Notification

Vous prévoyez votre stratégie de retour au bureau ? Découvrez comment Chrome OS peut vous aider.

Protéger ses données avec l'isolation de sites

À partir de la version 63 de Chrome

S'applique aux navigateurs Chrome et appareils Chrome OS gérés.

En tant qu'administrateur Chrome, vous pouvez utiliser l'isolation de sites pour protéger les utilisateurs qui consultent des sites non approuvés dans le navigateur Chrome.

L'isolation de sites permet de séparer des pages de différents sites Web en processus distincts. Lorsque l'isolation de sites est activée, il est plus difficile pour les sites malveillants de contourner les mesures de sécurité qui existent pour éviter le vol de données. Elle peut empêcher les processus de recevoir certains types de données sensibles provenant d'autres sites. Un site Web malveillant aura beaucoup plus de difficultés à voler des données depuis d'autres sites, même s'il peut enfreindre certaines règles dans son propre processus.

L'isolation de sites s'applique à des sites tels que https://example.com et regroupe généralement d'autres origines au sein de ce site, comme https://a.example.com.

L'isolation de sites est activée par défaut à partir de Chrome 76 sur les plates-formes pour ordinateur et à partir de Chrome 77 pour la plupart des sites auxquels les utilisateurs se connectent sur Android. En savoir plus sur l'isolation de sites.

Vous pouvez empêcher les utilisateurs de désactiver l'isolation de sites et isoler des origines plus spécifiques au sein des sites de votre choix. Sur Android, vous pouvez également activer l'isolation de tous les sites.

Étape 1 : Étudiez les règles

Règle Description et paramètres
SitePerProcess

Windows, Mac et Linux

Règle activée : l'isolation de sites est activée pour tous les sites Web de votre organisation. Tous les sites consultés par les utilisateurs s'affichent selon un processus dédié qui les isole les uns des autres. Les utilisateurs ne peuvent pas désactiver l'isolation de sites à l'aide de chrome://flags, par exemple.

Règle désactivée ou non définie : l'isolation de sites reste activée, mais les utilisateurs peuvent la désactiver à l'aide de chrome://flags, par exemple.

IsolateOrigins

Windows, Mac et Linux

Règle activée : isole des origines spécifiques supplémentaires que les utilisateurs consultent. Les origines que vous spécifiez s'affichent selon un processus dédié. Vous pouvez inclure des origines auxquelles les utilisateurs se connectent et d'autres origines contenant des informations sensibles, telles que des sites de productivité ou des sites intranet.

Règle désactivée ou non définie : l'isolation de sites reste activée, mais aucune origine supplémentaire n'est isolée. Les utilisateurs peuvent ajouter des origines à isoler à l'aide de chrome://flags, par exemple.

SitePerProcessAndroid

Android

Règle activée : s'applique aux appareils Android disposant d'au moins 1 Go de RAM. Active l'isolation de sites pour tous les sites Web de votre organisation. Tous les sites consultés par les utilisateurs s'affichent selon un processus dédié qui les isole les uns des autres. Les utilisateurs ne peuvent pas désactiver l'isolation de sites à l'aide de chrome://flags, par exemple.

Règle non définie : s'applique à M77 ou versions ultérieures, et aux appareils Android disposant d'au moins 2 Go de RAM. L'isolation de sites n'est activée que pour les sites auxquels les utilisateurs se connectent.

Règle désactivée : l'isolation de sites est entièrement désactivée. Cette règle remplace les paramètres des sites auxquels les utilisateurs se connectent et de la règle IsolateOriginsAndroid.

IsolateOriginsAndroid

Android

Règle activée : s'applique aux appareils Android disposant d'au moins 1 Go de RAM. Isole des origines spécifiques supplémentaires que les utilisateurs consultent. Les origines que vous spécifiez s'affichent selon un processus dédié. Vous pouvez inclure des origines auxquelles les utilisateurs se connectent et d'autres origines contenant des informations sensibles, telles que des sites de productivité ou des sites intranet.

Règle non définie : s'applique à M77 ou versions ultérieures, et aux appareils Android disposant d'au moins 2 Go de RAM. L'isolation de sites n'est activée que pour les sites auxquels les utilisateurs se connectent.

Règle désactivée : l'isolation de sites est entièrement désactivée. Cette règle remplace la règle SitePerProcessAndroid.

