Qu’est-ce qu’Always-On SSL ?
Always-On SSL (AOSSL) est une mesure de sécurité incontournable consistant à chiffrer tous les sites web d’une entreprise via le protocole HTTPS. Une fois déployée dans les règles de l’art, elle assure le chiffrement de toutes les pages web internes et externes, réduisant ainsi le risque de cyberattaque. Et pour une sécurité totale, pas question de se limiter aux pages web contrôlées directement par l’entreprise : Always-On SSL doit également s’appliquer aux fournisseurs et aux intégrations tierces.
Pour protéger chaque page web visitée, et pas uniquement les pages de connexion et de paiement, aucun site web ne peut faire l’impasse sur le chiffrement de bout en bout (HTTPS). C’est pourquoi Always-On SSL s’impose comme une évidence aux entreprises soucieuses de protéger leurs clients et leur réputation au moyen de certificats TLS/SSL provenant d’une autorité de certification de confiance. Facile à déployer, Always-On SSL authentifie l’identité d’un site web et chiffre toutes les informations échangées entre ce site et les internautes (y compris les cookies). Résultat : ces informations sont protégées contre toute visualisation, modification ou utilisation non autorisée.
Pas étonnant, donc, que des organismes œuvrant pour la sécurité sur Internet tels que l’Internet Society et l’IETF encouragent les entreprises à adopter le chiffrement dans l’ensemble de leur environnement. En pratique, certains des sites web les plus importants au monde utilisent ainsi Always-On SSL pour se protéger contre les menaces de sidejacking (via notamment l’ancien outil Firesheep) et de piratage, telles que les injections de code malveillant.
D’autant que face à des attaques de plus en plus fréquentes et faciles à exécuter, les internautes sont plus que jamais attentifs à la capacité des sites à sécuriser leurs données confidentielles. Pour les entreprises, le défi est double. D’une part, le Wi-Fi et les cookies non sécurisés sont partout ; l’accès aux réseaux Wi-Fi des sites publics tels que les aéroports et les cafés est souvent ouvert afin de simplifier leur utilisation. D’autre part, les outils tels que Firesheep facilitent considérablement l’espionnage des sessions HTTP non chiffrées, l’interception des cookies des utilisateurs et le vol d’informations confidentielles dans les cookies afin d’obtenir l’accès aux services web.
Dans ce contexte, l’État et les groupes privés encouragent les entreprises à opter pour Always-On SSL. Et en réponse aux cas de piratage TLS/SSL, les pouvoirs publics ont publiquement incité les sites web à accélérer la transition vers Always-On SSL.
Pourquoi la protection de votre marque passe-t-elle par Always-On SSL ?
Il suffit d’une seule compromission pour mener votre entreprise à la ruine. Selon l’édition 2021 du rapport Cost of a Data Breach d’IBM, le coût moyen d’une compromission de données s’élève à 4,24 M$ – 38 % de ce montant (soit 1,59 M$) étant imputable au manque à gagner. Autrement dit, ce genre d’incident pousse de nombreux clients et prospects à aller voir ailleurs. Et pour la 11e année consécutive, ce sont les établissements de santé qui payent le plus lourd tribut avec 9,23 M$.
Sur le terrain, un hacker peut profiter d’une connexion non sécurisée entre un utilisateur final et un site web pour injecter du code malveillant en vue d’attaquer ce site et ses serveurs – avec en bout de chaîne, une possible compromission de données.
