Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 17-09

Loi sur la sécurité informatique : à quoi doivent faire attention les exploitants de sites web ?

En juillet 2015, la loi sur l'amélioration de la sécurité des systèmes informatiques (IT-Sicherheitsgesetz) est entrée en vigueur. Cet article explique les exigences que la nouvelle loi sur la sécurité informatique impose aux exploitants de sites web.
Alexandra Palandrani, IBS
7 septembre 2017
Contenu :
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

La loi sur la sécurité informatique est une loi dite "par articles", c'est-à-dire une loi qui modifie et étend simultanément plusieurs lois.

L'objectif de la loi est de maintenir les infrastructures informatiques en Allemagne à un niveau aussi élevé que possible et d'éviter des conséquences dramatiques en cas de pénurie d'approvisionnement, notamment dans les infrastructures critiques (KRITIS).

Mais les opérateurs KRITIS ne sont pas les seuls concernés par la loi sur la sécurité informatique, le législateur impose également de nouvelles exigences en matière de sécurité de l'information aux fournisseurs de services d'un site web. Tout exploitant d'un site web commercial est considéré comme un fournisseur de services au sens de la loi.

La loi sur la sécurité informatique a notamment entraîné des modifications de la loi sur les télémédias (TMG). Les télémédias comprennent entre autres les sites web. L'objectif visé par les modifications de la TMG est d'endiguer la diffusion de logiciels malveillants via les télémédias.

Dans l'article 13, paragraphe 7, de la TMG, le législateur exige des fournisseurs de services qu'ils prennent des mesures techniques et organisationnelles ("dans la mesure où cela est techniquement possible et économiquement raisonnable") qui empêchent les accès non autorisés aux systèmes informatiques concernés, protègent les systèmes informatiques concernés contre les perturbations dues à des attaques extérieures et empêchent les violations de la protection des données à caractère personnel.

Le rapport de tests d'intrusion effectués régulièrement peut par exemple servir de preuve de la mise en œuvre de telles mesures. Le législateur exige à cet égard une mise en œuvre conforme à "l'état de la technique".

Ce terme est souvent utilisé dans les textes de loi, car le développement des technologies est beaucoup plus rapide que la législation. Des normes d'audit nationales ou internationales peuvent être consultées ici à titre de directives concrètes, comme par exemple les directives techniques du BSI (Bundesamt für Sicherheit in der Informationstechnik).

L'article 13, paragraphe 7, de la loi sur les télémédias (TMG) exige en particulier l'utilisation de procédés de cryptage "reconnus comme sûrs". Ceux-ci doivent protéger les utilisateurs du site web contre le fait que les données transmises puissent être lues par des tiers non autorisés.

De nombreux protocoles utilisés sur Internet pour la transmission de données transmettent des données en texte clair. Si un pirate se trouve sur le même réseau (ou entre l'émetteur et le récepteur) et qu'il parvient à détourner le trafic de données vers son appareil, il peut lire les données transmises (par exemple les données de connexion) avec un simple renifleur de réseau.

L'utilisation d'une méthode de cryptage n'apporte toutefois pas à elle seule une sécurité absolue. Les protocoles utilisés pour le cryptage (par exemple TLS) sont, tout comme les logiciels, constamment développés et les lacunes de sécurité sont comblées.

Les versions plus anciennes sont en partie déjà considérées comme brisées. Les exploitants de sites web doivent donc faire attention aux protocoles et aux versions globalement pris en charge par le système, et pas seulement à ceux qui sont proposés en priorité.

Dans le cas contraire, un attaquant peut négocier une version faible du protocole, rompre le cryptage et lire le trafic de données transmis, malgré le cryptage.

Conclusion

Même sans la loi sur la sécurité informatique, la garantie de la confidentialité et de l'intégrité des données des utilisateurs devrait être une priorité pour les exploitants de sites web. Si les systèmes sont compromis et que les données des clients fuient, cela entraîne toujours un préjudice de réputation qui peut avoir de graves conséquences.

A cela s'ajoutent désormais les restrictions légales imposées par la nouvelle loi sur la sécurité informatique. Une vague de rappels à l'ordre de la part d'entreprises concurrentes ou de cabinets d'avocats trop zélés est envisageable. Un contrôle de sécurité des systèmes accessibles depuis Internet devrait donc être effectué à intervalles réguliers.

avatar
Alexandra Palandrani, IBS

Alexandra Palandrani est auditrice & consultante en sécurité informatique chez IBS Schreiber.


Tous les articles de l'auteur

Écrire un commentaire

Multiples chantiers ERP de SAP

IA avec ERP, BTP et BDC

Planification intelligente de la production dans les environnements système SAP

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.