Avec à l’échelle française, l’adoption massive du télétravail, l’usage généralisé du paiement en ligne et des transactions dématérialisées, le contexte est plus que jamais propice aux cybermenaces et vulnérabilités numériques. Dans l’édition 2022 de son baromètre de la cybersésurité des entreprises, le CESIN constate une incidence des attaques de phishing chez 73% des entreprises françaises ayant répondu à son sondage. Face à l’accroissement des défis cyber, la Commission nationale de l’informatique et des libertés (CNIL) s’est attachée à abroger sa délibération du 19 janvier 2017 portant recommandations relatives à la sécurisation des mots de passe et autres secrets partagés.
Dans sa délibération n°2022-100 du 21 juillet 2022, publiée le 17 octobre dernier, la CNIL
Nouveauté majeure de 2022 : la CNIL encourage tout organisme ayant recours à une méthode d’authentification de ses utilisateurs par mots de passe, à définir une politique documentée de gestion de ceux-ci, validée par le responsable de traitement.
Il est aussi recommandé au responsable de traitement d’assurer une revue (au moins annuelle) des habilitations, de l’application de cette politique écrite et son maintien dans la durée.
Pour rappel, la recommandation 2017 de la CNIL prévoyait des exigences mimimum de robustesse des mots de passe en s’appuyant sur 4 cas d’usage définis.
La CNIL identifie trois cas d’authentification par mot de passe associés à des différents niveaux d’entropies, c’est-à-dire des niveaux d’imprédictabilité dans la composition du mot de passe à respecter.
La commission recommande au responsable de traitement :
La CNIL aborde, dans le cadre de sa nouvelle recommandation, les modalités à prévoir pour le renouvellement des mots de passe. Elle distingue ainsi selon que ce renouvellement soit à l’initiative du responsable de traitement ou sur demande de l’utilisateur. La commission recommande au responsable de traitement :
En 2022 cf. point 48 de la délibération, la CNIL préconise l’arrêt de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, contrairement à sa recommandation de 2017.
ILa CNIL explique que cette obligation n’avait qu’un impact limité sur la lutte contre la cybercriminalité : en pratique les utilisateurs classiques n’utilisaient qu’une version légèrement modifiée de leur mot de passe initial.
En revanche, le renouvellement périodique des mots de passe reste une nécessité pour les comptes utilisateurs à privilèges, c’est-à-dire ceux du type administrateurs et/ou utilisateurs avec des droits étendus. Le responsable de traitement devra définir une périodicité pertinente et raisonnable en fonction des risques (point 50 de la délibération 2022).
Si le renouvellement implique la communication d’une information celui-ci doit s’effectuer via un canal de transmission préalablement validé (adresse courriel ou numéro de téléphone déterminés en amont par l’utilisateur, par exemple en phase de création du compte utilisateur (point 59 de la délibération 2022).
Dès lors qu’il existe une suspicion de violation de son mot de passe, le responsable de traitement doit imposer à la personne concernée de le modifier lors de sa prochaine connexion (point 61 de la délibération 2022).
En cas d’atteinte à la sécurité susceptible d’engendrer une compromission des comptes utilisateurs, le responsable de traitement doit informer La personne concernée et lui permettre de renouveler son mot de passe sans délai.
ALCEES vous assiste pour implémenter ces nouveaux changements avec l’avantage de vous permettre d’attirer, puis de rassurer de nouveaux clients préoccupés par ces questions de sécurité.
ALCEES rappelle qu’en cas d’infraction de l’article 32 du RGPD relatif à la sécurisation des données à caractère personnel, la Commission peut prononcer des sanctions équivalentes à 4 % du chiffre d’affaires mondial de l’entreprise fautive, avec un plafond de 20 millions d’euros.
Par ailleurs, nous vous conseillons d’avoir recours à une authentification à double facteur lorsque cela est possible. Il est démontré que cette pratique contribue à réduire considérablement le risque de compromettre vos mots de passe ou qu’un tiers ne mette la main sur vos comptes.