S’assurer que les bonnes pratiques minimales sont appliquées aux sites web.
Tout site web doit garantir son identité et la confidentialité des informations transmises.
Les précautions élémentaires
Mettre en œuvre le protocol TLS (en remplacement de SSL) sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre.
Rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques.
Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports.
Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. En particulier, limiter l’utilisation des comptes administrateurs aux équipes en charge de l’informatique et ce, uniquement pour les actions d’administration qui le nécessitent.
Si des cookies non nécessaires au service sont utilisés, recueillir le consentement de l’internaute après information de celui-ci et avant le dépôt du cookie.
Limiter le nombre de composants mis en œuvre, en effectuer une veille et les mettre à jour.
Ce qu’il ne faut pas faire
- Faire transiter des données à caractère personnel dans une URL telles que identifiants ou mots de passe.
- Utiliser des services non sécurisés (authentification en clair, flux en clair, etc.).
- Utiliser les serveurs hébergeant les bases de données ou des serveurs comme des postes de travail, notamment pour naviguer sur des sites web, accéder à la messagerie électronique, etc.
- Placer les bases de données sur un serveur directement accessible depuis Internet.
- Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre plusieurs utilisateurs).
Pour aller plus loin
- Concernant la mise en œuvre de cookies, il est conseillé de consulter le dossier « Site web, cookies et autres traceurs ».
- S’agissant des logiciels s’exécutant sur des serveurs, il est conseillé d’utiliser des outils de détection des vulnérabilités (logiciels scanners de vulnérabilité tels que nmap, nessus, nikto, etc.) pour les traitements les plus critiques afin de détecter d’éventuelles failles de sécurité. Des systèmes de détection et prévention des attaques sur des systèmes ou serveurs critiques peuvent aussi être utilisés. Ces tests doivent être menés de façon régulière et avant toute mise en production d’une nouvelle version logicielle.
- L’ANSSI a publié sur son site des recommandations spécifiques pour mettre en œuvre TLS Cf RGPD-Annexe11.pdf ou pour sécuriser un site web Cf RGPD-Annexe12.pdf.