Mots de passe et autres secrets partagés : adoption par la CNIL d'une nouvelle recommandation
La CNIL a adopté une nouvelle recommandation ayant pour objectif de définir les exigences techniques et organisationnelles minimales pour les authentifications par mot de passe ou par tout autre secret non partagé (à l'exception des clés et secrets cryptographiques) mis en œuvre dans le cadre de traitements de données à caractère personnel. Celle-ci constitue une mise à jour de son référentiel technique destiné à apporter un niveau de sécurité minimal, en cohérence avec les bonnes pratiques de sécurité et concrètement applicable.
Les dispositions de cette recommandation, qui n'ont pas un caractère normatif, correspondent à l'état de l'art auquel tout responsable de traitement devrait se conformer, a minima, pour satisfaire aux obligations de l'
Les acteurs peuvent mettre en œuvre d'autres mesures de sécurité que celles décrites dans cette recommandation s'ils sont en capacité de montrer qu'elles garantissent un niveau de sécurité au moins équivalent. La Commission a notamment toujours considéré que d'autres moyens d'authentification, comme par exemple l'authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le seul mot de passe.
Pour aller plus loin et, notamment, déterminer les mesures nécessaires à mettre en œuvre dans le cas où le niveau minimal décrit est insuffisant, cette recommandation sera utilement complétée par le guide de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) intitulé « Recommandations relatives à l'authentification multifacteur et aux mots de passe ».
• Pour obtenir davantage de précisions sur cette nouvelle recommandation de la CNIL, cliquez ici.