Crunchez vos adresses URL
|
Rejoignez notre discord
|
Hébergez vos photos
Affichage des résultats 1 à 29 sur 29
  1. #1
    Bon, ça fait un bout de temps que je voulais poser des questions, mais à chaque fois que je mets les pieds ici je suis perdu parce que je ne comprends presque rien à ce que vous échangez . Je surmonte ce handicap parce que je pense que vous pourriez m'aidez, ou au minimum orienter mes recherches.
    Je vous préviens ça va être un peu le bordel pour mon explication / message de détresse (rien que le titre j'ai réfléchi 3 minutes avant de poser un truc merdique).

    Alors euh... Je ne suis pas informaticien dans quelque domaine que ce soit, sinon le bidouilleur lambda qui peut réparer l'imprimante de sa maman, installer un SE chez son frère et assembler un PC. En termes de programmation, ma dernière expérience date de 98... en turbo-pascal, à la fac (une option pour nous occuper 2 heures par semaine). Mon cursus universitaire n'a pas grand chose à voir puisque je suis diplômé en biochimie. Voilà pour mon profil.

    Le contexte est assez simple : j'interviens auprès d'administrations publiques en tant qu'expert depuis un bon bout de temps, et j'avais remarqué que l'accès à certaines informations réglementaires étaient tellement difficile que même les responsables de ces administrations avaient beaucoup de mal à les trouver. Ajoutons à ça des espaces interprétatifs de la loi immenses, des différences d'instructions entre départements totalement débiles et un ministère silencieux, et on arrive à une grosse usine à gaz.
    Il fallait donc un bon travail d'uniformisation et de synthèse, et un accès simplifié pour tous les utilisateurs. Certain que le ministère, à travers de nombreuses remontées expliquant les soucis et les jugements des tribunaux administratifs, allait faire le nécessaire (je suis un peu naïf sur certains points ), j'ai attendu. Longtemps. En 2011, une administration départementale a réussi à sortir un guide réglementaire, mais sur papier : ça m'a semblé tellement con que je n'y a pas cru avant de voir. Les informations dont je vous parle sont assez dynamiques (disons des changements certains d'une année à l'autre), et le guide était déjà obsolète à sa parution.

    BREF tl;td : il y aurait besoin d'une ressource dynamique mais rien n'est fait. Et je ne suis pas développeur.

    Du coup je me suis dit que j'allais m'y mettre, au pire je m'aperçois que je sais pas coder et j'aurais certainement appris des trucs utiles quand même.
    8 mois plus tard je vous écris :

    - J'ai mis en place un truc assez simple en PHP/MySQL
    - j'ai synthétisé les informations pour environ 35 000 entrées dans mes bases,
    - Contre toute attente ça fonctionne
    - Les représentants départementaux sont hyper enthousiastes (ils gagnent un temps fou)
    - On me demande les conditions d'accès pour ce travail
    - C'est la PANIQUE.

    D'une part je n'ai absolument aucune idée du prix de ce que j'ai fait (sauf mes heures de travail, mais comme je suis un amateur j'y ai passé un temps fou). D'autre part je me sens absolument pas serein puisque mon auto-formation a d'énormes lacunes, j'angoisse d'un cahier des charges dont je ne comprendrais pas un mot, ou de questions techniques, n'importe lesquelles. J'ai été aidé (à distance) pour la présentation et l'accessibilité par deux personnes excellentes et super sympas, mais je ne me vois les solliciter tous les matins pour mes questions existentielles.
    J'ai un putain de syndrome de l'imposteur. Je ne sais même pas comment mettre en place un paywall malgré mes recherches. Qui serait le mieux à même de me renseigner : un prestataire type Prestashop ou une banque ? Comment je peux savoir si les sécurités que j'ai mises en place sont suffisantes ? Peut-on demander un audit pour pas cher ? (je suis au chômage, c'est pour ça que j'ai eu du temps pour mettre ça en place, le problème c'est que j'ai pas une thune). Est-ce qu'il existe des asso ou des groupes pour aider un pseudo-développeur avec une idée à concrétiser un projet ?
    C'est une telle angoisse de parcourir les forums informatiques : parfois je comprends la question, mais il est rare que je comprenne la réponse. Je me dis que j'ai pas les bases, que la complexité m'échappe totalement, et personne dans mon entourage n'est dev.

