La nécessaire protection des sites Internet

Par :
Frédéric Mazué

mer, 07/10/2009 - 15:55

Un point de vue d'Eric BATTISTONI, CTO de Bee Ware

Dans l'environnement Internet il n'y a pas à ce jour d'obligation juridique décrivant les systèmes de protection minimum que le responsable d'un site Web serait tenu de mettre en œuvre. Les obligations cependant existent. Le responsable d'un site Web, par exemple, est tenu à la protection des données personnelles qui lui sont confiées. Compte tenu de la nature des données, la pertinence du niveau de sécurité sera laissée à l'appréciation du juge. De manière minimaliste mais plus générale, on peut considérer que le respect des règles de l'art complété d'un délai de réaction approprié seront requis pour témoigner d'un comportement responsable.


Eric Battistoni

Pour illustrer cette situation, la responsabilité de l'entrepreneur Web sera différemment appréciée si la fuite de données provient d'une attaque ciblée et complexe ayant déjoué la sécurité de l'application ou si la fuite de données provient d'une négligence flagrante.

Vigilance et respect des bonnes pratiques sont donc des obligations de fait pour l'entrepreneur Web. La liste de ces bonnes pratiques potentielles est longue et entrerait probablement dans des détails vite très techniques. Trois axes simples et facilement compréhensibles permettent cependant d'illustrer la démarche sécuritaire attendue : évaluer la sécurité du site, filtrer le trafic indésirable et assurer sa responsabilité.

Évaluer sa sécurité :

Connaître, sous l'angle de la sécurité, son infrastructure applicative est la première des précautions. Un serveur Web peut être vulnérable du fait d'une erreur de configuration comme d'un correctif dont l'installation aurait été oubliée. Une application peut être faillible à cause d'un bug dans le développement logiciel ou simplement du fait d'une logique de conception inadaptée à l'environnement Internet. De nombreuses solutions techniques (audit, scanner...) existent pour apporter cette visibilité. Le but n'est pas ici de les détailler mais de sensibiliser les exploitants de sites Web sur cette démarche, fondamentale dans un environnement complexe comme l'est Internet, de connaissance et d'évaluation.

Filtrer le trafic :

La Cybercriminalité est devenue une réalité quotidienne. Comme pour la messagerie avec le Spam, l'analyse des flux Web montre qu'une part non négligeable du trafic se classe entre inutile et dangereux. Sur Internet, comme dans le monde physique, la première étape d'une effraction commence par un repérage, effectué le plus souvent par des robots qui parcourent le Web à la recherche de sites mal configurés ou mal programmés. Bloquer l'accès à ces requêtes malsaines, qu'elles soient automatisées ou humaines, est une protection indispensable, tant pour prévenir le futur que pour bloquer une éventuelle tentative d'attaque. 

Assurer sa responsabilité :

La responsabilité de l'entreprise déployant une activité via un site Web est à la fois nouvelle et multiple. Et il serait illusoire, surtout dans l'univers de la sécurité, qu'elle se prétende infaillible. Pérenniser l'entreprise et son business passe donc par une assurance capable de protéger l'entreprise et ses employés contre les éventuels dommages que pourrait entrainer un manquement à des obligations qui s'avère parfois difficile à comprendre et de fait à maîtriser. Ces risques sont en effet nombreux et portent sur des domaines divers et variés tels que :

-la protection des données à caractère personnel,

-la divulgation d'informations confidentielles et l'atteinte à la vie privée,

-la publicité comparative illicite et la contrefaçon,

-la transmission de malwares ou virus,

-la diffamation et le dénigrement.

La couverture d'assurance est donc particulièrement importante. Elle l'est d'autant plus que, contrairement à de nombreuses idées reçues et comme expliqué dans le paragraphe précédent, les assurances Responsabilité Civile habituelles ne couvrent pas l'activité réalisée via le Web. Une assurance spécifique, dite « du fait du site », est donc absolument nécessaire.

A propos de l'auteur

Frédéric Mazué