Tout site web doit garantir son identité et la confidentialité des informations transmises.
Les précautions élémentaires
Mettre en œuvre le protocole TLS (en remplacement de SSL) sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre.
Rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques.
Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports.
Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. En particulier, limiter l’utilisation des comptes administrateurs aux équipes en charge de l’informatique et ce, unique- ment pour les actions d’administration qui le nécessitent.
Si des cookies non nécessaires au service sont utilisés, recueillir le consentement de l’internaute après information de celui-ci et avant le dépôt du cookie.
Limiter le nombre de composants mis en œuvre, en effectuer une veille et les mettre à jour.
Ce qu’il ne faut pas faire
- Faire transiter des données à caractère personnel dans une URL telles que identifiants ou mots de passe.
- Utiliser des services non sécurisés (authentification en clair, flux en clair, etc.).
- Utiliser les serveurs comme des postes de travail, notamment pour naviguer sur des sites web, accéder à la messagerie électronique, etc.
- Placer les bases de données sur un serveur directement accessible depuis Internet.
- Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre plusieurs utilisateurs).