Sécurité des sites web : les 5 problèmes les plus souvent constatés
La CNIL constate lors de contrôles que beaucoup de manquements à la loi Informatique et Libertés concernent des négligences en matière de sécurité qui pourraient être aisément évitées. Ces failles, qui ont une incidence directe sur la vie privée des personnes concernées, sont souvent à l’origine de mises en demeure ou de sanctions.
Pourquoi c’est important ?
La numérisation pousse naturellement les organismes à proposer des solutions en ligne pour faciliter les démarches du quotidien ou la collecte d’informations. De mauvaises procédures de sécurité peuvent amener à la divulgation ou à la perte de données personnelles et de documents confidentiels, par exemple :
- des données facilitant les actes de piratage (identifiants, mots de passe, etc.) ;
- des données sensibles (rendez-vous médicaux, remboursements d’actes de soin, etc.) ;
- des données facilitant les usurpations d’identité (coordonnées, numéros de téléphone, fiches de paie, avis d’imposition, passeports, etc.).
Une authentification par un mot de passe trop souple
Le problème. La tolérance par une plateforme de mots de passe trop simples et l’absence de protections complémentaires facilitent l’accès d’un tiers indésirable au compte d’un utilisateur. Un individu malveillant n’aura qu’à multiplier les tentatives d’authentification pour accéder aux données d’un utilisateur ou à utiliser une liste de mots de passe les plus couramment utilisés pour réussir à accéder aux comptes les moins protégés.
La solution. Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe, notamment en stockant les mots de passe de façon sécurisée et en appliquant les règles de complexité pour le mot de passe ou encore en limitant le nombre de tentatives.
L’absence de règles d’authentification à un compte
- Le problème. Le site qui collecte des informations n’intègre pas de fonctionnalités permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant d'afficher les informations de son compte. Ainsi, il suffit d’être en possession de l’URL pour se connecter.La solution. Prévoir au minimum un mécanisme d’authentification avec un mot de passe complexe. Quand cela est possible, proposer un mécanisme « d’authentification fort » c’est-à-dire qui combine au moins deux de ces mécanismes :
- « ce que l’on sait », par exemple un mot de passe ;
- « ce que l’on a », par exemple une carte à puce ;
- « une caractéristique » qui est propre à l’utilisateur, par exemple une empreinte digitale, ou la manière de tracer une signature manuscrite.
Rendre un compte client accessible depuis une URL incrémentale
Le problème. Non seulement aucune règle d’authentification n'existe, mais le changement d’un seul caractère de URL d’un compte client, amène sur le compte d’un autre client et donne accès à toutes ses informations.
La solution. Mettre en place un contrôle de droit d’accès dans les infrastructures : l’API chargée de répondre à votre requête devra préalablement vérifier si votre requête est légitime pour elle.
L’absence de chiffrement des données
Le problème. En cas de perte ou de faille, l’absence de chiffrement de bout en bout des documents rend possible leur consultation en clair par un tiers indésirable.
La solution. Le chiffrement des pièces permet de garantir leur confidentialité en cas de perte. Il convient d’utiliser des méthodes de chiffrement efficaces depuis le moment où le document est collecté jusqu'au moment où il est utilisé. Consultez notre guide pour en savoir plus.
L’indexation des données dans un moteur de recherche
Le problème. En plus de ne pas être protégés, les fichiers sont parfois indexés dans les moteurs de recherche. En tapant « site:nomdusite.com » + « filetype:pdf » sur un moteur de recherche, n’importe qui peut être en mesure de mettre la main sur un document confidentiel ou sur des données personnelles détenues par l’organisme.
Les solutions. Empêchez les robots d’indexation (les web crawlers) d’accéder à tout ou partie de votre site web en utilisant un « robots.txt ». Les moteurs de recherche respectent cette convention et n’indexeront pas votre contenu. Attention : le « robots.txt » n’est pas une mesure de sécurité ! Vos documents seront accessibles à toute personne ayant ou trouvant l’URL. Afin de les sécuriser, un dispositif d’authentification et de gestion de droits est nécessaire.
La sensibilisation des collaborateurs
La sensibilisation des employés à la sécurité informatique de leur poste peut leur éviter d’être vulnérables face à une attaque, un problème de sécurité ou une perte/vol de leur matériel. Pensez à rédiger une charte informatique et à donner à cette charte une force contraignante. Organisez des ateliers de sensibilisation — par exemple à l’occasion du mois de la cybersécurité — et envoyez régulièrement des messages de sensibilisation.
Commentaires
Enregistrer un commentaire