Déploiement de Firefox en entreprise (partie 1 : aspects organisationnels)

Voici mon petit retour d’expérience sur le déploiement de Firefox en entreprise.

Je vais commencer par le contexte et l’aspect organisationnel. Un second article traite des aspects techniques.

Firefox


Contexte entreprise

Cela concerne une entreprise dont tous les postes utilisateurs sont sous Windows. Seul navigateur déployé sur ces postes : Internet Explorer.

A la fois pour des raisons de compatibilité et de sécurité (certains postes ayant des versions très anciennes d’IE), il a été envisagé d’installer un second navigateur.

Firefox a été choisi plutôt que Chrome : parce qu’il est déjà déployable facilement dans l’entreprise avec l’outil habituel, et parce qu’il est déjà utilisé et connu par certains services de l’entreprise. J’ai aussi fait valoir d’autres qualités qui ont eu moins de poids dans le choix :  il est + respectueux de la vie privée, et entièrement libre (ce qui permet de ne pas être prisonnier des choix de l’éditeur).

En intranet, tous les sites sont pour l’instant testés exclusivement sur IE. La plupart fonctionnent sous Firefox, mais certains s’appuient (encore) sur de l’ActiveX et ne fonctionnent donc que sur IE.

Contexte Mozilla

Pour le déploiement et la personnalisation de Firefox en entreprise, la documentation n’est pas très bien organisée. On trouve des informations, mais cela mériterait d’être mieux agrégé, et plus simple à appréhender au départ.

D’autre part, il existe une version « ESR » (Extended Support Release) de Firefox, bien adaptée au contexte de la plupart des grandes entreprises, et qui n’est pas beaucoup mise en avant par Mozilla.

Firefox ESR

Le 31 juillet 2014, Lukas Blakk a annoncé que Mozilla avait l’intention d’améliorer tout ça :

The approach going forward is to :

* continue providing ESR builds as a permanent channel dedicated to the criteria we laid out in its creation
* plan a marketing push around the existence of ESR (update docs, revamp the org web page, promote the channel externally)
* commit to iterating on the processes built around of this channel and explore potential improvements to pacing, packaging, and other customizations
* make a project of getting FHR/Telemetry data from these deployments where permitted so that we have information on long-term usage that could be missing from mainline

Le 23 décembre 2014, Benjamin Kerensa a été nommé pour prendre en charge certaines de ces améliorations :

There are items for next year that include finding ways to more actively promote the ESR channel for enterprise users, re-vamping release notes, and collecting information from the current ESR users about what else they might want to help with being active users of this branch.
Espérons que ces annonces porteront leurs fruits en 2015.

Aspects organisationnels

Les principales difficultés n’ont pas été techniques, mais plutôt d’ordre organisationnel.

Vision du navigateur, en fonction du service de l’entreprise

Chaque service de l’entreprise a une vision bien différente du sujet :

  • Service développement : IE = le pire des navigateurs. C’est une réalité que le support d’IE est une plaie, même avec des versions récentes. Microsoft a la fâcheuse tendance de ne pas respecter les standards, en inventant les siens. Et ils sont encore largement à la traîne dans le support des fonctionnalités HTML5. Cf les résultats du site http://html5test.com/results/desktop.html
  • Service déploiement / poste de travail : IE = outil parfaitement intégré avec Windows. Les mises à jour d’IE sont très faciles à gérer dans un environnement Microsoft (ainsi que le déploiement des certificats, le paramétrage etc). Et ce n’est pas le cas pour Firefox. J’ai souvent entendu :
    • « IE est plus sécurisé que Firefox, puisqu’il est patché avec tout le reste du système »,
    • « IE est plus facile à déployer parce que Firefox ne supporte pas de GPO« 
    • « IE11 est un meilleur navigateur que Firefox puisque l’éditeur UnTel nous dit que son application Intranet fonctionne en ActiveX, et que Firefox ne sait même pas le faire »
  • Service métier/fonctionnel : le meilleur navigateur = le + compatible. Pour la compatibilité avec l’existant (sites internes), IE est forcément mieux placé (support des ActiveX, tests déjà réalisés)
  • Service sécurité : le meilleur navigateur = le + sécurisé. Avec des versions à jour, je ne suis pas sûr qu’il y ait de différence significative entre les principaux navigateurs. Mais IE ne peut pas toujours être mis à jour en fonction de la version de Windows (maximum IE8 sur Windows XP, notamment). D’autre part, la mise à jour d’IE casse régulièrement la compatibilité avec certains progiciels intranet.

Il a fallu composer avec ces différents besoins/contraintes/sensibilités. Il faut notamment éviter que cela finisse en troll : les positions se radicalisent facilement sur ce genre de sujets.

Choix du navigateur par défaut

Les sites internes qui utilisent des ActiveX empêchent l’utilisation du moteur de Firefox (ou de Chrome).

Heureusement, il existe IETab, une extension Firefox qui permet d’utiliser le moteur d’IE dans Firefox (voir la seconde partie). Donc passer Firefox comme navigateur par défaut devient une possibilité. L’autre possibilité étant de conserver IE par défaut, avec Firefox en navigateur secondaire.

J’ai avancé pas mal d’arguments pour que Firefox soit le navigateur par défaut (voir la discussion sur la mailing-list Mozilla Enterprise – accès restreint aux personnes qui y sont inscrites), mais me suis parfois heurté à des positions assez tranchées :

  • « Tous les ordinateurs de l’entreprise sont sous Windows, et il n’est pas prévu que cela change pour l’instant. Donc à quoi bon avoir un logiciel multi-plateformes ? »
  • « IE11 est un excellent navigateur. Je n’ai jamais trouvé de site qui ne soit pas compatible IE11, et il marche très bien »
  • « Le résultat de html5test.com est une considération technique de développeur, pas un point de vue d’utilisateur »
  • « Le fait qu’il n’y ait plus de correctifs de sécurité sur IE8 n’est pas un gros problème, puisqu’on est protégés par le proxy HTTP » (le proxy bloque effectivement un certain nombre de sites considérés comme dangereux)
  • « Les versions d’IE sont supportées beaucoup plus longtemps que celles de Firefox, même en version ESR »
  • « Il ne faut pas risquer de perturber les utilisateurs avec des avertissements de sécurité sur les plugins. Mieux vaut un IE qui ne vérifie rien qu’un Firefox qui fait peur aux utilisateurs »

Certains de ces points de vues peuvent se comprendre, même si je ne les partage pas. Un sérieux bémol, en tous cas, sur l’argument du proxy : si cela apporte un certain degré de protection, ce type de blocage ne protégera jamais contre une attaque spécifiquement ciblée sur l’entreprise.

A ce jour, IE reste le navigateur par défaut, mais l’utilisateur peut en changer (s’il sait comment faire). Si le déploiement se passe bien, il sera décidé dans un second temps si Firefox devient le navigateur par défaut ou pas.

Quels risques pour l’entreprise, et comment les limiter ?

D’abord, IE n’est pas désinstallé des postes (ce n’est d’ailleurs pas possible). Donc, en cas de problème, l’utilisateur peut toujours revenir sur IE. Cela limite beaucoup les risques sur le déploiement.

Petit bémol néanmoins : les liens exposés par des applications tierces (client email, notamment) s’ouvrent uniquement sur le navigateur par défaut. Dans ce cas, le choix du navigateur par défaut peut être important.

De (faibles) risques d’incompatibilité

Si un site ne fonctionne qu’avec IE (notamment s’il utilise des ActiveX), il faut le paramétrer pour utiliser IETab. Cela fonctionne dans quasiment tous les cas : nous avons trouvé une seule application incompatible avec IETab.

Seule solution : tester ! Lister les application intranet, et faire une passe sur chacune d’elle (avec l’aide d’une personne qui la connaît bien).

Nous avons également commencé par des phases de pré-pilote (quelques utilisateurs triés sur le volet) et pilote (une brochette d’utilisateurs + ou – représentatifs des différentes utilisations du navigateur).

Transition pour l’utilisateur / support

Changer de navigateur n’est pas une révolution pour la plupart des utilisateurs. Malgré tout, il faut prévoir le nécessaire pour que la transition se fasse en douceur.

Cela passe par un peu de communication, et aussi par préparer l’équipe du support informatique aux questions qui pourraient venir :

  • Comment importer les favoris/cookies depuis IE
  • Comment changer de navigateur par défaut (dans un sens et dans l’autre)
  • Comment vérifier que le paramétrage de l’entreprise est bien déployé sur le poste
  • Comment réagir face à un avertissement de sécurité sur un plugin
  • Comment réinitialiser un profil Firefox, ou le transférer vers un autre poste

Rien de compliqué. Il faut aussi prévoir les procédures d’escalade aux différents niveaux de support/assistance.

Fin de support de Firefox sur Windows XP

Oui, il reste hélas encore des postes sous Windows XP dans pas mal de grandes entreprises, malgré le fait qu’il n’y ait plus de mises à jour depuis avril 2014.

Un jour ou l’autre, Mozilla arrêtera lui aussi le support de XP, mais quand ? Google a annoncé une date pour Chrome : avril 2015 (au plus tôt).  Mais Mozilla n’a pas donné de date précise, et devrait ré-examiner la question à l’été 2015 en fonction des « parts de marchés » restant à XP (voir la réponse à ma question sur la mailing-list enterprise).

Que faire si Mozilla décide d’arrêter le support de XP avant que tous les postes Windows XP de l’entreprise soient migrés ? D’abord, la version ESR apporte un certain délai pour se retourner : le support des OS ne change pas pendant la durée de vie de chaque version ESR (jusqu’en août 2015 pour la version ESR 31,  jusqu’à juin-juillet 2016 pour la version ESR38).

Ensuite, comme il s’agit de logiciel libre, il restera toujours possible (techniquement et légalement) de maintenir soi-même une version compilée pour Windows XP. Quitte à y désactiver des fonctionnalités/optimisations, ou à rester sur une version plus ancienne en backportant uniquement des patchs de sécurité. Évidemment, cela serait plutôt à faire en collaboration avec d’autres personnes/entreprises ayant le même besoin, histoire de mutualiser le travail.

 

(Suite de l’article dans la partie 2, concernant les aspects plus techniques du déploiement)

Une réflexion au sujet de « Déploiement de Firefox en entreprise (partie 1 : aspects organisationnels) »

  1. Je vous remercie profondément de votre article, étant nouveau dans une entreprise et ayant débuté la mise en place spontanément de Firefox sur mon poste de travail, que je configure chez moi… qui me permets de mettre en place des outils de travail collaboratif inconnu ici (Ciamt santé au travail 300+ salariés 25 centres)
    Cela me permettra de plaider ma cause après une motivation locale de « mon » équipe
    Super

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *