La CNIL met à jour son guide de la sécurité des données personnelles

La CNIL modifie 5 des 17 fiches de son guide

La CNIL (Commission nationale de l’informatique et des libertés) vient de publier l’édition 2023 de son guide de la sécurité des données personnelles, destiné « à l’ensemble des professionnels amenés à utiliser des données personnelles ». Pour 2023, la CNIL réactualise son guide en y intégrant les recommandations adoptées ces dernières années. Sur les 17 fiches du document, 5 ont été modifiées.

Avec la vocation d’être « une référence en matière de sécurité », ce guide de 17 fiches rappelle « les précautions élémentaires » en la matière et oriente vers « les mesures destinées à renforcer davantage encore la protection des données ». Tout en respectant le RGPD.

Ce guide a pour but d’accompagner les acteurs traitant des données personnelles en rappelant les précautions élémentaires à mettre en œuvre.

Entropie et journalisation : la CNIL donne ses recommandations

Les changements majeurs de cette nouvelle mouture concernent notamment « les mots de passe et secrets partagés » ainsi que « la journalisation », mais d’autres modifications ont également été apportées.

L’entropie du mot de passe

La CNIL intègre dans sa fiche n°2 « Authentifier les utilisateurs »  la notion d’entropie du mot de passe. Elle va mesurer le niveau d’imprédictibilité théorique du mot de passe, c’est-à-dire sa « capacité de résistance à une attaque de force brute ». Ainsi, la CNIL recommande trois niveaux d’entropie :

• Entropie de 80 bits : un mot de passe de 12 caractères minimum, avec majuscules, minuscules, chiffres et caractères spéciaux ou de 14 caractères sans caractère spécial, sans mesure complémentaire, pour un compte sur un blog ou forum par exemple.
• Entropie de 50 bits : dans le cas où des mesures complémentaires, comme un blocage ou une temporisation après échecs, la présence d’un captcha, sont mises en place, pour un compte d’entreprise par exemple.
• Entropie de 13 bits : dans le cas d’un matériel détenu par l’utilisateur, avec blocage après trois tentatives échouées.

La journalisation

Dans la fiche n°4 du guide de la protection des données personnelles, intitulée « Tracer les opérations et gérer les incidents », la CNIL recommande, comme précaution élémentaire, de « prévoir un système de journalisation », permettant l’enregistrement « des activités métier des utilisateurs, des interventions techniques, des anomalies et des événements liés à la sécurité ».

Elle exprime aussi la nécessité de conservation de ces éléments pour une période glissante de six mois à un an, tout en prenant garde à bien protéger ces données ainsi que les équipements de journalisation, et sans oublier d’en informer les utilisateurs.

Des actualisations

Enfin, la CNIL a modifié trois autres fiches. La fiche n°12 « Encadrer des développements informatiques » a été enrichie avec les éléments du guide RGPD pour l’équipe de développement, publié fin 2021. Tandis que les fiches n°15 et n°17 ont été mises à jour après prise en compte de l’évolution des pratiques, avec notamment des actualisations sur les algorithmes à utiliser.

Télécharger le guide de la CNIL