Brève digitale du 4 avril 2023

La CNIL (Commission nationale de l'informatique et des libertés) vient de publier la nouvelle édition de son guide de la sécurité des données personnelles pour l'année 2023. Destiné à tous les professionnels manipulant des données personnelles, ce guide est une référence en matière de sécurité et rappelle les précautions élémentaires à prendre pour renforcer la protection des données.
Le guide est conforme au RGPD (Règlement Général sur la Protection des Données), et a pour objectif d'accompagner les acteurs dans le traitement des données personnelles.

- Modifications apportées au guide
Parmi les 17 fiches du guide, cinq ont été modifiées pour l'édition 2023. Les principales modifications concernent la gestion des mots de passe et la journalisation. Dans la fiche n°2 "Authentifier les utilisateurs", la CNIL intègre la notion d'entropie du mot de passe, qui mesure le niveau d'imprédictibilité théorique du mot de passe et recommande trois niveaux d'entropie. La CNIL recommande également un système de journalisation pour enregistrer les activités métier des utilisateurs, les interventions techniques, les anomalies et les événements liés à la sécurité.
- Recommandations de la CNIL
La CNIL recommande trois niveaux d'entropie de mots de passe pour garantir la sécurité des données. Le niveau d'entropie de 80 bits est recommandé pour les comptes sur des blogs ou des forums, et implique l'utilisation d'un mot de passe de 12 caractères minimum, avec majuscules, minuscules, chiffres et caractères spéciaux, ou de 14 caractères sans caractère spécial. Le niveau d'entropie de 50 bits est recommandé pour les comptes d'entreprise, avec la mise en place de mesures complémentaires telles que le blocage ou la temporisation après échecs, ou la présence d'un captcha. Le niveau d'entropie de 13 bits est recommandé pour les matériels détenus par l'utilisateur, avec un blocage après trois tentatives échouées.
En ce qui concerne la journalisation, la CNIL recommande la mise en place d'un système permettant l'enregistrement des activités métier des utilisateurs, des interventions techniques, des anomalies et des événements liés à la sécurité. Il est également important de protéger ces données ainsi que les équipements de journalisation, et d'informer les utilisateurs. La CNIL recommande également de conserver ces éléments pour une période glissante de six mois à un an.
Le web regorge d'opportunités comme celle-ci.
A vous de prendre en main le développement et la pérennité de votre activité, avec Khazad à vos côtés.

A vous de jouer :

2 semaines pour tester Khazad,
la plateforme qui rend le digital simple, efficace, profitable !

Tester Khazad gratuitement