    Voilà c'est un peu plein de questions en l'air, je ne suis pas sûr que vous pourrez y répondre. Je me rend compte que ma difficulté à formuler les questions indique clairement que je ne sais même pas où commencer à chercher . Mais le côté exutoire d'en parler fait du bien.

    P.S.: si vous avez besoin d'informations très précises sur le projet je préfère les MP. Pas que je devienne parano mais j'ai eu certaines surprises auxquelles ma crédulité ne m'avait pas préparé.

    Des bisous !

  2. #2
    Je ne suis pas entièrement sûr d'avoir compris la situation.

    Tu es au chômage mais tu bosses pour des administrations ?
    Tu as développé une base de données avec une interface d'accès aux données, les personnes concernées aiment beaucoup mais veulent te payer pour y avoir accès ? (elles ont testé comment du coup ?)

    Tu cherches à monétiser l'outil, mais vu que tu as monté de bric et de broc, et tu n'es pas sûr de combien demander ? Pour ça c'est dur à dire sans connaitre le contexte précisément, pour estimer le tout, ça sera un peu à la louche dans tout les cas. A mon avis tu peux surement proposer un prix d'entrée puis une licence d'utilisation / abonnement et faire ça en SAAS (Software As A Service). Dans tout les cas, si tu n'es pas entièrement confiant, prévois dans le budget de quoi t'associer avec un freelance pour t'épauler voir carrément te former. Si le contexte est sensible, un audit avec un expert en sécurité serait clairement intéressant.

    Après tu as visiblement déjà un outil qui marche. Tu n'as aucune raison de stresser pour la suite, ce n'est pas comme si on t'avait demandé de monter un projet avec une deadline à respecter. Tu as déjà un service qui marche et que des gens veulent utiliser, c'est le principal, le reste tu peux le voir venir sereinement.

    N'hésite pas à me contacter par MP pour les détails si tu préfères.

  3. #3
    Tiens, ça peut te servir:
    https://www.pole-emploi.fr/candidat/....jspz?id=60775

    Tu peux aussi passer à la Chambre de Commerce et de l'Industrie de chez toi (ou aller sur leur site web) pour des infos, notamment sur les aides et subventions.
    Der Klügste gibt nach. Deshalb regieren die Dummen die Welt.

  4. #4
    Citation Envoyé par Zevka Voir le message
    Je ne suis pas entièrement sûr d'avoir compris la situation.

    Tu es au chômage mais tu bosses pour des administrations ?
    Tu as développé une base de données avec une interface d'accès aux données, les personnes concernées aiment beaucoup mais veulent te payer pour y avoir accès ? (elles ont testé comment du coup ?)

    Tu cherches à monétiser l'outil, mais vu que tu as monté de bric et de broc, et tu n'es pas sûr de combien demander ?
    Oui c'est vrai que c'est pas clair.
    J'avais un poste salarié que j'ai quitté pour diverses raisons. Mon rôle d'expertise auprès des administrations est bénévole (on est venu me chercher pour faire du volontariat, c'est sporadique), de même que ma participation au recrutement de certaines écoles. Et en fait l'outil que j'ai développé, au départ je ne le destinais pas vraiment à l'administration mais plutôt au particulier : je partais du principe que vu que c'était leur job, les agents administratifs d'instruction et de contrôle savaient où aller chercher leur info. C'est lorsque j'en ai parlé pendant une commission qu'ils se sont montrés intéressés et que je leur ai donné un accès. Après test ils ont trouvé ça extrêmement pratique, et veulent savoir à quelles conditions ils pourraient bénéficier d'un accès total.
    Je savais qu'un jour où l'autre j'allais devoir envisager une monétisation, mais c'est le genre de truc pénible pour ma part parce que je suis très mauvais en affaire. Donc je repoussais cet aspect en me disant que j'allais d'abord finir de tout synthétiser et qu'on verrait après. Le "après" est venu plus vite que prévu et je suis mal préparé. Le fait que ce soit une administration publique qui me sollicite en premier me stresse un peu (peut-être sans raison), puisque j'ai peur de me planter sur le budget qu'ils peuvent allouer à ce type de ressources.
    Le système dont tu parles (entrée + abonnement) est un peu ce que j'envisage. Il faut que je calcule bien pour avoir une rentrée d'argent minimum pour pérenniser mon travail (veille scientifique + réglementaire, coût de fonctionnement), mais je n'ai aucune idée de la "fourchette" de prix de ce type de service, et je n'ai pas envie de pénaliser l'utilisateur lambda (à qui s'adresse le service au départ) avec un abonnement trop élevé. Et puis si je suis trop gourmand je casse le bébé. J'aimerai naïvement que l'État sont plus un mécène dans cette histoire, je rêve un peu mais je leur simplifie quand même énormément le boulot.

