La Cnil entame un contrôle sur le niveau de cybersécurité des sites web français

La Commission nationale de l'informatique et des libertés (Cnil) souhaite vérifier le respect du b.a.-ba de la sécurité informatique par les sites web. En 2021, elle en a contrôlé 21, dont 15 ont été mis en demeure, apprend-on ce 8 juillet. A noter que les défauts de sécurité des sites figurent parmi les manquements les plus souvent constatés et sont susceptibles de conduire à des violations de données personnelles. 
 

Les collectivités territoriales dans le viseur

Les contrôles ont été menés en ligne et sur pièces, c'est-à-dire sur la base de documents transmis. L'identité des sites ciblés reste confidentielle. Seule information dévoilée par la Cnil : il s'agit aussi bien "d’organismes français du secteur public (communes, centres hospitaliers universitaires, ministères…)" que "du secteur privé (plateformes de e-commerce, prestataires de solutions informatiques...)". Elle précise également que ces contrôles ont eu pour but de "renforcer le niveau de sécurité des sites web édités par les collectivités territoriales". Ces dernières étant particulièrement visées par les ransomwares. 

Les principaux manquements concernent la robustesse du chiffrement des données. En effet, la Commission a constaté que de nombreux acteurs permettaient un accès non sécurisé (HTTP) à leur site web, mettaient en place des versions obsolètes du protocole TLS devant assurer la sécurité des données en transit, utilisaient des certificats et des suites cryptographiques non conformes pour les échanges avec les serveurs des sites contrôlés. 

La Cnil a également relevé un défaut de dispositifs permettant de tracer les connexions anormales aux serveurs ainsi le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation.

Trois mois pour se mettre en conformité

Les 15 sites web ont désormais trois mois pour prendre toute mesure permettant d'assurer un niveau de sécurité adapté. A défaut, elles risquent d'être sanctionnées au titre du Règlement général sur la protection des données (RGPD).

Même si elle ne le mentionne pas, il est fort à parier que la Cnil réitère cette procédure de contrôle pour vérifier le niveau de sécurit d'autres sites. Le travail va être dans tous les cas particulièrement fastidieux. Selon les chiffres communiqués par l'Association française pour le nommage Internet en coopération (Afnic), il y avait 3,67 millions de sites en .fr enregistrés à la fin de 2020. 

Sélectionné pour vous

UnitedHealth confirme que des hackers ont volé les données de santé de nombreux Américains

Les forces de police européennes s'insurgent contre le chiffrement de bout en bout sur les messageries instantanées

Speedy France victime d’une cyberattaque, des données personnelles compromises