La CNIL, toujours au fait des questions de cybersécurité, a procédé à plusieurs contrôles sur 21 sites web locaux, du secteur public ou privé, afin de mettre en évidence les éventuels défaillances en matière de sécurité.
15 défauts de chiffrement des données ont été relevés, laissant supposer une violation des informations personnelles, ce qui a conduit à la mise en demeure des sites rencontrant ces problématiques de manière à ce qu’ils puissent relever leur niveau de sécurité standard, en conformité avec le RGPD, selon un communiqué publié en date du 8 juillet dernier.
L’opération a démarré dans le courant de l’année 2021, sur près de 21 sites internet français du secteur public, dans le cadre d’une action de prévention des attaques informatiques.
6 sites ont alors montré des défaillances de faible mesure alors que cette enquête a abouti à la mise en demeure de 15 autres qui présentaient des dysfonctionnements plus sérieux voire des pratiques non-conformes.
Des défaillances diverses et variées mises en évidence.
D’autres problématiques ont été relevées telles que des accès non sécurisés (HTTP) aux sites web, des versions obsolètes des protocoles TLS ou bien encore des « suites cryptographiques non conformes pour les échanges avec les serveurs » ainsi que le détaille le communiqué.
« Les organismes mis en demeure disposent d’un délai de trois mois pour prendre toute mesure permettant d’assurer un niveau de sécurité adapté », précise enfin ce dernier.
Des rapprochements ont été par suite opérés au niveau du traitement des données, qui ont mis en évidence un certain nombre de points négatifs, là également, si on effectue des rapprochements avec le RGPD, mais aussi avec les recommandations de l’ANSSI dans son Référentiel général de sécurité (RGS).
Des problèmes de gestion des comptes utilisateurs (traçabilité des connexions anormales), ainsi que le manque de fiabilité des mots de passe ont pu être mis en évidence dans le même temps.
Source CNIL.
