Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 422

RECOMMANDATIONS
PRATIQUES DE GESTION
DES MOTS DE PASSE
Il est nécessaire de distinguer deux
types d'accès :
■ d'une part les accès de responsables de traitements à leurs espaces
de travail (concerne la majorité du
temps les accès de salariés) ;
■ d'autre part, les accès de clients
aux services d'un responsable de
traitement (concerne la majorité du
temps les comptes clients).
Les salariés vont bien souvent avoir
accès à des back-office dans lesquels
un grand nombre de données à
caractère personnel sont accessibles
(données des bases clients, prospects,
RH, etc.). Les clients vont, quant à
eux, avoir accès à un simple compte
personnel dans lequel leurs seules
données à caractère personnel sont
présentes.
Les règles de sécurité incombant à ces
deux populations vont être distinctes
compte tenu du niveau de risque
résultant de la violation respective de
l'un de ces accès.

Règles de sécurisation des
mots de passe salariés
Tout responsable de traitement doit
conserver à l'esprit que les règles figurant ci-dessous constituent des bonnes
pratiques devant être respectées a
minima. La Cnil est susceptible, en
vertu du principe de proportionnalité,
d'exiger des mesures de sécurisation
plus poussées pour les responsables
mettant notamment en œuvre des traitements de données sensibles.

Chiffrement du canal
de communication
A titre d'exemple, si l'accès au back
office est réalisé pour certains salariés par internet, il conviendra que la
page d'authentification soit en HTTPS.
Attention, tous les protocoles de transfert hypertexte sécurisés (HTTPS) ne
se valent pas pour autant. En effet,
certains sont considérés comme obsolètes notamment lorsqu'ils utilisent des
certificats basés sur des algorithmes
dépassés à l'instar du SHA-1.

422

Afin de sécuriser les accès distants,
particulièrement développés lorsque
l'entreprise dispose de chaînes
de magasins physiques, d'autres
mesures de sécurité peuvent être
imaginées, comme par exemple la
limitation de connexion à partir de
certaines plages d'IP prédéfinies ou
le blocage du compte salarié après X
tentatives de connexion échouées.

Création de mots de passe
robustes
C'est l'un des critères de non-conformité qui est régulièrement mis en
avant par la Cnil dans le cadre de
ses délibérations. La robustesse d'un
mot de passe se définit selon différents
critères parmi lesquels on retrouve
notamment la taille du mot de passe,
le nombre de caractères et de chiffres
obligatoires qu'il doit contenir, la
concordance éventuelle du mot de
passe avec un mot du dictionnaire ou
avec une suite de caractères fréquemment utilisée (type azerty123456).
C'est la combinaison de l'ensemble de
ces critères qui va permettre de définir
la force d'un mot de passe.
Afin de garantir l'utilisation par les
salariés de mots de passe robustes,
le système informatique doit imposer
l'usage de mots de passe répondant
à des critères prédéfinis. Un compromis doit être trouvé entre un excès
de sécurité engendrant des mots de
passe trop complexes à retenir et leur
potentielle inscription sur des post-it
volatiles par des salariés, et un zèle de
sécurité sans critère minimum dans
leur composition.
Un outil mis en ligne gratuitement
par l'Anssi permet à tout responsable de traitement de pouvoir juger
efficacement quelles règles de mots
de passesaboutissent à sa robustesse : http://www.ssi.gouv.fr/administration/precautions-elementaires/
calculer-la-force-dun-mot-de-passe/
Compte-tenu
de
ces
différents
éléments, il peut être recommandé les
critères suivants :
■ 12 caractères minimum,
■ dont au moins 1 chiffre, 1 majuscule, 1 minuscule et 1 caractère
spécial.

EXPERTISES DÉCEMBRE 2015

Néanmoins, après application de ces
seuls critères, le mot de passe reste
tout de même considéré comme étant
faible par l'Anssi. Cela constitue pour
l'Agence une taille minimale recommandée pour des mots de passe ergonomiques ou utilisés de façon locale.
Afin de complexifier ce mot de passe
tout en limitant sa contrainte d'utilisation par les salariés, il est recommandé de lui appliquer les critères cumulatifs suivants :
■ pas plus de 3 caractères
identiques ;
■ interdiction d'utiliser une liste
de mots prédéfinie par l'administrateur (mots du dictionnaire + suite de
caractères fréquemment utilisée type
azertyuiop).
Les mesures de robustesse sont
considérées par la Cnil comme des
mesures de sécurité élémentaires.
Elle eut l'occasion de l'affirmer dans
une délibération de 20147 prononçant
une sanction pécuniaire à l'encontre
de la Fédération française d'athlétisme notamment pour un manque
de robustesse dans les mots de passe
permettant l'accès à son système
d'information.
Dans une délibération antérieure de
20138, elle avait par ailleurs considéré que l'utilisation de mots de passe
composés pour la plupart d'une
suite de cinq caractères (qui correspondaient pour certains au nom ou
prénom des salariés) couplé à un
non-renouvellement de ceux-ci ne
permettait pas d'assurer une sécurité suffisante. Elle a à cette occasion
déclaré que « la brièveté des mots de
passe, leur déductibilité, leur simplicité et l'absence de renouvellement
font encourir un risque certain aux
données traitées ».
La Cnil considère par ailleurs que la
mise en place de critères de robustesse
de mots de passe ne présente « pas un
caractère de complexité important,
[...] (qu') un simple manque de compétence ne suffit pas à justifier l'inaction
de la société (en la matière)(9) ». En effet,
la Cnil ne distingue pas les responsables de traitements ayant ou non
une activité liée à l'informatique et in
fine, une compétence informatique : la


http://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/ http://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408

Couverture
Sommaire
MAGAZINE - COOKIES FACEBOOK INTERDIT DE TRACER LES BELGES NON-MEMBRES
INTERVIEW - DOMINIQUE CARDON : PRIVATISER LA VIE PRIVÉE
DOCTRINE
JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - MAGAZINE - COOKIES FACEBOOK INTERDIT DE TRACER LES BELGES NON-MEMBRES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 410
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 411
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 412
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 413
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 414
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - INTERVIEW - DOMINIQUE CARDON : PRIVATISER LA VIE PRIVÉE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 416
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 417
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 418
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 419
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 420
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - DOCTRINE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 422
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 423
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 424
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 425
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 426
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 427
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 428
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 429
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 430
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 431
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 432
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 433
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 434
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 435
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 436
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 437
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 438
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 439
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 441
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 442
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 443
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 444
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 445
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com