Comment protéger ses informations personnelles avec un mot de passe ?

Certains sites web vous demandent un mot de passe pour protéger vos informations personnelles: sites financiers ou marchands, comptes emails, etc. Ce mot de passe est associé à un compte ou à une adresse email.

Le mot de passe est la clef de voûte de votre sécurité.

Si vous voulez augmenter la sécurité de vos mots de passe, vous trouverez ci-dessous les conseils sur ce qu’il ne faut pas faire et ce qu’il est préférable de faire. Les explications détaillées sont présentées avec les outils.

Ce qu’il ne faut pas faire

  • Connaître ses mots de passe ou choisir des mots de passe faciles à se rappeler,
  • Choisir le même mot de passe pour tous les sites,
  • Utiliser une série de mots de passe identiques; chaque mot de passe est associé à des sites de niveaux de confidentialités similaires,
  • Utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques,
  • Stocker ses mots de passe dans une feuille Excel protégée elle-même par un mot de passe.

Ce qu’il faut faire

  • Ne pas connaître ses mots de passe (cf. plus bas),
  • Avoir un mot de passe généré aléatoirement,
  • Générer aléatoirement un mot de passe à partir d’une combinaison de lettres MAJUSCULES, minuscules, de chiffres et de symboles (par exemple: % $ ! etc.), si c’est autorisé par le site web. Les caractères spéciaux doivent se trouver aussi au milieu du mot de passe et pas seulement au début ou à la fin du mot de passe,
  • Quand c’est possible, avoir un mot de passe d’au moins 28 caractères,
  • Avoir un mot de passe différent par site web,
  • Stocker tous ces mots de passe dans un gestionnaire de mots de passe. Le gestionnaire de mots de passe est une sorte de coffre-fort logiciel.

Outils gratuits

Plus un mot de passe est long et plus il est difficile de s’en souvenir avec exactitude. Pourtant un mot de passe long est aussi plus difficile à percer. Actuellement, il est estimé qu’un mot de passe complexe et aléatoire de 64 caractères résisterait aux attaques de force brute menées par les organismes gouvernementaux.

Dans la pratique, les sites web acceptent rarement d’aussi long mots de passe. Ils limitent souvent à 20 caractères et parfois moins, la longueur des mots de passe. Toutefois, vous avez tout intérêt à utiliser des mots de passe de 28 caractères minimum quand c’est possible. Attention de ne pas prendre trop à la lettre le fait d’avoir un mot de passe de 28 caractères. Une longueur de 27, 30, 31 ou 43 fait aussi l’affaire.

Les outils présentés ci-dessous, vont vous permettre de mettre en application le principe d’avoir des mots de passe longs, complexes et aléatoires. Ils vous permettent même d’utiliser vos mots de passe sans jamais les connaître !

Gestionnaire de mots de passe

Il s’agit d’utilitaires de base de données de mots de passe. Les utilisateurs peuvent conserver leurs mots de passe cryptés sur leurs ordinateurs. Une seule combinaison du coffre les déverrouille tous.

Dans la vraie vie, il n’est pas possible de se rappeler tous les mots de passe: connexion au réseau Windows, compte e-mail, compte FTP de votre site web, etc.

En outre, vous devez utiliser un mot de passe différent pour chaque compte. Si vous utilisez un seul mot de passe sur tous les sites, ou sur une certaine catégorie de sites, il suffit qu’un cybercriminel vole le mot de passe sur un site peu protégé pour se connecter sur d’autres sites comme celui que vous utilisez pour gérer vos emails ou votre compte bancaire.

Stocker ses mots de passe dans un document Excel, ou Word, protégé lui-même n’est pas suffisant non plus. Bien que Microsoft ait largement renforcé la sécurité des documents dans les nouvelles versions (Office 2007 et surtout Office 2010 / 2014), ce n’est pas le cas des versions anciennes (2003 et avant) qui restent facilement « crackables ».

Les gestionnaires de mot de passe vous aident à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé maître et / ou un fichier clé et / ou votre compte Windows. Il suffit donc de se rappeler un mot de passe principal et / ou de sélectionner le fichier clé pour déverrouiller la base de données avec les mots de passe cryptés.

KeePass Password Safe
KeePass est certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Password Safe
La communauté autour de Password Safe est aussi très active. Password Safe affiche peu d’informations à l’écran, ce qui est positif.

L’avantage d’un gestionnaire de mot de passe est de pouvoir les générer automatiquement. Il est aussi possible de copier-coller le mot de passe, ainsi que l’identifiant du compte, l’URL et d’autres informations. De cette manière, vous n’êtes pas obligé de connaître votre mot de passe.

Démonstration avec KeePass

keepass-creation-compte Une entrée est créée dans Keepass pour stocker le mot de passe du compte email. Un mot de passe est généré automatiquement.

keepass-generation-mot-de-passe Un nouveau mot de passe peut être généré. Dans Keepass, la complexité est exprimée en bits. Plus le nombre de bits est grand, plus la complexité est importante. Par défaut, le mot de passe n’apparaît jamais.

keepass-nouveau-mot-de-passe Un nouveau mot de passe a été généré. Par défaut, il n’apparaît pas en clair. Pour connaître sa valeur il faut cliquer sur les 3 points en face de Password.

keepass-copie-mot-de-passe Grâce à un copier-coller, il est possible de copier le mot de passe sans le connaître.

Il est important de ne pas connaître le mot de passe, car il n’est pas rare d’entendre un utilisateur le dire, au moins partiellement, pendant qu’il le tape.

Il n’est pas toujours possible de coller un mot de passe. Certains site, comme par exemple PayPal à la création d’un compte, n’autorise pas la copie dans la zone de mot de passe. D’autres sites génèrent un clavier numérique aléatoire, comme par exemple le site de la Caisse d’épargne ou celui de Boursorama lors de l’accès à son compte.

Certains sites interdisent aussi l’utilisation de caractères spéciaux et même parfois des lettres accentuées (!). Toutefois, grâce aux paramètres et aux options des gestionnaires de mot de passe, il est possible de s’adapter à chaque exigence particulière des sites web.

Démonstration avec Password Safe

password-safe-entree Une nouvelle entrée pour stocker un compte et son mot de passe a été créée dans Password Safe.

Modification de la stratégie de mot de passe dans Password Safe Il est possible de s’adapter à une stratégie de mot de passe propre à un site en jouant sur ces critères.

Vérification de la complexité des mots de passe

Les études qui portent sur l’analyse des mots de passe utilisés par les internautes révèlent l’utilisation intensive de mots du dictionnaire. Ce qui est une erreur car les cybercriminels vont pouvoir faire des attaques sur les mots de passe en utilisant des dictionnaires gigantesques. Outre les mots des dictionnaires usuels, ces dictionnaires contiennent aussi des noms propres, des noms figurés, des prénoms, des personnages de dessins animés, des jurons, etc.

