Cet article est issu du journal en ligne actuEL Direction Juridique.

Pour tester gratuitement actuEL Direction Juridique pendant 2 semaines, cliquez ici.

« 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe », selon une étude de Verizon parue l’an dernier. En France, « environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage », parmi lesquelles un grand nombre « aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe », soutient la CNIL. Un constat inquiétant, qui a conduit la Commission à produire une nouvelle recommandation sur les politiques de mots de passe, la dernière datant de 2017. Elle a été publiée dimanche au Journal officiel. On fait le point sur les principales évolutions que les entreprises doivent connaître.

Viser le degré de complexité du mot de passe et non une longueur minimale

Quelle est la force obligatoire de cette recommandation ? La CNIL le rappelle : il ne s’agit pas d’une « norme » mais elle « correspond à l’état de l’art sur lequel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du RGPD » lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles. Et elle prévient : si d’autres mesures de sécurité que celles décrites dans la recommandation sont mises en œuvre, le responsable de traitement devra être en capacité de « démontrer qu’elles garantissent un niveau de sécurité au moins équivalent ».

Parmi les changements à retenir, la CNIL recommande tout d’abord de viser « le degré de complexité du mot de passe (l’entropie) et non une longueur minimale ».

Auparavant, dans sa recommandation de 2017, la CNIL recommandait aux responsables de traitement de définir des seuils en termes de nombre de caractères et de complexité de chaque mot de passe. Désormais, elle considère que la politique de mots de passe doit reposer sur son degré d’imprédictibilité théorique, « et donc à sa capacité de résistance à une attaque par force brute ».

La Commission donne 3 exemples équivalents en termes d’entropie qui répondent à ses préconisations :
• les mots de passe doivent être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles ;
• les mots de passe doivent être composés d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire ;
• une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.

Forcer l’utilisateur à changer son mot de passe à une fréquence régulière, c’est fini

Fini ensuite le renouvellement périodique des mots de passe, tout du moins pour les comptes utilisateurs classiques. La CNIL rejoint la position de l’ANSSI de 2021 et reconnaît que la mise en place de telles procédures n’est plus pertinente. « De plus en plus d’études démontrent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas une mesure réellement efficace », note-t-elle. Les utilisateurs se sont en effet adaptés à ces contraintes en adoptant des stratégies qui « abaissent le niveau de sécurité effectif » : par exemple, utiliser « une version légèrement modifiée de leur mot de passe précédent, en ajoutant un chiffre à la fin ».

La CNIL recommande donc désormais de réserver le renouvellement périodique des mots de passe uniquement aux comptes d’administration.

« Les manquements relatifs aux politiques de mots de passe faisaient partie des manquements les plus souvent constatés » par la CNIL lors de ses contrôles réalisés l’an dernier, rappelle-t-elle. Vigilance donc : « en cas de manquements graves aux principes de sécurité », le responsable de traitement encourra des sanctions allant jusqu’à 4 % du chiffre d’affaires mondial ou 20 000 000 € », prévient la Commission.

Par Leslie Brassac, Journaliste juridique

Cet article est issu du journal en ligne actuEL Direction Juridique.

Pour tester gratuitement actuEL Direction Juridique pendant 2 semaines, cliquez ici.