// ID CiTé
Veille juridique et professionnelle des Collectivités Territoriales







TIC - Réseaux - Téléphonie

Moteur de recherche et d’analyse Elasticsearch : 4 bonnes pratiques pour renforcer la sécurité des données

Rédigé par ID CiTé le 03/09/2020



Moteur de recherche et d’analyse Elasticsearch : 4 bonnes pratiques pour renforcer la sécurité des données
La technologie d’indexation et de recherche Elasticsearch est couramment utilisée dans les entreprises lorsque de gros volumes de données sont traités. La CNIL rappelle quelques recommandations élémentaires de sécurité pour les organismes utilisant cette technologie.

Dans le cadre de ses contrôles et de l’analyse des notifications de violation de données qu’elle reçoit, la CNIL a constaté que 
les serveurs utilisant la technologie d’indexation et de recherche de données Elasticsearch sont de plus en plus souvent la cible d’attaquants.

Cette solution est souvent associée à des outils de visualisation pour l’exploitation des journaux d’évènements issus d’applications (site web, serveur web, application mobile) ou de l’infrastructure technique (pare-feu, répartiteur de charge, serveur proxy).

À cette occasion, le serveur Elasticsearch peut ainsi traiter des données personnelles, dont la sécurité doit être garantie (adresse IP, identifiant, adresse de courrier électronique, journaux d’activité des utilisateurs d’un site web, coordonnées GPS des utilisateurs ou encore informations de la base de données clients).


Les travaux de la CNIL montrent que certaines attaques menées contre cette technologie ont réussi du fait qu’un certain nombre de bonnes pratiques, parfois élémentaires, n’étaient pas systématiquement appliquées. (Les titres ci-dessous sont développés dans l'article complet)
- Instaurer une authentification préalable à l’accès aux données
- Mettre en place des règles de pare-feu et de filtrage des connexions
- Chiffrer les communications
- Désactiver ou restreindre l’exécution de scripts
- Ne pas oublier les bonnes pratiques élémentaires


Comment renforcer la sécurité de votre système d’information ?
Le guide de la sécurité des données personnelles de la CNIL contient les bonnes pratiques pour mieux sécuriser les systèmes d’information. Ce guide synthétique a été rédigé à l’attention des organismes et des décideurs qui veulent savoir quelles pratiques ils doivent prioritairement mettre en œuvre pour protéger leurs sites, leurs serveurs, etc. Une liste de tâches est à disponible à la fin de ce document.

Télécharger le guide de la sécurité des données personnelles

Les bonnes pratiques techniques et juridiques peuvent être consultées au sein du catalogue de mesures destinées à respecter les exigences légales et à traiter les risques , notamment pour mener des analyses d’impact relatives à la protection des données .

Pour approfondir
Sécurité des données
Principes clés - guide de la sécurité des données personnelles
Authentification par mot de passe : les mesures de sécurité élémentaires
Guide RGPD du développeur

CNIL - Synthèse complète - 2020-09-03

 







Les articles les plus lus des 7 derniers jours...