La Commission nationale de l'informatique et des libertés a annoncé avoir mis en demeure 15 sites web pour des défauts ou manquements en matière de cybersécurité. Les sites épinglés ne sont pas dévoilés et échappent ainsi à la réprobation publique.
La Cnil indique toutefois avoir contrôlé 21 organismes français du secteur public et du secteur privé en 2021. C'est dans le cadre de ces contrôles que quinze organismes ont été mis en demeure, avec un délai de trois mois pour une mise en conformité.
Les problèmes de sécurité pointés du doigt sont importants avec des défauts de chiffrement des données, de gestion et de sécurisation de comptes d'utilisateurs.
Des notifications en hausse pour la Cnil
Parmi les exemples cités, un accès non sécurisé à un site à cause de versions obsolètes du protocole TLS, des certificats non conformes pour les échanges entre les serveurs. Pour les comptes d'utilisateurs, la Cnil souligne l'absence de dispositifs pour tracer les connexions anormales aux serveurs, le recours à des mots de passe peu robustes, des procédures de renouvellement sans sécurisation suffisante.
Il s'avère que de tels défauts de sécurité sont aussi ceux les plus souvent constatés par la Cnil lors de ses contrôles.
En 2021, la Cnil a reçu 5 037 notifications de violation de données personnelles, avec une augmentation de 79 % par rapport à 2020 et une moyenne de près de 14 notifications par jour. Avec plus de 2 150 notifications, les violations résultant d'une attaque par ransomware représentent 43 % du volume total des notifications.
