- Thiébaut Devergranne
- 29 oct.
- 8 min de lecture
Commencez par : Créer un site internet → | Acheter un nom de domaine →
Près de 60 % des notifications de violations de données reçues par la CNIL sont liées à des mots de passe non conformes aux normes minimales de sécurité lors de la création de site internet. Ce chiffre est le symptôme d'un problème plus profond : la sécurité des données est un processus continu, et non une action ponctuelle. Le RGPD demande non seulement de mettre en place des défenses, comme une politique de mots de passe solide, mais aussi de piloter, documenter et justifier en permanence vos choix.
Pour articuler ces différentes exigences et transformer une obligation légale complexe en un système de management cohérent, le recours à un logiciel RGPD est devenu la norme, en particulier au regard des possibilités d’automatisation grâce à l’IA. Mais attention, si un outil peut automatiser une part croissante des tâches, le succès de la démarche repose avant tout sur l'implémentation de bonnes pratiques au sein de l'organisation. C'est là que la politique de mots de passe entre en jeu, en tant que première ligne de défense de votre conformité.
Le véritable défi est donc le suivant : comment s'assurer que vos mesures de sécurité sont non seulement robustes, mais aussi suffisantes au regard des risques, comme l'exige le RGPD ? La CNIL a adopté toute une série de recommandations à cet égard que nous allons décrypter ensemble.
Mettre en place une politique de mot de passe
Sur le plan technique, une politique de mot de passe est un ensemble de règles formelles qui définissent les critères d'acceptabilité ainsi que le cycle de vie des mots de passe au sein d'une organisation. En gros, on définit la longueur des mots de passe, le type de caractères utilisés. Cette politique doit être obligatoire et contraignante pour tous les utilisateurs.
Ses composantes essentielles incluent :
Les règles de création : Longueur minimale, complexité requise (présence de majuscules, minuscules, chiffres, caractères spéciaux), et désormais, le niveau d'entropie exigé.
Les règles de stockage : Interdiction formelle du stockage en clair, obligation d'utiliser des fonctions de hachage robustes et salées.
Les règles de renouvellement : Conditions de changement (compromission avérée, demande utilisateur) et procédures de réinitialisation sécurisées.
Les règles de transmission : Chiffrement systématique des communications via des protocoles comme TLS.
L'obligation de mettre en place cette politique découle directement du RGPD et notamment de l'article 32 qui impose au responsable de traitement et à son sous-traitant de mettre en œuvre des "mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque". Une politique de mot de passe robuste est la première de ces mesures techniques.
Face à ces obligations, la question se pose de savoir comment les mesures choisies sont "appropriées" ? Pour simplifier la vie aux organisations, la CNIL a émis une recommandation relative à la taille des mots de passe.
Juridiquement, cette recommandation n'est pas une loi. Cependant, elle constitue une vision de l'état de l'art par la CNIL à un moment donné. Il est donc très important de la mettre en œuvre.
Les risques liés à une mauvaise gestion des mots de passe
Ignorer ou négliger sa politique de mot de passe, c'est ouvrir la porte à des risques juridiques et financiers inutiles. La CNIL prononce régulièrement des sanctions en raison de mots de passe qui sont défaillants :
La simplicité du mot de passe. Un mot de passe faible est une invitation à entrer. Les cybercriminels utilisent des techniques comme les attaques par dictionnaire (test de listes de mots courants, prénoms, etc.) et les attaques par force brute (test de toutes les combinaisons possibles) qui viennent à bout en quelques secondes de secrets comme "123456", "azerty" ou "Bonjour2025". Concrètement, un mot de passe de 8 caractères sans complexité peut être cassé quasi instantanément aujourd'hui.
L'interception sur le réseau. Lorsqu'un utilisateur se connecte, son mot de passe transite entre son terminal et votre serveur. Si cette communication n'est pas chiffrée (via le protocole TLS, anciennement SSL), elle est vulnérable aux attaques de type "man-in-the-middle" (l'attaquant s'interpose et écoute le trafic). Le mot de passe circule alors "en clair" sur le réseau et peut être capté par n'importe qui.
