Mise en avant par le RGPD (Règlement Général sur la Protection des Données), l’authentification des utilisateurs est un facteur essentiel de la sécurité informatique. En effet, les portes d’accès aux réseaux numériques des entreprises sont nombreuses : ordinateurs, tablettes, smartphones, cloud, etc. Tous ces éléments peuvent être à l’origine d’un acte malveillant tel le piratage de données ou l’intrusion d’un virus. L’utilisation systématisée du Wi-Fi et la croissance du télétravail contribuent aussi à accroître le risque sur la protection des données. Si l’emploi d’un identifiant propre avec mot de passe est le plus répandu, d’autres mesures rigoureuses devront être appliquées pour parvenir à un niveau de sécurité optimal. Nous allons vous les résumer.
Authentification des utilisateurs : la gestion des mots de passe
Les risques associés aux mots de passe
Les détails de mesures préventives pour authentifier les accès devront être définis par le responsable informatique dans des procédures accessibles à tous. Les principales vulnérabilités qui pèsent sur les mots de passe sont :
- une trop grande simplicité ;
- un piratage pour les détecter (incluant l’observation lors de la saisie) ;
- une lacune dans les moyens de mémorisation (trace papier notamment) ;
- un non-renouvellement régulier (au moins biannuel) ;
- une faiblesse des modalités en cas d’oubli (question secrète par exemple) ;
- une absence de chiffrement lors de la transmission/conservation.
La diversification des mots de passe
À un accès donné doit correspondre un mot de passe propre pour la compliance RGPD. En effet, trop souvent, les utilisateurs ont tendance à utiliser le même mot de passe comme système d’authentification pour tous leurs comptes : logiciels, réseaux sociaux, ouverture de session, dossiers partagés sur le serveur, etc. Il est indispensable que les salariés et la direction soient sensibilisés à l’unicité des mots de passe.
Le choix et la transmission des mots de passe
Un mot de passe « fort », capable de résister aux attaques courantes, doit se composer d’au moins 12 caractères dont au moins une majuscule, un chiffre et un caractère spécial. Ils ne devront jamais être transmis aux utilisateurs via le courrier électronique. La CNIL a défini 4 cas d’authentification par mot de passe dans sa recommandation (voir le tableau ci-après).
Le stockage des mots de passe
Il est évident que ces différents mots de passe ne seront pas stockés « en clair » c’est-à-dire notés sur un post-it collé sur le bureau, mais protégés sérieusement par un hachage cryptographique utilisant un sel ou une clé (stocker dans un endroit différent de celui des empreintes).
Le renouvellement des mots de passe
Le responsable de traitement met en œuvre un renouvellement des mots de passe à fréquence pertinente, et ce, par les utilisateurs eux-mêmes. En cas de recours à un administrateur, ce dernier attribuera un mot de passe provisoire à l’utilisateur. Si le renouvellement est automatisé, l’utilisateur doit être redirigé vers un URL temporaire (généralement de 24 heures) et utilisable une seule fois. Un code d’accès transitoire pourra lui être attribué en attendant qu’il procède à la manipulation pour le modifier.
Authentification des utilisateurs : les autres bonnes pratiques
La création de groupes d’utilisateurs
La mise en place d’identifiants propres à des services, groupes de travail ou niveaux hiérarchiques, est une solution efficace pour réduire les risques qui pèsent sur les données. En effet, un opérateur logistique a-t-il besoin d’accéder au logiciel de facturation ? Un comptable a-t-il la nécessité d’accéder aux fichiers des Ressources Humaines ? Ces questions doivent se poser et les réponses permettre de créer des accès restreints répondant aux exigences de la structure. Ces accès pourront également être limités dans le temps (cas des stagiaires ou des intérimaires). À l’intérieur de ces groupes, la définition de sous-groupes par capacité d’action renforce davantage la sécurité des données. Certaines habilitations donneront par exemple la possibilité unique du téléchargement de fichiers et d’autres leur modification.
La gestion rigoureuse des comptes d’utilisation
On voit à l’usage se multiplier les comptes administrateurs dans les entreprises. C’est une mauvaise pratique. Seule la personne en charge de l’informatique doit posséder cet accès privilégié (avec un doublon néanmoins). En effet, le compte Admin est en mesure d’effectuer des changements de systèmes cruciaux à la pérennité de l’entreprise (installation de logiciels, gestion des groupes d’utilisateurs, mise à jour du réseau, modification du parc informatique, etc.). Le responsable informatique s’assurera que tous les comptes utilisateurs sont reliés à une personne physique bien identifiable. Cela permet de retracer la source des actions malveillantes ou de pertes non-intentionnelles de données, mais aussi de supprimer les comptes User ou anonymes servant de base aux cyberattaques.
L’introduction de la biométrie
La mise en place d’un système biométrique pour authentifier les utilisateurs se subordonne à l’autorisation de la CNIL (loi Informatique et Liberté). Une fois obtenue la validation, elle peut constituer un atout supplémentaire dans la limitation des risques informatiques. L’ensemble des dispositifs biométriques, y compris ceux à empreintes digitales, et les logiciels associés sont référencés dans une liste établie par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Si cette mesure ne saurait être exhaustive, authentifier les utilisateurs par un identifiant et un mot de passe reste une des clefs de voûte de la compliance RGPD. C’est par une gestion draconienne de ces éléments qu’une entité parviendra à réduire suffisamment les risques liés à la falsification, le vol ou la perte de données sensibles ou à caractère personnel.
La mise en œuvre du RGPD est un processus complexe mais qui doit être traité avec attention. Face à ces problématiques, vous n’êtes pas seul. Des professionnels aguerris sont là pour vous aider. Complétez notre formulaire de contact pour plus d’informations sur nos services.
