Publicité en cours de chargement...
CNIL et mots de passe : dernière doctrine
Le document est de très haut niveau : quand la CNIL se fend d’un texte sur un sujet technique qu’elle maîtrise parfaitement, on n’est pas déçu du résultat. Parmi les points marquants, la question habituelle de la longueur de mots de passe est remplacée par celle de sa complexité (80 bits) (voir ici[1] pour un outil de calcul de complexité), la CNIL distingue le mot de passe à proprement parler des codes de recouvrement et du premier mot de passe à la création du compte. Il est aussi fait référence au stockage en base, au cas des adminsys, etc.
Ce document est absolument majeur et vient annuler / remplacer la délibération précédente sur le même sujet, qui avait tout de même 5 ans d’âge. La présente délibération fixe sans aucun débat possible les canons du domaine pour les prochaines années ; le document est tellement bien fichu que ceux qui sont certifiés ISO peuvent l’adopter tel quel en guide de mesure de sécurité à mettre en face des chapitres de la DDA qui vont bien.
Bref, un indispensable de tout chef de projet fonctionnel, infra, sans parler des RSSI et DPO.
[1] https://circulaires.legifrance.gouv.fr/jorf/id/JORFTEXT000046432885
[2] https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
RGPD chez France Travail : les questions de fond
02 fév. 2026 - 22:49,
Tribune
-Vous n’avez pas pu la rater cette amende de 5 millions d’euros infligée par la Cnil à France Travail. On se souvient que l’organisme public a été la victime d’un vol massif de plus de 35 millions de données personnelles : les noms et prénoms, les numéros de sécurité sociale, les identifiants France ...
Cybersécurité en santé : 2026, une année charnière pour penser la résilience collective
02 fév. 2026 - 22:39,
Actualité
- Rédaction, DSIHÀ mesure que les cadres réglementaires et normatifs se renforcent, la cybersécurité s’impose comme un enjeu durable pour les structures de santé. Entre montée en puissance des menaces numériques et transformation des pratiques, le secteur est appelé à repenser sa capacité de résilience. Dans ce cont...
2026 : la fin de l’Espace, du Temps et de la Vie privée
27 jan. 2026 - 08:37,
Tribune
-Cédric Cartau analyse comment le Fichier national automatisé des empreintes génétiques (Fnaeg), initialement conçu pour lutter contre la criminalité sexuelle, est devenu en moins de 30 ans un outil de fichage de masse. En s’appuyant sur l’essor de la recherche par parentèle, il interroge les conséqu...
Test PCRA et exercice de gestion de crise combinés : le pragmatisme au service de l'efficience
26 jan. 2026 - 15:06,
Tribune
-Dans un contexte de cybermenace persistant, l'amélioration de la résilience est devenue une obligation pour les organisations de santé. Le programme CaRE, accompagne les établissements dans cette obligation au travers d’un axe majeur : s'équiper et se former face à la menace numérique. Dans la conti...
