La CNIL ne rigole pas avec la cybersécurité. Ayant fait de cet enjeu l'une des ses fameuses « thématiques prioritaires », l'heure du bilan a sonné. Et des dizaines d'oreilles ont sifflé : la Commission nationale de l'informatique et des libertés est en effet arrivée au bout de sa série de contrôles en ligne et sur pièces portant sur plus d'une vingtaine d'organismes français - 21 pour être exact - dans des secteurs variés (ministères, universités, communes, hôpitaux, sites e-commerce, prestataires informatiques...). Avec à la clé des procédures de mises en demeure pour 15 d'entre eux.
« Les mises en demeure portent sur des pratiques non conformes à des points de sécurité importants, rendant les organismes vulnérables à des attaques informatiques », a précisé la Cnil dans son communiqué. Les manquements relevés par l'institution portent sur l’obligation générale du responsable de traitement de sécuriser les données personnelles traitées (article 32 du RGPD). Ainsi que des défauts de chiffrement des données ou de gestion et de sécurisation de comptes d’utilisateurs.
Un délai de 3 mois pour élever le niveau de sécurité
La commission a établi que de nombreuses organisations permettaient un accès non sécurisé - simplement HTTP - à leur site web, et utilisaient des versions obsolètes du protocole TLS ainsi que des certificats et solutions de chiffrement serveurs non conformes. Concernant les comptes des utilisateurs, la Cnil « a principalement constaté le défaut de dispositifs permettant de tracer les connexions anormales aux serveurs ». Et s'agissant de la sécurisation de l'accès aux comptes utilisateurs, la commission a pointé « le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation ».
Les organismes mis en demeure disposent d’un délai de trois mois pour prendre toute mesure permettant d’assurer un niveau de sécurité adapté, indique la Cnil. En parallèle, l'instance a annoncé avoir clôturé 6 procédures en cours « justifiées par la faible gravité des manquements constatés » débouchant sur un simple courrier pour alerter les responsables de traitement sur les mesures à mettre en œuvre afin de se conformer totalement au RGPD.