    @Praetor : j'ai sollicité la CCI pour la seconde fois, j'attends leur réponse. La première fois j'ai pu rencontrer un ancien chef d'entreprise qui m'avait dit "ça sert à rien, faut pas insister" ; j'ai failli m'arrêter là. Vu les réactions des personnes concernées après la présentation et les tests, j'ai bien fait d'insister...

    En tout cas merci pour vos réponses

  5. #5
    Tu devrais faire une pseudo études de marché, tu fais un questionnaire avec 3/4 questions, notamment le prix qu'ils seraient prêt à payer (avec description succincte du service), et tu fais tourner à tes contacts en qui tu fais un minimum confiance.

    Pour le budget, de la presta en PHP/MySQL c'est entre 300€ - 600€ par jour. Tu peux partir là dessus et faire le calcul suivant pour une estimation à la louche :

    (JOURS * TJM) / CLIENTS = PRIX par mois

    Pour les jours : estime combien de temps il te faudrait pour maintenir la solution dans un premier temps, multiplie ce temps par deux.
    Pour le TJM (taux journalier moyen) : c'est en général le taux utilisé par les freelance ou les SSII pour estimer le coût d'une prestation, en général c'est principalement lié à l'expérience des personnes, mais dans ton cas, tu as déjà une solution toute faite et tu peux avoir besoin d'aide rapidement, donc je dirais n'hésites pas à partir sur le haut de la fourchette

    Je ne dis pas que ça sera la solution miracle, mais au moins tu aurais un nombre concret sous les yeux, que tu pourras comparer aux retours que tu as. A côté, essaie de trouver des solutions externes qui pourraient coller, des "concurrents", et voir leur prix. Avec ces estimations, tu pourras ajuster, trouver un prix qui colle, voir combien de clients il te faudrait dans un premier temps, etc.

    De toute façon là tu part de rien, donc il te faut un point de départ d'une manière où d'une autre. ^^

  6. #6

  7. #7
    C'est super ce topic.
    On voit pas mal de gens qui se pointent, qui ont des megas idees dont on ne sait rien, et qui veulent des benevoles pour bosser sur on ne sait quoi.
    Et bien souvent tout ca sans rel connaissance du marche.

    Et toi tu as vu un besoin, tu y as repondu, et les gens aiment. C'est top, ca fait bien plaisir de voir ca, et tu peux imaginer que tu as entre les mains un truc bien cool.

    Par contre, comme tu as l'air un peu perdu, et comme tu parles de fonctionnalites qui touchent aux sousous (tu parles d'un paywall) je ferai bien gaffe a ta place.
    Si tu pars dans l'idee de fournir a cette adminstration un outil, tu vas devoir travailler sur le cote contractuel. Si ton outil aboutit a un incident de securite, et que tu vends cet outil, tu vas avoir mal aux fesses.
    Tu as aussi l'option de fournir un conseil a cette administration. Tu te vends toi. Et pendant les jours ou l'administration t'emploie, tu mets en place l'outil, tu le supportes, etc. Tu ne vends pas l'outil, tu developpes quelque chose (qui du coup ne t'appartiendra pas).
    Tu peux dans ce dernier cadre par exemple rendre l'outil open source, et simplement l'implementer au sein de l'administration.