Cela est vrai aussi pour les altérations de mots du dictionnaire:

  • mots au pluriel,
  • lettres inversées (totalement ou en partie),
  • rajout d’un ou plusieurs chiffres ou caractères spéciaux ($ % ! …) en début ou en fin de mot de passe,
  • abréviations habituelles (Sté pour Société, h pour heure, …)
  • conversions connues (€ pour e, @ pour a, 2 pour de, …)

Idem pour l’utilisation de mots d’une langue étrangère à la vôtre: les cybercriminels sont très ouverts au monde…

La complexité d’un mot de passe dépend de l’usage ou pas de mots du dictionnaire, mais aussi d’autres critères. Par exemple, l’utilisation des lettres adjacentes du clavier est connue aussi. Tout comme la répétition (aaaaaaa) ou la séquence (abcd, 1234, …).

Le mot de passe ne doit surtout pas utiliser des informations personnelles ou de vos proches ou même de vos animaux domestiques:

  • Prénom, surnom, …
  • Date de naissance, d’anniversaire, …
  • Numéro de sécurité sociale, de passeport, de permis, ..
  • etc.

Tous les sites n’offrent pas la possibilité de vérifier la complexité des mots de passe. Les outils de vérification qui existent permettent d’étalonner la complexité mais ils ne garantissent pas la sécurité absolue.

Password Checker

Contrairement à une idée fausse, Microsoft est très soucieux de la sécurité de ses produits. L’outil Password Checker permet de tester la complexité d’un mot de passe en tenant compte de plusieurs critères: longueur globale du mot de passe, mélange de caractères aléatoires, existence du mot dans un dictionnaire, etc.

Si vous ne connaissez pas la réputation de l’éditeur du site web, soyez prudent aussi vis à vis des outils de vérification de mots de passe. Il serait facile pour des cybercriminels de se faire passer pour une honnête organisation en vous proposant de vérifier la solidité de votre mot de passe. Une fois que vous aurez trouvé un mot de passe fort, il pourrait vous proposer un cadeau en échange d’un email et (pourquoi pas !) du nom de votre site web préféré. Restez attentif !

Algorithme de création de mots de passe

Pour les raisons qui viennent d’être évoquées, il ne faut pas utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques.

Cependant, il est parfois impossible de faire autrement. Notamment, lorsque vous utilisez un logiciel de cryptage de données (ce qui sera vu dans un autre billet) ou un gestionnaire de mots de passe (vu plus haut).

En effet, les mots de passe du gestionnaire de mots de passe sont cryptés. Leur décryptage nécessite de déverrouiller la base grâce à un mot de passe que vous devez savoir par cœur.

Il est vrai que les logiciels de cryptage de données ou les gestionnaires de mots de passe vous offrent la possibilité de crypter avec un fichier, par exemple une photo, et donc sans la nécessité d’un mot de passe.

Cependant, il est préférable d’avoir un mot de passe en plus du fichier. Ce mot de passe doit avoir les caractéristiques suivantes:

  • Il ne doit être connu que de vous-même,
  • Vous devez vous en rappeler ou le retrouver aisément,
  • Il doit être très difficile de le découvrir,
  • Il doit être très difficile de le déduire même en vous connaissant bien.

La tâche n’est pas aisée. Aussi, pour vous aider, vous pouvez utiliser la technique décrite ci-dessous. Il est important comprendre que la description d’un procédé automatique de calcul de mot de passe est facilement programmable par un cybercriminel.

Si vous faites preuve de la prudence la plus élémentaire

Sélectionnez une phrase tirée d’un texte que vous connaissez par cœur: chanson, poésie, proverbe, autre. La phrase doit faire au moins une trentaine de caractères, espaces compris. Ne prenez pas une phrase que vous répétez souvent !

Par exemple: Pour le meilleur et pour le pire !

Si vous êtes conscient des dangers potentiels d’internet

Supprimez les espaces entre les mots :
Pourlemeilleuretpourlepire!

Si vous savez qu’il existe des cyber-criminels

Insérer après le second ou le troisième mot, un ou plusieurs chiffres. Par exemple, ce chiffre peut représenter le nombre de mots que vous avez « sautés » ou le nombre de lettres précédentes:
Pourlemeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés

Les spécialistes du crackage du mot de passe savent que les utilisateurs les plus avertis ont l’habitude de mettre une majuscule en début d’un mot de passe et le caractère spécial ou le chiffre à la fin. Aussi, ne laissez pas la majuscule en début du mot de passe. Déplacez la majuscule sur un des mots:
pourleMeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés et dotés de moyens importants

Ne laissez pas le caractère spécial en fin de mot de passe. Déplacez le ailleurs:
pourleMeilleur3etpourle!pire

Quand vous aurez terminé, n’oubliez pas de vérifier la complexité de votre mot de passe ainsi créé avec Password Checker !

Password Checker

Un dernier conseil: n’utilisez surtout pas les mots de passe de cette page !

Comment supprimer ses traces de Google ?

Google Dashboard est un programme de Google qui enregistre toutes les activités liées à votre compte Google. Par exemple, à chaque fois que vous faites une recherche dans Google, vos recherches sont stockées. Il est alors facile pour Google de connaître vos sujets d’intérêts et vos goûts.

Mais cela va encore plus loin. Le site de vidéos Youtube appartient à Google qui connaît aussi vos chanteurs préférés. Bien évidemment, l’activité sur gmail est aussi enregistrée dans Google Dashboard, ainsi que Google Documents et bien d’autres produits de Google : Google AdWords, Google AdSense, Google Maps, etc.

Pour trouver vos informations personnelles stockées dans Google Dashboard, connectez-vous à votre compte Google avec votre nom d’utilisateur et votre mot de passe.

Une fois connecté, cliquez sur votre nom (en haut à droite) puis sélectionnez Paramètres de compte Google.

Dans la page qui s’ouvre, sous Paramètres personnels, cherchez le lien en face de Dashboard qui s’intitule Afficher les informations associées à ce compte: la page affiche les informations stockées dans Dashboard, classées par produit. Pour chaque produit (GMail, Youtube, etc) vous pouvez modifier le paramétrage afin de garder ou non, l’historique de votre activité. Vous contrôlez donc le stockage de ces informations.

D’autres informations personnelles sont stockées au profit de Google mais elles n’apparaissent pas dans Google Dashboard

Un fichier, déposé par Google sur votre ordinateur, stocke des informations relatives à votre navigation. Ce fichier s’appelle un cookie. Ce cookie publicitaire catégorise vos centres d’intérêt en fonction des sites Web que vous avez visités récemment.

Ensuite Google vous propose des publicités Google AdWords basées sur ce cookie.Vous pouvez désactiver la diffusion d’annonces basées sur les centres d’intérêt à partir de la page Google Préférences pour les annonces.

Sur la page en français, apparaît les catégories.

Par exemple: Industrie du divertissement, Internet & Telecom, Recherche de personnes, qu-estions sociales et défense, Protection des données etc.

Le bouton Désactiver désactive ce cookie et les centres d’intérêt ainsi que les catégories démographiques ne sont plus associées à votre navigateur Internet.

Vous pouvez aussi désactiver en une seule fois, la publicité ciblée par centres d’intérêt en allant sur le site en français de Google Publicité et confidentialité – Centre de confidentialité.

Suppression de contenu des services Google

En vous connectant sur le site de Suppression de contenu du Centre d’aide Google, vous pouvez signaler à Google un contenu que vous souhaitez supprimer des services Google.

A ce jour, les services concernés sont AdSense, AdWords , Android Market, Blogger/Blogspot , Google+ , Gmail , Google Images , orkut, Picasa , Recherche sur le Web Google, YouTube, etc.

Notez qu’une copie de votre requête, à l’exception de vos informations personnelles, sera transmis à Chilling Effects pour publication. Chilling Effects est un site web créé pour protéger les activités en ligne contre les menaces juridiques iniques ou disproportionnées.

Connaître les nouveautés d’un site

De nombreux sites ou blogs intéressants n’offrent pas toujours la possibilité de recevoir leurs mises à jour avec les flux RSS (Really Simple Syndication). Il s’agit pourtant d’un système commode et simple à mettre en œuvre.

Toutefois, en son absence, vous pouvez utiliser le service gratuit du site sécurisé Follow That Page.

Son créateur hollandais Onno Zweers a développé un automatisme qui vous permet de recevoir une simple notification par courriel lors de la modification d’un site web Internet quelconque.

Les usages de Follow That Page sont nombreux : trouver de nouvelles annonces d’emploi, des prix en baisse, ainsi que toute information qui peut changer sur n’importe quel site Web.

Il permet aussi de surveiller vos propres sites. Vous saurez ainsi quand votre site a été modifié ou endommagé, avant que votre communauté ne l’apprenne.

Onno Zweers a aussi développé une extension Firefox. Vérifiez que cette extension est compatible avec la dernière version de Firefox.

Quelle est la différence entre un Serveur et un Server ?

La notion de serveur fait référence soit un ordinateur physique, qui est qualifié de « serveur », soit à une version ou une édition d’un logiciel, comme, par exemple, Windows Server 2012 ou SQL Server.

Dans le cas d’un logiciel, le mot serveur pourra s’écrire « serveur » (en français) ou « server » (en anglais).

Généralement, un serveur-ordinateur est caractérisé par :

  • Plusieurs disques durs, certains pouvant être en attente en cas de besoin: notion de « spare »
  • Des mécanismes de tolérances de pannes avec la redondance de disques, d’alimentation, de ventilation, etc.
  • La présence de 2, 4, 8 voire 64 processeurs
  • Une grande quantité de mémoire vive (RAM)

L’objectif du serveur-ordinateur est d’offrir une meilleure résistance aux pannes, ainsi que des performances élevées.

Les ordinateurs qui ne sont pas des serveurs sont qualifiés de postes de travail, voire d’ordinateur personnel ou individuel.

Un logiciel serveur s’installe aussi bien sur un serveur-ordinateur que sur un poste de travail, si celui-ci répond aux conditions de compatibilité matérielle et logicielle, notamment pour les pilotes.

Par exemple, il est possible d’installer Windows Server 2012 R2 sur un portable.

L’éditeur du logiciel n’a pas la possibilité d’obliger l’utilisateur à installer son logiciel sur un serveur-ordinateur. En revanche, il peut vous obliger à l’installer sur un ordinateur doté d’un système d’exploitation serveur, comme Windows Server 2012 R2.

Par exemple, Microsoft SQL Server existe en plusieurs déclinaisons, appelées éditions, dont certains ne peuvent pas s’installer sur Windows 8.1. Les éditions Entreprise et Standard de SQL Server 2012 s’installent uniquement sur les versions serveurs du système d’exploitation. Tandis que l’édition Personnelle fonctionne sur Windows 8.1.

Les systèmes d’exploitation récents de Microsoft se déclinent en deux grandes familles : Windows 8.1 et Windows Server 2012 R2.

Généralement, Windows 8.1 est installé sur un poste de travail et Windows Server 2012 R2 sur un serveur.

En réalité, il s’agit du même programme, uniquement différencié par le type de produit. Le type de produit est enregistré dans la base de donnée interne appelée la base de registres. La gestion des différentes versions se fait grâce à deux variables stockées dans la base de registres : ProductType et ProductSuite.

La licence d’utilisation interdit de modifier ces valeurs.

Les versions de Windows Server 2012 R2 permettent d’avoir des fonctionnalités supplémentaires, comme la notion de domaine Active Directory, que n’offrent pas les versions de Windows 8.1.

Commande systeminfo

Dans une invite de commande (« cmd »), tapez la commande systeminfo.

Cette commande affiche diverses statistiques du système tels que le nom d’hôte, le nom du système d’exploitation, la version du système, la date d’installation, l’heure de démarrage du système, les correctifs installés et plus encore.

Parmi ces nombreuses informations figure la Configuration du système d’exploitation.

Celle-ci indique si le système d’exploitation hébergé par l’ordinateur est de type Serveur ou Station de travail.

Commande Windows systeminfo

Installer Visual Studio pour ASP.NET (développeur C# débutant) #01

Cette vidéo est la première d’une série de vidéos qui est dédiée à l’apprentissage du développement d’une application web.

Il existe déjà une autre série sur ce site qui permet d’apprendre le langage c#.

Toutefois, j’ai souhaité à travers cette nouvelle série de vidéos vous faire découvrir le langage C# de manière plus concrète grâce au développement d’une véritable application web et ne plus avoir seulement la console d’applications, vous savez ce petit carré noir, dans lequel vous aviez les résultats de vos applications.

Il s’agit d’apprendre à développer une application web, et plus particulièrement une application web en ASP.NET.

Cette application en ASP.NET sera écrite grâce au langage C# mais aussi vous verrez aussi un petit peu de HTML, des feuilles de styles CSS de façon à voir panorama le plus large possible sur le développement d’une application .Net.

Vous apprendrez aussi à manipuler Visual Studio. Souvent, ce qui bloque les développeurs dans le monde Microsoft c’est justement l’apprentissage de Visual Studio.

Visual Studio est un outil très riche et très puissant mais qui nécessite son propre apprentissage.

Aussi, je vous invite fortement à faire les manipulations grâce à la dernière version Microsoft qui s’appelle Visual Studio Community 2013.

C’est un outil entièrement gratuit, que vous pouvez télécharger gratuitement à partir du site Microsoft, ça va être vu en détail dans la vidéo. Ainsi, vous pourrez bénéficier des fonctionnalités de Visual Studio de façon gratuite et vous pourrez expérimenter le développement.

Cette série s’adresse à des débutants en développement, vrais ou faux débutants. Les faux débutants ont des notions mais qui ils n’ont peut-être pas su les assembler pour construire un vrai programme.

Ces vidéos seront progressives et surtout fourniront les explications de façon à ce que vous puissiez progresser pas à pas.

Vous apprendrez si vous manipulez par vous-même.

Regarder les vidéos sans les pratiquer n’est pas suffisant pour progresser.

Pour débuter la première chose à faire est d’installer Visual Studio Community 2013. Pour cela c’est très simple.

Dans votre navigateur vous faites une recherche sur Visual Studio Community 2013.

Vous cliquez sur le lien visualstudio.com et là vous arrivez sur la version Community 2013. Cherchez bien la version Visual Studio Community 2013.

Sur cette page vous cliquez sur Downloads puis Visual Studio Downloads.

Ça  vous permet d’arriver sur la page qui présente toutes les versions de Visual Studio 2013.

Vous descendez un petit peu et là vous trouvez Visual Studio Community & Express, et en particulier Community 2013 with Update 4.

Cliquez dessus.

Quand vous arrivez sur cette page là, vous pouvez soit installer directement la version Visual Studio Community 2013 en cliquant sur ce lien mais moi je vous conseille plutôt de télécharger l’image iso. C’est sûr que ça va prendre du temps parce que ça fait à peu près 7 Go à télécharger.

L’avantage: vous serez autonome.

Si vous avez le moindre problème et que vous devez refaire l’installation ou une mise à jour, ou réparer, vous avez tout ce qu’il faut sans être obligatoirement connecté à Internet.

Aussi, je vous invite à  télécharger cette version-là.

Cette version est en anglais.

Vous pouvez ensuite appliquer le module logistique dans la langue de votre choix, par exemple en français en le téléchargeant.

Ça  fait deux téléchargements distincts.

Il faudra d’abord installer la version anglaise et éventuellement si vous le souhaitez, vous pouvez installer la version française.

Cela étant, compte-tenu du nombre très important d’information et de guides qui existent sur le web, je vous suggère de rester sur la version anglaise.

Maintenant, si vous êtes un irréductible gaulois, rien ne vous empêche évidemment d’installer la version française.

Donc, vous cliquez sur ce lien et vous allez avoir un téléchargement qui va débuter de l’image ISO.

Comme vous avez effectivement 7Go à télécharger ça prend du temps.

Je vais couper momentanément la vidéo, le temps que le téléchargement se termine.

Donc la version ISO est téléchargée, ainsi que le pack de langue en français. Ouvrez d’abord le fichier ISO en double-cliquant dessus.

Ça nous permet de lancer l’installation à travers vs_community.exe.

Si vous ne voyez pas d’extension il faut régler l’affichage.

Il faut dans Affichage Options Modifier les options des dossiers de recherche.

Décochez Masquer les extensions des fichiers dont type est connu.

Vous lancez vs_community.exe.

L’assistant d’installation s’ouvre.

Vous approuvez les termes du contrat.

Vous pouvez éventuellement modifier l’endroit où va être stocké les fichiers d’installation, si c’est nécessaire.

Vous cliquez sur Next.

Vous avez ici tous les outils qui vont s’installer En particulier, ce qui nous intéresse c’est Microsoft Web Developer Tools, mais laissez les autres outils car dans l’immédiat, on ne fera pas de développement Windows Phone.

Laissez donc les options puis cliquez sur Install.

L’installation va aussi durer un certain temps.

Je mets la vidéo en pause et je reprends dans quelques instants.

À la fin de l’installation, vous avez cet écran.

Normalement tout s’est bien passé.

Cliquez sur Launch: il est possible que vous ayez ce message.

Ce n’est pas grave: cliquez sur ok et vous avez effectivement Visual Studio qui  termine son installation.

Vous pouvez avoir des outils supplémentaires qui viennent s’ajouter.

C’est normal.

Dans la vidéo suivante, vous ferez  quelques manipulations de base pour mieux comprendre cet environnement riche qui est Visual Studio.

 

Qu’est-ce que la sécurité informatique ?

Lorsque que j’évoque mon intérêt pour la sécurité informatique, la question « Qu’est-ce que la sécurité informatique ? » m’est posée régulièrement.

Avant d’aller lire la définition sur Wikipedia, ou dans les normes concernées (ISO 2700X, RGS, PCI-DSS, ISO 22301), ou les méthodes EBIOS, MEHARI ou le contenu des certifications (CISSP, ISO 2700X, CISA, CISM, GCIA, GSE, GREM, GXPN, etc.), il peut être utile d’identifier les métiers ou activités que recouvrent ces termes.

5 Grandes familles aux frontières entremêlées

    • Tests d’intrusion / Audits de sécurité
    • Sécurité Systèmes et Réseaux
    • Sécurité Applicative / Lutte anti-malwares / Kernel
    • Gouvernance SSI / CERT
    • Analyses forensics

Afin de fixer les esprits, je donne des exemples de compétences demandées et parfois des outils. Il est évident que chaque mission est différente et que les compétences ou les outils dépendent du mandat qui est confié.

De manière générale, ces métiers réclament au minimum la connaissance des aspects théoriques de la sécurité informatique: architecture, protocoles, cryptographie, authentification, vulnérabilités.

Les familles ne sont pas complètes car il existe des ramifications spécialisées. Par exemple, tout le domaine de la cryptanalyse nécessite des compétences très poussées en mathématiques. Finalement, l’informatique n’est qu’un support de cette activité.

Tests d’intrusion / Audits de sécurité

La grande famille des tests d’intrusion consiste à chercher la vulnérabilité d’un système d’information du point de vue d’un attaquant qui voudrait s’infiltrer.

Les cibles sont : les applications web (injections SQL, XSS/CSRF), les systèmes informatiques classiques (Linux, Aix, Windows), les nomades (Android, iOS, Windows Phone), les systèmes industriels et embarqués, le système d’information en général. Ils sont pratiqués par des accès internes et externes.

Les audits de configurations du système d’information nécessitent le même savoir-faire que des tests d’intrusion. Il s’agit d’audits techniques avec la réalisation de bilans de sécurité de systèmes informatiques.

Les audits de code peuvent participer à une mission de tests intrusifs ou d’audits techniques. De même, il peut être nécessaire de développer du code spécifique pour démontrer la présence de vulnérabilités ou pour créer un script nécessaire à un audit. Les audits de code sont détaillés dans le paragraphe Sécurité Applicative.

Les compétences demandées sont la connaissance des techniques de tests d’intrusion comme OWASP ou OSSTMM, ainsi que celle des méthodologies d’audit.

Les compétences techniques sont Linux ou Linux embarqué, AIX, Microsoft Windows ou Microsoft Windows embarqué, les systèmes d’exploitation mobiles comme Android, iOS ou Microsoft Windows Phone, les systèmes d’exploitation temps réels, les protocoles réseau classiques (TCP/IP, routage, IPSec, VPN, HTTP, SMTP, LDAP, SSH, etc.), les protocoles IP spécifiques comme ModBus over Ethernet ou non IP comme les Bus CAN. Des connaissances supplémentaires peuvent être requises en électronique, etc.

Les outils les plus fréquents dans les systèmes informatiques classiques sont Wireshark, Nmap, Nexpose, BURP, Metasploit, Nessus et OpenVAS.

Un conseil: Suivez les DEF CON. Si vous n’êtes pas à l’aise avec l’anglais oral, activez les automatic captions de Youtube sur chaque vidéo.

Sécurité Systèmes et Réseaux

Il s’agit de la surveillance du réseau et les connexions VPN, l’administration des firewalls, la mise à jour des règles de sécurité, la mise à jour des systèmes et des logiciels avec l’application des patchs de sécurité, la gestion pro-active des annuaires d’utilisateurs, la gestion des accès authentifiés et des droits associés.

