Cela fait quelques années que la CNIL recommande le recours à l’authentification multifacteur (MFA), gage d’une meilleure sécurité pour les entreprises.
Mais encore faut-il le faire correctement.
Afin d’accompagner les entreprises, la Commission a publié hier la version finale de ses recommandations.
Ce que l’on sait, ce que l’on a, ce que l’on est
Ce document de 17 pages a notamment bénéficié d’une consultation publique débutée en 2024 afin de récolter les avis de plusieurs entreprises du secteur. Il s’adresse principalement aux délégués de la protection des données (DPO) et aux responsables de la sécurité des systèmes d’information (RSSI). Ce sont ces deux rôles qui s’interrogent en entreprise sur la meilleure manière de proposer ces dispositifs tout en s’assurant de rester dans les clous du point de vue de la loi.
Le document définit d’abord l’authentification multifacteur (MFA.) Au cœur du dispositif d’authentification multifacteur, il y a le fait de s’appuyer sur plusieurs facteurs de nature différentes pour autoriser l’accès d’une personne :
- Un facteur de connaissance (comme un mot de passe)
- Un facteur de possession (comme un smartphone ou un jeton physique)
- Un facteur d’inhérence (qui désigne généralement une caractéristique biométrique)
Pour être pleinement efficace, la MFA doit vérifier au moins deux facteurs de catégories différentes avant d’autoriser un accès.
Se méfier des contrefaçons
L’authentification multifacteur est considérée comme plus robuste qu’une authentification simple. Mais la CNIL met en garde sur les solutions en apparence similaires mais qui n’offrent pas les mêmes garanties de sécurité. Ainsi, la recommandation se penche sur le recours au mots de passe uniques envoyés par SMS (One time password ou OTP).
Si la Commission concède que cette méthode « permet d’assurer un niveau de sécurité supérieur à l’authentification simple » elle en rappelle également les biais. Elle souligne que le recours au SMS n’est pas un canal de transmission sécurisé. Et que les informations envoyées au terminal de l’utilisateur peuvent être consultées via d’autres terminaux.
La CNIL invite donc les responsables à se demander si la solution est bien adaptée aux besoins. Voire à mettre en place des mesures supplémentaires pour s’assurer que le SMS n’est consultable que sur l’appareil dédié.
Rester dans les clous
L’autre sujet principal de la recommandation a bien évidemment trait au cadre légal en vigueur et au respect du RGPD. Si les mots de passe et les tokens ne sont pas des données personnelles, la donne se complique dès lors que l’on cherche à s’appuyer sur des données biométriques (facteur d’inhérence) pour authentifier les personnes.
Dans ce cas d’usage, le cadre légal est assez strict. Et l’entreprise qui souhaite déployer ces méthodes d’authentification a tout intérêt à prendre ses précautions. Impossible par exemple de stocker tous les gabarits biométriques de ses employés dans une grande base de données centralisée. Mieux vaut préférer la conservation du gabarit en local dans un appareil détenu par l’utilisateur.
Et dans tous les cas proposer une alternative pour ceux qui refuseraient le recours à la biométrie.