DELUBAC 1000x90

Les nouvelles exigences de la Cnil en matière de création et de gestion de mots de passe

Les nouvelles exigences de la Cnil en matière de création et de gestion de mots de passe

Évaluer cet élément
(0 Votes)

Le 19 janvier 2017, la Cnil a adopté une recommandation relative aux mots de passe1. Partant du constat que – pour répondre à leur obligation de sécurité – les responsables de traitement font majoritairement le choix de recourir à un moyen d’authentification associant un identifiant à un mot de passe, la Commission a estimé nécessaire de définir les modalités techniques de cette méthode d’authentification, permettant de garantir un niveau de sécurité adapté.

En concertation avec ses homologues européens et des institutions et professionnels en charge de la sécurité de l’information, la Cnil a bâti un référentiel technique apportant un niveau de sécurité minimal afin de proposer aux professionnels des lignes directrices en matière de gestion des mots de passe.

Lorsque la sécurité des données à caractère personnel est assurée via la mise en place de mots de passe choisis et déterminés par les personnes concernées, la Cnil considère qu’il appartient au responsable de traitement d’imposer des modalités de création afin d’assurer la robustesse de ces derniers.

Les mesures à respecter pour la création des mots de passe !
Cette robustesse se caractérise par la taille minimale et la complexité du mot de passe.
Dans une décision du 5 novembre 2015, la formation restreinte de la Cnil avait prononcé une sanction pécuniaire à l’encontre de la société Optical Center, notamment en raison d’une absence de complexité suffi- sante des mots de passe des clients ayant déjà créé un compte, caractérisant ainsi un manquement à son obligation de sécurité.
Dans sa nouvelle recommandation relative aux mots de passe, la Cnil distingue 4 cas possibles et propose des modalités techniques à mettre en œuvre.

Elle identifie ainsi :
• 1- Les cas où l’authentification re-pose uniquement sur un identifiant et un mot de passe. Ce cas impose les exigences les plus fortes en termes de robustesse des mots de passe ; ces derniers devant comporter au minimum 12 caractères et comprendre les 4 types de caractères existants (majuscules, minuscules, chiffres et caractères spéciaux). En plus d’imposer ces modalités de création aux personnes concernées, le responsable de traitement est également tenu de conseiller les personnes afin de répondre pleinement à son obligation de sécurité.

• 2- Les cas où l’authentification prévoit, outre le mot de passe, une restriction d’accès au compte de la personne concernée. Dans un tel scénario, la Cnil prévoit des exigences moins fortes puisqu’elle précise qu’un minimum de 8 caractères et l’usage de 3 des 4 types de caractères existants est suffisant à garantir la robustesse. Toutefois, outre l’imposition de ces critères de création, le responsable de traitement doit prévoir des mesures de blocage des tentatives multiples d’échecs.

• 3- Les cas où l’authentification au compte comprend un mot de passe ainsi qu’une information complémentaire. En telle hypothèse, la Commission considère que le mot de passe peut être composé d’uniquement 5 caractères sous réserve que l’information complémentaire réponde à des exigences de confidentialité et qu’une restriction de l’accès au compte soit mise en œuvre.

• 4- Les cas où l’authentification s’appuie sur un matériel détenu par la personne concernée (c’est par exemple le cas des cartes bancaires ou des téléphones mobiles). Dans un tel cas, la Cnil considère que le mot de passe peut contenir un minimum de 4 caractères sous réserve que le responsable de traitement prévoit un mécanisme de blocage au bout de 3 tentatives d’authentification échouées.

Les modalités de conservation à respecter
La Commission rappelle, dans sa recommandation, sa position déjà bien établie selon laquelle les mots de passe ne doivent jamais être conservés en clair. La Cnil recommande qu’ils soient transformés au moyen d’une fonction cryptographique non réversible et sûre via l’utilisation d’un algorithme public réputé fort et dont la mise en œuvre logicielle est exempte de vulnérabilité connue. Cette cryptographie doit, en outre, intégrer l’utilisation d’un sel ou d’une clé générés de manière aléatoire et qui ne doivent pas être stockés sur le même espace de stockage que l’élément de vérification du mot de passe.