Étape 2 : Créez la liste des sites à isoler

Dans Chrome 76 et versions antérieures, créez la liste de toutes les origines que vous souhaitez isoler en spécifiant chacune d'elles dans son intégralité. Par exemple :
https://a.example.com, https://b.example.com, https://c.example.com

À partir de Chrome 77, vous pouvez également spécifier une plage d'origines à isoler à l'aide d'un caractère générique.

Par exemple, https://[*.]example.com isole https://a.example.com, https://b.example.com et https://c.example.com. Cette spécification permet également d'isoler d'autres sites répondant au critère https://[*.]example.com tels que :

  • https://a1.example.com
  • https://a2.a1.example.com
  • https://a3.a2.a1.example.com

Le caractère générique permet d'isoler facilement une plage complète de sites. Par exemple, spécifiez https://[*.]corp.solarmora.com pour isoler tous les sites de l'entreprise Solarmora.

Étape 3 : Activez l'isolation de sites

Cliquez sur les rubriques ci-dessous pour obtenir les instructions qui correspondent à la manière dont vous voulez gérer ces règles.

Console d'administration

Ces règles peuvent s'appliquer aux utilisateurs connectés sur n'importe quel appareil ou navigateur inscrit sous Windows, Mac, Linux ou Android. Pour en savoir plus, consultez Déterminez quand les paramètres s'appliquent.

Important : Assurez-vous que le navigateur Chrome géré est activé au sein de l'organisation.

  1. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

    Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu puis Navigateur ChromepuisParamètres.

  2. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  3. Accédez à la section Isolation de sites.
  4. Sous Windows, Mac et Linux, cliquez sur Isolation de sites :
    1. Pour imposer l'isolation de tous les sites Web :
      1. Sélectionnez Exiger l'isolation de sites pour tous les sites Web, ainsi que pour les origines ci-dessous.
      2. (Facultatif) Indiquez des origines supplémentaires (en les séparant par une virgule) pour que celles-ci soient isolées de leurs sites Web respectifs. Par exemple, saisissez https://login.example.com pour isoler cette page du reste du site https://example.com.
      3. Cliquez sur Enregistrer.
    2. Pour activer l'isolation de tous les sites Web tout en permettant aux utilisateurs de la désactiver pour des sites Web spécifiques (par défaut) :
      1. Sélectionnez Activer l'isolation de sites pour tous les sites Web et pour les origines ci-dessous, mais permettre aux utilisateurs de la désactiver.
      2. (Facultatif) Saisissez la liste des sites Web et des origines de votre choix, en les séparant par une virgule.
      3. Cliquez sur Enregistrer.
  5. Pour Android, cliquez sur Isolation de sites (Chrome sur Android) :
    1. Pour activer l'isolation uniquement pour les sites Web de connexion (valeur par défaut) :
      1. Sélectionnez Activer l'isolation de sites uniquement pour les sites de connexion, ainsi que pour les origines ci-dessous.
      2. (Facultatif) Saisissez la liste des sites Web et des origines de votre choix, en les séparant par une virgule.
      3. Cliquez sur Enregistrer.
    2. Pour permettre aux utilisateurs de choisir s'ils souhaitent activer l'isolation de sites :
      1. Sélectionnez Autoriser l'utilisateur à activer/désactiver la fonctionnalité d'isolation de sites.
      2. (Facultatif) Saisissez la liste des sites Web et des origines de votre choix, en les séparant par une virgule.
      3. Cliquez sur Enregistrer.
    3. Pour activer la fonctionnalité d'isolation pour tous les sites Web :
      1. Sélectionnez Activer l'isolation de sites pour tous les sites Web, ainsi que pour les origines ci-dessous.
      2. (Facultatif) Saisissez la liste des sites Web et des origines de votre choix, en les séparant par une virgule.
      3. Cliquez sur Enregistrer.
Windows
S'applique aux utilisateurs Windows qui se connectent à un compte géré dans le navigateur Chrome.

Utiliser la stratégie de groupe

Dans l'éditeur de stratégies de groupe, accédez à Ordinateur ou à Configuration utilisateur puis Stratégies puis Modèles d'administration puis Google puis Google Chrome pour les deux règles ci-dessous.

