Coup de projecteur sur les pratiques du gouvernement fédéral américain en matière de sécurité et de protection des renseignements personnels

En avril 2019, l’Online Trust Alliance de l’Internet Society a publié son 10e audit annuel sur la confiance en ligne ainsi que son tableau d’honneur. L’audit examine les pratiques de sécurité et de confidentialité de plus de 1 000 des principaux sites Internet, des détaillants aux sites gouvernementaux. Dans cet article, nous nous plongeons plus profondément sur le secteur du gouvernement fédéral américain de l’audit. Il est constitué des 100 principaux sites du gouvernement fédéral américain selon le trafic (sur base du classement Alexa). Étant donné la nature du gouvernement américain comparativement aux entreprises, cet échantillon présente des caractéristiques uniques, notamment en matière de sécurité des sites.

Là où le gouvernement excelle, et c’est évident, c’est dans le domaine du cryptage. La raison est en grande partie due à un mandat du Département de la sécurité intérieure qui exige que tous les sites du gouvernement américain soient cryptés. Toutefois, la norme devrait toujours être la même pour tous les sites. Autrement dit, les autres secteurs de l’audit n’ont pas d’excuse pour ne pas être à la hauteur en matière de sécurité.

En ce qui concerne la sécurité des sites, le secteur gouvernemental a obtenu les meilleurs résultats avec une adoption totale de la norme « Always-On Secure Socket Layer » (AOSSL) et/ou « HTTP Strict Transport Security » (HSTS), comparativement à 91 % pour l’ensemble des sites. Le secteur de la santé est celui qui a obtenu les moins bons résultats avec 82 % des sites utilisant ces technologies. Ces deux technologies assurent que le trafic sur le site Web est crypté.

La plupart des sites audités ont obtenu de bons résultats dans ces domaines, mais le secteur gouvernemental est le seul à avoir adopté ces technologies à 100 %. Du point de vue de l’OTA, tous les sites devraient adopter ces technologies et, bien qu’il soit encourageant que le gouvernement fédéral américain (ou du moins les 100 premiers sites) l’ait fait, il est décourageant de constater que tous les autres secteurs n’atteignent pas le taux d’adoption complet.

De plus, le secteur gouvernemental a connu une amélioration au fil du temps. Tous les secteurs se sont quelque peu améliorés, mais le gouvernement fédéral a été le seul à franchir la ligne d’arrivée. Ici encore, il est important de noter que le gouvernement fédéral présente un cas de figure unique à certains égards. Il suffit à la Sécurité intérieure d’exiger le cryptage pour qu’il soit mis en place. Ce n’est peut-être pas aussi simple pour les entreprises et autres types d’organisations, mais ce n’est pas une excuse pour ne pas travailler à un cryptage complet.

En 2017, 91 % des sites du gouvernement fédéral étaient cryptés, et cette année, tous le sont comme indiqué précédemment. D’autres secteurs se sont également améliorés. Les sites d’ISP/d’hébergement sont passés de 70 % en 2017 à 91 % en 2018. Les banques, un secteur où le cryptage du trafic des sites web est particulièrement important compte tenu des types de données envoyées sur ces sites, a également connu une nette amélioration. En 2017, seulement 76 % des banques avaient crypté leurs sites. En 2018, ce chiffre était passé à 91 %.

Malgré les améliorations générales apportées au cryptage des sites, les banques sont un bon exemple de cas où les améliorations ne sont pas suffisantes. Le secteur gouvernemental établit la norme. La leçon que toutes les organisations peuvent tirer du succès du gouvernement fédéral américain est simple. Il est possible de crypter rapidement un grand nombre de sites – et il est dans l’intérêt de toute organisation de le faire.

Comment votre organisation s’en tirerait-elle en cas d’audit ? Lisez le rapport pour voir comment vous vous classeriez, et utilisez-le pour améliorer la sécurité et la confidentialité de votre site. Ensuite, consultez l’infographie ou regardez la vidéo récapitulative pour en savoir plus !