  8. #8
    Yep, le dernier point est ce que j'ai essayé de "vendre" en premier quand j'ai fait ma première présentation, à savoir un outil et un emploi. Le premier directeur que j'ai rencontré a semblé trouver ça cohérent. C'est ce qui me plairait le plus :
    - l'administration met en place un outil et le supporte,
    - les usagers en bénéficient librement (et c'est la moindre des choses vu le côté "usine à gaz" de la réglementation)
    Mais je ne perds pas de vue que je serai peut-être obligé de forcer un peu la main, puisque l'État semble peu enclin à payer quelque chose qui peut être gratuit par ailleurs ; surtout que dans l'affaire je n'oublie pas que je l'ai fait sans qu'on me demande de le faire.
    Pour les incidents de sécurité, et bien c'est le plus stressant pour ma part, même si dans ce projet je ne traite aucune donnée sensible. Je fais simplement une grosse grosse synthèse avec un outil de recherche simplifié.
    Faut que je bosse mon business plan pour le mois de mai, je dois rencontrer un peu plus de 20 départements à ce moment (j'ai pas intérêt à oublier mes bouteilles d'eau).

  9. #9
    Je suis personnellement plutôt pessimiste sur la faisabilité réelle de la chose. J'espère me tromper, mais je vois mal une administration venir payer un produit développé sur le temps libre d'un bénévole : dans quel genre de budget ça pourrait passer ? Sans appel d'offre, sans cahier des charges, sans rien... es-tu sûr qu'"ils" ont vraiment un budget à t'allouer en premier lieu ?
    MESKI MESKI MESKI !! Les pieds dans l'jacuzzi !

  10. #10
    Pour cet aspect j'ai déjà une réponse des départements, qui disposent d'un budget spécifique propre à chaque département et région pour mettre en oeuvre des solutions (dont ce que je propose). Donc si l'état ne veut rien avoir à payer (ce que je pense), il faudra que je démarche chaque département et région. C'est en partie pour cette raison que je suis convié à une réunion en mai, et c'est le pourquoi de mon stress parce que je n'ai pas grande connaissance du prix de ce que j'ai fait.
    Mais je suis un peu dans le cas d'un logiciel libre : je permets une fonctionnalité qu'ils n'ont pas développé en interne, et je propose la solution à plusieurs groupes de personnes. Le cahier des charges et appel d'offres ce serait le cas où le ministère a demandé l'élaboration d'un outil avec un marché public.

  11. #11
    Citation Envoyé par Ammoodytes Voir le message
    Pour cet aspect j'ai déjà une réponse des départements, qui disposent d'un budget spécifique propre à chaque département et région pour mettre en oeuvre des solutions (dont ce que je propose). Donc si l'état ne veut rien avoir à payer (ce que je pense), il faudra que je démarche chaque département et région. C'est en partie pour cette raison que je suis convié à une réunion en mai, et c'est le pourquoi de mon stress parce que je n'ai pas grande connaissance du prix de ce que j'ai fait.
    Connais-tu le budget en question ? Ça peut t'aider à proposer une fourchette. Après AMA, si tu pars sur un principe de licence, tu peux totalement appliquer des tarifs différents à des utilisateurs finaux et des professionnels (x10 ou autre n'est pas forcément choquant). L'idéal reste d'interroger une structure pour connaître le budget, il est peut-être "public" ?
    MESKI MESKI MESKI !! Les pieds dans l'jacuzzi !

  12. #12
    Oui j'aimerai bien le connaître ! Pour l'instant je n'ai pas d'info sur cette enveloppe à part le fait qu'elle existe, mais je dois voir un responsable dans peu de temps et j'espère avoir une réponse. Pour appliquer un tarif différencié j'ai un autre problème : pour légitimer une différence de tarif il faudrait que le service soit sensiblement différent. Je peux bien entendu proposer un support email/formation pour la licence pro, mais je ne peux pas vraiment "castrer" les fonctions du site qui réponde à un problème d'ensemble. Je peux en brider certaines parties mais il faut que ça reste intéressant même pour l'offre de base. C'est un peu pour ça que j'aimerais une solution "tout ou rien". Si ça ne fonctionne pas je ferais un accès payant sans distinction je pense.

  13. #13
    Un support mail seul peut justifier la différence de tarif. Tout comme le fait d'avoir une licence "utilisateur" et une licence "professionnelle". Ça peut être le même service derrière, peu importe, c'est les conditions d'utilisation qui font que la licence pro est plus chère.

    En tout cas bon courage dans ta démarche .
    MESKI MESKI MESKI !! Les pieds dans l'jacuzzi !

