• GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT
www.audit-dpo.com
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
etat des lieux de la « sécurisation des sites web (protocole TLS) ; » dans le cadre du RGPD

Accueil » etat des lieux de la « sécurisation des sites web (protocole TLS) ; » dans le cadre du RGPD

etat des lieux de la « sécurisation des sites web (protocole TLS) ; » dans le cadre du RGPD

par Audit Pia | 23/Juil/2020 | Actu, Etats des lieux |

La sécurisation des sites web

Depuis que le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018, la question de la protection des données des utilisateurs est devenue obligatoire pour toutes les entreprises. De nombreux clients font confiance aux exploitants de sites web et leur livrent leurs données personnelles ainsi que leurs coordonnées bancaires. Une fuite de ces données peut alors avoir des conséquences dramatiques pour les clients et les entreprises concernées. Quelles sont les mesures de sécurité supplémentaires qui doivent ainsi être mises en place ? Présentation et explications dans notre article.

Quels sont les impacts sur l’entreprise en cas de faille de la sécurité ?

Lorsqu’une entreprise, surtout de renom, se fait subtiliser ses données, elle encourt plusieurs dommages. Non seulement son image de marque en est fortement dégradée – comme le montre le cas malheureux de Facebook qui s’est vu perdre les données de plus de 80 millions de ses utilisateurs au profit de la firme Cambridge Analytica ou encore Yahoo, qui a souffert du vol de données de 3 milliards d’utilisateurs en 2013, soit la quasi-totalité des comptes de messagerie (!) – mais son chiffre d’affaires risque aussi de baisser considérablement. Ces pertes financières ne sont pas uniquement liées au vol, mais aussi aux amendes ou encore aux dédommagements envers des tiers. En effet, la Commission Nationale de L’Informatique et des Libertés (CNIL) est chargée de réguler la protection des données personnelles et impose des amendes aux entreprises faillant à leurs obligations, qu’il s’agisse d’une fuite de données, d’une intrusion ou d’une attaque par hameçonnage. Une autre conséquence préoccupante pour les entreprises concerne le vol de propriétés intellectuelles et données sensibles. Ces données, telles que des secrets industriels ou même des brevets par exemple, risquent d’être divulguées à des clients ou à des entreprises concurrentes et entraîner de lourdes conséquences pour les entreprises…

La sensibilisation des utilisateurs : un aspect à ne pas négliger !

Augmenter le niveau de sécurité de son site web ne peut se faire sans la sensibilisation des utilisateurs aux risques numériques. En sensibilisant les utilisateurs et même les employés, les entreprises peuvent réduire de manière considérable les risques des attaques en informant notamment sur :

  • la mise en place de mots de passe forts pour éviter les usurpations d’identité ;
  • l’importance des mises à jour ;
  • la prise de précaution lors de l’envoi de données personnelles par e-mail ou de leur stockage sur un support amovible ;
  • la navigation sur Internet ;
  • l’utilisation des réseaux sociaux ;
  • la détection des incidents ou vulnérabilité (et prévenir le cas échéant l’équipe informatique) ;
  • les infiltrations par le biais de malware : les téléchargements, les pièces jointes d’emails sont par exemple des attaques dites « ransomware ».

En sensibilisant les utilisateurs et les employés de l’entreprise (les fuites de données peuvent aussi surgir en interne) sur les risques susmentionnés, le danger de divulgation des données personnelles par mégarde est fortement réduit. Cependant, cela n’est pas suffisant. Il faut également sécuriser le réseau, c’est-à-dire le support par lequel toutes les informations transitent. La démarche n’est pas aussi simple qu’elle semble l’être. En effet, de plus en plus d’employés travaillent désormais à distance, il convient donc de les sensibiliser sur l’utilisation du wifi-sécurisé et des différents types de périphériques tels que les ordinateurs, les téléphones portables, les tablettes, les ports USB…

Pour éviter de faire courir des risques à votre entreprise et vos utilisateurs, effectuez régulièrement les mises à jour pour sécuriser votre site web.

Exemples d’action à mettre en œuvre pour sécuriser son site web

Assurer la sécurité de son site web passe avant tout par l’exploitation de celui-ci. L’exploitation correspond à la gestion quotidienne du site, sa mise à jour et son évolution.

D’autres étapes doivent également être mises en place, telles que :

Le protocole HTTPS

En mettant en place un protocole de communication sécurisée SSL et TLS, les données transitant sur le site web seront chiffrées et ainsi protégées. Visuellement, cela se traduit par l’apparition d’un cadenas vert dans la barre url et de la lettre « s » à la fin de « http ». La protection s’effectue à 3 niveaux :

  • le chiffrement : les données échangées sont codées pour les protéger des interceptions illicites. Ainsi, le visiteur d’un site web ne courra pas le risque que ses activités de navigation soient suivies ni que ses informations soient volées ;
  • l’intégrité des données : au cours de leur transfert les informations ne peuvent être ni modifiées (délibérément ou non), ni corrompues sans que cela ne soit détecté ;
  • l’authentification : elle permet de prouver que les internautes se trouvent sur le bon site web et/ou communiquent avec le bon site web.

Un mot de passe réputé fort

Idéalement, les utilisateurs devraient s’identifier individuellement avec un mot de passe fort ou très fort – et changer celui-ci régulièrement – ou également par un autre moyen d’authentification garantissant le même niveau de sécurité.

La protection des données bancaires

Pour réaliser une transaction bancaire, l’utilisateur doit entrer le numéro de la carte, la date d’expiration et le cryptogramme visuel qui correspond au 3 chiffres au dos de la carte bancaire. Ce type de données étant particulièrement sensible, il est important de mettre en place des mesures de traçabilité permettant de détecter tout accès illégitime à ces données.

https://www.pexels.com/fr-fr/photo/acheter-carte-de-credit-clavier-client-34577

Légende de l’image : La protection des données bancaires est un élément capital de la sécurisation des sites web.

La suppression des données relatives aux cartes bancaires

Une fois la transaction effectuée, les données relatives à la carte bancaire doivent être supprimées. Elles peuvent toutefois être conservées pour un achat ultérieur avec l’accord de l’utilisateur.

La mise à jour des accès aux informations et de la sécurité

Il existe deux types de mise à jour :

  • la mise à jour de version : elle correspond à la publication d’une version plus avancée du système d’exploitation ou d’un logiciel. La mise à jour de version, qui est parfois payante, aide notamment à corriger les failles au niveau de la sécurité et à installer de nouvelles fonctionnalités ;
  • la mise à jour importante ou critique : elle correspond à la publication d’une version corrigée du système d’exploitation ou d’un logiciel. Elle permet de vous protéger des failles de sécurité présentes dans la version ultérieure.

Les mises à jour ne doivent pas être reportées ni négligées sous peine de voir les appareils ou outils informatiques exposés à des risques.

Mettre en place la sécurité d’un site web en accord avec le RGPD n’est pas chose aisée. En cas de sécurité défaillante, les risques encourus sont très sérieux. Face à ces enjeux, des professionnels sont là pour vous y aider. Remplissez dès maintenant notre formulaire de contact et recevez plus d’informations sur nos prestations.

  • LinkedIn
  • Twitter
  • Google+
  • Facebook

Demander une étude personnalisée

Vous souhaitez une mise en conformité de votre entreprise au RGPD applicable le 25 mai 2018 ?
  • Usages des données / finalités de traitements : les données collectées seront utilisées pour vous envoyer un e-mail à l'ouverture du service ou pour la création d'un devis dans le cadre d'une demande de prestation.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories

  • Actu
  • DPO
  • Etats des lieux
  • La protection des données
  • Le RGPD
  • Le RGPD article par article
  • tweets du jour

Articles récents

  • Checklist des éléments à vérifier en 2021 pour l’audit de sa compliance RGPD
  • Article 100 – Les obligations des contractants définies
  • Etat des lieux de la mise en place un PCA et PRA dans le cadre du RGPD
  • Article 97 – Rapports de la commission
  • Etat des lieux de la gestion de la sous-traitance dans le cadre du RGPD
2018 © Audit-Pia.com | Tous droits réservés |Plan du site | Données personnelles
Posting....
Share This
  • LinkedIn
  • Twitter
  • Google+
  • Facebook