Les exigences de sécurité pour mettre votre site en conformité avec le RGPD

 

 

 

Les recommandations de CNIL en matière de mise en conformité avec le RGPD font références à toutes les obligations du règlement européen. L’une des obligations est la sécurité de la programmation du site Internet.

 

Vous allez voir qu’il s’agit de bien choisir la technologie de développement, et que pour garantir ne serait-ce que le seuil minimum de sécurité, vous devez choisir un prestataire vraiment compétent, car la CNIL rappelle aux développeur web que « les principes de la protection des données à caractère personnel doivent être intégrés aux développements informatiques dès les phases de conception afin de protéger la vie privée des personnes dont vous allez traiter les données, et de leur offrir une meilleure maîtrise de leurs données et de limiter les erreurs, pertes, modifications non autorisées, ou mauvais usages de celles-ci ».

 

Je vais ensuite vous présenter les recommandations et les bonnes pratiques (qui ne suivent pas toujours l'avis de la Commission alors qu'elles sont émises par des experts en cybersécurité) en matière de gestion des mots de passe. Qu'est-ce que cela à avoir avec le RGPD ? Il s'agit de protéger l'accès aux données à caractère personnel que tout utilisateur renseigne dans Mon compte, Mon Profil, Mes données, etc.

 

 

Etes-vous contraint à une analyse d'impact sur la protection des données de la vie privée ?

La CNIL invite tout créateur de site Internet à mettre la protection de la vie privée au cœur des développements en adoptant une méthodologie de Privacy By Design. L’ANSSI a également publié un guide sur la sécurité et l’agilité numériques que je vous recommande.

 

En règle générale, vous n’avez pas besoin de mener une analyse d’impact sur la protection des données, une AIPD, sauf pour certains traitements où elle est contrainte. La liste des cas où vous devez la menez au regard de la loi est la suivante :

 

Ce dernier élément est important pour les sites Internet et les applications mobiles. L’analyse est obligatoire dès lors que vous créez une application permettant de collecter les données de géolocalisation des utilisateurs. Si vous suivez, sauvegardez ou surveillez la mobilité d’une personne, c’est obligatoire, ainsi que dans le cadre d’une application ou d’un site Internet avec un système de billetterie pour le transport.

La mise en conformité au RGPD intervient à la conception du site Internet, pour définir l’architecture et les fonctionnalités. C’est ce que le CNIL nomme les choix technologiques.

 

 

Demande de devis seo

 

 

Les exigences de sécurité des données

Les exigences du règlement européen n° 2016/679 varient selon que vous intégrez du streaming, du peer-to-peer, du téléchargement, certains services de webcam, ou qu’il s’agit d’une configuration client/serveur. Si vos utilisateurs mettent à disposition une partie de leurs équipements et ressources informatiques (capacité de calcul, espace de stockage, bande passante) pour les partager avec d’autres personnes, les exigences sont nécessairement plus sévères.

Au niveau des fonctionnalités, le choix d’anonymiser ou de minimiser les données collectées est une question de sécurité. A titre d’illustration, la complexité minimale des mots de passe doit respecter les attentes de la CNIL.

 

Plusieurs lignes de défense !

Le créateur de votre site Internet ne doit pas se contenter du meilleur cryptage de l'époque - SHA-512 au jour de la rédaction de cet article -, ni du salage. Il faut concevoir la sécurité du site plus en profondeur, notamment par un contrôle des données renseignées dans un formulaire en ligne. Je fais notamment référence aux injections SQL.

La programmation utilisant PDO fait partie des défenses de périphérie. Que le développeur web intègre directement dans les lignes de codes du site Internet.

La sécurisation des requêtes est primordiale : le codeur doit les sécuriser en base de données. Les défenses installées sur la base de données peuvent également prendre le relais. Par mesure préventive à l'égard de nos propres clients, je ne peux pas entrer dans le détail, mais sachez qu'en nous confiant votre projet, la sécurité est hautement mise en œuvre.

 

 

Utilisez des normes de programmation actuelles

Vous êtes loin d'imaginer le nombre d'appel au secours que je reçois de propriétaires de sites Internet fait avec un CMS traditionnel, pour les sauver d'un piratage et nettoyer les dégâts occasionnés ! Rien en vaut de bons développement en PHP sur mesure, respectant les bonnes pratiques.

L'OWASP est l'acronyme de Open Web Application Security Project, et correspond à une fondation à but non lucratif améliorant la sécurité de la programmation informatique dans sa globalité. Elle constitue une ressource pour les développeurs full-stack. Vous trouverez la documentation sur https://owasp.org.

La CNIL est intraitable sur les 2 points suivants :

 

 

La gestion des mots de passe

RGPD et création du mot de passe

La création du mot de passe et la suspension de l’accès dépendent de 4 cas de figure décrit par la CNI. Voici les 4 situations d'authentification :

 

A propos de la sécurisation de l'authentification

Pour faire simple et vous épargner des maux de tête, retenez que le site doit être en HTTPS ! Le règlement européen sur la protection des données ne l'annonce pas aussi formellement, mais les propos de la CNIL qui représentent 1 paragraphe complet peuvent se résumer ainsi.

 

La conservation des mots de passe

La CNIL précise que le mot de passe ne doit jamais être stocké en clair. Au jour de la rédaction de ces lignes par exemple, le développeur PHP de l'agence utilise SHA-512 et la technique de salage. Ce qui répond très favorablement à la fonction cryptographique non réversible et sûre. Si des données à caractère personnel sont volées sur votre site Internet parce qu'un individu malintentionné a piraté l'ordinateur de l'un de vos utilisateurs, et qu'il a trouvé un mail que le système lui a envoyé pour mentionner son identifiant et son mot de passe, le juge peut clairement mettre la responsabilité du propriétaire du site en cause, ainsi que celle du créateur du site Internet.

 

Le renouvellement du mot de passe

La commission recommande que le renouvellement du mot de passe soit systématique en cas de compromission, ce qui semble une évidence dans le carde du RGPD. Ce nouveau mot de passe ne doit évidemment pas être communiqué à l'utilisateur en clair par courrier électronique ou postal.

 

Elle recommande son renouvellement périodique, ce qui est une pratique que les spécialiste en cybersécurité dénonce de façon récurrente. A force d'obliger l'internaute de changer ses mots de passe sur certains sites, alors que sur d'autres il peut utiliser le même, il arrive un moment ou l'utilisateur a besoin de noter quelque part sur son ordinateur ou sur un répertoire tous ses différents mots de passe et identifiants. Ce vous créez un problème de sécurité qu'aucun développeur PHP ne peut gérer.

 

Evidemment la CNIL modère son choix en rappelant que la périodicité dépend de la complexité imposée du mot de passe, des données traitées et des risques. Allez...

 

Comment gérer la demande de renouvellement du mot de passe à l'initiative de l'utilisateur ?

Le webmaster a 3 possibilités :

 

Autre règle de sécurité qui renforce les mesures mises en place dans le cadre du Règlement Général sur la Protection des Données : informer immédiatement le membre du site de ce changement. S'il n'est pas à l'origine de la modification, il doit pouvoir réagir, ainsi que l'administrateur une fois averti.

 

 

Demande de devis seo

 

 

Commentaires

Votre Pseudo :
Votre E-Mail :
Votre Message :