Exiger l'isolation de sites pour tous les sites Web

Remarque : L'isolation de sites est toujours activée sous Windows, et la règle SitePerProcess sert uniquement à empêcher l'utilisateur de désactiver la fonctionnalité.

Si vous conservez l'option "Non configuré" pour cette règle, le comportement Non défini décrit plus haut est appliqué.

  1. Recherchez la règle Activer l'isolation de sites pour tous les sites et activez-la.
    Conseil : Si cette règle n'apparaît pas, téléchargez le dernier modèle de règles.

  2. Déployez la mise à jour sur les appareils de vos utilisateurs.

Activer la fonctionnalité d'isolation pour des origines spécifiques

Si vous conservez l'option "Non configuré" pour cette règle, le comportement Non défini décrit plus haut est appliqué.

  1. Testez en local la fonctionnalité d'isolation pour ces sites en utilisant l'indicateur de ligne de commande suivant :
    - - isolate-origins=https://[*.]example.com, https://subdomain.example.org
  2. Recherchez la règle Activer l'isolation des sites pour des origines définies et activez-la.

    Conseil : Si cette règle n'apparaît pas, téléchargez le dernier modèle de règles.

  3. Recensez les URL à isoler dans une liste d'éléments séparés par une virgule.
    Exemple :https://[*.]example.com/,https://subdomain.example.org

  4. Déployez la mise à jour sur les appareils de vos utilisateurs.
Mac
Ces instructions s'appliquent aux utilisateurs AppleMac qui sont connectés au navigateur Chrome avec un compte géré.

Dans votre profil de configuration Chrome, ajoutez ou mettez à jour les clés ci-dessous. Appliquez ensuite le changement sur les appareils des utilisateurs.

<dict>
<key>SitePerProcess</key>
  <true/>
</dict>
<dict>
<key>IsolateOrigins</key>
  <string>”https://www.site1.com,https://www.site2.net”</string>
</dict>

Linux
Ces instructions s'appliquent aux utilisateurs Linux qui sont connectés au navigateur Chrome avec un compte géré.

Dans l'éditeur de fichiers JSON de votre choix :

  1. Accédez au dossier etc/opt/chrome/policies/managed.
  2. Créez ou mettez à jour un fichier JSON et saisissez les URL concernées :
    • SitePerProcess : définir sur "true" pour imposer la règle
    • IsolateOrigins : ajouter les URL à isoler
  3. Testez en local la fonctionnalité d'isolation pour ces sites en utilisant l'indicateur de ligne de commande suivant :
    - - isolate-origins=https://[*.]example.com, https://subdomain.example.org
  4. Déployez la mise à jour sur les appareils de vos utilisateurs.

L'exemple suivant montre comment imposer la règle SitePerProcess :

{
”SitePerProcess": "true”
}


Cet exemple montre comment isoler a.example.com et b.example.net :
{
“IsolateOrigins”:”https://a.example.com/,https://b.example.net/”
}

Étape 4 : Vérifiez que les règles ont bien été appliquées

Lorsque vous appliquez une règle Chrome, les utilisateurs doivent redémarrer leur navigateur Chrome pour qu'elle soit prise en compte. Vous avez la possibilité de vérifier que la règle a bien été appliquée sur les appareils des utilisateurs.

  1. Sur un appareil ChromeOS géré, accédez à la page chrome://policy.
  2. Cliquez sur Actualiser les règles.
  3. Cochez l'option Afficher les règles non paramétrées.
  4. Pour les règles que vous avez définies, assurez-vous que État est défini sur OK.
  5. Pour chaque règle, cliquez sur Afficher la valeur. Assurez-vous que le contenu des champs correspond aux valeurs que vous avez définies pour chaque règle.

Désactiver la fonctionnalité d'isolation de sites (Android uniquement)

Pour désactiver l'isolation de sites, désactivez les règles Android que vous avez définies précédemment.

Une fois que vous avez désactivé la règle d'isolation, les sites Web sont affichés dans Chrome selon le modèle de processus d'isolation préliminaire. Un processus peut être partagé par différents sites, et les cadres inter-sites peuvent être affichés selon le même processus que celui de leur page parente. Lorsqu'une règle est désactivée, les tests en situation réelle des deux règles le sont aussi.

Google et les marques et logos associés sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits sont des marques des entreprises auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal