Javascript is required
logo-dastralogo-dastra

Cybermois : la CNIL va mettre à jour ses recommandations sur les mots de passe

Cybermois : la CNIL va mettre à jour ses recommandations sur les mots de passe
Estelle Penin
Estelle Penin
15 octobre 2021·7 minutes de lecture

Dans le cadre du cybermois, la CNIL nous invite à un webinar sur la mise à jour des recommandations sur les mots de passe.

La recommandation de 2017

Le mot de passe est l'outil d'authentification le plus répandu pour accéder à l'utilisation des services numériques. La Commission avait déjà établie des recommandations quant à l'utilisation et mise en place de ce moyen d'authentification.

Pour rappel, les recommandations de la CNIL sur les mots de passe prévoient des modalités techniques, d'authentification et de renouvellement.

Les modalités techniques

image.png

Pour certaines fonctions très sensibles dans les organisations, les règles de mot de passe doivent être renforcées notamment celles concernant la gestion des mots de passe des administrateurs informatiques ou le traitement de données sensibles.

A ce titre, une politique de mot de passe doit être définie et documentée.

Dastra vous aide à rédiger simplement votre politique de mot de passe. En savoir plus.

Les modalités d'authentification

La commission considère que la fonction d'authentification doit être sûre.

D'une part, l'authentification qui n'a pas lieu en local devrait prévoir une mesure de contrôle de l'identitié du serveur d'authentification au moyen d'un certificat d'authentification de serveur.

D'autre part, il est recommandé que le canal de communication entre le serveur authentifié et le client soit chiffré.

Les modalités de conservation

La commission considère que le mot de passe ne doit jamais être stocké en clair.

Elle recommande que tout mot de passe utile à la vérification de l'authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d'une fonction cryptographique non réversible et sûre intégrant l'utilisation d'un sel ou d'une clé (par exemple : SHA 256 + SEL).

Les modalités de renouvellement

La commission recommande au responsable de traitement de mettre en place un renouvellement périodique pertinent et raisonnable du mot de passe dépendant de la complexité imposée du mot de passe mais également des données traitées et des risques qui y sont attachés.

Il est possible de renouveler son mot de passe sur demande, mais il est recommandé au responsable de traitement de mettre en place une procédure de renouvellement du mot de passe.

En cas de compromission

Enfin, la CNIL recommande au responsable de traitement de notifier la personne concernée par la compromission du mot de passe dans un délai n'excédant pas 72h afin de l'inviter à changer son mot de passe lors de sa prochaine connexion.

Ce délai doit être raccourci dans la mesure du possible. En toute hypothèse, une notification à la CNIL s'imposera dans les 72h.

Le responsable de traitement indiquera à la personne concernée de veiller à changer ses mots de passe d'autres services dans l'hypothèse où elle aurait utilisé le même mot de passe.

La commission recommande que le renouvellement du mot de passe soit systématique en cas de compromission de celui-ci.

Retrouvez notre article dédié aux mesures de sécurité dans le RGPD

Une mise à jour des recommandations à venir

La CNIL a annoncé le 1er octobre 2021 que ses recommandations vont être modernisées afin notamment de prendre en compte les évolutions technologiques et les recommandations de sécurité de l'authentification publiées par l'ANSSI.

A cette occasion, elle va animer un webinar dédié sur le sujet.

Lien vers :


A propos de l'auteur
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.