CNIL / RGPD – sites web insuffisamment sécurisés

Après la newsletter cybersécurité de juillet portant sur les cookies, « la cybersécurité du web français » faisait partie des thématiques prioritaires de la CNIL en 2021.

Et les résultats sont sans appels : 70% (15 sur 21) des organismes contrôlés par la CNIL en 2021 ont été mis en demeure pour des défauts de chiffrement des données ou de gestion et de sécurisation de comptes d’utilisateurs.

Ces organismes concernaient des sites web d’organismes français

–       Du secteur public (communes, centres hospitaliers universitaires, ministères…)

–       Du secteur privé : plateformes de e-commerce, prestataires de solutions informatiques

Les organismes mis en demeure disposent d’un délai de trois mois pour prendre toute mesure permettant d’assurer un niveau de sécurité adapté.

Mais qu’est-ce que la cybersécurité du web français

Les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles et peuvent notamment conduire à des violations de données

Quelques chiffres sur la violation de données :

  • En 2020 : 2 825 notifications reçues, soit 24 % de plus qu’en 2019
  • En 2021 : 5 037 notifications reçues, soit 79 % de plus qu’en 2020 (43% concernent une attaque pat rançongiciel)

Imaginons alors pour 2022 : 18 135 notifications, 260% de plus qu’en 2021. (Espérons que cela ne soit qu’Utopie)

L’objectif de la CNIL est de contrôler le niveau de sécurité des sites web français les plus utilisés dans différents secteurs avec une attention particulière sur :

  • Les formulaires de recueils de données personnelles (« ce sont juste quelques champs faciles à integrer en base »)
  • L’utilisation du protocole HTTPS (« Avoir un certificat valide, ca va nous mettre en retard dans le projet »)
  • La conformité des acteurs à la recommandation de la CNIL sur les mots de passe. (« personne ne vas s’inscrire si je les oblige à mettre 8 caractères, un chiffre, une majuscule et un caractère »)

Avec en bonus : Les stratégies mises en place pour se prémunir contre les rançongiciels. (Oups, pourtant dans le mail il était indiqué que j’allais devenir riche en ouvrant juste ce PDF)

NB : je cite « les collectivités territoriales, notamment car elles sont particulièrement susceptibles d’être victimes d’attaques informatiques telles que des rançongiciels. ». Un rapport avec l’actualité ?

Bilan des organismes contrôlés

Un peu de détail

Ces manquements relevés par la CNIL portent sur l’obligation générale du responsable de traitement de sécuriser les données personnelles traitées (article 32 du RGPD).

La CNIL s’est référée aux recommandations délivrées par l’ANSSI en matière de sécurité, en particulier, pour le secteur public, dans le référentiel général de sécurité (RGS). Celui-ci fixe les règles que les téléservices mis en place par des administrations doivent obligatoirement respecter pour assurer la sécurité des informations échangées.

La CNIL s’est également appuyée sur sa recommandation relative aux mots de passe  de 2017, actuellement en cours de mise à jour et soumis à consultation publique.

Les vérifications réalisées par la CNIL ont donc essentiellement porté sur des points techniques et organisationnels.

Des données insuffisamment chiffrées (Robustesse du chiffrement des données)

  • Accès non sécurisé (HTTP) à leur site web
  • Versions obsolètes du protocole TLS devant assurer la sécurité des données en transit
  • Utilisation de certificats et de suites cryptographiques non conformes pour les échanges avec les serveurs des sites contrôlés.

Des comptes utilisateurs à protéger

  • Gestion des comptes utilisateurs : Défaut de dispositifs permettant de tracer les connexions anormales aux serveurs.
  • Sécurisation de l’accès aux comptes utilisateurs : Recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation.

Pour approfondir (Et appliquer 😉)

> Sécuriser les sites web

> Guide de la sécurité des données personnelles (PDF, 413 ko)

> La CNIL publie une recommandation relative aux mesures de journalisation

> Le contrôle de la CNIL

> La procédure de mise en demeure

Sources

Cybersécurité, données de santé, cookies : les thématiques prioritaires de contrôle en 2021

Cybersécurité : 15 mises en demeure à l’encontre de sites web insuffisamment sécurisés

Les violations de données personnelles

La meilleure prévention contre les risques cyber

Cybersécurité – Chiffres 2021 [ PDF-803 Ko]