Loi sur la sécurité informatique : à quoi doivent faire attention les exploitants de sites web ?


La loi sur la sécurité informatique est une loi dite "par articles", c'est-à-dire une loi qui modifie et étend simultanément plusieurs lois.
L'objectif de la loi est de maintenir les infrastructures informatiques en Allemagne à un niveau aussi élevé que possible et d'éviter des conséquences dramatiques en cas de pénurie d'approvisionnement, notamment dans les infrastructures critiques (KRITIS).
Mais les opérateurs KRITIS ne sont pas les seuls concernés par la loi sur la sécurité informatique, le législateur impose également de nouvelles exigences en matière de sécurité de l'information aux fournisseurs de services d'un site web. Tout exploitant d'un site web commercial est considéré comme un fournisseur de services au sens de la loi.
La loi sur la sécurité informatique a notamment entraîné des modifications de la loi sur les télémédias (TMG). Les télémédias comprennent entre autres les sites web. L'objectif visé par les modifications de la TMG est d'endiguer la diffusion de logiciels malveillants via les télémédias.
Dans l'article 13, paragraphe 7, de la TMG, le législateur exige des fournisseurs de services qu'ils prennent des mesures techniques et organisationnelles ("dans la mesure où cela est techniquement possible et économiquement raisonnable") qui empêchent les accès non autorisés aux systèmes informatiques concernés, protègent les systèmes informatiques concernés contre les perturbations dues à des attaques extérieures et empêchent les violations de la protection des données à caractère personnel.
Le rapport de tests d'intrusion effectués régulièrement peut par exemple servir de preuve de la mise en œuvre de telles mesures. Le législateur exige à cet égard une mise en œuvre conforme à "l'état de la technique".
Ce terme est souvent utilisé dans les textes de loi, car le développement des technologies est beaucoup plus rapide que la législation. Des normes d'audit nationales ou internationales peuvent être consultées ici à titre de directives concrètes, comme par exemple les directives techniques du BSI (Bundesamt für Sicherheit in der Informationstechnik).
L'article 13, paragraphe 7, de la loi sur les télémédias (TMG) exige en particulier l'utilisation de procédés de cryptage "reconnus comme sûrs". Ceux-ci doivent protéger les utilisateurs du site web contre le fait que les données transmises puissent être lues par des tiers non autorisés.
De nombreux protocoles utilisés sur Internet pour la transmission de données transmettent des données en texte clair. Si un pirate se trouve sur le même réseau (ou entre l'émetteur et le récepteur) et qu'il parvient à détourner le trafic de données vers son appareil, il peut lire les données transmises (par exemple les données de connexion) avec un simple renifleur de réseau.
L'utilisation d'une méthode de cryptage n'apporte toutefois pas à elle seule une sécurité absolue. Les protocoles utilisés pour le cryptage (par exemple TLS) sont, tout comme les logiciels, constamment développés et les lacunes de sécurité sont comblées.
Les versions plus anciennes sont en partie déjà considérées comme brisées. Les exploitants de sites web doivent donc faire attention aux protocoles et aux versions globalement pris en charge par le système, et pas seulement à ceux qui sont proposés en priorité.
Dans le cas contraire, un attaquant peut négocier une version faible du protocole, rompre le cryptage et lire le trafic de données transmis, malgré le cryptage.
Conclusion
Même sans la loi sur la sécurité informatique, la garantie de la confidentialité et de l'intégrité des données des utilisateurs devrait être une priorité pour les exploitants de sites web. Si les systèmes sont compromis et que les données des clients fuient, cela entraîne toujours un préjudice de réputation qui peut avoir de graves conséquences.
A cela s'ajoutent désormais les restrictions légales imposées par la nouvelle loi sur la sécurité informatique. Une vague de rappels à l'ordre de la part d'entreprises concurrentes ou de cabinets d'avocats trop zélés est envisageable. Un contrôle de sécurité des systèmes accessibles depuis Internet devrait donc être effectué à intervalles réguliers.