  14. #14
    Coin,

    tu pourrais stopper le service quelques temps, puis voir si l'on te contacte. Si ton service a vraiment de la valeur à leurs yeux, c'est à dire s'il fait gagner du temps et permet de faire moins d'erreurs, ils te demanderont au moins pourquoi tu l'as arrêté et si, steuplaiiit, tu pourrais le remettre en ligne. Ce à quoi tu réponds que tu es prêt à vendre ton application.
    Quel prix la vendre ? Tu dois avoir une idée du nombre d'heures passées dessus : à partir de là tu le multiplies par un taux horaire comparable à ce que tu peux trouver sur des sites d'informaticien freelance (on va dire au moins 50€/heure, et encore c'est pas cher payé, vraiment). Vendre ton produit te permettra de ne pas avoir à gérer un abonnement, et ne pas t'engager dans un truc pas évidant à gérer (support, contrat, etc).
    S'ils te font une contre-proposition sérieuse : youpie ! S'ils t'envoient balader en disant qu'ils n'ont pas de budget (ce qui est évidemment faux, mais tout le monde commence par dire qu'il n'a pas de sous), ou que tu pourrais continuer à faire ça bénévolement (pigeon ! ^^), alors je pense qu'il est temps que tu arrêtes de bosser gratos. Soit ils te payent le produit, soit ils t'embauchent, mais en définitive il faut que tu arrêtes de bosser gratos si au final tu restes sans emploi. Tu as visiblement du talent, et tu mérites mieux que de te faire bouffer comme ça.

    Si tu as peur de vendre le fruit de ton travail, alors il faut que tu comprennes que ce n'est pas grave si tu n'es pas un informaticien confirmé/pro. J'ai déjà vu des non-informaticiens vendre un classeur Excel à leur patron (en l’occurrence l'Armée). Ouaip, du Excel, juste parce que le type avait fait des feuilles vachement bien faites avec des formules dans tous les sens, et que ses collègues l'ont réellement utilisé. Alors ton site avec du php et de la logique qui tient debout, ça vaut des $$$ : ça fonctionne et tu as déjà des utilisateurs contents -> c'est déjà une réussite, contrairement à tous les projets pro qui se plantent après avoir dépensé des centaines de milliers d'euros.
    Fonce !
    Dernière modification par gros_bidule ; 12/03/2019 à 00h02.

  15. #15
    Merci pour vos encouragements !
    Je comprends tout à fait ce que tu veux dire par "stopper le service", c'est un peu ce que je pense en parlant de forcer la main. Par principe j'ai mis des accès aux premiers départements avec des dates limites correspondant à la prochaine présentation inter-région. Dans le cas où je n'ai rien de concret l'accès sera révoqué et je me tournerais vers un autre plan.
    J'ai actuellement 6 départements qui utilisent le site, j'ai besoin de ces ambassadeurs comme porte-voix mais aussi pour une phase de validation des données (comme je disais dans mon post de départ certaines données sont sujettes à interprétation, il faudra trancher en concertation). Avec les infos que vous m'avez donné je peux me projeter un peu plus dans le calcul du coût et c'est déjà merveilleux !

  16. #16
    Tu sembles donc parti dans la vente d'un service au travers de ton produit.
    Fais donc bien attention au cote securite de l'ensemble (il y a surement plein d'autres trucs a voir aussi, mais ce domaine la est mon domaine de predilection).

    Ton service va gerer des donnees, peut-etre meme les stocker.
    Des donnees perso sans doute. Peut-etre aussi des donnees sensitives (au sens GDPR, donc genre politique, sante, preferences sexuelles...).
    Ton service va peut-etre aussi avoir des connexions/interactions avec d'autres services, et pourrait devenir une porte d'entree pour des attaques vers d'autres trucs.

    Il faut donc que tu sois capable de montrer (en cas de pepin) que tu n'as pas ete negligeant. Que tu as pris toutes les mesures necessaires afin d'assurer la bonne securite de tout le bazar.
    Ca ne veut pas dire se mettre a investir a fond dans la cybersecu.
    Il faut que tes actions soient proportionnelles aux risques - a minima (et donc que tu connaisses les risques).

