Journal Officiel
Retour dernier bulletin quotidien
Envoyer à un ami
Version imprimable
Partager
La technologie d’indexation et de recherche Elasticsearch est couramment utilisée dans les entreprises lorsque de gros volumes de données sont traités. La CNIL rappelle quelques recommandations élémentaires de sécurité pour les organismes utilisant cette technologie.
Dans le cadre de ses contrôles et de l’analyse des notifications de violation de données qu’elle reçoit, la CNIL a constaté que les serveurs utilisant la technologie d’indexation et de recherche de données Elasticsearch sont de plus en plus souvent la cible d’attaquants.
Cette solution est souvent associée à des outils de visualisation pour l’exploitation des journaux d’évènements issus d’applications (site web, serveur web, application mobile) ou de l’infrastructure technique (pare-feu, répartiteur de charge, serveur proxy).
À cette occasion, le serveur Elasticsearch peut ainsi traiter des données personnelles, dont la sécurité doit être garantie (adresse IP, identifiant, adresse de courrier électronique, journaux d’activité des utilisateurs d’un site web, coordonnées GPS des utilisateurs ou encore informations de la base de données clients).
Les travaux de la CNIL montrent que certaines attaques menées contre cette technologie ont réussi du fait qu’un certain nombre de bonnes pratiques, parfois élémentaires, n’étaient pas systématiquement appliquées. (Les titres ci-dessous sont développés dans l'article complet)
- Instaurer une authentification préalable à l’accès aux données
- Mettre en place des règles de pare-feu et de filtrage des connexions
- Chiffrer les communications
- Désactiver ou restreindre l’exécution de scripts
- Ne pas oublier les bonnes pratiques élémentaires
Comment renforcer la sécurité de votre système d’information ?
Le guide de la sécurité des données personnelles de la CNIL contient les bonnes pratiques pour mieux sécuriser les systèmes d’information. Ce guide synthétique a été rédigé à l’attention des organismes et des décideurs qui veulent savoir quelles pratiques ils doivent prioritairement mettre en œuvre pour protéger leurs sites, leurs serveurs, etc. Une liste de tâches est à disponible à la fin de ce document.
Télécharger le guide de la sécurité des données personnelles
Les bonnes pratiques techniques et juridiques peuvent être consultées au sein du catalogue de mesures destinées à respecter les exigences légales et à traiter les risques , notamment pour mener des analyses d’impact relatives à la protection des données .
Pour approfondir
> Sécurité des données
> Principes clés - guide de la sécurité des données personnelles
> Authentification par mot de passe : les mesures de sécurité élémentaires
> Guide RGPD du développeur
CNIL - Synthèse complète - 2020-09-03
Dans le cadre de ses contrôles et de l’analyse des notifications de violation de données qu’elle reçoit, la CNIL a constaté que les serveurs utilisant la technologie d’indexation et de recherche de données Elasticsearch sont de plus en plus souvent la cible d’attaquants.
Cette solution est souvent associée à des outils de visualisation pour l’exploitation des journaux d’évènements issus d’applications (site web, serveur web, application mobile) ou de l’infrastructure technique (pare-feu, répartiteur de charge, serveur proxy).
À cette occasion, le serveur Elasticsearch peut ainsi traiter des données personnelles, dont la sécurité doit être garantie (adresse IP, identifiant, adresse de courrier électronique, journaux d’activité des utilisateurs d’un site web, coordonnées GPS des utilisateurs ou encore informations de la base de données clients).
Les travaux de la CNIL montrent que certaines attaques menées contre cette technologie ont réussi du fait qu’un certain nombre de bonnes pratiques, parfois élémentaires, n’étaient pas systématiquement appliquées. (Les titres ci-dessous sont développés dans l'article complet)
- Instaurer une authentification préalable à l’accès aux données
- Mettre en place des règles de pare-feu et de filtrage des connexions
- Chiffrer les communications
- Désactiver ou restreindre l’exécution de scripts
- Ne pas oublier les bonnes pratiques élémentaires
Comment renforcer la sécurité de votre système d’information ?
Le guide de la sécurité des données personnelles de la CNIL contient les bonnes pratiques pour mieux sécuriser les systèmes d’information. Ce guide synthétique a été rédigé à l’attention des organismes et des décideurs qui veulent savoir quelles pratiques ils doivent prioritairement mettre en œuvre pour protéger leurs sites, leurs serveurs, etc. Une liste de tâches est à disponible à la fin de ce document.
Télécharger le guide de la sécurité des données personnelles
Les bonnes pratiques techniques et juridiques peuvent être consultées au sein du catalogue de mesures destinées à respecter les exigences légales et à traiter les risques , notamment pour mener des analyses d’impact relatives à la protection des données .
Pour approfondir
> Sécurité des données
> Principes clés - guide de la sécurité des données personnelles
> Authentification par mot de passe : les mesures de sécurité élémentaires
> Guide RGPD du développeur
CNIL - Synthèse complète - 2020-09-03
Dans la même rubrique
-
Actu - TRIP de printemps 2025 Qualité de service, transition numérique responsable et enjeux de l’IA pour les collectivités
-
Actu - Comme l'IA révolutionne les centres d'opérations de sécurité (SOC)
-
Actu - Plan France Très haut Débit, défi budgétaire permanent
-
Actu - Nouvelles technologies de l’information : l’accès se généralise, l’usage plafonne
-
Actu - Fermeture du Cuivre : les réponses à toutes vos questions !
Déconnexion