La conservation en clair. C'est l'une des erreurs les plus graves. Si votre base de données est compromise et que les mots de passe y sont stockés en clair (sans avoir été "hachés" et "salés"), les attaquants récupèrent l'intégralité des accès. Pire, comme de nombreux utilisateurs réutilisent leurs mots de passe, cela expose leurs comptes sur d'autres services (banque, réseaux sociaux, etc.). Plusieurs sanctions de la CNIL ont été prononcées pour ce seul motif, considéré comme un manquement élémentaire à la sécurité.
La faiblesse des modalités de renouvellement. Un processus de réinitialisation mal conçu est une porte dérobée. Les fameuses "questions secrètes" ("Quel est le nom de jeune fille de votre mère ?") sont souvent prévisibles car les réponses se trouvent sur les réseaux sociaux. De même, l'envoi d'un nouveau mot de passe en clair par email est une pratique à proscrire, car si la boîte mail est elle-même compromise, l'attaquant reçoit directement le nouvel accès.
Une organisation qui ne met pas en œuvre une politique de mots de passe conforme au RGPD s’expose à des sanctions importantes et notamment des sanctions administratives qui peuvent aller jusqu’à 20 millions d’euros pour les PME/TPE.
Comment avoir des mots de passe conformes et sécurisés
Pour garantir la conformité de votre politique de mot de passe avec le RGPD et la recommandation de la CNIL, la démarche est simple et se déroule en deux temps : d'abord, choisir le bon niveau de robustesse adapté à votre service ; ensuite, mettre en œuvre un socle de mesures techniques et organisationnelles indispensables.
Étape 1 : Choisir le bon niveau de robustesse selon votre contexte
La CNIL définit trois niveaux de sécurité. Identifiez celui qui correspond à votre situation et appliquez l'exigence minimale correspondante.
Cas n°1 : Mot de passe seul (forte exigence : 80 bits d'entropie)
Pour qui ? Les services à risque limité où le mot de passe est la seule protection (forums, blogs, etc.).
Exigence : Un mot de passe très robuste. Par exemple, 14 caractères minimum (mélangeant majuscules, minuscules et chiffres) OU une phrase de passe de 7 mots.
Obligation complémentaire : Fournir à l'utilisateur un indicateur de force visuel lors de la création de son mot de passe.
Cas n°2 : Mot de passe avec restriction d'accès (exigence standard : 50 bits d'entropie)
Pour qui ? La grande majorité des services (e-commerce, comptes d'entreprise, webmails). C'est le cas le plus courant.
Exigence : Un mot de passe robuste. Par exemple, 8 caractères minimum (mélangeant majuscules, minuscules, chiffres et caractères spéciaux).
Obligation complémentaire : Mettre en place au moins un mécanisme pour bloquer les attaques automatisées : ralentissement après plusieurs échecs (temporisation), CAPTCHA, ou blocage temporaire du compte après 10 tentatives.
Cas n°3 : Code de déverrouillage avec matériel (faible exigence : 13 bits d'entropie)
Pour qui ? Uniquement pour déverrouiller un objet que l'utilisateur possède physiquement (carte SIM, téléphone, carte bancaire).
Exigence : Un simple code (ex: PIN à 4 chiffres).
Obligation complémentaire : Le matériel doit se bloquer définitivement après 3 essais maximum.
Utilisez l'outil de vérification en ligne de la CNIL pour vous assurer que les critères que vous imposez atteignent bien le niveau d'entropie requis. C'est une preuve de diligence en cas de contrôle.
Étape 2 : Mettre en œuvre les mesures techniques et organisationnelles
Quel que soit le cas d'usage choisi, les mesures suivantes constituent le socle de conformité indispensable.
Stocker les mots de passe de manière sécurisée. Ils ne doivent jamais être stockés en clair. Utilisez une fonction de hachage moderne et robuste comme Argon2 ou scrypt, en y associant systématiquement un "sel" unique pour chaque mot de passe.
Protéger systématiquement la connexion par TLS. Toute page de connexion ou de modification de mot de passe doit être chiffrée (le "https" dans l'adresse du site).
Interdire les mots de passe les plus courants. Vérifiez les mots de passe proposés par vos utilisateurs par rapport à des listes connues de mots de passe déjà compromis.
