Statistiques sur la sécurité informatique : les parties
Enquête 1er semestre 2021. La situation des données est plus que grave ! Malheureusement, elle reflète exactement ce que de nombreuses entreprises et autorités ont déjà appris à leurs dépens. Les mesures de sécurité informatique - lorsqu'elles existent - ne suffisent pas. Le risque d'être victime d'une cyber-attaque augmente. Une raison suffisante pour examiner de plus près la situation actuelle de la sécurité informatique en Allemagne. À l'approche des élections fédérales, nous commençons par les neuf partis du Bundestag.
Analyse des risques informatiques des partis politiques ayant un siège au Bundestag allemand
En vue des élections fédérales, le Centre national de recherche en cybersécurité appliquée, qui fait partie de la Fraunhofer Gesellschaft, a organisé une conférence sur la cybersécurité. ATHENE Fin 2020, les systèmes informatiques des partis politiques allemands ont été soumis à un audit et des vulnérabilités graves ont été identifiées. En outre, Arne Schönbohm, directeur de l'Office fédéral de la sécurité informatique (BSI), a offert son soutien et ses conseils pour se protéger des cybercriminels. Le site WirtschaftsWoche a consacré un article à ce sujet en juillet 2021.
Nous voulions savoir ce qu'il en était aujourd'hui de la situation en matière de sécurité et avons analysé la surface d'attaque informatique des neuf partis du Bundestag en août dans une perspective externe. Pour ce faire, nous avons recensé les systèmes identifiables sur le réseau et vérifié de manière non invasive leurs points critiques en matière de sécurité. Dans huit catégories, en se basant sur les normes des autorités et de l'industrie disponibles publiquement. Les résultats nous ont alors surpris. Le score de sécurité était en moyenne de 46 sur une échelle de 0 à 100. A partir d'une valeur de 80, nous parlons d'une sécurité informatique adéquate.
Situation insuffisante en matière de sécurité informatique
En matière de cybersécurité, les partis du Bundestag ont encore beaucoup de progrès à faire. Voici un extrait de trois catégories pour lesquelles il est nécessaire d'agir et quel rôle cela joue pour la sécurité.
Premièrement : la cybersécurité dans l'envoi de courriers électroniques
Le courrier électronique des partis est-il bien protégé contre l'usurpation d'identité ? Est-il possible d'envoyer des spams en masse en leur nom - par exemple pour récupérer des données sensibles ? L'envoi de courriers électroniques non protégés permet des attaques de spam et d'hameçonnage au nom du ou des domaines du parti. Si celles-ci réussissent, les pirates peuvent accéder à d'autres systèmes et les infecter avec des logiciels malveillants. Chez 89% des parties contrôlées, des configurations DNS pouvant favoriser des problèmes de sécurité critiques ont été trouvées. C'est pourquoi nous recommandons à tous les responsables informatiques de vérifier les paramètres de sécurité de leurs fournisseurs de domaines.
Deuxièmement, la cybersécurité dans le transport des données
Le flux de données entre les collaborateurs du parti et les partenaires de communication ou commerciaux est-il protégé contre l'accès par des tiers ? Dans cette catégorie, la qualité du cryptage des connexions de données est évaluée. La validité et la version des certificats de sécurité ainsi que leur mise en œuvre correcte sont également vérifiées. L'examen a révélé que toutes les parties transmettaient des données avec un cryptage de transport en partie non autorisé et qu'elles avaient clairement besoin d'être optimisées. En effet, la transmission non sécurisée de contenus sensibles sur le réseau facilite le vol de données et met en danger la sécurité des parties ainsi que celle des entreprises en réseau.
Troisièmement, les violations de la protection des données
Y a-t-il des infractions au RGPD de la part des parties ? Le règlement général sur la protection des données (RGPD) place les données à caractère personnel sous une protection particulière. Celles-ci sont traitées chaque fois que les noms, les adresses (IP), les coordonnées bancaires, les données relatives à la santé, les données de localisation et bien d'autres informations sont collectées auprès des visiteurs d'un site web. Dans cette catégorie, nous avons analysé tous les sites web de partis identifiés quant aux violations fondamentales du RGPD. Dans 44 % des cas, nous avons découvert des situations limites par rapport au RGPD, qui nécessitent un contrôle manuel. Pour rappel, les bannières de cookies et les cookies de marketing, de suivi ou d'affiliation installés de manière illégale sont passibles d'avertissements et d'amendes élevées.
Conclusion : Chers partis, nous devons parler !
En raison de l'annonce faite il y a plusieurs mois par ATHENE Nous avions espéré que les résultats de l'analyse au moment de l'élection seraient au moins à moitié satisfaisants. Il s'avère aujourd'hui qu'il faut encore - ou à nouveau - agir. C'est pourquoi nous souhaitons également offrir notre soutien et mettons volontiers à la disposition des responsables informatiques concernés l'analyse correspondante pour accélérer l'élimination des points faibles.
Français 
Deutsch 
English