    Et tu parles de paywall, ca veut dire que des gens vont se servir de leur carte de credit au travers de ton service?
    Ca aussi, c'est plutot sensible comme sujet. J'imagine bien que tu ne comptes pas gerer cette partie, mais passer par un PSP (payment service provider). Tu ne gereras/stockeras donc pas de donnees type carte de credit, mais tu vas etre une partie du process (tu fourniras un lien de redirection vers le PSP par exemple).
    Et si quelqu'un change ce lien, le PSP peut avoir toute la securite du monde, les cartes de credit seront piratees.

  17. #17
    A part les données de facturation (nom prénom adresse email) si je vends le service, je n'aurais pas à demander d'autres infos. Le service repose sur la masse de données que j'ai entré dans mes bases de données, et qui seront mises à disposition des clients, rien d'autre. Mais déjà j'ai été regarder ce qu'il faudra que je mette en place pour le RGBD, rien que le futur formulaire d'inscription devra respecter certaines règle a priori...
    Quant à la sécu, ouais ça me stresse. Déjà que je suis débutant en informatique, alors ce côté-là en plus.
    J'ai quand même été farfouiller le plus que je pouvais pour mettre en place le minimum, et mes 2 acolytes m'ont donné quelques pistes. J'ai essayé de blinder tous mes inputs en gardant en tête que je ne pouvais pas faire confiance à ce qui allait être tapé. Idem pour les cookies qui peuvent être forgés. J'ai fait toutes mes requêtes en requêtes préparées. Je checke toutes les valeurs rentrées par l'utilisateur, pour éviter des injections SQL ou XSS. Après ben faudra que je demande un audit probablement.
    Pour le dernier point, comment s'en préserver ? Comment font les sites marchands pour protéger le lien vers le PSP ?

  18. #18
    Tu peux te rapprocher de gros opérateurs qui font aussi des services pour les départements, genre Adullact, voir un peu ce qu'ils proposent pour te comparer à eux.
    (J'ai bossé dans les SI d'un gros département et je connais 2 DSI de départements et plein de chefs de proejts donc ça me parle).

    Sur le côté sécurité par contre, ça me fait super flipper ce que tu racontes. Je sais pas quelles données sont traitées, mais si ce sont des données concernant des individus et que t'es pas parfait sur la sécurité au premier audit ça saute. Et pareil pour tout ce qui est accès / rectification des données, faut que tout sois bien carré. Que tu aies l'accord des personnes s'il y a des données personnelles etc.

    Bon courage
    Citation Envoyé par Smoke It Voir le message
    je suis flexitarien, en plus c'est à la mode !

  19. #19
    Génial pour Adullact je ne connaissais pas, merci !
    Idéalement je ne récolterais pas de données personnelles, puisque j'aimerais que l'outil reste en accès libre et que ce soit pris en charge par les services d'instruction et de contrôle concernés. Si je dois en collecter ce sera le minimum comme je disais, c'est seulement pouvoir donner un accès (login/mot de passe, comme un forum) et facturer éventuellement.
    J'ai quand même filé mon code à un développeur pour vérifier la sécurité, mais à voir certains forums on devient parano et on se dit que finalement rien n'est incrackable. Je peux faire flipper quand je dis que je ne suis sûr de rien, mais j'ai aussi un manque de confiance général. Si j'installe une porte blindée chez moi, je serais toujours en train de me dire que bon, avec un tractopelle on peut bien défoncer mon mur et donc...
    Je finis une petite vidéo bien merdique pour présenter ce que je fais, je la posterai ici quand j'ai fini pour que vous voyiez peut-être mieux de quoi je parle.

  20. #20
    Voilà une courte présentation de ce que j'ai fait. Je vous implore mon pardon :
    - pour la musique, libre de droits et gratuite mais chiante,
    - mon montage de merde avec Windows Movie Maker
    - la rapidité de ce qui est présenté (ça s'adresse à des personnes qui savent déjà de quoi il s'agit, c'est juste histoire de leur présenter le site quand il n'ont pas de pass)


  21. #21
    As-tu besoin de gérer le paiement et la facturation sur ton site ?
    Si ce n'est pas le cas, ne le fait pas.
    Pour le reste, je pense que ton logiciel mérite un prix !

