Le 8 juillet dernier, la CNIL a annoncé avoir mis en demeure 15 sites internet pour « des défauts de chiffrement des données ou de gestion et de sécurisation de comptes d’utilisateurs ».
Annoncée comme l’une de ses actions prioritaires de 2021, la CNIL a contrôlé la cybersécurité de 21 sites internet.
Les sites internet concernés sont ceux d’organismes français relevant du secteur public ou du secteur privé.
Quinze d’entre eux ont fait l’objet d’une mise en demeure en raison de non-conformités relativement à « des points de sécurité importants » caractérisant ainsi un manquement à l’article 32 du RGPD (sur la sécurité du traitement).
D’une part, la CNIL a reproché à ces sites internet un chiffrement insuffisant des données.
En particulier, la CNIL a constaté des possibilités d’accès non sécurisé (http), l’utilisation de version obsolète du protocole TLS ou encore de certificats et des suite cryptographiques non conformes.
D’autre part, la CNIL a considéré que les comptes utilisateurs ne sont pas assez protégés.
A cet égard, la CNIL a relevé la non-traçabilité des connexions anormales aux serveurs des sites, le défaut de robustesse de mots de passe ainsi qu’une procédure de leur renouvellement insuffisamment sécurisée (en termes de transmission et conservation).
Il est intéressant de noter qu’à l’appui de sa position, la CNIL s’est notamment basée sur ses recommandations de 2017 relativement aux mots de passe (en cours de mise à jour) et celles de l’ANSSI en matière de sécurité (dont le Référentiel Général de Sécurité (RGS) pour le secteur public).
Les organismes concernés disposent d’un délai de 3 mois pour se mettre en conformité.
Cette position de la CNIL invite les exploitants de site internet à redoubler de vigilance quant aux mesures de sécurité mises en place sur leur site.
Lien vers le communiqué de la CNIL : ici
