, ou d’un service.
• Permet une innovation ou l’application de nouvelles technologies (exemple : objets connectés).
• Cible des personnes vulnérables (exemple : mineurs).
• Met en place une prise de décision automatisée.
• S’applique à un service de surveillance des personnes.
• S’inscrit dans le domaine de la santé.

Ces types de traitement nécessitent la rédaction d’un document d’analyse de l’impact de votre traitement de données.

L’analyse de l’impact de votre traitement de données

Il est de votre responsabilité de le rédiger, il est de notre devoir de vous accompagner dans la démarche et de tout mettre en œuvre pour vous fournir les informations nécessaires.

Ce document doit comprendre :

• La description de toutes les opérations de traitement envisagées et leurs finalités.
• Une évaluation et un classement des risques pour les droits et libertés des personnes concernées.
• Les mesures envisagées pour faire face aux risques, grâce à des mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel.

La sous-traitance

Qui sont les sous-traitants ?

• Les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de services du numérique qui ont accès aux données.
• Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients.
• Tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme.
• Un organisme public ou une association peut également être amené à recevoir une telle qualification.

Les obligations du sous-traitant

Un devoir de transparence et de traçabilité :

• Le traitement doit se faire uniquement sur instructions documentées du responsable de traitement de données
• Mettre à disposition du responsable de traitement de données toutes les informations nécessaires pour démontrer le respect des obligations
• Créer un registre de traçabilité des échanges et actions menées, en cas de contrôle des autorités.

Garantir un respect des exigences légales :

• S’assurer que les personnes autorisées à traiter les données sont soumises à des normes de confidentialité
• Garantir que seule les données traitées sont nécessaires au regard de la quantité et l’étendue de leur traitement et La durée de conservation et du nombre de personne qui y aura accès.

Garantir la sécurité des données stockées :

• La notification au responsable du traitement de donnée de quelconque violation est obligatoire
• Prendre toutes les mesures nécessaires pour garantir un niveau de sécurité adapté aux risques

Un devoir d’assistance, d’alerte et de conseil :

• Assistance : Lorsqu’une personne souhaite appliquer ses droits concernant une donnée, le sous-traitant doit tout mettre en œuvre pour aider le responsable du traitement de données à donner suite à cette demande
• Alerte : Si la demande du responsable de traitement de données constitue une violation, le sous-traitant doit l’en informer immédiatement
• Conseil : Le devoir d’aider le responsable du traitement de données à garantir le respect des obligations en matière de sécurité du traitement.

Consultez le guide du sous-traitant sur le site la CNIL.

Les sanctions

2 types de sanctions applicables en fonction de votre CA, sachant que la plus grosse somme des deux sera appliquée :

• En cas de manquement aux principes de base, l’amende peut atteindre 10 Millions d’Euros ou 2% de votre chiffre d’affaires mondial.
• Dans le cas de non-respect des droits des utilisateurs, l’amende peut atteindre 20 Millions d’Euros ou 4% de votre chiffre d’affaires mondial.

Êtes-vous prêt pour la RGPD ?

1. Avez-vous désigné une personne responsable de la gouvernance des données de votre structure ?
   
   Oui

   Non
2. Avez-vous mis en place un registre de traçabilité de toutes les actions liées au traitement de données ?
   
   Oui

   Non
3. Si oui, avez-vous intégré au registre de traçabilité la liste des actions réalisées et priorisé ces dernières concernant le traitement des données de vos clients ?
   
   Oui

   Non
4. Avez-vous rédigé l’analyse d’impact de votre traitement de données en cas de traitement de données « risquées » ?
   
   Oui

   Non
5. Si oui, avez-vous identifié et pris en compte l’intégralité des événements qui peuvent survenir au cours d’un traitement ? (failles de sécurité, modification des données collectées, changements de prestataires…)
   
   Oui

   Non
6. Si oui, avez-vous identifié les risques élevés liés à votre traitement de données ?
   
   Oui

   Non

Si vous n’avez pas coché « oui » à toutes les questions

contactez-nous immédiatement pour préparer votre mise en conformité en vue du 25 Mai.

L’article Réglementation Générale de la Protection de Données, êtes-vous prêt ? est apparu en premier sur Ice Development.