Sécurité et mot de passe : respectez-vous les recommandations de la CNIL ?
Auteurs : Marine Vanhoucke, associée et Michela Navarra
L’art. 32 du RGPD impose une obligation de sécurité au responsable de traitement de données à caractère personnel. Une violation de cette obligation peut entrainer des sanctions allant jusqu’à 4% du chiffre d’affaires mondial ou 20 000 000€.
Selon la CNIL, en 2021, « 81% des notifications de violations de données mondiales seraient liées à la faiblesse des mots de passe » et 60% des notifications à la CNIL sont liées à un piratage.
Afin d’apporter un cadre plus adapté, la CNIL a récemment publié la Délibération n° 2022-100 relative aux mots de passe et autres secrets partagés. Les principales évolutions par rapport à sa précédente recommandation de 2017 sont les suivantes :
- La CNIL définissait précédemment les seuils de conformité en termes de nombre de caractères et de complexité du mot de passe. Désormais, elle s’appuie sur l’entropie, c’est-à-dire « la quantité de hasard contenue dans un système. Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité, et donc à sa capacité de résistance à une attaque par force brute ». Le responsable de traitement utilisant des mots de passe reposant sur une longueur et complexité équivalentes à une entropie de 80 bits.
- Sur cette base, la CNIL distingue 3 cas d’usage :
-
- l’authentification par mot de passe « simple » : niveau d’entropie exigé de 80 bits ;
- les mesures limitant les risques d’attaque en ligne sont mise en œuvre : niveau d’entropie exigé de 50 bits ;
- le code de déverrouillage d’un matériel : niveau d’entropie exigé de 13 bits.
- Suppression de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques. Le renouvellement reste nécessaire pour les comptes à « privilèges », c’est-à-dire ceux du type d’administrateur et/ou avec des droits étendus.
- Les entreprises devront mettre en place des règles précises, sous forme de bonnes pratiques, concernant la création et le renouvellement des mots de passe afin de remplir leur obligation de sécurité.
Pour consulter ladite délibération en référence : cliquez ici.
La CNIL rappelle que cette recommandation n’a pas de caractère normatif, mais précise que « les exigences techniques et organisationnelles minimales » ainsi identifiées correspondent à l’état de l’art. Cela signifie qu’elle vérifiera le respect de ces exigences lors des contrôles et que leur non-respect entraînera des sanctions.
Marine Vanhoucke
Associée
Marine Vanhoucke conseille les entreprises en matière de Propriété Intellectuelle et les accompagne sur leurs sujets de Conformité.
Responsable du bureau de Hong Kong, elle assiste les sociétés françaises dans leur implantation et croissance en Asie et a construit une expertise des questions juridiques de droit international, mêlant notamment des intérêts français et asiatiques.