15 sites internet français ont été mis en demeure par la Cnil à la suite de contrôles sur leur niveau de sécurité. Des manquements ont été constatés sur le chiffrement des données et la traçabilité des connexions anormales aux serveurs. Ils ont trois mois pour se mettre en conformité.
La Commission nationale de l’informatique et des libertés (Cnil) souhaite vérifier le respect du b.a.-ba de la sécurité informatique par les sites web. En 2021, elle en a contrôlé 21, dont 15 ont été mis en demeure, apprend-on ce 8 juillet. A noter que les défauts de sécurité des sites figurent parmi les manquements les plus souvent constatés et sont susceptibles de conduire à des violations de données personnelles.
LES COLLECTIVITÉS TERRITORIALES DANS LE VISEUR
Les contrôles ont été menés en ligne et sur pièces, c’est-à-dire sur la base de documents transmis. L’identité des sites ciblés reste confidentielle. Seule information dévoilée par la Cnil : il s’agit aussi bien « d’organismes français du secteur public (communes, centres hospitaliers universitaires, ministères…) » que « du secteur privé (plateformes de e-commerce, prestataires de solutions informatiques…)« . Elle précise également que ces contrôles ont eu pour but de « renforcer le niveau de sécurité des sites web édités par les collectivités territoriales« . Ces dernières étant particulièrement visées par les ransomwares.
Les principaux manquements concernent la robustesse du chiffrement des données. En effet, la Commission a constaté que de nombreux acteurs permettaient un accès non sécurisé (HTTP) à leur site web, mettaient en place des versions obsolètes du protocole TLS devant assurer la sécurité des données en transit, utilisaient des certificats et des suites cryptographiques non conformes pour les échanges avec les serveurs des sites contrôlés.
La Cnil a également relevé un défaut de dispositifs permettant de tracer les connexions anormales aux serveurs ainsi le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation.
TROIS MOIS POUR SE METTRE EN CONFORMITÉ
Les 15 sites web ont désormais trois mois pour prendre toute mesure permettant d’assurer un niveau de sécurité adapté. A défaut, elles risquent d’être sanctionnées au titre du Règlement général sur la protection des données (RGPD).
Même si elle ne le mentionne pas, il est fort à parier que la Cnil réitère cette procédure de contrôle pour vérifier le niveau de sécurit d’autres sites. Le travail va être dans tous les cas particulièrement fastidieux. Selon les chiffres communiqués par l’Association française pour le nommage Internet en coopération (Afnic), il y avait 3,67 millions de sites en .fr enregistrés à la fin de 2020.
