[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fEEA6XFw5l_H8pcJqyzcA3BkIIoojjeZeI0riEfiezqQ":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":15,"state":16,"author":17,"authorId":18,"datePublication":22,"dateCreation":23,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":67,"imageUrl":75,"imageThumbUrls":76,"id":84},true,"Dans le cadre du cybermois, la CNIL nous invite à un webinar sur la mise à jour des recommandations sur les mots de passe.\r\n \r\n## La recommandation de 2017\r\n \r\nLe mot de passe est l'outil d'[**authentification**](https://dastra.eu/fr/article/authentification/38562) **le plus répandu pour accéder à l'utilisation des services numériques**. La [Commission avait déjà établie des recommandations](https://www.cnil.fr/fr/mots-de-passe-des-recommandations-de-securite-minimales-pour-les-entreprises-et-les-particuliers) quant à l'utilisation et mise en place de ce moyen d'authentification.\r\n \r\nPour rappel, les **recommandations de la CNIL sur les mots de passe** prévoient des modalités techniques, d'authentification et de renouvellement.\r\n \r\n### Les modalités techniques\r\n \r\n![image.png](https://static.dastra.eu/richtextbackoffice/feefaaa2-2338-49b4-a477-ee9536ebb771/image.png)\r\n \r\nPour certaines fonctions très sensibles dans les organisations, les **règles de mot de passe doivent être renforcées** notamment celles concernant la gestion des mots de passe des administrateurs informatiques ou le traitement de données sensibles.\r\n \r\nA ce titre, une politique de mot de passe doit être définie et documentée.\r\n\r\n> [**Dastra vous aide à rédiger simplement votre politique de mot de passe. En savoir plus.**](https://www.dastra.eu/fr/chief-information-security-officer)\r\n\r\n### Les modalités d'authentification\r\n \r\nLa commission considère que **la fonction d'authentification doit être sûre**.\r\n \r\nD'une part, l'authentification qui n'a pas lieu en local devrait **prévoir une mesure de contrôle de l'identitié** du serveur d'authentification au moyen d'un certificat d'authentification de serveur.\r\n \r\nD'autre part, il est recommandé que le **canal de communication entre le serveur authentifié et le client soit chiffré**.\r\n \r\n### Les modalités de conservation\r\n \r\nLa commission considère que **le mot de passe ne doit jamais être stocké en clair**.\r\n \r\nElle recommande que tout mot de passe utile à la vérification de l'authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d'une **fonction cryptographique non réversible et sûre intégrant l'utilisation d'un sel ou d'une clé** (par exemple : SHA 256 + SEL).\r\n \r\n### Les modalités de renouvellement\r\n \r\nLa commission recommande au [**responsable de traitement**](https://www.dastra.eu/fr/guide/responsable-de-traitement/392) de mettre en place un **renouvellement périodique pertinent et raisonnable du mot de passe** dépendant de la complexité imposée du mot de passe mais également des données traitées et des risques qui y sont attachés.\r\n \r\nIl est possible de renouveler son mot de passe sur demande, mais il est recommandé au responsable de traitement de mettre en place une **procédure de renouvellement du mot de passe**.\r\n \r\n### En cas de compromission\r\n \r\nEnfin, la CNIL recommande au responsable de traitement de **notifier la personne concernée par la compromission du mot de passe dans un délai n'excédant pas 72h** afin de l'inviter à changer son mot de passe lors de sa prochaine connexion.\r\n \r\n**Ce délai doit être raccourci dans la mesure du possible**. En toute hypothèse, une notification à la CNIL s'imposera dans les 72h.\r\n \r\nLe responsable de traitement indiquera à la personne concernée de **veiller à changer ses mots de passe d'autres services dans l'hypothèse où elle aurait utilisé le même mot de passe**.\r\n \r\nLa commission recommande que **le renouvellement du mot de passe soit systématique en cas de compromission de celui-ci**.\r\n\r\n> [**Retrouvez notre article dédié aux mesures de sécurité dans le RGPD**](https://www.dastra.eu/fr/article/mesure-technique-et-organisationnelle-de-securite--rgpd/367)\r\n\r\n## Une mise à jour des recommandations à venir\r\n \r\nLa CNIL a annoncé le 1er octobre 2021 que **ses recommandations vont être modernisées** afin notamment de prendre en compte les évolutions technologiques et les recommandations de sécurité de l'authentification [**publiées par l'ANSSI**](https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf).\r\n \r\nA cette occasion, elle va animer un [**webinar**](https://www.cnil.fr/fr/cybermois-2021) dédié sur le sujet.\r\n \r\nLien vers :\r\n \r\n- La [délibération n° 2017-012](https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000033928007) du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.\r\n- La [délibération n° 2017-190](https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000035142451/) du 22 juin 2017 portant modification de la recommandation relative aux mots de passe.","\u003Cp>Dans le cadre du cybermois, la CNIL nous invite à un webinar sur la mise à jour des recommandations sur les mots de passe.\u003C/p>\r\n\u003Ch2 id=\"la-recommandation-de-2017\">La recommandation de 2017\u003C/h2>\r\n\u003Cp>Le mot de passe est l'outil d'\u003Ca href=\"https://dastra.eu/fr/article/authentification/38562\" rel=\"nofollow\">\u003Cstrong>authentification\u003C/strong>\u003C/a> \u003Cstrong>le plus répandu pour accéder à l'utilisation des services numériques\u003C/strong>. La \u003Ca href=\"https://www.cnil.fr/fr/mots-de-passe-des-recommandations-de-securite-minimales-pour-les-entreprises-et-les-particuliers\" rel=\"nofollow\">Commission avait déjà établie des recommandations\u003C/a> quant à l'utilisation et mise en place de ce moyen d'authentification.\u003C/p>\r\n\u003Cp>Pour rappel, les \u003Cstrong>recommandations de la CNIL sur les mots de passe\u003C/strong> prévoient des modalités techniques, d'authentification et de renouvellement.\u003C/p>\r\n\u003Ch3 id=\"les-modalites-techniques\">Les modalités techniques\u003C/h3>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/feefaaa2-2338-49b4-a477-ee9536ebb771/image.png\" alt=\"image.png\" />\u003C/p>\r\n\u003Cp>Pour certaines fonctions très sensibles dans les organisations, les \u003Cstrong>règles de mot de passe doivent être renforcées\u003C/strong> notamment celles concernant la gestion des mots de passe des administrateurs informatiques ou le traitement de données sensibles.\u003C/p>\r\n\u003Cp>A ce titre, une politique de mot de passe doit être définie et documentée.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/chief-information-security-officer\">\u003Cstrong>Dastra vous aide à rédiger simplement votre politique de mot de passe. En savoir plus.\u003C/strong>\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"les-modalites-dauthentification\">Les modalités d'authentification\u003C/h3>\r\n\u003Cp>La commission considère que \u003Cstrong>la fonction d'authentification doit être sûre\u003C/strong>.\u003C/p>\r\n\u003Cp>D'une part, l'authentification qui n'a pas lieu en local devrait \u003Cstrong>prévoir une mesure de contrôle de l'identitié\u003C/strong> du serveur d'authentification au moyen d'un certificat d'authentification de serveur.\u003C/p>\r\n\u003Cp>D'autre part, il est recommandé que le \u003Cstrong>canal de communication entre le serveur authentifié et le client soit chiffré\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"les-modalites-de-conservation\">Les modalités de conservation\u003C/h3>\r\n\u003Cp>La commission considère que \u003Cstrong>le mot de passe ne doit jamais être stocké en clair\u003C/strong>.\u003C/p>\r\n\u003Cp>Elle recommande que tout mot de passe utile à la vérification de l'authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d'une \u003Cstrong>fonction cryptographique non réversible et sûre intégrant l'utilisation d'un sel ou d'une clé\u003C/strong> (par exemple : SHA 256 + SEL).\u003C/p>\r\n\u003Ch3 id=\"les-modalites-de-renouvellement\">Les modalités de renouvellement\u003C/h3>\r\n\u003Cp>La commission recommande au \u003Ca href=\"https://www.dastra.eu/fr/guide/responsable-de-traitement/392\">\u003Cstrong>responsable de traitement\u003C/strong>\u003C/a> de mettre en place un \u003Cstrong>renouvellement périodique pertinent et raisonnable du mot de passe\u003C/strong> dépendant de la complexité imposée du mot de passe mais également des données traitées et des risques qui y sont attachés.\u003C/p>\r\n\u003Cp>Il est possible de renouveler son mot de passe sur demande, mais il est recommandé au responsable de traitement de mettre en place une \u003Cstrong>procédure de renouvellement du mot de passe\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"en-cas-de-compromission\">En cas de compromission\u003C/h3>\r\n\u003Cp>Enfin, la CNIL recommande au responsable de traitement de \u003Cstrong>notifier la personne concernée par la compromission du mot de passe dans un délai n'excédant pas 72h\u003C/strong> afin de l'inviter à changer son mot de passe lors de sa prochaine connexion.\u003C/p>\r\n\u003Cp>\u003Cstrong>Ce délai doit être raccourci dans la mesure du possible\u003C/strong>. En toute hypothèse, une notification à la CNIL s'imposera dans les 72h.\u003C/p>\r\n\u003Cp>Le responsable de traitement indiquera à la personne concernée de \u003Cstrong>veiller à changer ses mots de passe d'autres services dans l'hypothèse où elle aurait utilisé le même mot de passe\u003C/strong>.\u003C/p>\r\n\u003Cp>La commission recommande que \u003Cstrong>le renouvellement du mot de passe soit systématique en cas de compromission de celui-ci\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/article/mesure-technique-et-organisationnelle-de-securite--rgpd/367\">\u003Cstrong>Retrouvez notre article dédié aux mesures de sécurité dans le RGPD\u003C/strong>\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"une-mise-a-jour-des-recommandations-a-venir\">Une mise à jour des recommandations à venir\u003C/h2>\r\n\u003Cp>La CNIL a annoncé le 1er octobre 2021 que \u003Cstrong>ses recommandations vont être modernisées\u003C/strong> afin notamment de prendre en compte les évolutions technologiques et les recommandations de sécurité de l'authentification \u003Ca href=\"https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf\" rel=\"nofollow\">\u003Cstrong>publiées par l'ANSSI\u003C/strong>\u003C/a>.\u003C/p>\r\n\u003Cp>A cette occasion, elle va animer un \u003Ca href=\"https://www.cnil.fr/fr/cybermois-2021\" rel=\"nofollow\">\u003Cstrong>webinar\u003C/strong>\u003C/a> dédié sur le sujet.\u003C/p>\r\n\u003Cp>Lien vers :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>La \u003Ca href=\"https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000033928007\" rel=\"nofollow\">délibération n° 2017-012\u003C/a> du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.\u003C/li>\r\n\u003Cli>La \u003Ca href=\"https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000035142451/\" rel=\"nofollow\">délibération n° 2017-190\u003C/a> du 22 juin 2017 portant modification de la recommandation relative aux mots de passe.\u003C/li>\r\n\u003C/ul>\r\n",null,672,4,"Cybermois : la CNIL va mettre à jour ses recommandations sur les mots de passe ",0,"fr","cybermois-la-cnil-va-mettre-a-jour-ses-recommandations-sur-les-mots-de-passe","La CNIL nous invite à un webinar sur la mise à jour des recommandations sur les mots de passe (qui datent de 2017)",false,"Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":7,"blogUrl":7,"color":7,"userId":18,"creationDate":21},654,"Estelle Penin","https://static.dastra.eu/tenant-3/avatar/654/microsoftteams-image-3-modifie-150.png","2022-06-20T10:17:59","2021-10-15T08:38:12.547","2021-11-04T12:35:48.9899078","2024-01-24T09:23:07.1974844",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[32,34,37],{"lang":12,"name":27,"description":33},"Une liste d'articles rédigés par la communauté",{"lang":35,"name":27,"description":36},"es","Una lista de artículos escritos por la comunidad",{"lang":38,"name":27,"description":39},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[41,46],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":42},[43,44,45],{"lang":12,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},{"id":47,"name":48,"description":49,"url":50,"color":51,"parentId":26,"count":7,"imageUrl":7,"parent":52,"order":11,"translations":57},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":53},[54,55,56],{"lang":12,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},[58,61,64],{"lang":12,"name":59,"description":60},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":35,"name":62,"description":63},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":38,"name":65,"description":66},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",[68,71],{"typeMetaDataId":26,"value":69,"id":70},"https://www.dastra.eu/fr/solution/chief-information-security-officer",110511,{"typeMetaDataId":72,"value":73,"id":74},3,"Découvrez la sécurité avec Dastra",110512,"https://static.dastra.eu/content/cda41b87-1eab-4bb2-9624-881b524054a6/purpose-2-1000.png",[77,78,79,80,81,82,83],"https://static.dastra.eu/content/cda41b87-1eab-4bb2-9624-881b524054a6/purpose-2-1000.webp","https://static.dastra.eu/content/cda41b87-1eab-4bb2-9624-881b524054a6/purpose-2.webp","https://static.dastra.eu/content/cda41b87-1eab-4bb2-9624-881b524054a6/purpose-2-1500.webp","https://static.dastra.eu/content/cda41b87-1eab-4bb2-9624-881b524054a6/purpose-2-800.webp","https://static.dastra.eu/content/cda41b87-1eab-4bb2-9624-881b524054a6/purpose-2-600.webp","https://static.dastra.eu/content/cda41b87-1eab-4bb2-9624-881b524054a6/purpose-2-300.webp","https://static.dastra.eu/content/cda41b87-1eab-4bb2-9624-881b524054a6/purpose-2-100.webp",37558]