L’administrateur assure aussi les sauvegardes et le contrôle des restaurations, le maintien en condition opérationnelle et les plans de continuité d’activité. Un travail permanent de rédaction des mises à jour des procédures d’urgence et de restauration est aussi attendu dans ce métier, ainsi qu’un rôle de support auprès des correspondants informatiques.

Les compétences requises dépendent de l’environnement. Il s’agit souvent de compétence en administration Linux, Microsoft Windows, VMWare, Microsoft Exchange, Microsoft SQL Server, Oracle et réseau.

L’administrateur assure la surveillance proactive des fichiers journaux des équipements de sécurité, des systèmes et des réseaux.

Cette activité d’analyste sécurité SOC nécessite des connaissances sur les réseaux (TCP/IP) ainsi que les activités réseaux liées aux attaques (scans, MITM, sniffing, DDoS) et les outils (Wireshark, Nmap), les systèmes IDS (Snort, Suricata), les techniques Security information and event management (SIEM).

Ce spécialiste doit développer ses propres outils à l’aide de scripts écrits en Python, Perl, PowerShell ou Ruby. Dans ce cas, la pratique des expressions régulières est indispensable.

Sécurité Applicative / Lutte anti-malwares / Kernel

C’est une très grande famille. C’est aussi l’activité la plus importante, dans tous les sens du terme.

Au départ, il s’agit de contrôler le niveau de sécurité des applications par des revues de code ou des audits de code. Les revues de code peuvent cibler des applications web, mobiles (Android, iOS, Windows Phone) ou classiques sur PC et Serveurs. Les tests d’intrusion peuvent aussi s’appuyer sur des vulnérabilités de code.

Ensuite, il est possible de se spécialiser dans l’analyse de code. Le rôle de l’analyste de code est d’analyser et traiter les nouveaux malwares, de créer des signatures et des algorithmes pour détecter puis nettoyer les codes malveillants.

Les connaissances sont relatives au reverse engineering: désassemblage et décompilation des programmes informatiques.

Les langages de programmation à connaître sont les langages d’assemblage (x86, ARM, POWERPC), le C / C++, Python, Perl, Ruby, Java. Selon sa spécialité, il peut aussi être nécessaire de connaître aussi les programmes sémantiques, la programmation fonctionnelle (OCaml) et l’analyse statique.

Une autre spécialité concerne l’analyse des dumps et des crashes avec des outils de debugging comme WinDBG, IDA ou SoftIce.

Il est aussi possible de se focaliser sur un seul système d’exploitation comme Windows par exemple. Les connaissances attendues concernent le fonctionnement du noyau Windows: ntoskrnl.exe, hal.dll, gestion des pilotes, des processus, des threads, de la mémoire, des LPC, des I/O, du cache, de l’ordonnancement sont une bonne base. De même que les connaissances des mécanismes d’interception (callbacks, hooks…), de boot (MBR) et de signatures numériques.

Les profils qui identifient les vulnérabilités 0-Days ont ce type de compétences très pointues.

Gouvernance SSI / CERT

La gouvernance de la sécurité informatique concerne essentiellement le conseil en sécurité des SI. Il s’agit d’un rôle d’analyse de risques et de définition de la politique de sécurité informatique.

Le rôle peut être parfois similaire à celui d’un CERT avec des objectifs de centralisation des demandes d’assistance suite aux attaques, de réalisation du suivi d’exploitation et de gestion des incidents sur les actions du traitement.

Analyses forensics

L’objectif d’une analyse forensic (ou investigation numérique) est d’apporter une preuve numérique. C’est une activité qui est souvent reliée au monde judiciaire mais pas seulement. Les experts judiciaires en informatique, ou les forces de l’ordre lorsqu’elles en ont les compétences, procèdent à des analyses à « froid » ou à « chaud » d’ordinateurs et de smartphones.

Dans le cas d’un ordinateur, l’analyse à froid consiste à faire une copie parfaitement exacte des disques durs (commandes dd, dd_rescue) puis de travailler sur la copie afin de rechercher les informations demandées par votre mandataire (juge, avocat, client privé).

Par exemple, un juge peut demander de rechercher la présence d’images pédopornographiques qui auraient été stockées sur le disque dur même une fois qu’elles ont été effacées.

Une analyse à chaud intervient alors que l’ordinateur est toujours actif. L’intérêt est d’analyser le contenu de la mémoire et des différents registres.

Outils: Forensics Windows, Forensics IPads IPhones, Forensics Android.

Tâches à accomplir pour la mise en place de SharePoint 2013

Cet article vient détailler les tâches des étapes décrites dans l’article précédent intitulé Démarche de mise en place de SharePoint 2013.

Rappelons qu’il s’agit d’un simple partage d’expérience et qu’il existe d’autres méthodes. L’une d’entre elles sera présentée dans un autre article (en cours de rédaction).

Définition du périmètre du projet

L’objectif est de recueillir les besoins, auditer l’existant, définir le périmètre, les objectifs de la mission et son planning. Cette étape permet aussi de chiffrer les gains attendus et de calculer le retour sur investissement d’un projet SharePoint.

Tâches :

  • Faire les entretiens de recueil des besoins
  • Analyser l’existant organisationnel et opérationnel
  • Chiffrer les gains attendus
  • Rédiger et faire valider le compte rendu de recueil des besoins

Analyser les besoins métiers

L’objectif est d’identifier les outils fonctionnels à mettre en œuvre dans le cadre du périmètre. SharePoint n’est pas une solution. C’est une suite d’outils à choisir et à mettre en oeuvre.

Tâches :

  • Identifier la taxonomie nécessaire pour classifier les documents
  • Définir la structure du site: hiérarchique, thématique, autre
  • Déterminer les modèles de sites nécessaires pour répondre aux besoins
  • Déterminer les fonctionnalités de sites natives utiles
  • Identifier les listes et bibliothèques à créer
  • Sélectionner les webparts natifs nécessaires
  • Identifier les processus métiers et flux de travail à intégrer dans SharePoint
  • Identifier les formulaires à intégrer dans SharePoint
  • Identifier les besoins de sécurité d’accès et de protection des données
  • Rédiger et faire valider le document des spécifications fonctionnelles

Étudier l’impact organisationnel

L’objectif est d’identifier les impacts sur l’organisation, liés à la mise en place de SharePoint et de repenser cette organisation.

Tâches :

  •  Définir les plans de nommage des objets métiers
  • Recenser les utilisateurs de SharePoint, par sites et sous-sites
  • Identifier la méthode d’approvisionnement des bibliothèques
  • Identifier les méthodes d’accès aux documents
  • Définir l’ergonomie et la navigation des sites
  • Définir le ciblage d’audience
  • Définir les stratégies de gestion des informations
  • Définir les politiques de quota
  • Définir le plan d’accompagnement et les besoins de formation
  • Rédiger et faire valider le document d’organisation

Définir l’architecture technique

L’objectif de l’architecture technique est de dimensionner l’architecture pour 100 utilisateurs ou 10000 utilisateurs.

Tâches :

  • Identifier le nombre et la configuration des applications web nécessaires
  • Identifier les services et applications de services par applications web
  • Identifier les besoins d’accès anonymes
  • Identifier les sources de contenu externes auxquels SharePoint devra accéder
  • Définir les plans de nommage des objets techniques
  • Rédiger et faire valider le document d’architecture

Étudier la sécurité

L’objectif est de garantir au maximum la sécurité des données de SharePoint.

Tâches :

  • Identifier les autorisations d’accès par groupes d’utilisateurs
  • Identifier les autorisations des applications
  • Identifier les groupes SharePoint ou Active Directory à créer ou à utiliser
  • Proposer des solutions de redondances des données
  • Proposer des solutions de chiffrement des échanges
  • Proposer des solutions de lutte contre les malwares
  • Proposer des solutions de lutte contre les intrusions non autorisées
  • Proposer des solutions de chiffrement des données
  • Proposer des solutions de sauvegarde des données
  • Rédiger et faire valider le plan de sécurité

Installer l’environnement SharePoint de développement

L’objectif est de disposer d’un environnement de type « bac à sable » pour les tests, formation et développement. Pour des raisons de sécurité, cet environnement doit être totalement déconnecté de l’environnement de production.

Tâches :

  • Installer SharePoint Server (script PowerShell)
  • Créer les applications web (script PowerShell)
  • Créer et configurer les services et applications de services (script PowerShell)
  • Répartir les services et applications de services par applications web
  • Créer les autorisations nécessaires par groupe d’utilisateurs
  • Créer les groupes SharePoint ou Active Directory
  • Créer le mirroring des bases de données
  • Paramétrer le chiffrement des échanges
  • Paramétrer l’anti-virus
  • Paramétrer les pare-feu
  • Paramétrer Rights Management Server
  • Paramétrer les sauvegardes
  • Surveiller les changements de configuration de la ferme
  • Faire valider l’installation

Prototyper sur le site de développement

L’objectif est de réaliser un prototype opérationnel avec SharePoint afin de montrer à quoi va ressembler le futur site et à quoi il va servir. C’est aussi l’occasion de tester toutes les hypothèses précédentes.

Tâches :

  •  Créer les pages maîtres
  • Créer les gabarits (layouts)
  • Créer les collections de sites et les sites (par script PowerShell)
  • Créer les pages supplémentaires
  • Créer les modèles de sites
  • Créer les termes, ensembles de termes et groupes des métadonnées gérées
  • Créer les colonnes de sites et types de contenu
  • Créer les règles de l’organisateur de contenu
  • Paramétrer les propriétés gérées de la recherche
  • Paramétrer le concentrateur de métadonnées
  • Paramétrer les quotas et les stratégies de gestion des informations
  • Créer les listes et bibliothèques
  • Créer les formulaires
  • Créer les flux de travail
  • Développer les interfaces d’alimentations
  • Développer les interfaces de sorties
  • Développer les traitements spécifiques
  • Faire valider le prototype

Installer l’environnement SharePoint de production

L’objectif est de disposer d’un environnement réel de production pour SharePoint.

Concernant l’automatisation d’une installation et d’une configuration complète de SharePoint, l’article remarquable de Ashkan Jabbari est un excellent point de départ.

Tâches :

  • Installer SharePoint Server (script PowerShell)
  • Créer les applications web (script PowerShell)
  • Créer et configurer les services et applications de services (script PowerShell)
  • Répartir les services et applications de services par applications web
  • Créer les autorisations nécessaires par groupe d’utilisateurs
  • Créer les groupes SharePoint ou Active Directory
  • Paramétrer les caches d’objet et de sorties
  • Créer les clusters des bases de données
  • Paramétrer les variantes de sites
  • Paramétrer la recherche
  • Paramétrer le chiffrement des échanges
  • Paramétrer l’anti-virus
  • Paramétrer les pare-feu
  • Paramétrer Rights Management Server
  • Paramétrer les sauvegardes
  • Paramétrer le catalogue d’applications
  • Déployer le contenu de DÉVELOPPEMENT en PRODUCTION
  • Surveiller les changements de configuration de la ferme
  • Faire valider l’installation

Suivre la ferme SharePoint

L’objectif est de s’assurer de la pertinence de la solution mise en œuvre et de surveiller la ferme SharePoint afin de contrôler sa sécurité.

Tâches :

  • Étudier les rapports et tendances de popularité
  • Suivre les rapports d’audits
  • Suivre les rapports d’utilisation
  • Suivre les journaux de variantes
  • Suivre les journaux internes de SharePoint (usage, santé, diagnostic)
  • Suivre les journaux d’événements Windows

Former et accompagner

L’objectif est de sensibiliser la Direction Générale à l’arrivée de SharePoint et de former les utilisateurs à l’utilisation de ce nouvel outil.

Tâches :

  • Animer des ateliers de présentation
  • Former le personnel technique
  • Former les utilisateurs
  • Créer des fiches pratiques
  • Créer des forums
  • Créer des modes d’emploi sous forme de vidéos
  • Créer des questionnaires d’évaluation

Démarche de mise en place de SharePoint 2013

Cet article présente une démarche de mise en place de SharePoint 2013. Il s’agit d’un simple partage d’expérience. Comme tous les partages d’expérience, il est partiel et partial.

L’article suivant intitulé Tâches à accomplir pour la mise en place de SharePoint 2013 vous donne plus de détails sur les tâches à accomplir.

Notez aussi qu’il existe d’autres approches. En particulier, il existe aussi la possibilité de transposer intelligemment les documents stockés sous Windows dans SharePoint. Il s’agit d’une technique qui est présentée dans un autre article.

Dans l’immédiat, cette démarche s’appuie sur les étapes suivantes:

  • Définition du périmètre du projet
  • Analyser les besoins métiers
  • Étudier l’impact organisationnel
  • Définir l’architecture technique
  • Étudier la sécurité
  • Installer l’environnement SharePoint de développement
  • Prototyper sur le site de développement
  • Installer l’environnement SharePoint de production
  • Suivre la ferme SharePoint
  • Former et accompagner

Ces étapes peuvent se chevaucher.

Définition du périmètre du projet

L’objectif est de recueillir les besoins, auditer l’existant, définir le périmètre, les objectifs de la mission et son planning. Cette étape permet aussi de chiffrer les gains attendus et de calculer le retour sur investissement d’un projet SharePoint.

A priori, il semble difficile d’évaluer le retour sur investissement d’un projet collaboratif car les gains espérés portent généralement sur l’augmentation de l’efficacité des utilisateurs. Ce qui paraît compliqué à mesurer.

Pourtant, il existe des métriques factuelles. Ainsi, la mise en place du portail collaboratif peut conduire à la diminution du nombre de documents à manipuler,  la diminution du volume de stockage ou la diminution du temps à chercher un document.

À titre d’exemple, la diminution du volume de stockage peut atteindre 30 % des documents existants, sans perte d’informations. La diminution du temps de recherche d’un document peut passer de 30 minutes en moyenne à moins de 3 minutes (mesures faites chez un client).

Analyser les besoins métiers

L’objectif est d’identifier les outils fonctionnels à mettre en œuvre dans le cadre du périmètre. SharePoint n’est pas une solution. C’est une suite d’outils à choisir et à mettre en oeuvre.

Cette étape nécessite de connaître le besoin défini dans l’étape précédente, l’existant et les possibilités natives de SharePoint.

