La Commission nationale de l’informatique et des libertés (CNIL) est l’organisme français chargé de veiller à la protection des données personnelles et à l’exercice des libertés individuelles sur Internet. Dans le cadre de cette mission, la CNIL peut effectuer des contrôles auprès des entreprises et des organisations pour vérifier leur respect des règles en matière de protection des données personnelles et de cybersécurité.
Voici quelques exemples de manquements constatés par la CNIL en matière de cybersécurité :
- Absence de politique de sécurité des données, de procédures de gestion des incidents de sécurité ou de plan de reprise d’activité en cas de sinistre informatique
- Failles de sécurité dans les systèmes informatiques, les bases de données ou les réseaux, qui peuvent être exploitées par des hackers pour accéder à des données sensibles
- Utilisation de logiciels ou de matériel obsolète ou non sécurisé, qui peuvent être facilement piratés ou infectés par des virus ou des logiciels malveillants
- Manque de formation des employés aux bonnes pratiques de sécurité informatique, qui peuvent entraîner des erreurs de manipulation ou des comportements à risque
- Non-respect des obligations légales en matière de traitement des données personnelles, comme la collecte des consentements des personnes concernées, la déclaration des traitements à la CNIL, la mise en place de mesures de sécurité adaptées à la nature des données traitées, etc.
Des données insuffisamment chiffrées
Concernant la robustesse du chiffrement des données, la CNIL a constaté que de nombreux acteurs permettaient un accès non sécurisé (HTTP) à leur site web, mettaient en place des versions obsolètes du protocole TLS devant assurer la sécurité des données en transit, utilisaient des certificats et des suites cryptographiques non conformes pour les échanges avec les serveurs des sites contrôlés.
Des comptes utilisateurs à protéger
Concernant la gestion des comptes utilisateurs, la CNIL a principalement constaté le défaut de dispositifs permettant de tracer les connexions anormales aux serveurs.
Concernant la sécurisation de l’accès aux comptes utilisateurs, la CNIL a notamment constaté le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation.
Les organismes mis en demeure disposent d’un délai de trois mois pour prendre toute mesure permettant d’assurer un niveau de sécurité adapté.
- Contrôles de Conformité : La CNIL et l’ANSSI sur le Pied de Guerre – Attention aux mises en demeure pour des soucis de sécurité notamment liés aux certificats
- Mises à jour de sécurité d’Apple pour les anciens systèmes : Une démarche proactive en matière de cybersécurité
- L’année 2022 en revue : La CNIL prononce 21 sanctions et 147 mises en demeure pour des manquements réglementaires
Au moins, nos mots de passe seront protégé !