Dans l’une de ses récentes publications, la CNIL revient sur les manquements de sécurité récurrents constatés lors des contrôles. En effet, les récents contrôles, qui ont donné lieu à des amendes de 400.000€ ou encore 180.000€ pour prendre uniquement le mois de juin, étaient souvent axés sur la conformité juridique, la conformité des documents et la sécurité.

Voici un top 5 des failles constatées.

  • L’absence de règles d’authentification pour un compte

Le mécanisme d’authentification doit comprendre à minima un mot de passe complexe et si possible combiner le mot de passe à un autre mécanisme tel qu’une double authentification au moyen d’une caractéristique propre à l’utilisateur (Ex : empreinte digitale) ou d’un dispositif dont dispose un utilisateur (Ex : carte à puce). (Pour en savoir plus : https://www.cnil.fr/fr/securite-authentifier-les-utilisateurs).

  • Une authentification par un mot de passe trop souple

Si l’authentification est basée exclusivement sur un mot de passe, la CNIL recommande a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux. Des mesures complémentaires à la saisie d’un mot de passe permettront de réduire la longueur et la complexité du mot de passe (Pour en savoir plus : https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires).

  • Accessibilité d’un compte depuis une URL incrémentale

Cela concerne les situations où le changement d’un caractère de l’URL d’une page permettra d’accéder à une autre page. Pour éviter cette situation il convient non seulement de mettre en place un mécanisme d’authentification, mais également un contrôle du droit d’accès à travers une vérification par l’API de la légitimité de la requête.

  • Absence du chiffrement des données

Schématiquement chiffrer une donnée consiste à convertir une donnée dans un format lisible en un format codé qui ne peut être lu qu’après déchiffrement, donc uniquement par le possesseur de la clé de chiffrement. Pour éviter tout accès par des tiers indésirables, il est indispensable de chiffrer les données au moyen de méthodes efficaces. (Pour en savoir plus : https://www.cnil.fr/fr/securite-chiffrer-garantir-lintegrite-ou-signer).

  • Indexation des données dans un moteur de recherche

Lorsque des données ne sont pas protégées au moyen des mesures de sécurité évoquées, il se peut qu’elles soient en plus indexées sur un moteur de recherche, permettant de ce fait à n’importe qui faisant une recherche avec le nom du fichier, en l’absence même de l’URL, d’accéder à ces données. Pour éviter ce type de failles il est important d’utiliser un « robot.txt » qui n’est autre qu’un fichier texte placé à la racine du site destiné à interdire aux robots des moteurs de recherche l’indexation de certaines parties du site.

L’ensemble de ces mesures doivent s’accompagner d’une sensibilisation des employés au moyen d’ateliers de sensibilisation (par exemple nos amis de Blue Learning https://bluelearning.fr/formation/sensibilisation-rgpd), l’envoi régulier de messages de sensibilisation ainsi que la mise en place d’une charte informatique annexée au règlement intérieur de l’entreprise.

Il est également indispensable de consulter le guide de sécurité établi par la CNIL et, en cas de doute, faire procéder à un audit sur la protection des données personnelles de l’entreprise.

En toutes hypothèses, il est absolument nécessaire de se doter de procédures en interne, documents réclamés par la CNIL en cas de contrôle.