Le choix des outils à une conséquence directe sur le coût total du projet.

Par exemple, un besoin utilisateur comme vouloir gérer un stock de biens peut se  traduire par une liste personnalisée avec les métadonnées ad’hoc (2 jours), ou bien par la création d’un formulaire InfoPath et d’un flux de travail SharePoint Designer (<10 jours), ou d’un développement spécifique (>20 jours).

Par ailleurs, la taxonomie est une tâche indispensable dans un projet collaboratif réussi.

En science, la taxonomie sert à classer ou organiser les animaux, les plantes selon leurs caractéristiques. Dans SharePoint, la taxonomie consiste à classer et organiser les objets d’un site en cherchant leur hiérarchie et leurs relations entre eux.

Ce travail consiste à identifier les caractéristiques des objets manipulées dans SharePoint. Une facture a des caractéristiques différentes d’un devis, qui lui-même est différent d’une note de frais ou d’une demande de congés.

Cela revient à chercher les propriétés d’un document, ou plus précisément ses métadonnées. Ces métadonnées servent à ranger les documents à leur place. Elles servent aussi à les retrouver plus rapidement.

Si les métadonnées sont mal analysées, voire pas analysées du tout, les utilisateurs risquent de se détourner de SharePoint car ils ne verront pas son intérêt par rapport à Windows. Et ils auront raison.

Pratiquement, tous les projets SharePoint qui ont été délaissés par les utilisateurs souffrent d’un manque d’analyse des métadonnées. Ces sites avaient été construits pour faire du « windows-like ».

La taxonomie représente environ 20% du coût du projet.

Étudier l’impact organisationnel

L’objectif est d’identifier les impacts sur l’organisation, liés à la mise en place de SharePoint et de repenser cette organisation.

SharePoint introduit de nouvelles façons de penser les documents à travers l’Organisateur de contenu, les ensembles de documents ou les stratégies de gestion des informations.

Il faut tirer profit de ces nouveaux paradigmes bureautiques pour simplifier les tâches de l’utilisateur. Concrètement, un utilisateur peut alimenter la bonne bibliothèque au bon endroit d’un site SharePoint en connaissant uniquement l’existence de la Bibliothèque de remise, sans rentrer dans les détails du site.

L’alimentation peut aussi se faire par l’envoi d’un email avec le document en pièce jointe à SharePoint.

Quel que soit la solution retenue, elle devra toujours obéir à la règle du « no content duplicate ». Si l’information a besoin d’être dupliquée, ça sera à travers une réplication synchronisée.

L’autre besoin concerne l’accès aux documents. Avec un site SharePoint intelligemment conçu,  un utilisateur peut trouver un document sans être obligé de parcourir tous les sites, grâce au panneau d’affinement du centre de recherche.

Définir l’architecture technique

L’objectif de l’architecture technique est de dimensionner l’architecture pour 10000 utilisateurs ou 10 utilisateurs.

Il s’agit d’une étape technique où des hypothèses sont faites sur l’utilisation future de SharePoint.

L’intérêt certain de SharePoint est sa « scabilité ». Concrètement, l’architecture peut évoluer d’un serveur unique à une ferme de 30 serveurs sans perdre le travail déjà réalisé, à quelques exceptions près.

Cette étape permet aussi de poser les bonnes questions comme par exemple, sur les accès anonymes (autorisés ou non), qui accédera à SharePoint (utilisateurs de l’Active Directory ou pas).

L’étape de définition de l’architecture technique permet aussi d’identifier les sources de contenu externes auxquels SharePoint devra accéder, soit pour les indexer, soit pour les lire ou les mettre à jour. Dans tous les cas, les méthodes d’accès sécurisées sont à définir.

Étudier la sécurité

L’objectif est de garantir au maximum la sécurité des données de SharePoint.

Les utilisateurs confient leurs précieuses données à SharePoint. Il faut donc s’assurer qu’elles restent disponibles. De plus le coffre-fort de données que contient SharePoint devient appétissant pour de nombreux prédateurs.

Les solutions à étudier couvrent donc les autorisations des utilisateurs et des applications,  la sauvegarde et la redondance des données, le chiffrement des données et des échanges, la lutte contre les malwares et les tentatives de pénétration.

Dès la phase de conception, il est nécessaire d’intégrer les besoins de sécurité, car ils ont un impact certain sur le « design » global des sites SharePoint. Il s’agit d’un outil collaboratif mais cela ne signifie pas que tout le monde peut accéder à tout sans discernement.

Installer l’environnement SharePoint de développement

L’objectif est de disposer d’un environnement de type « bac à sable » pour les tests, formation et développement. Pour des raisons de sécurité, cet environnement doit être totalement déconnecté de l’environnement de production.

N’acceptez jamais de travailler directement sur l’environnement de production. De même, n’acceptez pas non plus que l’environnement de développement devienne le futur environnement de production. Dans ce cas, vous allez récupérer toutes les scories liées au développement.

Cette étape est très opérationnelle. Il s’agit de créer et paramétrer l’environnement. C’est l’occasion de s’habituer à automatiser les tâches à accomplir avec PowerShell.

Prenez aussi l’habitude de mettre en place des outils pour vous faire des remontées automatiques en cas de changement de la configuration : droits, services, etc. Au début, certains font des manipulations hasardeuses sans le savoir.

Prototyper sur le site de développement

L’objectif est de réaliser un prototype opérationnel avec SharePoint afin de montrer à quoi va ressembler le futur site et à quoi il va servir. C’est aussi l’occasion de tester toutes les hypothèses précédentes.

Cette étape est très opérationnelle. Il s’agit de créer ou paramétrer tous les objets identifiés précédemment.

Le livrable est un ensemble de sites SharePoint.

Vos interlocuteurs ont tendance à préférer voir des petites parties opérationnelles rapidement plutôt  que d’attendre longtemps pour voir un résultat « parfait ».

Une mise en œuvre progressive permet également d’introduire des corrections mineures de trajectoire au fur et à mesure, ce qui
conduit finalement à un meilleur résultat.

Dans cette étape, il est malin de chercher à automatiser le plus possible. En effet, le processus de création est itératif car les utilisateurs modifient leurs perspectives au fur et à mesure de l’avancement du prototype.

C’est aussi un entraînement utile lors du futur passage en production.

Installer l’environnement SharePoint de production

L’objectif est de disposer d’un environnement réel de production pour SharePoint.

Cette étape est très opérationnelle. Il s’agit de créer et paramétrer l’environnement.

L’utilisation de scripts PowerShell pour automatiser le plus possible l’installation est indispensable. Certaines tâches, comme la configuration des serveurs de cache, ne peuvent se faire qu’avec PowerShell.

Le passage de l’environnement de développement en production mérite une attention particulière. En particulier, chaque nouveau cycle de mise à jour ne doit pas être destructif en production. C’est évident mais cela va mieux en le disant.

Le suivi de votre ferme SharePoint est indispensable pour son contrôle et sa sécurité.

Suivre la ferme SharePoint

L’objectif est de s’assurer de la pertinence de la solution mise en œuvre et de surveiller la ferme SharePoint afin de contrôler sa sécurité.

