Avec à l’échelle française, l’adoption massive du télétravail, l’usage généralisé du paiement en ligne et des transactions dématérialisées, le contexte est plus que jamais propice aux cybermenaces et vulnérabilités numériques. Dans l’édition 2022 de son baromètre de la cybersésurité des entreprises, le CESIN constate une incidence des attaques de phishing chez 73% des entreprises françaises ayant répondu à son sondage. Face à l’accroissement des défis cyber, la Commission nationale de l’informatique et des libertés (CNIL) s’est attachée à abroger sa délibération du 19 janvier 2017 portant recommandations relatives à la sécurisation des mots de passe et autres secrets partagés. 

Changements au 17 octobre 2022 de la position de la CNIL concernant la sécurisation des mots de passe dans les entreprises.

Histoire juridique : revenons sur quelques dates clés

• 17 octobre 2022 : entrée en application
• 16 octobre 2022 : publication au Journal Officiel de la Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés, et abrogeant la délibération n°2017-012 du 19 janvier 2017
• 21 octobre 2021 – 10 décembre 2021 : phase de consultation publique
• octobre 2021 : sortie du Guide ANSSI Recommandations relatives à l’authentification multi-facteur et aux mots de passe
• Délibération n°2017-012 du 19 janvier 2017

Dans sa délibération n°2022-100 du 21 juillet 2022, publiée le 17 octobre dernier, la CNIL

Une gouvernance des mots de passe à formaliser

Nouveauté majeure de 2022 : la CNIL encourage tout organisme ayant recours à une méthode d’authentification de ses utilisateurs par mots de passe, à définir une politique documentée de gestion de ceux-ci, validée par le responsable de traitement.

Il est aussi recommandé au responsable de traitement d’assurer une revue (au moins annuelle) des habilitations, de l’application de cette politique écrite et son maintien dans la durée.

Authentification par mot de passe robuste : des exigences minimum selon 3 cas d’usages contre 4 en 2017

Pour rappel, la recommandation 2017 de la CNIL prévoyait des exigences mimimum de robustesse des mots de passe en s’appuyant sur 4 cas d’usage définis.

Création des mots de passe : les précautions à prendre

Intégration du critère d’entropie

La CNIL  identifie trois cas d’authentification par mot de passe associés à des différents niveaux d’entropies, c’est-à-dire des niveaux d’imprédictabilité dans la composition du mot de passe à respecter.

Conservation des mots de passe : les règles majeures à respecter

 La commission recommande au responsable de traitement :

• De ne jamais stocker un mot de passe en clair (celui-ci doit être préalablement transformé à l’aide d’une fonction cryptographique spécialisée, non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé);
• D’avoir recours aux protocoles d’échange de clé authentifié par mot de passe (PAKE -Password Authenticated Key Exchange) permettant une verification sans révélation du mot de passe dans les serveurs d’authentification.

Renouvellement des mots de passe : les principales évolutions à décliner

La CNIL aborde, dans le cadre de sa nouvelle recommandation, les modalités à prévoir pour le renouvellement des mots de passe. Elle distingue ainsi selon que ce renouvellement soit à l’initiative du responsable de traitement ou sur demande de l’utilisateur. La commission recommande au responsable de traitement :

❌ Arrêt du renouvellement périodique

En 2022 cf. point 48 de la délibération, la CNIL préconise l’arrêt de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, contrairement à sa recommandation de 2017.

ILa CNIL explique que cette obligation n’avait qu’un impact limité sur la lutte contre la cybercriminalité : en pratique les utilisateurs classiques n’utilisaient qu’une version légèrement modifiée de leur mot de passe initial.

En revanche, le renouvellement périodique des mots de passe reste une nécessité pour les comptes utilisateurs à privilèges, c’est-à-dire ceux du type administrateurs et/ou utilisateurs avec des droits étendus. Le responsable de traitement devra définir une périodicité pertinente et raisonnable en fonction des risques (point 50 de la délibération 2022).

Renouvellement sur demande de l’utilisateur : les modalités à prévoir

Si le renouvellement implique la communication d’une information celui-ci doit s’effectuer via un canal de transmission préalablement validé (adresse courriel ou numéro de téléphone déterminés en amont par l’utilisateur, par exemple en phase de création du compte utilisateur (point 59 de la délibération 2022).

Dès lors qu’il existe une suspicion de violation de son mot de passe, le responsable de traitement doit imposer à la personne concernée de le modifier lors de sa prochaine connexion (point 61 de la délibération 2022).

Renouvellement en cas de compromission

En cas d’atteinte à la sécurité susceptible d’engendrer une compromission des comptes utilisateurs, le responsable de traitement doit informer La personne concernée et lui permettre de renouveler son mot de passe sans délai.

Que pouvons-nous faire pour vous ?

ALCEES vous assiste pour implémenter ces nouveaux changements avec l’avantage de vous permettre d’attirer, puis de rassurer de nouveaux clients préoccupés par ces questions de sécurité.

ALCEES rappelle qu’en cas d’infraction de l’article 32 du RGPD relatif à la sécurisation des données à caractère personnel,  la Commission peut prononcer des sanctions équivalentes à 4 % du chiffre d’affaires mondial de l’entreprise fautive, avec un plafond de 20 millions d’euros.

Par ailleurs, nous vous conseillons d’avoir recours à une authentification à double facteur lorsque cela est possible. Il est démontré que cette pratique contribue à réduire considérablement le risque de compromettre vos mots de passe ou qu’un tiers ne mette la main sur vos comptes.