Alcees : Cabinet de conseil & Organisme de formation

Selon le baromètre de la cyber-sécruité des entreprises mené par CESIN en Janvier 2022, 73 % des entreprises sondées déclarent avoir subi au moins une attaque de phishing en 2021. Plus que jamais, la cybersécurité des mots de passe est une préoccupation croissante pour les organismes de toutes tailles. Pour cette raison, il est essentiel de comprendre les nouvelles recommandations posées par la CNIL aux responsables de traitements dans les entreprises. Aucune obligation à se conformer à ces nouvelles orientations. Cependant, pour garantir un niveau de sécurité minimal acceptable pour cette méthode d'authentification, l'équipe Alcees vous y encourage fortement.

Partager cet article

Avec à l’échelle française, l’adoption massive du télétravail, l’usage généralisé du paiement en ligne et des transactions dématérialisées, le contexte est plus que jamais propice aux cybermenaces et vulnérabilités numériques. Dans l’édition 2022 de son baromètre de la cybersésurité des entreprises, le CESIN constate une incidence des attaques de phishing chez 73% des entreprises françaises ayant répondu à son sondage. Face à l’accroissement des défis cyber, la Commission nationale de l’informatique et des libertés (CNIL) s’est attachée à abroger sa délibération du 19 janvier 2017 portant recommandations relatives à la sécurisation des mots de passe et autres secrets partagés. 

Changements au 17 octobre 2022 des recommandations de la CNIL concernant la sécurisation des mots de passe dans les entreprises.


Histoire juridique : revenons sur quelques dates clés

  • 17 octobre 2022 : entrée en application
  • 16 octobre 2022 : publication au Journal Officiel de la Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés, et abrogeant la délibération n°2017-012 du 19 janvier 2017
  • 21 octobre 2021 – 10 décembre 2021 : phase de consultation publique
  • octobre 2021 : sortie du Guide ANSSI Recommandations relatives à l’authentification multi-facteur et aux mots de passe
  • Délibération n°2017-012 du 19 janvier 2017

Les nouvelles mesures à prendre lors de la création des mots de passe

Intégration du critère d'entropie

La CNIL  identifie trois cas d’authentification par mot de passe associés à des différents niveaux d’entropies, c’est-à-dire des niveaux d’imprédictabilité dans la composition du mot de passe à respecter.

 

Les règles de conservation des mots de passe à respecter

 La commission recommande au responsable de traitement :

 

Renouvellement des mots de passe : les principales évolutions à décliner

La CNIL aborde, dans le cadre de sa nouvelle recommandation, les modalités à prévoir pour le renouvellement des mots de passe. Elle distingue ainsi selon que ce renouvellement soit à l’initiative du responsable de traitement ou sur demande de l’utilisateur. La commission recommande au responsable de traitement :

 

❌ Arrêt du renouvellement périodique

En 2022 cf. point 48 de la délibération, la CNIL préconise l’arrêt de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, contrairement à sa recommandation de 2017.

ILa CNIL explique que cette obligation n’avait qu’un impact limité sur la lutte contre la cybercriminalité : en pratique les utilisateurs classiques n’utilisaient qu’une version légèrement modifiée de leur mot de passe initial.

En revanche, le renouvellement périodique des mots de passe reste une nécessité pour les comptes utilisateurs à privilèges, c’est-à-dire ceux du type administrateurs et/ou utilisateurs avec des droits étendus. Le responsable de traitement devra définir une périodicité pertinente et raisonnable en fonction des risques (point 50 de la délibération 2022).

 

🌡️Renouvellement sur demande de l'utilisateur : les modalités à prévoir

Si le renouvellement implique la communication d’une information celui-ci doit s’effectuer via un canal de transmission préalablement validé (adresse courriel ou numéro de téléphone déterminés en amont par l’utilisateur, par exemple en phase de création du compte utilisateur (point 59 de la délibération 2022).

Dès lors qu’il existe une suspicion de violation de son mot de passe, le responsable de traitement doit imposer à la personne concernée de le modifier lors de sa prochaine connexion (point 61 de la délibération 2022).

🌡️ Renouvellement en cas de compromission

En cas d’atteinte à la sécurité susceptible d’engendrer une compromission des comptes utilisateurs, le responsable de traitement doit informer La personne concernée et lui permettre de renouveler son mot de passe sans délai.

Que pouvons-nous faire pour vous ?

ALCEES vous assiste pour implémenter ces nouveaux changements avec l’avantage de vous permettre d’attirer, puis de rassurer de nouveaux clients préoccupés par ces questions de sécurité.

ALCEES rappelle qu’en cas d’infraction de l’article 32 du RGPD relatif à la sécurisation des données à caractère personnel,  la Commission peut prononcer des sanctions équivalentes à 4 % du chiffre d’affaires mondial de l’entreprise fautive, avec un plafond de 20 millions d’euros.

Par ailleurs, nous vous conseillons d’avoir recours à une authentification à double facteur lorsque cela est possible. Il est démontré que cette pratique contribue à réduire considérablement le risque de compromettre vos mots de passe ou qu’un tiers ne mette la main sur vos comptes.

Nos derniers articles