FR / EN

Nouvelle recommandation de la CNIL sur les mots de passe dans le cadre du traitement de données à caractère personnel

Retour aux articles du blog

La CNIL vient de mettre à jour sa recommandation de 2017 avec comme objectif de définir les exigences techniques et organisationnelles pour les authentifications par mots d passe ou par tout autre secret partagé pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification dans le cadre du traitement de données à caractère personnel.

 

Comme l’indique la CNIL dans sa communication « d’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe. »

 

C’est pourquoi, dans un contexte de menace accrue sur la sécurité des données, la CNIL a mis à jour sa recommandation de 2017.

 

Les dispositions contenues dans cette recommandation n’ont pas un caractère normatif néanmoins, elles présentent l’état de l’art et poursuive l’objectif de permettre à tout responsable de traitement de connaître ce référentiel minimal afin d’être ne conformité avec l’article 32 du RGPD.

 

Pour lire la nouvelle recommandation, c’est par ici.

 

Par rapport à la précédente recommandation de 2017, la nouvelle recommandation apporte notamment les modifications suivantes :

 

  • Les recommandations visent le degré de complexité du mot de passe (l’entropie) et non une longueur minimale, afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.

 

  • Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).

 

  • L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).

 

  • L’introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.

 

  • Des précisions sur les règles concernant la création et le renouvellement de mots de passe pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).

 

Il appartient dès lors aux responsables de traitement de se mettre en conformité à l’état de l’art en matière d’authentification par mot de passe sauf à prendre le risque d’un contrôle de la CNIL, sur la base d’une plainte reçue ou de la propre initiative de la CNIL, et de s’exposer aux sanctions corrélatives au titre de manquements au RGPD pouvant aller jusqu’à 4 % du chiffre d’affaires mondial ou 20 000 000 €.

 

A cet égard, les manquements relatifs aux politiques de mots de passe faisaient partie des manquements les plus souvent constatés lors des contrôles réalisés par la CNIL en 2021. La vigilance est donc de mise !

 

Par Cynthia Picart


17/10/22

Share on twitter
Twitter
Share on linkedin
Linkedin
Share on email
Email
Share on print
Print
s’inscrire à la newsletter