Dans le cadre du cybermois, la CNIL nous invite à un webinar sur la mise à jour des recommandations sur les mots de passe.
La recommandation de 2017
Le mot de passe est l'outil d'authentification le plus répandu pour accéder à l'utilisation des services numériques. La Commission avait déjà établie des recommandations quant à l'utilisation et mise en place de ce moyen d'authentification.
Pour rappel, les recommandations de la CNIL sur les mots de passe prévoient des modalités techniques, d'authentification et de renouvellement.
Les modalités techniques
Pour certaines fonctions très sensibles dans les organisations, les règles de mot de passe doivent être renforcées notamment celles concernant la gestion des mots de passe des administrateurs informatiques ou le traitement de données sensibles.
A ce titre, une politique de mot de passe doit être définie et documentée.
Dastra vous aide à rédiger simplement votre politique de mot de passe. En savoir plus.
Les modalités d'authentification
La commission considère que la fonction d'authentification doit être sûre.
D'une part, l'authentification qui n'a pas lieu en local devrait prévoir une mesure de contrôle de l'identitié du serveur d'authentification au moyen d'un certificat d'authentification de serveur.
D'autre part, il est recommandé que le canal de communication entre le serveur authentifié et le client soit chiffré.
Les modalités de conservation
La commission considère que le mot de passe ne doit jamais être stocké en clair.
Elle recommande que tout mot de passe utile à la vérification de l'authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d'une fonction cryptographique non réversible et sûre intégrant l'utilisation d'un sel ou d'une clé (par exemple : SHA 256 + SEL).
Les modalités de renouvellement
La commission recommande au responsable de traitement de mettre en place un renouvellement périodique pertinent et raisonnable du mot de passe dépendant de la complexité imposée du mot de passe mais également des données traitées et des risques qui y sont attachés.
Il est possible de renouveler son mot de passe sur demande, mais il est recommandé au responsable de traitement de mettre en place une procédure de renouvellement du mot de passe.
En cas de compromission
Enfin, la CNIL recommande au responsable de traitement de notifier la personne concernée par la compromission du mot de passe dans un délai n'excédant pas 72h afin de l'inviter à changer son mot de passe lors de sa prochaine connexion.
Ce délai doit être raccourci dans la mesure du possible. En toute hypothèse, une notification à la CNIL s'imposera dans les 72h.
Le responsable de traitement indiquera à la personne concernée de veiller à changer ses mots de passe d'autres services dans l'hypothèse où elle aurait utilisé le même mot de passe.
La commission recommande que le renouvellement du mot de passe soit systématique en cas de compromission de celui-ci.
Retrouvez notre article dédié aux mesures de sécurité dans le RGPD
Une mise à jour des recommandations à venir
La CNIL a annoncé le 1er octobre 2021 que ses recommandations vont être modernisées afin notamment de prendre en compte les évolutions technologiques et les recommandations de sécurité de l'authentification publiées par l'ANSSI.
A cette occasion, elle va animer un webinar dédié sur le sujet.
Lien vers :
- La délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.
- La délibération n° 2017-190 du 22 juin 2017 portant modification de la recommandation relative aux mots de passe.