Dans le cadre de la « thématique prioritaire sur la cybersécurité du web français », la Commission nationale de l’informatique et des libertés (CNIL) a effectué une série de contrôles des sites web français pour déceler les manquements en termes de sécurité.
Durant sa mission, l’autorité administrative a analysé 21 sites du secteur public et privé, et a relevé 15 cas qui présentaient des défauts de chiffrement des données, pouvant conduire à la violation des informations personnelles. Ces sites, dont les noms n’ont pas été divulgués, auraient été mis en demeure pour rétablir le niveau de sécurité standard suivant le Règlement général sur la protection des données (RGPD), souligne un communiqué du 8 juillet.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Des sites d’organisations privées et publiques non conformes
En 2021, la CNIL a procédé à une opération de vérification en ligne et sur pièces de 21 sites web français du secteur public en vue de renforcer les systèmes de sécurité, protéger les utilisateurs, mais aussi prévenir les attaques informatiques récurrentes par rançongiciels.
D’après l’annonce de l’administration, 6 sites ont présenté des manquements de faible gravité tandis que 15 sites ont été mis en demeure en raison des pratiques non conformes. Il y a eu également plusieurs défaillances, dont l’accès non sécurisé (HTTP) aux sites web, des versions obsolètes des protocoles TLS ou encore des « suites cryptographiques non conformes pour les échanges avec les serveurs ».
« Les organismes mis en demeure disposent d’un délai de trois mois pour prendre toute mesure permettant d’assurer un niveau de sécurité adapté », informe le communiqué.
Une vérification des points techniques et organisationnels
Le rapport de la CNIL indique de nombreuses failles au niveau du traitement des données. Ces défauts ont été soulevés après consultation des règlements de la RGPD, mais aussi des recommandations de l’ANSSI dans son Référentiel général de sécurité (RGS).
Des problèmes de gestion des comptes utilisateurs (traçabilité des connexions anormales), et la fébrilité des mots de passe ont été constatés, selon le document de l’administration.
