Nouveau sur Videas ? Commencez par Premiers pas : tour de l’interface.
Quand vous publiez un embed sur votre site, le code HTML est public par construction : n’importe qui peut le copier depuis votre page et le coller ailleurs. Pour empêcher cette réutilisation non autorisée, Videas propose la restriction par domaine : vous déclarez la liste des sites autorisés à afficher vos embeds, et toute tentative depuis un autre domaine échoue. C’est la principale protection à mettre en place dès que vos vidéos ont vocation à rester sur votre site et nulle part ailleurs.
Prérequis
- Un espace de travail Videas avec des embeds actifs (voir Créer votre espace de travail)
- Le rôle Admin sur l’espace (permission Gérer l’espace)
- La liste des domaines où vos embeds sont (ou seront) légitimement affichés
Ce que vous allez apprendre
- Activer la restriction par domaine dans les paramètres de l’espace
- Ajouter des domaines autorisés (avec ou sans wildcards)
- Comprendre l’héritage organisation → espace
- Tester la protection avant déploiement
- Connaître ce que la restriction fait et ne fait pas (pour calibrer la sécurité au juste besoin)
Étape 1 : Accéder aux paramètres d’embed
Depuis votre espace Videas :
- Cliquez sur les Paramètres de l’espace de travail
- Ouvrez l’onglet Intégration
Vous arrivez sur la page Paramètres d’intégration avec un toggle principal Restreindre les domaines et, en dessous, la liste des domaines autorisés.
Étape 2 : Activer la restriction de domaines
Activez le toggle Restreindre les domaines. Effets immédiats :
- Tant que vous n’avez ajouté aucun domaine, vos embeds ne fonctionneront plus nulle part (la liste est vide → aucun domaine n’est autorisé)
- Dès qu’un domaine est ajouté, les embeds fonctionnent uniquement sur ce domaine
Important : activez le toggle puis ajoutez immédiatement vos domaines de production avant de quitter la page. Sinon, vous casserez vos embeds en ligne. C’est l’erreur la plus courante.
Étape 3 : Ajouter des domaines autorisés
Sous le toggle, un champ Ajouter un domaine vous permet de saisir un domaine puis de cliquer sur Ajouter. Le domaine apparaît comme chip dans la liste, avec un bouton de suppression.
Format attendu
Un domaine valide, sans protocole (http:// ou https://), sans chemin (/page), sans port. Exemples :
| Format | Validité |
|---|---|
www.exemple.com |
✅ |
blog.exemple.fr |
✅ |
*.exemple.com |
✅ (wildcard) |
https://www.exemple.com |
❌ (retirer https://) |
www.exemple.com/page |
❌ (retirer le chemin) |
localhost |
❌ (TLD requis) |
Le formulaire valide le format en temps réel et affiche un message d’erreur si la saisie n’est pas conforme.
Wildcards : *.exemple.com
Le wildcard *.exemple.com autorise tous les sous-domaines d’un même domaine racine :
www.exemple.com✅blog.exemple.com✅app.exemple.com✅staging.exemple.com✅
Le wildcard est pratique quand vous gérez un domaine avec beaucoup de sous-domaines, mais il élargit la surface autorisée. Préférez une liste explicite quand c’est possible (au moins, vous savez ce que vous autorisez).
Cas typiques
| Contexte | Domaines à ajouter |
|---|---|
| Site corporate simple | www.exemple.com, exemple.com |
| Site + blog séparé | www.exemple.com, blog.exemple.com |
| Multi-environnements | www.exemple.com, staging.exemple.com, dev.exemple.com |
| Multi-marques d’un groupe | marque-a.com, marque-b.fr, marque-c.eu |
| Intranet d’entreprise | intranet.exemple.com, formation.exemple.com |
| Réseau étendu de sous-domaines | *.exemple.com (wildcard, à utiliser avec prudence) |
Étape 4 : Comprendre l’héritage organisation → espace
Les paramètres d’embed se propagent depuis l’organisation vers l’espace : si votre administrateur a défini une liste de domaines au niveau organisation, votre espace en hérite automatiquement. Deux chips visuelles signalent l’état actuel :
- Hérité : le paramètre vient de l’organisation, pas de personnalisation au niveau de l’espace
- Surchargé : vous avez modifié ce paramètre au niveau de l’espace ; il diverge maintenant de la valeur organisation
Surcharger pour un cas particulier
Vous voulez ajouter un domaine spécifique à votre espace (par exemple un microsite éphémère pour un événement) sans toucher à la configuration organisation : il suffit de modifier la liste dans l’espace. La chip passe en Surchargé.
Réinitialiser aux valeurs par défaut
Bouton Réinitialiser (en bas de la page) : la configuration de l’espace est effacée et l’espace revient à l’héritage de l’organisation. Pratique quand votre surcharge n’est plus nécessaire ou que la configuration organisation a évolué.
Bonne pratique : poser les domaines globaux au niveau organisation (
*.exemple.com, ou les domaines partagés par tous les espaces). Les surcharges restent exceptionnelles, pour des cas locaux clairement identifiés.
Étape 5 : Tester la protection
Avant de déployer vos embeds en production, vérifiez que la restriction fonctionne comme attendu.
Sur un domaine autorisé
- Collez votre embed sur une page de votre domaine de production
- Ouvrez la page : le lecteur doit se charger normalement et lire la vidéo
Sur un domaine non autorisé
- Collez le même embed sur une page de test externe (CodePen, Glitch, ou un domaine de test non listé)
- Ouvrez la page : le lecteur doit refuser le chargement et afficher un message d’erreur (ou rester vide)
Sur mobile
Les sites mobiles peuvent avoir des sous-domaines distincts (m.exemple.com, mobile.exemple.com). Si c’est votre cas, pensez à les ajouter à la liste, ou utilisez un wildcard.
Étape 6 : À savoir sur le fonctionnement
La restriction par domaine est une couche de défense efficace, mais elle a son mode de fonctionnement propre. Anticiper ces points évite les surprises.
Reposant sur le Referer HTTP du navigateur
La restriction se fait via le Referer HTTP envoyé par le navigateur du visiteur. Quand quelqu’un copie votre code embed sur un autre site, le navigateur de ses visiteurs envoie ce nouveau Referer à Videas, qui le compare à la liste autorisée et bloque si nécessaire.
Conséquence : la protection est efficace dans des conditions normales de navigation web. Un attaquant déterminé peut, sur sa machine, falsifier le Referer ou utiliser un proxy ; c’est un cas marginal, hors du cadre des usages réels.
Empêche l’affichage public, pas la capture privée
La restriction par domaine empêche un autre site d’afficher votre lecteur. Elle n’empêche pas :
- Un visiteur de votre site légitime de capturer l’écran pendant la lecture (cf. Configurer les options de confidentialité d’un partage)
- Un destinataire à qui vous auriez communiqué le lien direct d’accéder en visionnage (la restriction porte sur l’embed, pas sur le partage par lien)
Pour des contenus très confidentiels
Si votre vidéo est très confidentielle, ne misez pas uniquement sur l’embed avec restriction de domaine : préférez le partage par lien sécurisé (mot de passe + expiration courte + vues maximum + canal privé), qui offre un contrôle plus strict sur l’accès individuel. Voir Configurer les options de confidentialité d’un partage.
L’embed avec restriction de domaine est conçu pour les contenus à diffusion contrôlée mais non secrets : vidéos marketing, replays clients, formations institutionnelles diffusées sur l’intranet. Pour les contenus confidentiels au sens fort (stratégie M&A, données clients, secrets industriels), le partage par lien sécurisé reste plus adapté.
Bonnes pratiques
Activer dès qu’un site officiel existe
N’attendez pas une fuite pour activer la restriction. Dès que votre site est en ligne avec ne serait-ce qu’un seul embed, activez la restriction et listez votre domaine. Le coût est nul, le bénéfice est immédiat.
Lister tous les domaines
Au moment de l’activation, faites le tour complet des domaines où vos embeds sont susceptibles d’apparaître :
- Site production (avec et sans
www) - Site staging ou pré-prod (pour ne pas casser les phases de validation)
- Site dev ou local si l’équipe teste en local (attention :
localhostn’est pas accepté — utilisez le domaine de votre environnement de dev hébergé) - Sous-marques ou filiales qui réutilisent vos contenus
- Intranet ou plateforme de formation interne
- Plateforme de webinaires ou événementiel si vous embarquez des replays
Wildcards avec parcimonie
Un wildcard *.exemple.com est pratique mais large. Il autorise un éventuel sous-domaine que vous n’avez pas anticipé. Préférez la liste explicite quand vous connaissez les sous-domaines à autoriser. Réservez les wildcards aux organisations qui gèrent beaucoup de sous-domaines dynamiques (microsites, agences avec multi-clients).
Audit trimestriel
Passez la liste en revue chaque trimestre :
- Sortir les domaines de projets terminés ou sites désaffectés
- Vérifier la cohérence entre les domaines en liste et les sites où vos embeds sont effectivement publiés
- Documenter, dans une note interne, pourquoi chaque domaine est autorisé (utile pour l’audit suivant)
Hiérarchie organisation/espace
Posez les domaines globaux au niveau organisation (ceux que tous les espaces utilisent). Réservez les surcharges au niveau espace pour les cas vraiment locaux : un microsite événementiel temporaire, un partenariat ponctuel, un test interne.
Combiner avec d’autres protections
La restriction par domaine est une couche dans une stratégie multi-couches. Selon le niveau de sensibilité de vos contenus, combinez avec :
- Mot de passe + expiration pour les contenus confidentiels (voir Protéger une vidéo par mot de passe)
- Vues maximum pour les démos one-shot (voir Configurer les options de confidentialité d’un partage)
- Audit régulier des partages dormants via l’historique
En résumé
- La restriction par domaine est la principale protection d’embed dans Videas — accessible via Paramètres de l’espace > Intégration
- Activez le toggle puis ajoutez immédiatement vos domaines de production (sinon vos embeds se cassent)
- Format :
www.exemple.com,blog.exemple.com,*.exemple.com(wildcards à manier prudemment) ; pas de protocole, pas de chemin, pas de port - Héritage organisation → espace : chip Hérité vs Surchargé ; bouton Réinitialiser pour revenir à l’héritage
- La restriction repose sur le Referer HTTP du navigateur ; elle empêche l’affichage sur un site non autorisé mais ne protège pas contre la capture d’écran ni l’identification du visiteur final
- Pour les contenus très confidentiels, préférer le partage par lien sécurisé (mot de passe + expiration courte + vues max + canal privé) à un embed public
- Bonnes pratiques : activer tôt, lister tous les domaines (prod + staging + sous-marques), wildcards parcimonieux, audit trimestriel, hiérarchie organisation/espace propre