  22. #22
    Citation Envoyé par Ammoodytes Voir le message
    Idéalement je ne récolterais pas de données personnelles, puisque j'aimerais que l'outil reste en accès libre et que ce soit pris en charge par les services d'instruction et de contrôle concernés. Si je dois en collecter ce sera le minimum comme je disais, c'est seulement pouvoir donner un accès (login/mot de passe, comme un forum) et facturer éventuellement.
    J'ai quand même filé mon code à un développeur pour vérifier la sécurité, mais à voir certains forums on devient parano et on se dit que finalement rien n'est incrackable. Je peux faire flipper quand je dis que je ne suis sûr de rien, mais j'ai aussi un manque de confiance général. Si j'installe une porte blindée chez moi, je serais toujours en train de me dire que bon, avec un tractopelle on peut bien défoncer mon mur et donc...
    Un login/pwd en soit ne rentre pas dans la categorie donnees perso.
    Et oui, ta securite ne peut pas etre parfaite, mais il faut qu'elle soit suffisante, en rapport avec les risques.

    Dans ta video, je vois que ton outil est un catalogue de donnees, rien de perso. Aucun soucis cote GDPR.
    Mais evidemment, tu auras les donnees de facturation a gerer.

    Concernant la redirection vers le PSP, benh les marchands protegent ca comme le reste (c'est a dire souvent pas bien mais bon, c'est pas la question).
    Ca fait partie de la securite globale du site, il n'y a rien de plus concernant le lien de redirection.

    Tu devrais aussi scanner ton site avec des choses genre https://www.arachni-scanner.com/.

    Et cote Hosting du site, tu fais comment ? Parce que eux vont stocker des donnees perso (facturation), il te faudrait un contrat sur le sujet avec eux (Data Processing Agreement).
    Mais bon, ici, je ne sais pas trop en fait, ca me parait demesure pour un site comme le tien, en meme temps, les avocats de ma boite ne penseraient surement pas comme moi.

    Et comme dit deathdigger, si tu externalises le process de facturation, et que ce service externe te fournit juste un login/pwd, alors c'est parfait. Tu n'as plus aucune donnee perso.
    Je ne sais pas si ce genre de service existe.
    (et c'est pas parce que tu n'as pas de donnee perso que tu n'as plus besoin de securite, tu as quand meme envie que ton site ne soit pas hors service a cause d'attaque, et tu as besoin de proteger le login/pwd)

    edit:
    je ne suis quand meme pas trop sur de moi en fait pour le login/pwd donnee perso ou pas. Je me renseigne.

    edit2:
    ok, je confirme. Ce n'est pas de la donnee perso pour GDPR. En fait ca peut l'etre quand meme, suivant le contenu du login que les personnes choisissent. Le mieux est de les informer dans la privacy policy que les seules donnes les concernant sont le login/pwd, et que cela peut constituer un personal data suivant ce qu'ils utilisent.
    Et quand bien meme un utilisateur utilise son propre nom en donnee perso, ce n'est pas pour autant que ca en fait une donnee perso. Un john-smith username sur un site anglosaxon quelconque n'est pas une donnee perso car impossible d'identifier la personne. Un balthazar-pattersoni aidera deja plus a l'identification.
    Dernière modification par ursule15 ; 14/03/2019 à 09h30.

  23. #23
    Merci pour Arachni, je viens de faire un premier scan (après avoir un peu galéré à comprendre comment l'exécuter, leur doc est pas bien claire je trouve).
    La seule erreur qu'il me trouve relève de manœuvres d'ingénierie sociale pour se connecter. Euh ben ok mais je ne vois pas trop comment faire pour surveiller les utilisateurs et les empêcher de noter leur mot de passe sur un post-it ou de choisir le nom de leur chien en mot de passe. Dans le pire des cas ça signifie que quelqu'un qui n'a pas de passe va pouvoir accéder au site après avoir soutirer les identifiants à quelqu'un, bon ok.
    Après je redirige le http en https mais je n'ai pas activé HSTS (j'imagine que je peux le faire sur le même .htaccess qui fait le rewrite engine ?). Et mon serveur OVH a des réponses "exotiques" à certaines url (pas d'erreur 404 dans certains cas d'url fabriquées au hasard à partir de mon domaine).

