Tag management system : quelques conseils pour mieux se protéger

Le TMS devient aujourd'hui la pierre angulaire de la stratégie data. Comment peut-on le sécuriser sans pour autant brider sa flexibilité ? Le point.

Après avoir démontré son utilité dans l'implémentation et la gestion de la collecte de données, le TMS (tag management system) devient aujourd'hui la pierre angulaire de la stratégie data. Plus agile, plus flexible, plus lisible, les qualificatifs ne manquent pas pour décrire ses avantages. Mais l'outil ne bénéficie pas toujours de la même aura auprès des DSI, qui voient dans cet outil une porte ouverte vers l'extérieur, potentielle faille dans la sécurité de leur site.

Entre ces deux visions bien différentes d’une même réalité, comment peut-on sécuriser son TMS sans pour autant brider sa flexibilité ? À qui peut-on faire confiance pour la gestion de ce “cheval de Troie” ? Faut-il entrer dans le détail de chaque script qui est posé par un TMS sur votre site ?

Les clefs de la maison

Prêteriez-vous les clefs de votre maison à un inconnu rencontré au supermarché 3 minutes auparavant ? Probablement pas, même s’il semble sympathique. La gestion des droits d’un TMS, c’est un peu la même chose : celui (ou ceux) qui en a les clefs peut faire beaucoup de chose, y compris voler certaines données ou changer le comportement de votre site. Imaginez qu’au moment de cliquer sur “j’achète”, vos utilisateurs soient redirigés vers un site concurrent ? Ou bien qu’un script Javascript soit utilisé pour miner des bitcoins pour un obscur groupuscule étranger ?

Pour toutes ces raisons, les personnes ayant accès au TMS doivent être clairement identifiées :

  • Pas d’email personnel : si un collaborateur quitte l’entreprise, il aura toujours accès à son compte personnel et donc au TMS. En imaginant qu’il parte en mauvais termes, mieux vaut avoir créé son accès sur son compte professionnel pour qu’il soit automatiquement révoqué lors de la fin de son contrat.
  • À noter : il n’est pas nécessaire de créer un compte Gmail pour accéder à Google Tag Manager (GTM) ; vous pouvez lier un email @entreprise.com et l’utiliser pour accéder à GTM.
  • Pas d’alias, dans la mesure du possible : ils empêchent de suivre l’historique des modifications, puisque derrière l’alias se cachent plusieurs personnes. Il peut arriver que des alias aient des accès, mais ils ne doivent alors servir qu’à ouvrir les accès à des comptes de personnes physiques.
  • Revue périodique des accès et suppression des comptes inactifs : en cas de doute, mieux vaut supprimer un accès quitte à le rouvrir plus tard plutôt que de le laisser péricliter.

La gestion des droits passe aussi par l’attribution des droits “admin” : qui a le droit d’ajouter de nouveaux utilisateurs ?

La réponse la plus évidente est de concentrer cette gestion des accès entre les mains de l’annonceur qui a contractualisé avec le TMS. Mais bien souvent cette centralisation des accès est compliquée à vivre pour les agences qui ont généralement plusieurs interlocuteurs internes : difficile alors de demander des accès pour chacun, et le travers de l’adresse commune (alias) arrive rapidement !

Il est compréhensible que l’annonceur veuille rester maître de son TMS, néanmoins permettre à ses agences de gérer les droits d’accès de leurs équipes ajoute de la fluidité dans la gestion des projets. Et chaque prestataire est responsable de l’usage qu’il fait de l’outil ! Autant opter pour une gestion décentralisée pour éviter de perdre de précieux jours lorsqu’une demande urgente arrive, motivée par une campagne imminente… 

À l’intérieur du cheval de Troie

Une fois que vous avez défini la gestion des accès de votre TMS, quel sont les risques associés à connaître ? Comment les minimiser, voire les éviter ?

Pour les sites les plus critiques (par exemple, l’espace client d’un site bancaire), il est possible, suivant le TMS, de n’autoriser l’exécution que de certains tags du TMS, via une instruction dans le dataLayer. Cette “whitelist” est donc définie côté site, et empêche l’ajout de tags non désirés via le TMS. À manipuler avec précaution, car le délai d’implémentation s’allonge alors (il faut le faire ajouter dans la whitelist par la DSI).

Il est également possible de limiter le déclenchement de tags uniquement à ceux issus d’un template, c’est-à-dire d’interdire le déclenchement de Javascript custom. Néanmoins, cette méthode risque de vous priver de certains KPI qui reposent sur des fonctions qui ne sont pas natives (tracking des vidéos HTML5, par exemple).

De même, il est indispensable d’avoir une bonne connaissance des tags posés : quelle est leur finalité, quelle est la demande métier liée, quand ont-ils été posés, faut-il les désactiver à une date donnée ? L’audit d’un conteneur poussiéreux est rarement superflu, et peut révéler bien des surprises… On peut y trouver des tags “malveillants”, identifiés comme tels par certains TMS qui les désactivent dans la foulée : pratique, mais pas suffisant si on veut vraiment maîtriser sa collecte de données. On peut alors passer par des solutions plus radicales, comme l’implémentation de Content Security Policies (CSP) qui va bloquer les appels vers certains domaines tiers (identifiés par blacklist ou whitelist).

Une fois les tags posés sur le site, reste à vérifier leur fonctionnement avant publication. En effet, le Javascript ajouté dans le TMS peut impacter fortement le fonctionnement du site (temps de chargement, collision de librairies, bugs fonctionnels, …). Il faut donc assurer un contrôle qualité rigoureux avant toute publication : 

  • Tester le conteneur pour vérifier :
  • Le bon fonctionnement du tag (collecte de données opérationnelle)
  • Le bon fonctionnement du site (expérience utilisateur intacte)
  • Relire et mettre en production via une personne différente de celle qui a posé le tag
  • Définir un plan de backup en cas de congés ou d’absence pour assurer une astreinte de publication 

En définitive, le TMS doit rester un outil flexible au service de votre marketing digital. Et pour assurer cette fonction, il est nécessaire d’impliquer la DSI dès le début de l’aventure pour garantir la sécurité de votre site. Les questions de sécurité sont des sujets adressés par les équipes techniques depuis longtemps : profitez-en pour vous en inspirer et les faire contribuer au succès de la démarche !

Annonces Google