LA GESTION DES MOTS DE PASSE REVUE PAR LA CNIL !

LA GESTION DES MOTS DE PASSE REVUE PAR LA CNIL !

  • On 23 mars 2018

Lorsque l’on pense « moyen d’authentification », on pense forcément « mots de passe » ! Et pourtant, selon la CNIL, cette méthode d’authentification serait peu fiable et nécessiterait donc que de nouvelles règles soient fixées afin d’éliminer tout risque de compromission.

C’est chose faite depuis le 19 janvier 2017, date à laquelle la CNIL a adopté une nouvelle recommandation imposant les règles minimales à respecter pour préserver la sécurité des données.

 

Que préconise la CNIL en matière de mots de passe ? :

Les premières exigences mises en avant concernent la taille et la complexité du mot de passe et ces exigences dépendent des mesures complémentaires mises en place pour assurer le niveau de sécurité. En effet, lorsque l’authentification ne se fait que par un mot de passe seul, il doit être long (12 caractères minimum) et complexe (composé de majuscules + minuscules + chiffres + caractères spéciaux). S’il y a restriction d’accès, si une information complémentaire est requise ou si un matériel est nécessaire à l’authentification, la longueur et la complexité du mot de passe peuvent diminuer.

Ensuite, lorsque l’authentification se fait à distance, le serveur doit être identifié au moyen d’un certificat d’authentification et le canal de communication entre le serveur et le client doit être chiffré à l’aide d’un algorithme public réputé non vulnérable.

Les mots de passe ne doivent jamais être stockés en clair mais doivent être cryptés de façon non-réversible et sûre, au moyen d’un sel ou d’une clé. Les mots de passe ne seront jamais non plus communiqués en clair par courrier électronique.

Et même si après avoir suivi ces recommandations et en ayant donc un mot de passe robuste, il sera quand-même nécessaire d’imposer un renouvellement périodique, à adapter en fonction de sa complexité et des données traitées. L’utilisateur doit aussi pouvoir changer lui-même son mot de passe ou en demander le renouvellement.

Enfin l’utilisateur devra être notifié de toute violation détectée de son mot de passe dans les 72 heures maximum. Le responsable de traitement devra alors lui demander de changer son mot de passe dès sa prochaine connexion, ainsi que les mots de passe identiques utilisés pour d’autres services.

 

Mon logiciel de gestion des congés est-il conforme à ces recommandations ? :

Le portail oHRis Congés d’OS Concept permet de mettre en œuvre une politique de gestion des mots de passe complètement conforme à ces recommandations. Comment ?

  • En sécurisant drastiquement les mécanismes de réinitialisation des mots de passe et en instaurant des délais très courts dans la réalisation des étapes de réinitialisation (durée de vie des liens par exemple),
  • En intégrant un mécanisme de paramétrage qui définit la complexité requise des mots de passe,
  • En intégrant au paramétrage la notion d’obligation de renouvellement des mots de passe. Par défaut, OS CONCEPT impose un renouvellement tous les 6 mois,
  • En choisissant de crypter les mots de passe avec un algorithme non-réversible et d’utiliser un système de salage réduisant considérablement tous risques de compromission.