Authentification multifacteur (MFA) ; suivez la nouvelle recommandation CNIL

·

·

Authentification multifacteur (MFA) ; suivez la nouvelle recommandation CNIL

Authentification multifacteur (MFA) : Suivez la nouvelle recommandation de la CNIL

La numérisation croissante des activités économiques s’accompagne d’une augmentation significative des menaces cybernétiques, qui deviennent de plus en plus sophistiquées. Pour contrer ces menaces, les solutions de sécurité ont évolué vers une approche de sécurité en profondeur, intégrant des technologies telles que l’intelligence artificielle, la mutualisation des ressources, l’utilisation d’informations variées, la prise de décision automatisée, ainsi que l’analyse comportementale des utilisateurs pour les systèmes les plus avancés. Parmi ces solutions, l’authentification multifacteur (MFA) se distingue comme un moyen efficace de répondre aux exigences de sécurité des données, notamment celles stipulées dans l’article 32 du règlement général sur la protection des données (RGPD). Toutefois, il est essentiel de garantir que ces solutions respectent également les normes de conformité au RGPD.

Pour accompagner les différents acteurs dans ce domaine, la CNIL a élaboré une recommandation spécifique sur l’authentification multifacteur. Un projet de cette recommandation a été mis en consultation publique du 28 mars 2024 au 31 mai 2024, permettant ainsi de recueillir les retours de l’écosystème. Ces retours ont été analysés et, le cas échéant, intégrés dans la version finale de la recommandation.

Définition de l’authentification multifacteur

L’authentification d’un utilisateur vise à vérifier son identité avant de lui accorder l’accès aux ressources d’un système d’information, qu’il s’agisse d’un ordinateur, d’un partage réseau, d’un site web ou d’une application mobile. L’authentification multifacteur, souvent abrégée en MFA (pour multi-factor authentication en anglais), se caractérise par l’utilisation de plusieurs preuves, appelées facteurs d’authentification, qui appartiennent à au moins deux des trois catégories suivantes :

1. Facteur de connaissance : Ce que l’utilisateur sait, comme un secret à mémoriser, par exemple une phrase de passe, un mot de passe ou un code PIN (Personal Identification Number).

2. Facteur de possession : Ce que l’utilisateur possède, tel qu’un élément secret non mémorisable, comme une clé cryptographique. Cela inclut des dispositifs matériels dédiés, comme un jeton matériel (hard token) ou un jeton logiciel lié à un appareil spécifique (device-bounded soft token).

3. Facteur d’inhérence : Parfois appelé abusivement facteur biométrique, il s’agit d’une caractéristique physique indissociable d’une personne, comme une empreinte digitale, la structure du visage, ou des caractéristiques comportementales telles que la manière de taper au clavier.

Évaluation de l’OTP par SMS

L’utilisation de l’OTP (One-Time Password) par SMS est considérée comme un facteur de possession, mais son niveau de confiance doit être évalué par le responsable de traitement au cas par cas. Bien que la carte SIM soit généralement personnelle et sous le contrôle de l’utilisateur, elle présente plusieurs limites. La transmission d’un code OTP par SMS repose sur un canal dont la sécurité est souvent jugée insuffisante, ce qui conduit les autorités compétentes à déconseiller cette méthode. De plus, des solutions permettent de consulter les SMS sur d’autres terminaux, ce qui remet en question l’unicité de l’appareil utilisé.

Malgré ces limitations, l’authentification multifacteur qui combine l’OTP par SMS avec un autre facteur d’une catégorie distincte peut offrir un niveau de sécurité supérieur à celui d’une authentification simple. Dans ce cas, le responsable de traitement doit s’assurer que cette méthode est adaptée aux risques encourus. Bien que certaines informations contextuelles puissent apporter des éléments de réassurance, elles ne suffisent généralement pas à constituer des facteurs d’authentification.

Objectifs de la recommandation de la CNIL

La recommandation de la CNIL sur l’authentification multifacteur a pour but de sécuriser juridiquement les utilisateurs de ces solutions tout en encourageant les fournisseurs à intégrer la protection de la vie privée dès la conception de leurs produits ou services. Elle vise à éclairer les responsables de traitement sur plusieurs aspects :

– Les conditions dans lesquelles le recours à la MFA est pertinent en fonction des besoins de sécurité.
– Le respect des principes du RGPD lors de l’utilisation de la MFA, notamment en ce qui concerne la base légale, la minimisation des données collectées, les durées de conservation et le respect des droits des personnes concernées.
– La qualification des acteurs impliqués dans une solution de MFA.
– Le choix des modalités d’authentification et leur conformité au RGPD.
– Les points d’attention relatifs à l’utilisation du facteur d’inhérence, à l’OTP par SMS et à l’utilisation d’équipements personnels comme facteur de possession.

