Mots de passe : ouverture d’une consultation publique sur la nouvelle recommandation de la CNIL

21 octobre 2021

Le mot de passe reste la méthode d’authentification la plus répandue. La CNIL met à jour sa recommandation de 2017 sur les mots de passe pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal. Cette nouvelle version est soumise à consultation publique jusqu’au 10 décembre 2021.

consultation

L’accès à de nombreux services numériques reste conditionné à l’utilisation de mots de passe. C’est pourquoi, dans un contexte de menace accrue sur la sécurité des données, la CNIL met à jour sa précédente recommandation de 2017 afin de permettre aux professionnels et aux particuliers de disposer d’outils pratiques et à l’état de l’art.

En effet, au cours des quatre dernières années, les précédentes recommandations de la CNIL ont été a de multiples reprises confrontées à des situations d’usage concrètes et éprouvées par un grand nombre de professionnels. La CNIL dispose désormais d’un recul lui permettant de renouveler ses recommandations, en redéfinissant les mesures de base constituant le socle minimal applicable à l’ensemble des organismes afin de prendre en compte l’évolution de l’état des connaissances.

Ce projet de recommandation est aujourd’hui soumis à consultation sur le site de la CNIL jusqu’au 10 décembre 2021.

Cette consultation doit permettre au plus grand nombre de contribuer aux travaux de la CNIL sur le mode d’authentification utilisé au quotidien. En effet, l’authentification par mot de passe présente l’avantage de pouvoir être mise en œuvre sans coût particulier pour les organismes et sans matériel spécifique dédié. Elle concentre cependant de nombreuses problématiques de sécurité pour être véritablement efficace et sûre.

D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liés à une problématique de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liés à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.

Quels sont les risques liés à une mauvaise gestion des mots de passe ?

Pour rappel, une mauvaise gestion des mots de passe fait courir des risques aux utilisateurs sur leurs données personnelles.

 Mots de passe : les risques identifiés au cours de son cycle de vie

Quel est l’objet de la recommandation soumise à consultation publique ?

Instrument de régulation « souple », cette recommandation a vocation à donner aux professionnels, en fonction de leur situation, les mesures de sécurité minimales en matière d’authentification par mot de passe (complexité, conservation, renouvellement, etc.) lorsque ces derniers utilisent cette méthode pour l’accès à des données personnelles.

Le projet de recommandation traite à la fois les questions de politique générale de gestion des mots de passe et les modalités opérationnelles liées à l’utilisation des mots de passe. La CNIL y décline des conseils opérationnels en passant en revue différents cas d’usage. Sont également abordées les modalités de conservation et de renouvellement des mots de passe.

Par rapport à la précédente recommandation de 2017, ce nouveau projet apporte notamment les modifications suivantes :

  • la définition d’une règle fondée sur le degré d’imprédictibilité d’un mot de passe (l’entropie) et non sur la longueur minimale de mot de passe, pour permettre une mise en place plus libre de politiques de mots de passe robustes ;
  • l’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus) ;
  • l’introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque ;
  • la précision de règles concernant la création et le renouvellement de mots de passe pour garantir une sécurité tout au long du cycle de vie sous forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).

Qui peut participer à la consultation publique ?

La CNIL souhaite permettre au plus grand nombre de s’exprimer sur les travaux réalisés : tous les acteurs (publics, privés ou du secteur associatif) concernés par la recommandation peuvent faire part de leurs observations, qu’ils soient ou non professionnels de la sécurité des systèmes d’information.

Quel est le calendrier de la consultation ?

Nous vous invitons à nous faire part de votre avis sur le projet de recommandation avant le 10 décembre 2021.

Les contributions seront analysées à l’issue de la consultation, pour permettre la publication de la recommandation définitive par la CNIL, sur son site web, en début d’année 2022.

Contribuer à la consultation

Les mots clés associés à cet article