Dans cette étape, il s’agit d’activer avec discernement les très nombreux journaux et rapports liés à SharePoint.

La lecture manuelle de tous les journaux est impossible. Il faut disposer d’outils maisons ou d’éditeurs, afin d’avoir une remontée pertinente et automatique sur des activités anormales de la ferme.

Outre les aspects sécurité, le suivi de la fréquentation des sites, ainsi que les requêtes de recherche des utilisateurs permet de s’assurer de la pertinence des informations contenues dans SharePoint.

Il n’est pas rare qu’un utilisateur recréé une information déjà existante parce qu’il ne sait pas utiliser correctement SharePoint. Les besoins de formation peuvent être aussi détectés par l’analyse des requêtes de recherches.

Former et accompagner

L’objectif est de sensibiliser la Direction Générale à l’arrivée de SharePoint et de former les utilisateurs à l’utilisation de ce nouvel outil.

Pour la Direction Générale, il est suffisant de procéder à quelques démonstrations bien introduites. Ces démonstrations doivent plus mettre en valeur les avantages de SharePoint que ses fonctionnalités.

Outre les formations présentielles, il faut penser à mettre à disposition des utilisateurs des mémos, fiches pratiques et modes d’emploi afin de prévenir les questions qu’ils vont se poser.

Par expérience, l’utilisation de la vidéo est bien vécue, y compris dans les milieux les plus revêches.

Qu’est-ce que Google AdWords ?

Google AdWords est le système de Google qui permet de créer des annonces publicitaires. Ces annonces publicitaires apparaissent en haut ou sur la droite du site Google, après avoir fait une recherche Google.

Les annonces publicitaires créées avec Google AdWords apparaissent plus ou moins distinctement des résultats de la recherche. En effet, elles apparaissent en haut du résultat de recherche sont avec un fond de couleur rosée (code couleur #FBF0FA) et le mot « Annonce » est affiché en haut à droite. Les annonces AdWords apparaissent aussi sur la droite de la page de résultat, sous le mot « Annonces », séparées par une barre verticale grise.

Comme toute forme de publicité, l’intérêt des annonces Google AdWords est de faire connaître son produit. D’autant que les publicités Google AdWords sont aussi diffusées par le réseau des partenaires grâce à un autre système nommée Google AdSense.

L’inscription à Google AdWords est gratuite. Souvent Google offre un crédit publicitaire, par exemple 75 €, pour débuter. Car, bien évidemment, faire de la publicité sur un site comme Google coûte de l’argent.

Les responsables de Google ont mis en place un système original concernant le coût des publicités. Leurs objectifs est de faire en sorte que chacun puisse s’offrir de la publicité sur Google. La méthode pour créer une publicité Google AdWords est simple.

Elle se fait en 3 temps:

  • Vous choisissez votre budget
  • Vous créez des annonces
  • Vous sélectionnez des mots clés qui font correspondre vos annonces à des clients potentiels

C’est vous qui fixez votre budget.

Vous fixez votre dépense quotidienne (par exemple 1 € / jour), la somme maximale à ne pas dépasser (par exemple 20 €) et ensuite, le plus important, le coût par mot-clef (par exemple 10 centimes). Le coût par mot-clef détermine le coût réel de votre annonce. Car, à chaque fois qu’un internaute clique sur votre annonce, Google déduit le coût par mot-clef, soit 10 centimes dans notre exemple.

Dans le jargon Google AdWords, le coût par mot-clef est le CPC: coût par clic. Plus le CPC est élevé, plus cela vous coûte cher.

Toutefois n’oubliez pas que vous pouvez être en concurrence avec d’autres annonceurs sur les mêmes mots-clefs. Plus le CPC est élevé, plus votre annonce sera visible. Vous devez donc trouver un équilibre entre le coût du CPC et ce qu’il vous rapporte.

Qu’est-ce que Google AdSense ?

Google AdSense est le système d’affichage des annonces ou publicités créées à l’aide de Google AdWords. Grâce à Google AdSense, les propriétaires de sites web peuvent générer ainsi des revenus supplémentaires qui peuvent être parfois importants.

En effet, les annonces de Google AdWords sont diffusées aussi bien sur le site Google que sur les sites web dont le webmaster a accepté de le faire. Si vous êtes webmaster, vous êtes rémunérés si vous diffusez des annonces Google AdWords sur lesquels vos internautes cliquent. Plus vos internautes cliquent sur les publicités Google de votre site, plus vous gagnez de l’argent cash.

Le montant gagné dépend aussi de la valeur de l’annonce. Cette valeur est définie lors de la création de l’annonce AdWords par l’annonceur.

La valeur de l’annonce est déterminée par le CPC (Coût Par Clic) que fixe l’annonceur. Plus le CPC est élevé, plus l’annonce coûte cher à l’annonceur mais plus elle a des chances d’être vue par les internautes. L’objectif d’une annonce est d’être vue par le plus grand nombre de personnes intéressées.

On estime que Google reverserait 50% du prix fixé du clic dans AdWords. Autrement dit, si l’annonceur a fixé à 10 € le CPC, à chaque clic d’un internaute sur une annonce Google AdWords sur votre site web, cela vous rapporterait 5 euros environ.

Les publicités Google AdSense s’adaptent automatiquement au contenu de votre site. Toutefois, vous pouvez rajouter des mots supplémentaires pour orienter le choix des publicités qui s’afficheront sur votre site.

Vous avez aussi la possibilité d’être rémunéré sur les recherches Google qui sont faites à partir de votre site. Dans ce cas, Google vous fournit un script qui intègre sa page de recherche dans votre site.

Certains webmasters combinent astucieusement Google AdSense et Google AdWords

Pour démultiplier leurs revenus, des webmasters combinent AdSense avec AdWords.Supposons que votre site concerne les voitures hybrides:

  • Vous créez votre site sur ce sujet
  • Vous vous inscrivez gratuitement à Google AdSense puis vous incorporez les scripts fournis dans vos pages HTML,
  • Vous vous inscrivez gratuitement à Google AdWords puis vous achetez les mots clefs associés au terme « voiture hybride » pour créer vos annonces.

Grâce à ce mécanisme, cela vous génère du trafic sur votre site et donc des clics sur vos publicités comme par exemple pour les constructeurs de voitures hybrides.

Malgré la simplicité du mécanisme, méfiez-vous pour deux raisons distinctes.

D’une part ce principe est utilisé à outrance par certains sites qui vous vendent des modèle de sites « prêts à l’emploi » (sur l’assurance, les crédits, etc…) avec du contenu identique.

D’autre part, Google applique des règles très strictes et parfois complexes pour utiliser Google AdSense.

D’une manière générale, vous pouvez vous voir retirer votre agrément Google AdSense si vous ne respectez pas les règles. Dans ce cas, vous ne pourrez plus utiliser la régie publicitaire, ni même toucher l’argent des clics. Cela est d’autant plus rude que Google, pour des raisons de confidentialité liées à leur activité, ne donne pas les raisons précises de ce désaveu.

Dans ces conditions il devient difficile, voire impossible, de se défendre.

Créateur de Produits Numériques