« CNIL : 75 000 euros d’amende pour une faille de sécurité, sans mise en demeure préalable »
Après avoir lu cet article de NextImpact, en lien ci-dessous, où l’on évoque notamment l’accès à des documents par une URL non sécurisée, je me demandais si Spip est-il naturellement protégé ?
Dans cadre d’un site en https, bien entendu.
Vu le nombre de sites d’associations parmi les sites Spip et les conséquences parfois mortelles de telles sanctions financières pour une association, un éventuel guide « Sécurité et RGPD » sur Contrib serait sans doute une bonne idée.
« CNIL : 75 000 euros d’amende pour une faille de sécurité, sans mise en demeure préalable »
Après avoir lu cet article de NextImpact, en lien ci-dessous, où l’on évoque notamment l’accès à des documents par une URL non sécurisée, je me demandais si Spip est-il naturellement protégé ?
Dans cadre d’un site en https, bien entendu.
Vu le nombre de sites d’associations parmi les sites Spip et les conséquences parfois mortelles de telles sanctions financières pour une association, un éventuel guide « Sécurité et RGPD » sur Contrib serait sans doute une bonne idée.
Bah ca depend. Tu as plusieurs problèmes différents.
1. Classiquement dans SPIP tu met en ligne volontairement les documents. Si une association est assez bete pour mettre en ligne, en tant que document joint à un article, des documents confidentiels, c'est son problème.
2. Cependant, on pourrait concevoir de mettre des documents confidentiels pour par exemple un intranet, avec accès restreint. Dans ce cas, les documents sont protégés.
1. Si le .htacesss fonctionne
2. Si les zone sont bien configurés.
3. Si les mots de passes sont assez severes
4. Si par ailleurs il n'y pas de faille côté herbergeur lui-même
3. Un autre cas: l'envoi de document par CVt-upload+formidable : normalement c'est protégé sur un hebergeur standard qui permet au .htaccess de fonctionner. Mais bien sûr, cela dépend encore une fois de la protection hebergeur/des mots de passes choisi
Mais globalement, SPIP est concu pour gérer du contenu editorial publique, pas pour faire de la gestion de donnée personnel (privé). Que ce soit en terme d'utilisabilité pour ces besoins ou de sécurité, c'est pas forcément le meilleur utile.
Vu le nombre de sites d’associations parmi les sites Spip et les conséquences parfois mortelles de telles sanctions financières pour une association, un éventuel guide « Sécurité et RGPD » sur Contrib serait sans doute une bonne idée.
SPIP n'a rien à voir avec ça, ni le RGPD (ce n'est pas nouveau).
Quel que soit le CMS ou la méthode de publication, c'est plutôt une sensibilisation des utilisateurs qu'il faut faire.
La seule règle est : TOUT document publié sur un site web PEUT à un moment se retrouver public.
Il ne faut pas mettre en ligne sur un site web des documents sensibles (listes de personnes, données confidentielles...).
Ça, ce serait un cas de négligence justement, et aucun CMS n'est protégé contre ça.
Même avec le plugin Accès restreint bien configuré et le .htaccess qui va bien, on n'est pas à l'abri d'une config qui saute, d'un déplacement du document dans un autre article, d'une erreur de manip ou autre.
Pour des documents vraiment sensibles, utiliser des services ou applis spécialisés et securisés.
Un Nextcloud, même autohébergé, c'est très bien, ça peut même tout chiffrer, et on trouve plein d'hébergeurs qui proposent ces services à tout petit prix pour les assos (la mère Zaclys, les CHATONS...)