Sécuriser la procédure de réinitialisation. C'est un point critique. Le processus doit inclure : un message générique pour ne pas confirmer l'existence d'un compte, l'envoi d'un lien à usage unique et à durée de validité courte (24h max), et une notification systématique à l'utilisateur.
Ne plus imposer le changement de mot de passe périodique. Sauf pour les comptes à privilèges(administrateurs), cette pratique est désormais déconseillée car jugée inefficace. Pour ces comptes sensibles, le renouvellement reste requis et l'authentification à double facteur est fortement recommandée.
Formaliser votre politique et former vos équipes. Rédigez un document officiel, intégrez-le à votre documentation RGPD et assurez-vous que vos collaborateurs et utilisateurs en comprennent les règles.
Savoir réagir en cas de compromission. Si une violation de données survient, vous devez notifier la CNIL sous 72 heures et forcer immédiatement le changement des mots de passe des comptes concernés.
Conclusion
Nous avons débuté cet article avec un chiffre : 60 % des violations de données notifiées à la CNIL sont liées aux mots de passe. C’est un appel à l'action! Mettre en place une politique de mot de passe robuste n'est plus une simple bonne pratique informatique, c'est une obligation juridique fondamentale.
La conformité RGPD en la matière est un double bouclier : elle protège les données personnelles des individus contre des préjudices graves, et elle protège votre organisation contre des sanctions financières et une crise de confiance dévastatrice.
La recommandation de la CNIL d'octobre 2022 doit être vue comme une feuille de route claire et pragmatique. Elle vous donne les outils pour construire une défense efficace et proportionnée. L'heure n'est plus à l'approximation. Votre devoir en tant que responsable de traitement ou sous-traitant est désormais simple : évaluer, adapter et documenter.
FAQ : Réponses directes à vos questions
Q1 : La recommandation de la CNIL est-elle obligatoire ?
Non, juridiquement, ce n'est pas une loi. Cependant, elle représente "l'état de l'art", c'est-à-dire le standard de sécurité que la CNIL et les tribunaux utilisent pour évaluer si vos mesures sont "appropriées" comme l'exige le RGPD. En cas de contrôle, s'écarter de cette recommandation sans pouvoir justifier d'un niveau de sécurité au moins équivalent par d'autres moyens serait extrêmement risqué. La suivre est donc la voie la plus sûre vers la conformité.
Q2 : Dois-je obliger mes utilisateurs à changer leur mot de passe tous les 3 mois ?
Non pour les comptes utilisateurs classiques. Cette pratique est désormais considérée comme contre-productive car elle incite à choisir des mots de passe faibles et prévisibles. L'accent est mis sur la robustesse initiale. Oui pour les comptes à privilèges (administrateurs, etc.). Pour ces accès critiques, le renouvellement périodique reste une mesure de sécurité nécessaire.
Q3 : Comment puis-je calculer l'entropie de ma politique de mots de passe ?
La méthode la plus simple et la plus fiable est d'utiliser l'outil de calcul en ligne fourni par la CNIL. Vous y entrez les critères que vous imposez (longueur, types de caractères) et il vous indiquera l'entropie correspondante en bits. Inutile de vous lancer dans des calculs complexes ; fiez-vous à l'outil de référence et conservez une preuve du résultat pour votre documentation.
Q4 : Que faire si ma politique actuelle n'est pas conforme ?
Agissez méthodiquement:
Évaluez l'écart entre votre politique actuelle et les exigences de la recommandation.
Établissez un plan de mise en conformité avec des étapes claires et un calendrier réaliste.
Priorisez les risques : commencez par les failles les plus critiques (ex: le stockage en clair des mots de passe).
Documentez ce plan pour prouver votre diligence en cas de contrôle.
Q5 : Que risque concrètement mon entreprise en cas de non-conformité ?
Les risques sont de trois ordres. D'abord, des sanctions administratives de la CNIL pouvant atteindre 4 % de votre chiffre d'affaires mondial ou 20 millions d'euros. Ensuite, une responsabilité civile, avec d'éventuelles actions en justice des personnes dont les données ont été compromises pour demander des dommages et intérêts. Enfin, une atteinte réputationnelle majeure, car une violation de données massive érode durablement la confiance de vos clients et partenaires.