Le renouvellement du mot de passe et la notification de violation aux personnes concernées
La Cnil aborde, dans le cadre de sa recommandation, les modalités à prévoir pour le renouvellement des mots de passe. La commission distingue ainsi selon que ce renouvellement soit à l’initiative du responsable de traite- ment ou sur demande de la personne concernée.
À l’initiative du responsable, la Cnil recommande que ce dernier impose, aux personnes concernées, un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, en leur permettant de procéder elles-mêmes au changement de leur mot de passe.
À la demande de la personne concernée, par exemple en cas d’oubli, la Commission recommande que le responsable de traitement détermine une procédure de renouvellement du mot de passe. Lorsque ce renouvellement nécessite l’intervention d’un administrateur, la procédure d’authentification doit im- poser le changement du mot de passe attribué temporairement par l’administrateur dès la première connexion. Lorsque le renouvellement est réalisé de manière automatique, alors le mot de passe ne doit pas être transmis en clair à la personne. D’ailleurs, la Cnil recommande que la personne concernée soit redirigée vers une interface, valide pendant une période maximale de 24 heures, lui permettant de saisir un nouveau mot de passe.
Lorsque le renouvellement fait intervenir un ou plusieurs éléments supplémentaires tels qu’un numéro de téléphone ou une adresse postale, la Cnil considère que ces éléments doivent être conservés dans un espace de stockage distinct de celui contenant l’élément de vérification du mot de passe sauf s’ils sont conservés sous forme chiffrée à l’aide d’un algorithme. En tout état de cause, la Commission recommande que le renouvellement du mot de passe soit systématique en cas de compromission de celui-ci et estime que, dans tous les cas, il ne doit jamais être communiqué à l’utilisateur en clair, notamment par courrier électronique. Enfin, la Cnil recommande que le responsable de traitement notifie à la personne concernée toute violation de son mot de passe ou de données liées au renouvellement dans un délai n’excédant pas 72 heures depuis la constatation de la violation.
En cas de violation, la Cnil considère que le responsable de traitement doit imposer à la personne concernée de modifier son mot de passe au moment de sa prochaine connexion.
De plus, la Commission recommande qu’il lui conseille de changer ses mots de passe d’autres services dans l’hypothèse où elle aurait utilisé le même que celui ayant fait l’objet d’une violation.

Par Amira BOUNEDJOUM, Avocat du département IP/IT du cabinet Simon associés

1 Délibération n°2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe

Lu 3284 fois Dernière modification le jeudi, 06 avril 2017 15:34
Nos contributeurs

Nos contributeurs vous proposent des tribunes ou des dossiers rédigées en exclusivité pour notre média. Toutes les thématiques ont été au préalable validées par le service Rédaction qui évalue la pertinence du sujet, l’adéquation avec les attentes de nos lecteurs et la qualité du contenu. Pour toute suggestion de tribune, n’hésitez pas à envoyer vos thématiques pour validation à veronique.benard@gpomag.fr

Annonce

5277 Ext banner 300x600 2023 Lenovo dell pc premium W22

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Paru le 5 juillet 2023
Édition Spéciale Entreprise Agile et Mobilité
Recevez-le dès maintenant !
Recevoir la version PRINT en cliquant ici
Recevoir la version NUMÉRIQUE en cliquant ici

Vignette Extrait HS Mobilité Juin 23.png

Paru le 9 mai 2023
Édition Spéciale Finance / Achats
Demandez votre exemplaire au service Vente au numéro

 Vignette Extrait HS Finance Achats 2023.png

Livres Blanc et E-book

Quelle stratégie pour établir une relation commerciale durable en Allemagne : un guide pour les dirigeants d’entreprises françaises
L'Allemagne, premier partenaire commercial de la France, demeure un marché d'exportation incontournable pour les entreprises…
Comment favoriser sa transition vers une économie mondiale durable ?
La CSRD contribue à l’objectif de l’Union européenne de promouvoir une économie durable et responsable,…
Se préparer à la mise en place de la réforme sur la facturation électronique, les clés pour une transition réussie
La mise en place de la réforme sur la facturation électronique profitera à l’administration fiscale…
Plus de livres blanc

Webinaires

Facturation Électronique 2024 : une opportunité de performer pour les entreprises !
Une enquête de Wax Digital a révélé que 70 % des professionnels de la comptabilité…
Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Plus de webinaires

Services aux entreprises

 

è  DÉMATÉRIALISATION DES FACTURES : Une opportunité de performer pour les entreprises

visuel dématérialisation des factures.jpg

è  BUSINESS FRANCE : Établir des relations commerciales en l'Allemagne

L'Allemagne est le premier partenaire commercial de la France et représente le plus fort potentiel à l'export de la France à horizon 2025. Ce marché à la fois passionnant et exigeant mérite d'adopter une stratégie durable pour établir une relation commerciale sur le long terme. Tel est l'objectif de ce livre blanc de 64 pages intitulé "Quelle stratégie pour établir une relation commerciale avec l'Allemagne", proposé par Business France et ses partenaires de la Team France, et téléchargeable gracieusement.

 Couverture Livre Blanc Business France Allemagne.png

 

è  SYLOB : ERP pour l'industrie

Anticiper les évolutions industrielles et se projeter dans l'usine intelligente du futur, tels sont les objectifs visés par ce guide pratique de 20 pages à destination des PME intitulé "Industrie 4.0 & ERP", proposé par Sylob et téléchargeable gracieusement.

Couv Sylob CTA.png


è
  YOOZ : Facture électronique

Être prêt pour la facture électronique à échéance 2204-2026. Pourquoi la réforme, comment en profiter, les risques et les pièges à éviter, comment choisir sa plateforme, les étapes indipensables, une feuille de route proposée dans ce livre blanc Yooz de 39 pages téléchargeable gratuitement.

Yooz-LB-MissionPossible-700x400.jpg

 

è  ACROBAT : L'application PDF

Acrobat, l'application PDF n°1 adoptée par + de 5 millions de professionnels dans le monde. Rencontre avec Lofti Elbouhali, spécialiste Adobe chez inmac wstore

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts