La protection des données personnelles est aujourd’hui plus que jamais au cœur des préoccupations, avec le Règlement Général sur la Protection des Données (RGPD) en vigueur. Parmi les nombreux aspects de la cybersécurité, la gestion des mots de passe joue un rôle crucial dans la préservation de la confidentialité et de l’intégrité des informations. Cet article explore les éléments clés pour mettre en place une politique de mots de passe robuste, respectueuse du RGPD.

1. Sensibilisation des Utilisateurs

La première étape pour une politique de mots de passe efficace consiste à sensibiliser les utilisateurs aux enjeux de la sécurité des données. Des sessions de formation régulières sur les bonnes pratiques en matière de mots de passe, les risques associés à une faible sécurité, et les implications du RGPD sur la protection des informations personnelles sont essentielles. C’est en en parlant régulièrement sous différentes formes (notes de service, minute formation, formation de sensibilisation) que les utilisateurs comprendront son intérêt à titre professionnel mais aussi personnel.

2. Complexité des Mots de Passe

Des mots de passe forts sont la pierre angulaire de la sécurité. Encouragez l’utilisation de combinaisons de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Évitez les mots évidents et privilégiez les phrases complexes. L’objectif est de rendre les mots de passe difficiles à deviner pour les pirates. « 1234 » est le mot de passe le plus fréquent ou encore « motdepasse ». Ils sont donc à prohiber car pas du tout sécurisés.

Tableau qui définit le temps requis pour déchiffrer un mot de passe

3. Politique de Renouvellement Régulier

Imposer un renouvellement régulier des mots de passe réduit les risques associés à une compromission éventuelle. Cependant, il est essentiel de ne pas rendre cette pratique trop contraignante. La conséquence sinon serait que les utilisateurs créent des mots de passe trop simples ou ne les notent physiquement, compromettant ainsi la sécurité. Petits carnets, post-its, papiers collés sous le clavier ne sont pas le summum en matière de sécurité !

4. Authentification à Deux Facteurs (A2F)

L’A2F offre une couche supplémentaire de sécurité en demandant aux utilisateurs de fournir une deuxième preuve d’identité après la saisie du mot de passe. Encouragez l’utilisation de cette méthode pour renforcer la protection des comptes sensibles. Des solutions simples existent et sont proposées aujourd’hui par défaut sur les appareils.

Les utilisateurs en deviennent coutumiers car cette A2F est très largement répandue notamment dans les transactions bancaires pour confirmer des opérations de paiement en ligne ou de virement.

5. Stockage Sécurisé des Mots de Passe

Adoptez aussi des méthodes de stockage sécurisées, comme le hachage avec des algorithmes robustes. Évitez le stockage en texte brut et assurez-vous que même en cas de compromission, les mots de passe restent inaccessibles. Sinon tous vos efforts auront été vains.

image montrant un post it avec le mot de passe à ne pas adopter mais à ne pas saisir en clair non plus pour respecter le RGPD et sécuriser les accès

6. Notifications de Connexions Suspectes

Mettez en place donc également des systèmes de surveillance pour détecter les connexions suspectes. Les notifications instantanées en cas d’accès non autorisé permettront ainsi de réagir rapidement et de minimiser les dommages potentiels.

7. Respect du Principe de Minimisation des Données

Conformément au RGPD, ne collectez et ne stockez que les données nécessaires. Ainsi limitez l’accès aux informations sensibles en mettant en place des contrôles d’accès basés sur les rôles et assurez-vous que seuls les utilisateurs autorisés ont accès aux données pertinentes.

Une politique de mots de passe bien conçue est un pilier essentiel de toute stratégie de cybersécurité respectueuse du RGPD. En effet en sensibilisant les utilisateurs, en favorisant des pratiques de création de mots de passe robustes, et en mettant en place des mesures de surveillance et de protection, les organisations peuvent renforcer leur posture de sécurité tout en respectant les exigences du RGPD en matière de protection des données personnelles. La clé du succès de cette politique sera l’accompagnement des utilisateurs et une bonne appropriation de leur part.

Pour aller plus loin, voici deux fiches que vous pourrez utiliser pour vos communications en interne ou votre propre usage :
https://www.cybermalveillance.gouv.fr/medias/2019/11/Fiche-pratique_mots-de-passe.pdf

https://www.cybermalveillance.gouv.fr/medias/2019/11/Memo_mots-de-passe.pdf

Vous voulez en savoir plus sur le RGPD ? Abonnez-vous à notre newsletter ou suivez nous sur nos différents réseaux sociaux. Nous nous tenons également à votre disposition pour faire un point de situation sur votre entreprise puis déterminer le plan d’actions à mettre en oeuvre pour se conformer plus largement au RGPD. Contactez-nous !