Périmètre de la recommandation

Cette recommandation se concentre sur l’authentification au sens strict et ne vise pas à traiter les processus liés à la gestion des identités et des accès, tels que la gestion des comptes ou des droits d’habilitation. Elle inclut des encadrés explicatifs sur des thématiques spécifiques et des exemples pratiques de mise en œuvre de l’authentification multifacteur, intégrant la protection de la vie privée dès la conception.

Public cible de la recommandation

La recommandation s’adresse principalement aux responsables de traitements et aux sous-traitants, notamment aux délégués à la protection des données (DPO), aux responsables de la sécurité des systèmes d’information (RSSI) et à leurs équipes, ainsi qu’aux fournisseurs de solutions d’authentification multifacteur.

Processus d’élaboration de la recommandation

Pour élaborer cette recommandation, la CNIL a mené une consultation sectorielle comprenant des auditions avec des acteurs des secteurs public et privé afin de recueillir des observations sur l’authentification multifacteur. Suite à cela, une consultation publique a été lancée sur un projet de recommandation, permettant d’améliorer le texte en fonction des retours des acteurs concernés. Les contributions reçues ont permis à la CNIL de clarifier le périmètre de la recommandation, d’améliorer sa structure pour une meilleure lisibilité, de préciser certains termes et de formaliser une posture claire sur les pratiques communes observées.

Pour en savoir plus cliquez-ici

Q/R juridiques soulevées :

Quelle est la tendance actuelle en matière de menaces cyber ?

La numérisation croissante de l’activité économique s’accompagne d’une nette augmentation des menaces cyber, qui se professionnalisent.

Ces menaces deviennent plus efficaces et complexes, rendant nécessaire l’évolution des solutions de cybersécurité.

Les technologies utilisées incluent l’intelligence artificielle, la mutualisation et l’analyse du comportement des utilisateurs.

Quelles sont les solutions proposées pour faire face à ces menaces ?

Les solutions pour faire face aux menaces cyber ont évolué vers une sécurité en profondeur.

Cela inclut des technologies mêlant intelligence artificielle, mutualisation, prise de décision automatisée et analyse du comportement des utilisateurs.

L’authentification multifacteur (MFA) est un exemple de solution qui répond à l’obligation de sécurité des données, notamment selon l’article 32 du RGPD.

Qu’est-ce que l’authentification multifacteur (MFA) ?

L’authentification multifacteur (MFA) est un processus qui vérifie l’identité d’un utilisateur avant de lui donner accès à des ressources.

Elle repose sur plusieurs preuves, appelées facteurs d’authentification, qui appartiennent à au moins deux des trois catégories suivantes :

1. **Facteur de connaissance** : Ce que la personne sait (ex. : mot de passe).

2. **Facteur de possession** : Ce que la personne a (ex. : clé cryptographique).

3. **Facteur d’inhérence** : Ce que la personne est (ex. : empreinte digitale).

Quels sont les types de facteurs d’authentification ?

Les facteurs d’authentification se divisent en trois catégories :

1. **Facteur de connaissance** : Un secret à mémoriser, comme un mot de passe ou un code PIN.

2. **Facteur de possession** : Un élément secret non mémorisable, comme un jeton matériel ou logiciel.

3. **Facteur d’inhérence** : Une caractéristique physique ou comportementale, comme une empreinte digitale ou la voix.

Pourquoi la CNIL a-t-elle élaboré une recommandation sur l’authentification multifacteur ?

La CNIL a élaboré une recommandation sur l’authentification multifacteur pour accompagner les acteurs du secteur dans le développement de solutions adaptées à la protection des données personnelles.

L’objectif est de garantir que ces solutions soient conformes au RGPD dès leur conception.

Quel est l’objectif principal de cette recommandation ?

L’objectif principal de la recommandation est de sécuriser juridiquement les utilisateurs de solutions d’authentification multifacteur.

Elle encourage également les fournisseurs à intégrer la protection de la vie privée dès la conception de leurs produits ou services.

À qui s’adresse cette recommandation ?

Cette recommandation s’adresse principalement aux responsables de traitements, aux sous-traitants, ainsi qu’aux fournisseurs de solutions d’authentification multifacteur.

Elle vise également les délégués à la protection des données (DPO) et les responsables de la sécurité des systèmes d’information (RSSI).

Comment la CNIL a-t-elle conçu cette recommandation ?

La CNIL a conçu cette recommandation en organisant une consultation sectorielle avec des acteurs publics et privés.

Elle a ensuite lancé une consultation publique pour recueillir des retours et améliorer le projet de recommandation.

Les contributions ont permis de clarifier le périmètre de la recommandation et d’améliorer sa lisibilité.

Votre avis sur ce point juridique ? Une actualité ? Une recommandation ?

Merci pour votre retour ! Partagez votre point de vue, une info ou une ressource utile.


Rédaction en cours .... ...
Chat Icon