C’est quoi un certificat SSL?

La question la plus commune que l’on pose aux gens lors de rencontres est: “tu fais quoi dans la vie?” En effet, c’est un sujet bateau, et en général tout le monde est assez content de parler de sa vie professionnelle. Pour certains, c’est relativement simple et clair: médecin, prof, vendeur, militaire, pompier… Pour d’autres, l’explication est légèrement plus compliquée: “je travaille dans la revente de certificats SSL”. Et là s’en suit l’inévitable question “c’est quoi un certificat SSL?…”

Pour y répondre, je vous laisse découvrir une vidéo toute simple et facile à comprendre qui je l’éspère vous éclairera un peu sur mon travail…

4 règles pour optimiser sa présence sur un salon professionnel

SSL247 a décidé de participer à un salon très important en Europe dans son secteur: le salon InfoSecurity qui se tiendra à Londres du 19 au 21 avril 2011. Ce salon est le plus grand salon européen de la sécurité informatique avec 22,000 visiteurs attendus, et c’est l’occasion pour SSL247 de rencontrer ses nombreux clients qui y seront présents ainsi que des prospects recherchant des partenaires pour la gestion de leurs certificats SSL.

Pour rencontrer le plus de monde possible, que ce soit des clients ou des prospects, et être sûr de rentabiliser un projet qui peut rapidement s’avérer coûteux, il faut s’assurer que plusieurs facteurs obligatoires sont bien respectés:

Règle #1: La communication en amont du salon. Il faut prévenir tous vos clients  que la société expose au salon. Tous vos clients doivent savoir que vous y êtes et doivent avoir envie de passer vous dire un petit bonjour. En ce qui concerne les moyens classiques de mise au courant des clients existants: l’email, le téléphone, le mailing, et une bannière sur leur compte en ligne… Ce sont les moyens les plus simples et évidents mais ils sont très importants.

Règle #2: L’emplacement du stand. Il est préférable de se trouver sur un carrefour d’allées, dans une allée passante. Pour choisir, regardez les noms de vos voisins, et la taille de leur stands pour savoir s’ils génèrent du trafic. Évitez absolument les bouts d’allées, les impasses, ou les bordures de salon, où il y a moins de passage et donc moins d’éventuels prospects.

Règle #3: Créer l’évènement. Pour faire venir du monde, organisez une compétition, un challenge, un simple quiz avec un lot intéressant à gagner. Cela aura pour 1ère conséquence d’obtenir des nouvelles cartes de visites pour le tirage au sort et donc de nouveaux contacts/prospects, et aussi permettra de faire dans le cas d’un quiz un peu d’éducation du client sur un produit, une technologie ou simplement sur votre société.

Règle #4: Assurer le suivi client/prospects. Encore une fois, une évidence mais trop souvent oubliée par les entreprises, si vos commerciaux ne suivent pas les leads, ce salon n’aura servi à rien. Il est impératif de renvoyer un mail ou un coup de téléphone à toutes les leads en répondant même en partie à leur demande sur le stand dans les 3 jours qui suivent le salon. Ensuite, un 2eme email ou coup de téléphone la semaine suivante est un must. A vous de mettre en place un système qui devra être suivi rigoureusement par vos commerciaux.

Ce sont les règles de base que nous allons mettre en place avec SSL247 lors de ce salon InfoSecurity. Si vous avez des conseils ou des règles d’or à suivre que j’ai oublié, je suis bien sûr preneur!

A vos commentaires!

Certificats SSL : Quand le marketing doit prendre en charge la sécurité.

Beaucoup de sociétés, qu’elles soient SSii ou non, confient de manière très naturelle l’achat de leurs certificats SSL à la direction technique. Alors que les certificats SSL ont en effet une caractéristique logicielle indéniable, ces techniciens passent très souvent à côté des raisons exactes d’une mise de place de tels certificats. Il semblerait en fait plus juste d’éduquer les directions marketing et commerciales pour l’achat des certificats SSL et ce pour plusieurs raisons.

Un rapide rappel de ce que sont les certificats SSL ne peut pas faire de mal. En simplifiant à l’extrême, leur mise en place permet de crypter les flux de données entre un serveur et une machine distante qui peut être un ordinateur, un smartphone, ou tout autre outil connecté. Il permet aussi à l’internaute de voir le fameux petit cadenas qui le rassure sur l’environnement où il se trouve.

On peut prendre en compte 3 grands axes pour la différenciation des certificats SSL.

1.  Le cryptage minimum

C’est LA caractéristique ‘logicielle’ et technique du certificat SSL. Ce cryptage minimum peut être de 40bit (cryptage faible) ou de 128bit (cryptage fort). Ce cryptage minimum peut dépendre du serveur sur lequel est installé le certificat mais surtout de la configuration de la machine qui vient se connecter sur ce serveur : son système d’exploitation, son navigateur ou application. Les certificats SSL munis de la technologie SGC (Server Gated Cryptography) assurent un cryptage de 128bit minimum quelque soit la configuration des machines venant se connecter. Ceux-ci sont obligatoires pour les administrations françaises par exemple (norme RGS) et fortement recommandés pour les données très confidentielles (paiement cartes bancaires, etc…

2.  La validation d’identité du détenteur du site

Il existe 3 méthodes de validation qui ont des répercussions très importantes sur le certificat délivré.

a. La méthode logicielle et automatique de simple validation de domaine (DV).
Celle-ci est très légère et le certificat délivré ne contient pas d’information sur la société détentrice du site sécurisé. Il n’est pas possible de vérifier dans le certificat à qui vous confiez vos données. Ces certificats sont donc à proscrire absolument de tout usage externe et sont souvent trouvés sur des sites de phishing (hameçonnage). Les internautes voyant le cadenas se sentent en sécurité, malheureusement leurs données sont envoyées à des escrocs, et rien dans le certificat ne permet d’identifier la société en cause.

b. La validation classique d’organisation (OV).
Ce sont les certificats les plus répandus sur Internet, malgré la croissance rapide des DV low-costs. Pour délivrer ce type de certificat, les Autorités de Certification (CA) doivent pratiquer un audit du site, vérifier l’existence de l’entreprise qui demande ce certificat et valider le fait qu’elle détient bien le site en question. Le certificat délivré détient donc toutes ses données et correspond à une véritable carte d’identité du site sécurisé sur l’Internet. Il permet à l’internaute de vérifier s’il le souhaite qu’il confie bien ses données confidentielles à la bonne organisation.

c. La validation étendue (EV).
Ces certificats sont en cours de devenir la nouvelle référence sur la toile et remettent à plat les standards. Ils sont obtenus par les entreprises après un audit poussé du site et de l’organisation de la part des CA, et ont un effet très important pour l’internaute : la barre d’adresse de son navigateur se colore en vert, et le nom de l’entreprise détentrice du site est visible sans avoir à ouvrir le certificat. Grâce à ces indicateurs de confiance visibles, l’internaute se sent parfaitement en sécurité et n’hésite plus à confier ses données confidentielles sur les zones de paiement, administratives, ou encore portails d’échanges d’informations en tout genre.

3.  L’Autorité de Certification et la puissance de son logo.

A ces 2 grands axes de choix de certificats, il semble enfin juste de constater une valeur ajoutée à l’Autorité de Certification qui délivre le certificat en place. Des noms sont évidemment plus connus que d’autres. “VeriSign est LA référence incontournable », explique Benjamin Tack, Directeur Commercial de SSL247, le plus gros revendeur européen de certificats SSL. « Le logo VeriSign est vu plus de 175 millions de fois par jour sur plus de 90000 sites, il a un impact direct sur la perception des internautes. Il est prouvé par plusieurs études menées chez des clients VeriSign (dont Opodo) que leurs taux de conversion sur leurs sites de vente en ligne ont augmenté de façon très significative une fois le logo VeriSign apposé sur leurs zones sécurisées. »

Très (trop) souvent, les achats de certificats SSL sont réalisés par des techniciens. Ceux-ci sont concentrés essentiellement sur le fait que le cadenas apparaît bien dans le navigateur et que la connexion est bien cryptée entre l’ordinateur et le serveur, c’est-à-dire sur la partie « logicielle » du certificat. Comme le choix d’un commissaire aux comptes ou d’un cabinet d’expertise comptable de renom, il semble légitime de considérer cette partie d’image de marque et de crédibilité des organisations sur la toile. Il est en effet important de se différencier par le haut de ses concurrents n’ayant pas encore compris l’intérêt d’une vraie certification et d’en faire un nouvel avantage compétitif. Lorsqu’on comprend un peu plus l’impact visuel d’un certificat EV, ou d’un logo d’une grande marque comme VeriSign, on voit la limite du choix technique, et on doit se poser sérieusement la question du rôle du département marketing et commercial dans les choix de certification, comme lors d’une certification ISO, ou l’obtention d’un label de qualité sur leurs produits…

Enfin, c’est aux responsables commerciaux et marketing des organisations ayant pignon sur rue de combattre les utilisations malveillantes de solutions peu chères comme les certificats DV d’autorités de certification peu regardantes.