Quelles mesures de sécurité pour BD (CNIL) ?

Discussion dans 'Droit du web (juridique, fiscalité...)' créé par Louny, 25 Juillet 2012.

  1. Louny
    Louny Nouveau WRInaute
    Inscrit:
    4 Mai 2010
    Messages:
    19
    J'aime reçus:
    0
    Bonjour,

    J'espère que tout le monde n'est pas parti à la plage aujourd'hui :D

    Je suis en train d'étudier un nouveau projet et ce matin je m'intéresse aux coûts fixes.
    Je me demande quelles sont les mesures de sécurité imposées par la CNIL pour une base de données avec des informations de type : localisation, sexe, habitudes d'achat, métier, centres d'intérêts etc... ?
    Sachant qu'elle pourrait atteindre les 20 à 30 000 inscrits au bout d'1 an.

    Un serveur dédié est-il imposé par exemple ? En plus d'un antivirus et d'un ordinateur dédié y'a-t-il d'autres mesures à prendre (ce sont surtout celles qui sont éventuellement coûteuses qui m'intéressent) ?

    Merci d'avance pour votre aide,

    Marie
     
  2. Axiso
    Axiso WRInaute passionné
    Inscrit:
    8 Avril 2004
    Messages:
    1 203
    J'aime reçus:
    0
    La CNIL impose surtout qu'un responsable des données soit désigné et qu'il mette en oeuvre le nécessaire pour assurer la confidentialité du fichier. Les mesures ne sont pas explicitement détaillées.
    Un serveur dédié n'est pas indispensable, le principal est que tu limites l'accès à la base de données avec un passe par exemple. Un logiciel espion ne réussirait pas à faire plus de mal qu'un pirate entré dans le système, donc ne repose pas la sécurité uniquement sur l'antivirus.
    Je pense qu'il faut surtout que tu limites l'accès à ce fichier pour un risque interne au projet : dans l'équipe de développement, une seule personne devrait avoir accès à la base et l'origine des requêtes devraient être enregistrées ; le fichier ne devrait pas être accessible au premier stagiaire venu ni aux salariés qui n'en ont pas l'utilité ; les exports et outils ne doivent permettre de ne visualiser que les données nécessaires au salarié en fonction de son métier ; la sauvegarde doit être protégée.
    Et ce qui est le plus difficile : si c'est le projet d'un client, le patron doit être sensibilisé sur le sujet et le risque que représentent ses propres salariés si l'un d'eux en venait à copier le fichier le jour où il partirait à la concurrence. Mais dans les faits, peu de monde s'y intéresse et ce sont ces patrons ou directeurs qui bien souvent sont les premiers à prendre des libertés avec l'usage du fichier.
     
  3. Koxin-L.fr
    Koxin-L.fr WRInaute passionné
    Inscrit:
    15 Janvier 2012
    Messages:
    1 879
    J'aime reçus:
    6
    Bonjour,

    Sauf que si l'on parle sécurité de données "sensibles", le mutu est un énorme risque.
    Un site "ouvert" et un petit malin se glisse et peut avoir accès à l'ensemble des données hébergé sur le dit serveur.

    Rod
     
  4. Louny
    Louny Nouveau WRInaute
    Inscrit:
    4 Mai 2010
    Messages:
    19
    J'aime reçus:
    0
    Merci pour vos réponses.

    Il n'y aura pas de données type santé ou références de cartes bancaires de stockées, c'est essentiellement sur les habitudes d'achat par secteur en fait.
    De toute manière un serveur dédié sera sans doute nécessaire si je veux atteindre l'objectif fixé.

    Mon questionnement portait plus sur d'éventuelles mesures imposées car le site de la CNIL restait très flou là-dessus, mais apparemment c'est plus ou moins selon la volonté de chacun de protéger ou non ses utilisateurs si je comprends bien.

    Il faut donc maintenant que je me penche sur les restrictions d'accès aux données.
     
  5. Koxin-L.fr
    Koxin-L.fr WRInaute passionné
    Inscrit:
    15 Janvier 2012
    Messages:
    1 879
    J'aime reçus:
    6
    Nom, prénom, mails, ... sont déjà pour moi des données sensibles car privés.

    En fait, la CNIL ne peut pas obliger grand chose, si ce n'est que les données doivent pouvoir être supprimées et/ou modifiées à la demande, et que l'utilisateur doit être informé de façon clair de ce qui sera éventuellement fait de celles-ci.

    Le coté sécu, la CNIL elle s'en moque du moment que des données "privés" le restent. Au collecteur de le gérer comme il le veut.

