Recherche

Pour un MFA conforme au RGPD : ce que recommande la CNIL

La CNIL soumet à consultation publique un projet de recommandation relatif à l’authentification multifacteur (MFA).

Publié par Clément Bohic le - mis à jour à
Lecture
4 min
  • Imprimer
Pour un MFA conforme au RGPD : ce que recommande la CNIL

Transmettre un code OTP par SMS ? C’est non pour la CNIL, sauf en tant que mesure de réassurance en l’absence d’alternative.

La commission communique cette position dans un projet de recommandation relatif à l’authentification multifacteur (MFA). Elle vient de le soumettre à consultation publique.

Le document distingue trois types de facteurs :

– De connaissance (ce que la personne sait)
Par exemple, un mot/phrase de passe ou un code confidentiel

– De possession (ce que la personne a)
Par exemple, une carte à puce, un dispositif USB contenant une clé privée, un élément matériel ou logiciel (token) permettant de générer des codes à usage unique ou une passkey (clé d’accès logicielle).

– D’inhérence (ce que la personne est ou fait)
Une caractéristique physique indissociable d’une personne. Soit morphologique (empreinte digitale ou rétinienne, structure du visage…), soit comportementale (frappe au clavier, voix, démarche, écriture…).

La biométrie… si nécessaire, et avec alternative

La CNIL conseille de privilégier le MFA basé sur des facteurs de connaissance et de possession. En particulier dans le cadre professionnel, lorsqu’on se connecte au SI depuis l’extérieur du réseau de l’organisme.

Quelque option de biométrie qu’on propose (traitement local ou sur serveur, la première étant à privilégier), on donnera accès à une solution alternative, explique la commission.

MFA et registres de traitements : deux options

Pour ce qui est de l’inscription des traitements de sécurisation dans le registre des activités du responsable de traitement, le projet de recommandation donne deux possibilités. D’un côté, au sein de l’entrée du registre relative au traitement auquel l’authentification est adossée. De l’autre, dans une entrée spécifique, dans le cas d’une authentification commune à différentes opérations de traitement.

Des dispositions spécifiques sur le lieu de travail

Des dispositions spécifiques s’appliquent quand l’authentification biométrique contrôle l’accès aux lieux de travail et aux appareils/applications utilisés dans le cadre de missions professionnelles. Elles figurent dans un règlement type.

Lors de l’usage de facteurs d’authentification morphologiques, des mesures particulières devront sécuriser le dispositif. Notamment l’utilisation de données biométriques ne laissant pas de traces (comme le réseau veineux des doigts ou de la main) ou la qualification de performance des capteurs contre certaines attaques par présentation (exemple : détection de vivant).

Renforcer le MFA par l’analyse de risque

Initialement conçues dans une optique de lutte contre la fraude bancaire, les techniques basées sur les risques peuvent être pertinentes pour renforcer les contrôles. Elles consistent à calculer dynamiquement – et éventuellement tout au long d’une session – un score qui conditionne le niveau d’authentification exigé.
Cela peut impliquer la collecte d’éléments tels que l’horaire, l’identifiant de l’appareil ou la géolocalisation. On veillera alors à la maintenir proportionnelle au but poursuivi. Tout en évitant de priver les personnes concernées de l’accès au service… notamment si elles utilisent des systèmes minimisant les traces de navigation (comme des bloqueurs de cookies).

On se référera également, si le cas se présente, au règlement type sus-évoqué pour définir les modalités de conservation des données. Pour les facteurs de connaissance, la CNIL renvoie vers un autre document de son corpus : sa recommandation « mots de passe ».
Dans le cas général, la commission recommande de conserver entre 6 mois et 1 an les logs des systèmes d’authentification. Dans tous les cas, les données biométriques ne devront pas faire partie du contenu des journaux. On ne tracer que le résultat de l’authentification. Et on s’abstiendra de l’associer à des informations secrètes telles qu’une empreinte de mot de passe ou un OTP.

De la souplesse pour l’information des utilisateurs

En matière d’information des utilisateurs, la CNIL fait preuve de souplesse. Dans le cas de multiples utilisations de données à des fins de sécurité (authentification, journalisation, chiffrement…), il est possible de parler de finalité de « sécurisation du traitement », sans détailler les moyens employés. Cela ne s’applique pas si les données relèvent de certaines catégories ou usages : profilage, décision individuelle automatisée, données sensibles ou relevant d’un AIPD (analyse d’impact préalable).

Illustration générée par IA

Sur le même thème

Voir tous les articles Workspace

Livres Blancs #security

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page