La Commission nationale de l’informatique et des libertés (CNIL) est l’organisme français chargé de veiller à la protection des données personnelles et à l’exercice des libertés individuelles sur Internet. Dans le cadre de cette mission, la CNIL peut effectuer des contrôles auprès des entreprises et des organisations pour vérifier leur respect des règles en matière de protection des données personnelles et de cybersécurité.
Voici quelques exemples de manquements constatés par la CNIL en matière de cybersécurité :
- Absence de politique de sécurité des données, de procédures de gestion des incidents de sécurité ou de plan de reprise d’activité en cas de sinistre informatique
- Failles de sécurité dans les systèmes informatiques, les bases de données ou les réseaux, qui peuvent être exploitées par des hackers pour accéder à des données sensibles
- Utilisation de logiciels ou de matériel obsolète ou non sécurisé, qui peuvent être facilement piratés ou infectés par des virus ou des logiciels malveillants
- Manque de formation des employés aux bonnes pratiques de sécurité informatique, qui peuvent entraîner des erreurs de manipulation ou des comportements à risque
- Non-respect des obligations légales en matière de traitement des données personnelles, comme la collecte des consentements des personnes concernées, la déclaration des traitements à la CNIL, la mise en place de mesures de sécurité adaptées à la nature des données traitées, etc.
Des données insuffisamment chiffrées
Concernant la robustesse du chiffrement des données, la CNIL a constaté que de nombreux acteurs permettaient un accès non sécurisé (HTTP) à leur site web, mettaient en place des versions obsolètes du protocole TLS devant assurer la sécurité des données en transit, utilisaient des certificats et des suites cryptographiques non conformes pour les échanges avec les serveurs des sites contrôlés.
Des comptes utilisateurs à protéger
Concernant la gestion des comptes utilisateurs, la CNIL a principalement constaté le défaut de dispositifs permettant de tracer les connexions anormales aux serveurs.
Concernant la sécurisation de l’accès aux comptes utilisateurs, la CNIL a notamment constaté le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation.
Les organismes mis en demeure disposent d’un délai de trois mois pour prendre toute mesure permettant d’assurer un niveau de sécurité adapté.
Au moins, nos mots de passe seront protégé !