Les exigences de sécurité pour mettre votre site en conformité avec le RGPD

Les recommandations de CNIL en matière de mise en conformité avec le RGPD font références à toutes les obligations du règlement européen. L’une des obligations est la sécurité de la programmation du site Internet.

Vous allez voir qu’il s’agit de bien choisir la technologie de développement, et que pour garantir ne serait-ce que le seuil minimum de sécurité, vous devez choisir un prestataire vraiment compétent, car la CNIL rappelle aux développeur web que « les principes de la protection des données à caractère personnel doivent être intégrés aux développements informatiques dès les phases de conception afin de protéger la vie privée des personnes dont vous allez traiter les données, et de leur offrir une meilleure maîtrise de leurs données et de limiter les erreurs, pertes, modifications non autorisées, ou mauvais usages de celles-ci ».

Je vais ensuite vous présenter les recommandations et les bonnes pratiques (qui ne suivent pas toujours l'avis de la Commission alors qu'elles sont émises par des experts en cybersécurité) en matière de gestion des mots de passe. Qu'est-ce que cela à avoir avec le RGPD ? Il s'agit de protéger l'accès aux données à caractère personnel que tout utilisateur renseigne dans Mon compte, Mon Profil, Mes données, etc.

Etes-vous contraint à une analyse d'impact sur la protection des données de la vie privée ?

La CNIL invite tout créateur de site Internet à mettre la protection de la vie privée au cœur des développements en adoptant une méthodologie de Privacy By Design. L’ANSSI a également publié un guide sur la sécurité et l’agilité numériques que je vous recommande.

En règle générale, vous n’avez pas besoin de mener une analyse d’impact sur la protection des données, une AIPD, sauf pour certains traitements où elle est contrainte. La liste des cas où vous devez la menez au regard de la loi est la suivante :

• Traitements de données de santé
• Traitements portant sur des données génétiques
• Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
• Traitements ayant pour finalité de surveiller de manière constante l’activité des personnes
• Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice de quelque chose
• Traitements de profilage faisant appel à des données provenant de sources externes
• Traitements de données biométriques aux fins d'identifierune personne physique de manière unique
• Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
• Traitements de données de localisation à large échelle
  
  

Ce dernier élément est important pour les sites Internet et les applications mobiles. L’analyse est obligatoire dès lors que vous créez une application permettant de collecter les données de géolocalisation des utilisateurs. Si vous suivez, sauvegardez ou surveillez la mobilité d’une personne, c’est obligatoire, ainsi que dans le cadre d’une application ou d’un site Internet avec un système de billetterie pour le transport.

La mise en conformité au RGPD intervient à la conception du site Internet, pour définir l’architecture et les fonctionnalités. C’est ce que le CNIL nomme les choix technologiques.

Les exigences de sécurité des données

Les exigences du règlement européen n° 2016/679 varient selon que vous intégrez du streaming, du peer-to-peer, du téléchargement, certains services de webcam, ou qu’il s’agit d’une configuration client/serveur. Si vos utilisateurs mettent à disposition une partie de leurs équipements et ressources informatiques (capacité de calcul, espace de stockage, bande passante) pour les partager avec d’autres personnes, les exigences sont nécessairement plus sévères.

Au niveau des fonctionnalités, le choix d’anonymiser ou de minimiser les données collectées est une question de sécurité. A titre d’illustration, la complexité minimale des mots de passe doit respecter les attentes de la CNIL.

Plusieurs lignes de défense !

Le créateur de votre site Internet ne doit pas se contenter du meilleur cryptage de l'époque - SHA-512 au jour de la rédaction de cet article -, ni du salage. Il faut concevoir la sécurité du site plus en profondeur, notamment par un contrôle des données renseignées dans un formulaire en ligne. Je fais notamment référence aux injections SQL.

La programmation utilisant PDO fait partie des défenses de périphérie. Que le développeur web intègre directement dans les lignes de codes du site Internet.

La sécurisation des requêtes est primordiale : le codeur doit les sécuriser en base de données. Les défenses installées sur la base de données peuvent également prendre le relais. Par mesure préventive à l'égard de nos propres clients, je ne peux pas entrer dans le détail, mais sachez qu'en nous confiant votre projet, la sécurité est hautement mise en œuvre.

Utilisez des normes de programmation actuelles

Vous êtes loin d'imaginer le nombre d'appel au secours que je reçois de propriétaires de sites Internet fait avec un CMS traditionnel, pour les sauver d'un piratage et nettoyer les dégâts occasionnés ! Rien en vaut de bons développement en PHP sur mesure, respectant les bonnes pratiques.

L'OWASP est l'acronyme de Open Web Application Security Project, et correspond à une fondation à but non lucratif améliorant la sécurité de la programmation informatique dans sa globalité. Elle constitue une ressource pour les développeurs full-stack. Vous trouverez la documentation sur https://owasp.org.

La CNIL est intraitable sur les 2 points suivants :

• Choisissez un prestataire pour créer le site Internet en fonction des langages et technologies qu'ils maîtrisent, si elles s'avèrent éprouvées et sures. Ce n'est pas parce qu'il maîtrise un framework spécifique u qu'il est le moins cher que vous devez le valider. Sa programmation importe beaucoup plus. Si vous connaissez bien Wordpress, ne cherchez pas à tout prix un freelance qui vous développerait le site sous ce CMS ; peut-être que la Programmation Orientée Objet est plus adéquate pour votre projet. Il faut tenir compte de tout cela.
  
  
• La Commission recommande de chercher un prestataire expérimenté, exprimant littéralement ceci (je cite la CNIL) : «  il faut à tout prix éviter de coder sa solution définitive dans un langage tout juste appris et pas encore maîtrisé. Dans le cas contraire, vous vous exposez à un risque accru de faille de sécurité du fait du manque d’expérience ».

La gestion des mots de passe

RGPD et création du mot de passe

La création du mot de passe et la suspension de l’accès dépendent de 4 cas de figure décrit par la CNI. Voici les 4 situations d'authentification :

• Si par mot de passe uniquement
  La taille du mot de passe doit être au minimum de 12 caractères, et doit comporter chacune des catégories de caractères suivants : des majuscules, des minuscules, des chiffres et des caractères spéciaux.

• Si par mot de passe et avec la mise en place d’une restriction
  La taille du mot de passe doit être au minimum de 8 caractères, et comporter au moins 3 des 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux). S’agissant d’une mise en place d’une restriction de l'accès au compte, ce peut être une temporisation d'accès au compte après plusieurs échecs. La durée augmente exponentiellement dans le temps, avec un maximum de tentatives par tranche de 24 heures, que votre développeur choisit.
  
  Si vous désirez assouplir la restriction, il faut mettre en place un captcha en plus du blocage du compte après un nombre d'authentifications échouées consécutives égal à 10 maximum.

• Par mot de passe avec renseignement d'une information complémentaire
  La taille du mot de passe peut être au minimum de 5 caractères. L’information complémentaire peut être choisie par l’utilisateur, mais ne doit pas être un identifiant. Le prénom du père ou de la mère est une possibilité. Ne demandez pas le nom de l'animal domestique, l'information est sans doute dans les publications sur les réseaux sociaux de l'utilisateur final. Il est possible de remplacer cette information par l’adresse IP, l’adresse MAC, etc.
  
  La temporisation d'accès au compte après plusieurs échecs augmente dans la durée exponentiellement dans le temps, ou présence d’un captcha. Le blocage intervient après un maximum de tentatives d'authentifications échouées consécutives.
• Par mot de passe en fonction du matériel détenu par la personne
  Ce système d’authentification s'appuie sur un matériel détenu par la personne, et ne concerne plus tout à fait la création de sites Internet. J'en parle parce que cela intervient dans le cadre du Règlement Général sur la Protection des Données. La taille du mot de passe doit être au minimum de 4 chiffres, l'authentification est validée selon le dispositif matériel détenu en propre par la personne : cartes SIM, cartes à puce, token. Au-delà de 3 tentatives échouées consécutives, prévoir un blocage.
  
  

A propos de la sécurisation de l'authentification

Pour faire simple et vous épargner des maux de tête, retenez que le site doit être en HTTPS ! Le règlement européen sur la protection des données ne l'annonce pas aussi formellement, mais les propos de la CNIL qui représentent 1 paragraphe complet peuvent se résumer ainsi.

La conservation des mots de passe

La CNIL précise que le mot de passe ne doit jamais être stocké en clair. Au jour de la rédaction de ces lignes par exemple, le développeur PHP de l'agence utilise SHA-512 et la technique de salage. Ce qui répond très favorablement à la fonction cryptographique non réversible et sûre. Si des données à caractère personnel sont volées sur votre site Internet parce qu'un individu malintentionné a piraté l'ordinateur de l'un de vos utilisateurs, et qu'il a trouvé un mail que le système lui a envoyé pour mentionner son identifiant et son mot de passe, le juge peut clairement mettre la responsabilité du propriétaire du site en cause, ainsi que celle du créateur du site Internet.

Le renouvellement du mot de passe

La commission recommande que le renouvellement du mot de passe soit systématique en cas de compromission, ce qui semble une évidence dans le carde du RGPD. Ce nouveau mot de passe ne doit évidemment pas être communiqué à l'utilisateur en clair par courrier électronique ou postal.

Elle recommande son renouvellement périodique, ce qui est une pratique que les spécialistes en cybersécurité dénoncent de façon récurrente. A force d'obliger l'internaute de changer ses mots de passe sur certains sites, alors que sur d'autres il peut utiliser le même, il arrive un moment ou l'utilisateur a besoin de noter quelque part sur son ordinateur ou sur un répertoire tous ses différents mots de passe et identifiants. Ce vous créez un problème de sécurité qu'aucun développeur PHP ne peut gérer.

Evidemment la CNIL modère son choix en rappelant que la périodicité dépend de la complexité imposée du mot de passe, des données traitées et des risques. Allez...

Comment gérer la demande de renouvellement du mot de passe à l'initiative de l'utilisateur ?

Le webmaster a 3 possibilités :

• Permettre au système d'attribuer temporairement un accès que l'internaute modifie à sa première connexion
• Rediriger le membre de votre site Internet vers une page lui permettant de saisir un nouveau mot de passe, avec une session de 24 heures maximum. Bien sûr, la session n'autorise qu'un seul renouvellement. , et ne pas permettre plus d'un seul renouvellement.
• Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires comme le numéro de téléphone, le code postal, l'adresse mail, etc., le système doit les stocker dans des espaces de stockage différents du mot de passe.
  
  

Autre règle de sécurité qui renforce les mesures mises en place dans le cadre du Règlement Général sur la Protection des Données : informer immédiatement le membre du site de ce changement. S'il n'est pas à l'origine de la modification, il doit pouvoir réagir, ainsi que l'administrateur une fois averti.

 

Soumettre un projet à l'expert