  24. #24
    Pour les mots de passe, ce que tu dois faire, c'est informer les utilisateurs que ce choix est important, et que ca serait bien qu'ils choisissent un truc un peu costaud.
    A part ca effectivement pas grand-chose a faire.
    (ce qu'on fait certaines fois c'est de tenter de hacker le password, si on y arrive c'est que celui-ci etait faible - mais dans ton cas ca me semble overkill)
    Tu peux aussi n'accepter que des comptes dont les passwords suivent une certaine politique, et/ou mettre une captcha sur la creation des comptes pour eviter les bots.

  25. #25
    Le captcha j'en ai mis un sur le formulaire de contact, je ferai la même chose sur un éventuel formulaire d'inscription.
    Je viens de passer le matinée à mouliner mon site sur différentes plateformes de test de sécurité, et j'ai modifié pas mal de choses (HSTS, les flags des cookies de sessions, X-Frame, X-content, X-Xss et tout le bazar). Par contre les requêtes d'Arachni doivent déclencher un sécurité chez OVH, à chaque fois le site est en erreur 503 après un scan.
    Bref, j'ai un bon A tout vert chez Security Headers, l'audit de Chrome me met également du vert (presque*) partout, ça va un peu mieux.

    * oui presque parce qu'il souhaiterait que le site avertisse l'utilisateur mobile de passer sur un appli, sauf que je n'ai pas d'appli, je fais juste de l'adaptatif.

    Vous êtes géniaux

    EDIT : pour les mots de passe je pensais leur offrir le choix d'en générer un avec une API (10 à 12 caractères minuscules/majuscules/chiffres, un truc comme ça), ce éviterait peut-être les '1 2 3 4 '

  26. #26
    Tu bloques les mots de passe trop simples déjà
    Sinon, au niveau connexion, t'as fait comment ? Un token temporaire dans le cookie ?

    Je vais préciser un peu sur le message précédent :
    Pour tes factures : https://www.service-public.fr/profes...sdroits/F23208
    Tu peux très bien ne pas retrouver tes factures dans ton "espace client". Tu ne vas pas avoir 3000 factures à faire, si j'ai bien suivi : ben tu fais tes factures dans ton logiciel de facturation/excel/whatever (à voir s'il n'y a pas des obligations légales là dessus, ça a changé récemment), et tu les envoies par mail/courrier quand tu les émets. Si c'est pour l'Etat, je ne pense pas qu'ils souhaitent les récupérer sur un site web. Pour le paiement, c'est pareil, je ne crois pas que l'Etat paie en CB, du coup, pas besoin de mettre d'options de paiement en ligne.
    Ça implique par contre que tu passeras du temps à faire ta facturation et vérifier que l'abonnement est toujours à jour (sinon, tu coupes l'accès) : c'est du temps de travail que tu dois calculer et inclure dans ton abonnement.

  27. #27
    Au niveau connexion c'est uniquement une cookie de session (pas de cookie côté utilisateur). L'emmerdant c'est que l'utilisateur ne peut pas faire de connexion automatique.

    Et si je dois uniquement travailler pour une administration tu as raison, je n'ai aucun intérêt à mettre en place un paiement sur le site. Je facture à part et j'envoie les informations de connexion quand c'est payé. Quand à la coupure d'accès et bien la base de données utilisateur stocke la date d'abonnement en plus du login et mot de passe, et je compare cette date avec celle du serveur (faut pas que celui-ci soit déréglé mais je pense que c'est rare) à la connexion. Du coup si je n'ai pas modifié la date avec un ré-abonnement ça coupe tout seul.

    Par contre vu que je laisse la possibilité de changer de mot de passe (j'attribue moi-même un mot de passe aux seuls utilisateurs que j'ai actuellement), il faut que je mette en place l'envoi d'un email automatique dès que c'est modifié...

  28. #28
    Bon je ne suis vraiment pas sur d'avoir tout compris, mais peut être qu'une option pour te faciliter la vie, ce serait de mettre un système de crédit.
    On te paie en virement, quand tu reçois le paiement, tu envoies un nombre de crédit. Dès qu'une action / consultation est effectué, ça déduit X crédits...
    Je sais pas si ce serait valable pour ton cas
    Dernière modification par John77 ; 17/04/2019 à 10h41.

  29. #29
    C'est pas con comme truc ça, faut que j'y réfléchisse
    Ça pourrait convenir pour limiter le nombre de recherches (puisque ce n'est que ça quasiment que je propose, avec un outil supplémentaire de calcul de quotas cumulés).
    Merci

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •