Publicité en cours de chargement...

Publicité en cours de chargement...

CNIL et mots de passe : dernière doctrine

20 oct. 2022 - 10:50,
Tribune - Cédric Cartau
Je ne l’avais pas vue passer, mais dans sa délibération 2022-100 du 21 juillet[1] dernier, la CNIL nous a décrit son positionnement sur la question des mots de passe.      

Le document est de très haut niveau : quand la CNIL se fend d’un texte sur un sujet technique qu’elle maîtrise parfaitement, on n’est pas déçu du résultat. Parmi les points marquants, la question habituelle de la longueur de mots de passe est remplacée par celle de sa complexité (80 bits) (voir ici[1] pour un outil de calcul de complexité), la CNIL distingue le mot de passe à proprement parler des codes de recouvrement et du premier mot de passe à la création du compte. Il est aussi fait référence au stockage en base, au cas des adminsys, etc.

Ce document est absolument majeur et vient annuler / remplacer la délibération précédente sur le même sujet, qui avait tout de même 5 ans d’âge. La présente délibération fixe sans aucun débat possible les canons du domaine pour les prochaines années ; le document est tellement bien fichu que ceux qui sont certifiés ISO peuvent l’adopter tel quel en guide de mesure de sécurité à mettre en face des chapitres de la DDA qui vont bien.

Bref, un indispensable de tout chef de projet fonctionnel, infra, sans parler des RSSI et DPO.


[1] https://circulaires.legifrance.gouv.fr/jorf/id/JORFTEXT000046432885 

[2] https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/ 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dedalus France : une nouvelle étape dans la trajectoire de transformation

Dedalus France : une nouvelle étape dans la trajectoire de transformation

24 juin 2025 - 07:50,

Actualité

- DSIH

Dedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Illustration Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

23 juin 2025 - 18:14,

Tribune

-
Cédric Cartau

Ça fait deux fois.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.