Recevez chaque jour toute l'actualité du numérique

x

La Cnil entame un contrôle sur le niveau de cybersécurité des sites web français

15 sites internet français ont été mis en demeure par la Cnil à la suite de contrôles sur leur niveau de sécurité. Des manquements ont été constatés sur le chiffrement des données et la traçabilité des connexions anormales aux serveurs. Ils ont trois mois pour se mettre en conformité. 
Twitter Facebook Linkedin Flipboard Email
×

La Cnil entame un contrôle sur le niveau de cybersécurité des sites web français
La Cnil entame un contrôle sur le niveau de cybersécurité des sites web français © Cnil

La Commission nationale de l'informatique et des libertés (Cnil) souhaite vérifier le respect du b.a.-ba de la sécurité informatique par les sites web. En 2021, elle en a contrôlé 21, dont 15 ont été mis en demeure, apprend-on ce 8 juillet. A noter que les défauts de sécurité des sites figurent parmi les manquements les plus souvent constatés et sont susceptibles de conduire à des violations de données personnelles. 
 

Les collectivités territoriales dans le viseur

Les contrôles ont été menés en ligne et sur pièces, c'est-à-dire sur la base de documents transmis. L'identité des sites ciblés reste confidentielle. Seule information dévoilée par la Cnil : il s'agit aussi bien "d’organismes français du secteur public (communes, centres hospitaliers universitaires, ministères…)" que "du secteur privé (plateformes de e-commerce, prestataires de solutions informatiques...)". Elle précise également que ces contrôles ont eu pour but de "renforcer le niveau de sécurité des sites web édités par les collectivités territoriales". Ces dernières étant particulièrement visées par les ransomwares. 

Les principaux manquements concernent la robustesse du chiffrement des données. En effet, la Commission a constaté que de nombreux acteurs permettaient un accès non sécurisé (HTTP) à leur site web, mettaient en place des versions obsolètes du protocole TLS devant assurer la sécurité des données en transit, utilisaient des certificats et des suites cryptographiques non conformes pour les échanges avec les serveurs des sites contrôlés. 

La Cnil a également relevé un défaut de dispositifs permettant de tracer les connexions anormales aux serveurs ainsi le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation.

Trois mois pour se mettre en conformité

Les 15 sites web ont désormais trois mois pour prendre toute mesure permettant d'assurer un niveau de sécurité adapté. A défaut, elles risquent d'être sanctionnées au titre du Règlement général sur la protection des données (RGPD).

Même si elle ne le mentionne pas, il est fort à parier que la Cnil réitère cette procédure de contrôle pour vérifier le niveau de sécurit d'autres sites. Le travail va être dans tous les cas particulièrement fastidieux. Selon les chiffres communiqués par l'Association française pour le nommage Internet en coopération (Afnic), il y avait 3,67 millions de sites en .fr enregistrés à la fin de 2020. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.