Un œil technique sur les sanctions de la CNIL

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines


Résumé

Près de trois quarts des sanctions prononcées par la Commission Nationale de l’Informatique et des Libertés (CNIL) ont parmi leurs causes des vulnérabilités techniques de sécurité. À partir de ce constat, et au prisme de notre expérience à la fois en cybersécurité technique et en protection des données à caractère personnel, nous avons analysé les sanctions de la CNIL publiées sur le site https://www.legifrance.gouv.fr/. Nous avons notamment établi une correspondance avec les catégories de vulnérabilités techniques identifiées dans la nomenclature du top 10 de l'OWASP 2017 (Open Web Application Security Project). Nous avons également étudié les fuites de données majeures survenues en Europe et dans le monde. Il en ressort que les vulnérabilités les plus communes sont liées à l’authentification, au contrôle d’accès et à la protection des données au repos et en transit.


Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018 jusqu'au moment de la rédaction de cet article (fin 2019), la CNIL a rendu publiques 4 sanctions. 3 d’entre elles concernent au moins un défaut de sécurité. Rapporté aux 99 articles qui composent le RGPD, force est de constater que seul l’un d’entre eux cristallise l’essentiel des sanctions, l’article 32 relatif à la sécurité. Ces sanctions illustrent en outre qu’il ne suffit pas de mettre en place une gouvernance et des procédures de sécurité pour être conforme au RGPD. Il s’agit aussi de « mettre les mains » dans les systèmes d’information pour mettre en place et contrôler les dispositifs techniques de sécurité, afin d’éviter les failles. En effet, la majorité des vulnérabilités ayant fait l’objet de sanctions auraient pu être détectées, au travers de tests d’intrusion par exemple, en amont des mises en production.

En...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] https://www.cnil.fr/fr/securite-des-sites-web-les-5-problemes-les-plus-souvent-constates

[2] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000034473080

[3] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000035175069

[4] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000038810992

[5] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037830841&fastReqId=413824161&fastPos=1

[6] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000037013610

[7] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037110598&fastReqId=1425736260&fastPos=1

[8] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

[9] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1

[10] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000032909770

[11] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000033445256

[12] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036142140&fastReqId=606052286&fastPos=2

[13] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000035272571

[14] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000033373161

[15] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037273346&fastReqId=1889384723&fastPos=1

[16] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036641332&fastReqId=1605883920&fastPos=2

[17] https://www.cnil.fr/fr/securite-des-donnees-les-regles-essentielles-pour-demarrer

[18] https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

[19] https://epic.org/privacy/data-breach/equifax/

[20] https://www.dataprotection.ro/index.jsp?page=O_noua_amenda_GDPR&lang=ro

[21] https://www.dataprotection.ro/?page=Comunicat_Presa_09_10_2019&lang=ro

[22] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/

[23] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/



Articles qui pourraient vous intéresser...

Introduction aux TPM (Trusted Platform Modules)

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Les TPM (Trusted Platform Modules), brique de base du Trusted Computing, ont été imaginés il y a une vingtaine d’années, et pourtant ils ne sont pas très utilisés malgré leurs réelles qualités. Comment expliquer cela ? Cet article tend à fournir de premiers éléments de réponse.

Identification automatique de signaux grâce à la fonction d’autocorrélation

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Vous connaissiez la chasse au trésor… Initiez-vous maintenant à la chasse au signal (signal hunting en anglais). La chasse au signal consiste à rechercher les signaux qui nous entourent dans l’espace invisible du spectre électromagnétique. Mais plus besoin de rester l’oreille collée sur un haut-parleur à tourner le bouton pour régler la fréquence. La SDR (Software Defined Radio) a révolutionné tout cela : une radio numérique et un PC est vous voilà armé pour découvrir ce monde que les professionnels dénomment le SIGINT (SIGnal INTelligence).

Avec le Spanning Tree Protocol, suis-je en sécurité dans mon réseau ?

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Dans le cadre des hors-séries sur les retours aux fondamentaux, cet article aura comme sujet le protocole STP (Spanning Tree Protocol). Inventé en 1985 par Radia Perlman, il permet principalement d’assurer une liaison réseau redondante et sans boucle. Ce protocole étant primordial au sein d’un réseau de moyenne à grande envergure, s’il n’est pas correctement configuré, cela pourra alors permettre à des attaquants de compromettre le réseau.

Return oriented programming 101

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Le Returned Oriented Programming (ou ROP) est une technique permettant d'exploiter des programmes disposant de la protection NX (No eXecute) ou DEP (Data Execution Prevention). L'objectif de cet article est de vous présenter les bases du ROP, ainsi que l’exploitation pas-à-pas d’un programme d’entraînement via l'utilisation de la bibliothèque python pwntools [1]. Dans un souci de simplicité, la démonstration sera réalisée sur un programme s'exécutant sur un système Linux 64 bits. Bien entendu, cette démonstration reste applicable sur d'autres architectures (ARM, MIPS, etc.).

Use-After-Free dans le noyau Linux

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Pièce logicielle qui a accompagné les deux dernières décennies, le noyau Linux est un système relativement complet qui dispose d’un allocateur de mémoire dynamique. Comme tous les logiciels classiques, le noyau est ainsi régulièrement sujet à des vulnérabilités de type Use-After-Free via cet allocateur.