Journal Officiel
Retour dernier bulletin quotidien
Envoyer à un ami
Version imprimable
Partager
La technologie d’indexation et de recherche Elasticsearch est couramment utilisée dans les entreprises lorsque de gros volumes de données sont traités. La CNIL rappelle quelques recommandations élémentaires de sécurité pour les organismes utilisant cette technologie.
Dans le cadre de ses contrôles et de l’analyse des notifications de violation de données qu’elle reçoit, la CNIL a constaté que les serveurs utilisant la technologie d’indexation et de recherche de données Elasticsearch sont de plus en plus souvent la cible d’attaquants.
Cette solution est souvent associée à des outils de visualisation pour l’exploitation des journaux d’évènements issus d’applications (site web, serveur web, application mobile) ou de l’infrastructure technique (pare-feu, répartiteur de charge, serveur proxy).
À cette occasion, le serveur Elasticsearch peut ainsi traiter des données personnelles, dont la sécurité doit être garantie (adresse IP, identifiant, adresse de courrier électronique, journaux d’activité des utilisateurs d’un site web, coordonnées GPS des utilisateurs ou encore informations de la base de données clients).
Les travaux de la CNIL montrent que certaines attaques menées contre cette technologie ont réussi du fait qu’un certain nombre de bonnes pratiques, parfois élémentaires, n’étaient pas systématiquement appliquées. (Les titres ci-dessous sont développés dans l'article complet)
- Instaurer une authentification préalable à l’accès aux données
- Mettre en place des règles de pare-feu et de filtrage des connexions
- Chiffrer les communications
- Désactiver ou restreindre l’exécution de scripts
- Ne pas oublier les bonnes pratiques élémentaires
Comment renforcer la sécurité de votre système d’information ?
Le guide de la sécurité des données personnelles de la CNIL contient les bonnes pratiques pour mieux sécuriser les systèmes d’information. Ce guide synthétique a été rédigé à l’attention des organismes et des décideurs qui veulent savoir quelles pratiques ils doivent prioritairement mettre en œuvre pour protéger leurs sites, leurs serveurs, etc. Une liste de tâches est à disponible à la fin de ce document.
Télécharger le guide de la sécurité des données personnelles
Les bonnes pratiques techniques et juridiques peuvent être consultées au sein du catalogue de mesures destinées à respecter les exigences légales et à traiter les risques , notamment pour mener des analyses d’impact relatives à la protection des données .
Pour approfondir
> Sécurité des données
> Principes clés - guide de la sécurité des données personnelles
> Authentification par mot de passe : les mesures de sécurité élémentaires
> Guide RGPD du développeur
CNIL - Synthèse complète - 2020-09-03
Dans le cadre de ses contrôles et de l’analyse des notifications de violation de données qu’elle reçoit, la CNIL a constaté que les serveurs utilisant la technologie d’indexation et de recherche de données Elasticsearch sont de plus en plus souvent la cible d’attaquants.
Cette solution est souvent associée à des outils de visualisation pour l’exploitation des journaux d’évènements issus d’applications (site web, serveur web, application mobile) ou de l’infrastructure technique (pare-feu, répartiteur de charge, serveur proxy).
À cette occasion, le serveur Elasticsearch peut ainsi traiter des données personnelles, dont la sécurité doit être garantie (adresse IP, identifiant, adresse de courrier électronique, journaux d’activité des utilisateurs d’un site web, coordonnées GPS des utilisateurs ou encore informations de la base de données clients).
Les travaux de la CNIL montrent que certaines attaques menées contre cette technologie ont réussi du fait qu’un certain nombre de bonnes pratiques, parfois élémentaires, n’étaient pas systématiquement appliquées. (Les titres ci-dessous sont développés dans l'article complet)
- Instaurer une authentification préalable à l’accès aux données
- Mettre en place des règles de pare-feu et de filtrage des connexions
- Chiffrer les communications
- Désactiver ou restreindre l’exécution de scripts
- Ne pas oublier les bonnes pratiques élémentaires
Comment renforcer la sécurité de votre système d’information ?
Le guide de la sécurité des données personnelles de la CNIL contient les bonnes pratiques pour mieux sécuriser les systèmes d’information. Ce guide synthétique a été rédigé à l’attention des organismes et des décideurs qui veulent savoir quelles pratiques ils doivent prioritairement mettre en œuvre pour protéger leurs sites, leurs serveurs, etc. Une liste de tâches est à disponible à la fin de ce document.
Télécharger le guide de la sécurité des données personnelles
Les bonnes pratiques techniques et juridiques peuvent être consultées au sein du catalogue de mesures destinées à respecter les exigences légales et à traiter les risques , notamment pour mener des analyses d’impact relatives à la protection des données .
Pour approfondir
> Sécurité des données
> Principes clés - guide de la sécurité des données personnelles
> Authentification par mot de passe : les mesures de sécurité élémentaires
> Guide RGPD du développeur
CNIL - Synthèse complète - 2020-09-03
Dans la même rubrique
-
Actu - Enquête 2025 sur la data et l’IA : faites entendre la voix de votre commune
-
Actu - (Re)découvrez et exploitez les données de forte valeur !
-
Actu - Ouverture des participations au label territoires, villes et villages internet 2026
-
Actu - Statistiques des déploiements FttH début 2025 : " c'est mieux que si c'était pire "
-
Actu - Fibre optique - Accès au réseau fibre FttH et principe de non-discrimination : l’Arcep présente son bilan complémentaire sur les processus opérationnels d’Orange
Déconnexion
