C’est une importante publication que nous propose la CNIL depuis le 17 octobre dernier. En effet, à la suite d’une délibération en juillet dernier adoptant cette nouvelle recommandation et abrogeant l’ancienne délibération de 2017 sur les mots de passe ; elle la publie ce mois-ci dans un communiqué accompagné d’outils pratiques pour s’adapter à ses nouveaux conseils.
Malgré le fait qu’elle reconnaisse et recommande les solutions d’authentification forte ou à plusieurs facteurs, fournissant une meilleure protection, le mot de passe est le moyen d’authentification le plus répandu et le plus faible au niveau sécurité.
C’est dans un contexte de menaces accrues sur la sécurité des données, que la CNIL a estimé nécessaire une actualisation de sa recommandation de 2017 avec l’aide précieuse des professionnels et des particuliers de par la consultation publique analysée pour cette nouvelle recommandation.
Dans son communiqué, la CNIL exprime clairement les changements notables par rapport à la recommandation de 2017, en effet, les évolutions suivantes sont à noter :
-la complexité du mot de passe repose sur son « entropie » et non plus sur sa longueur;
-le retrait du cas d’usage : une information secrète pour diminuer les exigences de sécurité sur le mot de passe;
-l’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (les comptes privilèges ou administrateurs, y restent soumis) ;
-la rédaction d’une liste de mots de passe complexes à éviter car connus ;
-des bonnes pratiques sur les règles de création et de renouvellement pour garantir un niveau de sécurité fiable et pérenne.
La CNIL développe ensuite sa stratégie actuelle et future quant à l’authentification. D’abord, elle définit et développe « l’entropie » actuelle, c’est-à-dire « la quantité de hasard » ou « son degré d’imprédictibilité théorique ».
Puis, elle définit et développe la notion future de « devinabilité » relative à une nouvelle approche pour déterminer la robustesse d’un mot de passe en évaluant dynamiquement la résistance de celui-ci et non le respect de la politique de mots de passe mise en place.
Enfin, même si cette recommandation n’est pas une norme, la CNIL rappelle qu’elle correspond à l’état de l’art sur lequel le responsable de traitement peut s’appuyer quand il utilise et met en place une authentification par mot de passe.
Ainsi, elle recommande également d’autres mécanismes plus sécurisés comme l’authentification à double facteur ou les certificats électroniques. En tout état de cause, la CNIL recommande le guide de l’ANSSI sur ce sujet, grâce auquel elle peut proposer un tableau de correspondance avec sa propre recommandation.
Consultez ici l’intégralité de l’article et les outils de la CNIL : Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité ; délibération n°2022-100 du 21 juillet 2022 ; Recommandation de la CNIL sur les mdp – tableau de correspondance ; Recommandations relatives à l’authentification multifacteur et aux mots de passe (ANSSI)
Pour mémoire et dans la droite ligne de ce que prévoit la notice décrivant le cadre de gestion des risques TIC, la dernière version de la notice RSR/SFCR de l’ACPR de décembre 2024 précise en effet les éléments relatifs à DORA que les organismes d’assurance relevant du régime S2 sont désormais tenus de faire figurer […]
Le Gouvernement dit ne pas vouloir abandonner son projet ; les OCAM font front commun et lèvent haut et fort leur bouclier ! Le Gouvernement demeure en effet résolu à instaurer une « contribution » mise à la charge des OCAM, destinée dit-il à générer 1 Milliard d’euros en compensation du projet abandonné d’augmentation du […]
Le 14 mars dernier, l’ACPR a tenu à la Maison du Barreau sa matinée dédiée à la protection des clientèles des banques et des assurances, l’occasion pour elle de revenir sur certains sujets tels que la distribution des contrats obsèques, sa dernière recommandation sur le devoir de conseil en assurance, ou encore les bonnes pratiques […]