    Rod
     
  6. Axiso
    Axiso WRInaute passionné
    Inscrit:
    8 Avril 2004
    Messages:
    1 203
    J'aime reçus:
    0
    Le risque n'est pas plus énorme que sur son propre serveur : si le méchant pirate utilise une faille du site par exemple, quel que soit le système, il y accédera.
    Un serveur dédié mal géré ou non mis à jour représente d'énormes risques aussi. Tout comme un mutualisé où le loueur d'espace accède à tous les fichiers de ses clients. Tout comme le technicien d'un loueur de serveurs qui peut ajouter des espions sur les machines, les routeurs ou récupérer un disque. Tout comme ... Bref. A moins de louer une cage en centre d'hébergement et une connexion privée, le risque existe et je ne vois pas pourquoi il serait plus important en mutualisé.
     
  7. Koxin-L.fr
    Koxin-L.fr WRInaute passionné
    Inscrit:
    15 Janvier 2012
    Messages:
    1 879
    J'aime reçus:
    6
    Ne me fait pas dire ce que je n'ai pas dis.

    Lorsque je parle sécu, j'entends que la personne saits sécuriser.
    Si on parle de baltringue... oui, quelque soit le support, coté sécu, on est à l'ouest. Parce que dans ce cas, même en version papier, le baltringue ira stocker ses data sur post-it qu'il collera sur la porte de son frigo.

    Donc, oui, en mutu, le risque est bien plus énorme.
    En dédié, tu es seul à assurer ta sécu, à toi de le faire correctement.
    En mutu, tu ne pourra jamais assurer la sécu du serveur sans t'assurer de celle de tous les sites présents.

    Rod
     
  8. Axiso
    Axiso WRInaute passionné
    Inscrit:
    8 Avril 2004
    Messages:
    1 203
    J'aime reçus:
    0
    Si l'on part donc du postulat que ce n'est pas un baltringue qui gère le serveur, l'administrateur d'une machine mutualisée sait mettre en place de quoi limiter un piratage au seul compte du client concerné sans qu'il puisse se propager. Donc, non, en mutualisé, le risque n'est pas plus énorme.
    Au pire je veux bien admettre qu'un client a davantage de risques de subir une attaque par surcharge qui ne lui était pas destinée. Mais ce n'est pas le souci évoqué ici.
     
  9. Koxin-L.fr
    Koxin-L.fr WRInaute passionné
    Inscrit:
    15 Janvier 2012
    Messages:
    1 879
    J'aime reçus:
    6
    Sauf que les admin gérant les mutu bloquent un max d'options par peur des webmaster "baltringues".
    Ce n'est pas ce que j'appelle savoir gérer la sécurité.

    Rod
     
Chargement...
Similar Threads - mesures sécurité (CNIL) Forum Date
[RGDP] Avis sur mes mesures prévues Demandes d'avis et de conseils sur vos sites 5 Mai 2018
Duplicate content, dans quelles mesures Débuter en référencement 12 Juin 2012
L'EU accorde 1 mois de délais à Google pour présenter ses mesures antitrust Google : l'entreprise, les sites web, les services 9 Juin 2012
Mesures d'audience et de trafic internet ... Ou trouver des chiffres publiques ? Monétisation d'un site web 27 Août 2010
Google subirait déjà des mesures de rétorsion en Chine Google : l'entreprise, les sites web, les services 24 Mars 2010
Différences de mesures de trafic... Administration d'un site Web 8 Avril 2009
Mesures de l'export du PR Netlinking, backlinks, liens et redirections 8 Novembre 2007
OVH mutualisé vs dédié ? mesures Administration d'un site Web 20 Juillet 2007
Mesures de Statistiques d'un site web Administration d'un site Web 12 Février 2007
Mesures protectionistes utilisant JavaScript Netlinking, backlinks, liens et redirections 11 Juillet 2003
Google acquiert la startup de cybersécurité Siemplify pour 500 millions de dollars Google : l'entreprise, les sites web, les services 6 Janvier 2022
conseils sécurité sur internet Le café de WebRankInfo 1 Juin 2021
sécurité avec htaccess URL Rewriting et .htaccess 18 Décembre 2020
La CNIL peut elle attaquer une entreprise pour non respect des recommandations de sécurité Droit du web (juridique, fiscalité...) 13 Janvier 2020
Responsabilité du développeur dans la mise en conformité CNIL en terme de sécurité des mots de passe Droit du web (juridique, fiscalité...) 13 Janvier 2020
WordPress Avis sécurité URL Rewriting et .htaccess 30 Juin 2019
Avertissements de sécurité pour Chrome Débuter en référencement 18 Août 2017
Avertissements de sécurité SSL (HTTPS) dans Chrome 62 Développement d'un site Web ou d'une appli mobile 18 Août 2017
Probleme de sécurité signalé sur la search console de Google Google Analytics 8 Août 2016
Contrôle de sécurité Facebook 24 Juillet 2015