Nous suivre
Illustration : cnil, mot de passe

Sécurité mot de passe

La CNIL livre les bonnes pratiques pour les entreprises

L'accès sécurisé par mot de passe garantit une meilleure protection des données de l'entreprise. Suivez ce guide de la CNIL pour la construction d'un bon mot de passe.

De nombreuses attaques informatiques ont été recensées ces dernières années entraînant des fuites de données importantes. Des bases de données de comptes et des mots de passe associés sont compromis, d'où l'importance de bien choisir son mot de passe.

Entre 4 à 12 caractères

La CNIL s'adresse aux professionnels afin de proposer un ensemble de lignes directrices en fonction des différents scénarios d’authentifications. Les conseils de la commission varient en fonction des différentes implémentations d’authentification envisagée. Pour un système qui repose sur un couple sur identifiant/mot de passe pour l’authentification, elle préconise des mots de passe d’au moins douze caractères incluant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Dans le cas de mesures techniques permettant la restriction de l’accès au compte après plusieurs échecs, le nombre de caractères minimal peut ainsi être abaissé à 8. Si l'adresse IP de la machine pour se connecter est prise en compte, le seuil diminue à 5 caractères. Le mot de passe peut-être réduit à 4 caractères si l’authentification a recours à une clef matérielle.

Les principes de base à appliquer

En ce qui concerne les modalités d’authentification et de conservation des mots de passe, la CNIL rappelle les principes de base à appliquer. Pour limiter les dégâts en cas de vol de la base de données contenant les mots de passe, la commission insiste sur le chiffrement des mots de passe stockés, le chiffrement des échanges entre serveur et client ou encore le recours aux techniques de salage. "La commission recommande que le responsable de traitement notifie la personne concernée quand une violation de son mot de passe ou de données liées au renouvellement a été détectée, dans un délai n'excédant pas 72 heures depuis la constatation de la violation", est-il indiqué sur le site de CNIL.  

Ces différentes dispositions sont destinées aux entreprises pour mieux les accompagner dans l’application de l’article 34 de la loi Informatique & Libertés relatifs à la sécurité. Le service de presse de la CNIL a précisé qu'il s'agit uniquement d'un socle de base. En revanche, les entreprises ont la possibilité de mettre en place d'autres mesures de sécurité, mais pas en deçà.

En ce moment sur le bouquet Zeop