Coup de projecteur : Évaluation des FAI et des hébergeurs en matière de confidentialité et de sécurité Thumbnail
Hors Catégorie 21 janvier 2020

Coup de projecteur : Évaluation des FAI et des hébergeurs en matière de confidentialité et de sécurité

Par Kenneth OlmsteadFormer Senior Internet Security and Privacy Expert

En avril 2019, l’Online Trust Alliance (OTA) de l’Internet Society a publié son 10e audit annuel sur la confiance en ligne et son tableau d’honneur. L’audit examine les pratiques de sécurité et de confidentialité de plus de 1 000 des principaux sites sur Internet, des détaillants aux sites gouvernementaux. Dans cet article, nous nous pencherons plus en détail sur le secteur de l’audit consacré aux FAI et aux hébergeurs. Ce secteur est composé des principaux FAI et d’autres organisations d’hébergement aux États-Unis. Il comprend tout, des organisations qui fournissent un accès au réseau aux organisations qui hébergent des services de messagerie électronique.

Dans le cadre de l’audit, les déclarations de confidentialité sont notées en fonction de 30 variables. Les FAI et les hébergeurs ont obtenu des résultats mitigés par rapport aux autres secteurs, qui ont eu tendance à obtenir dans l’ensemble des résultats soit très bons soit très mauvais en matière de déclaration de confidentialité. (Précisons que la grande majorité des organisations visées par l’audit proposaient des déclaration de confidentialité médiocres. Ce fut d’ailleurs la raison principale de l’obtention de résultats peu reluisants en matière de confidentialité et de sécurité).

Les FAI et les hébergeurs n’ont pas vraiment été à la hauteur au moment de présenter leurs déclarations. L’OTA préconise plusieurs pratiques exemplaires qui traitent de la façon de présenter la déclaration de confidentialité afin de la rendre aussi facile à comprendre que possible pour les utilisateurs.

La pratique la plus simple que préconise l’OTA est d’afficher un lien vers la déclaration de confidentialité sur la page d’accueil pour que les utilisateurs puissent la trouver facilement. Dans ce cas, les FAI et les hébergeurs n’ont pas brillé, puisque seulement 75 % d’entre eux proposent des liens sur leur page d’accueil – le taux le plus faible tous secteurs confondus – contre 89 % pour l’ensemble des sites.

Une autre pratique simple consiste à apposer un cachet de date en haut de la page pour indiquer quand la dernière mise à jour de la déclaration de confidentialité a été effectuée. Dans ce cas, 43 % des FAI et des hébergeurs l’ont fait contre 47 % pour l’ensemble des sites. Ce chiffre est toutefois trompeur. Comme les FAI et les hébergeurs étaient les moins nombreux de tous les secteurs, ils ont fait baisser la moyenne générale de façon significative.

Enfin, l’OTA préconise l’utilisation de déclarations « hierarchisées ». La barre pour l’obtention de points pour une déclaration « hiérarchisée » est basse. Pour y parvenir, il suffit tout simplement d’implémenter une table des matières ou, ce qui est plus complexe, une déclaration interactive ou une synthèse décrivant les points forts de la déclaration de confidentialité plus détaillée.

Seulement 25 % des FAI et des hébergeurs proposaient une déclaration de confidentialité hiérarchisée, le taux le plus faible de tous les secteurs, contre près de la moitié (47 %) de l’ensemble des organisations. Les FAI et les hébergeurs n’ont peut-être pas été les meilleurs quant à la présentation de leur déclaration de confidentialité, mais ils ont fait beaucoup mieux en ce qui en concerne le contenu.

Les FAI et les hébergeurs se sont particulièrement distingués par le langage utilisé en matière de partage et de conservation des données. Dans 82 % des cas, les FAI et les hébergeurs ont indiqué explicitement qu’ils ne partageaient pas les données des utilisateurs (sauf pour fournir un service à un client), contre 67 % dans l’ensemble des secteurs. De plus, 5 % ont abordé le sujet de la conservation des données. Cela signifie qu’ils ont explicitement indiqué pendant combien de temps les données des utilisateurs sont conservées et dans quel but. Si 5 % peuvent sembler peu, seuls 2 % des organisations en font mention en général. En outre, les FAI et les hébergeurs sont arrivés en deuxième position, juste derrière celui des 100 meilleurs commerçants en ligne, avec 6 %.

Pour l’une des variables de partage des données, les FAI et les hébergeurs ont atteint tout juste la moyenne, ce qui leur laisse une nette marge d’amélioration dans ce domaine. Environ la moitié des FAI et des hébergeurs (55 %) ont déclaré qu’ils exigeraient de leurs fournisseurs tiers les mêmes standards que ceux qu’ils appliquent eux-mêmes, contre 57 % pour l’ensemble des organisations. L’OTA préconise cette pratique car toute organisation qui fait appel à des fournisseurs doit tenir ces derniers responsables. Si un fournisseur abuse des données d’utilisateurs, et qu’il a un accord écrit avec une organisation, cette organisation pourrait être tenue responsable du comportement dudit fournisseur.

Les déclarations de confidentialité des FAI et des hébergeurs montrent que les normes de l’OTA sont généralement faciles à respecter. De petits changements dans ces déclarations peuvent contribuer grandement à aider les utilisateurs à comprendre les informations transmises. Ces changements prendront une plus grande importance encore au moment de rester au fait de l’évolution rapide des lois et réglementations sur la protection de la vie privée dans le monde.

Comment votre organisation s’en tirerait-elle en cas d’audit ? Lisez le rapport pour voir comment vous vous classeriez, et utilisez-le pour améliorer la sécurité et la confidentialité de votre site. Ensuite, consultez l’infographie ou regardez la vidéo récapitulative pour en savoir plus !

Clause de non-responsabilité : Les points de vue exprimés dans cet article sont ceux de l’auteur et peuvent ou pas refléter la position officielle de l’Internet Society.