Cybermois : la CNIL va mettre à jour ses recommandations sur les mots de passe

Cybermois : la CNIL va mettre à jour ses recommandations sur les mots de passe
Estelle Penin

Dans le cadre du cybermois, la CNIL nous invite à un webinar sur la mise à jour des recommandations sur les mots de passe.

La recommandation de 2017

Le mot de passe est l'outil d'authentification le plus répandu pour accéder à l'utilisation des services numériques. La Commission avait déjà établie des recommandations quant à l'utilisation et mise en place de ce moyen d'authentification.

Pour rappel, les recommandations de la CNIL sur les mots de passe prévoient des modalités techniques, d'authentification et de renouvellement.

Les modalités techniques

image.png

Pour certaines fonctions très sensibles dans les organisations, les règles de mot de passe doivent être renforcées notamment celles concernant la gestion des mots de passe des administrateurs informatiques ou le traitement de données sensibles.

A ce titre, une politique de mot de passe doit être définie et documentée.

Dastra vous aide à rédiger simplement votre politique de mot de passe. En savoir plus.

Les modalités d'authentification

La commission considère que la fonction d'authentification doit être sûre.

D'une part, l'authentification qui n'a pas lieu en local devrait prévoir une mesure de contrôle de l'identitié du serveur d'authentification au moyen d'un certificat d'authentification de serveur.

D'autre part, il est recommandé que le canal de communication entre le serveur authentifié et le client soit chiffré.

Les modalités de conservation

La commission considère que le mot de passe ne doit jamais être stocké en clair.

Elle recommande que tout mot de passe utile à la vérification de l'authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d'une fonction cryptographique non réversible et sûre intégrant l'utilisation d'un sel ou d'une clé (par exemple : SHA 256 + SEL).

Les modalités de renouvellement

La commission recommande au responsable de traitement de mettre en place un renouvellement périodique pertinent et raisonnable du mot de passe dépendant de la complexité imposée du mot de passe mais également des données traitées et des risques qui y sont attachés.

Il est possible de renouveler son mot de passe sur demande, mais il est recommandé au responsable de traitement de mettre en place une procédure de renouvellement du mot de passe.

En cas de compromission

Enfin, la CNIL recommande au responsable de traitement de notifier la personne concernée par la compromission du mot de passe dans un délai n'excédant pas 72h afin de l'inviter à changer son mot de passe lors de sa prochaine connexion.

Ce délai doit être raccourci dans la mesure du possible. En toute hypothèse, une notification à la CNIL s'imposera dans les 72h.

Le responsable de traitement indiquera à la personne concernée de veiller à changer ses mots de passe d'autres services dans l'hypothèse où elle aurait utilisé le même mot de passe.

La commission recommande que le renouvellement du mot de passe soit systématique en cas de compromission de celui-ci.

Retrouvez notre article dédié aux mesures de sécurité dans le RGPD

Une mise à jour des recommandations à venir

La CNIL a annoncé le 1er octobre 2021 que ses recommandations vont être modernisées afin notamment de prendre en compte les évolutions technologiques et les recommandations de sécurité de l'authentification publiées par l'ANSSI.

A cette occasion, elle va animer un webinar dédié sur le sujet.

Lien vers :


Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution. Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Mise à jour 1.0.0 : statistiques des traitements et hub de commentaires

L'équipe de développement s'est focalisée sur la mise en place du tableau de statistiques des traitements. Nous nous sommes également focali...

Antoine Bidault

Précisions sur la notion de "transfert" au sens du RGPD

Le CEPD a publié cette semaine des lignes directrices pour éclairer les organismes à identifier les transferts de données hors UE.

Jérôme de Mercey

Dastra sera présente à l'édition 2021 au salon des maires et des collectivités territoriales du 16 au 18 novembre prochain !

C’est le rendez-vous qui réunit le plus grand nombre d’élus et d’acteurs des territoires œuvrant tous au quotidien à la gestion et au dévelo...

Estelle Penin

Dastra sera présente à l'édition 2021 aux rendez-vous de la transformation du droit les 18 et 19 novembre prochains !

Les rendez-vous de transformation du droit sont le rendez-vous incontournable de la legaltech !

Jérôme de Mercey

Un petit pas pour les DPOs, un grand pas pour la protection des données

Echappez dès maintenant à la pesanteur administrative et bénéficiez d'un essai gratuit à notre solution et vous constaterez sa simplicité d'utilisation.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement