Fin mars 2025, la CNIL a publié une recommandation sur l’usage de l’authentification multi-facteur pour renforcer la sécurité des SI, avec des contrôles dès 2026. Elle indiquait également, peu de temps après, que des contrôles visant à vérifier l’usage des technologies d’authentification multifacteur allaient débuter, et qu’à partir de 2026 elle considererait cette mesure de sécurité obligatoire pour certains organismes.
La généralisation de la MFA : vérifiez si vous êtes concernés !
Comme indiqué précédemment, à partir de 2026, la CNIL vérifiera si certains organismes répondant aux critères de la recommandation appliquent des mesures de sécurité complémentaires lors de la connexion d’un utilisateur à un outil informatique, dont l’usage des technologies MFA.
La recommandation cible un grand nombre d’organismes. Plusieurs critères sont retenus pour déterminer si un organisme devrait mettre en oeuvre ce type de mesure de sécurité, et ainsi être considéré fautif en son absence :
- les organismes disposant de bases de données de plus de 2 millions de personnes ;
- les sytèmes accessibles à distance ;
- les applications web ou outils SaaS interconnectés avec des systèmes sensibles ;
- les outils participant au traitement de données sensibles.
L’objectif de la CNIL, en contrôlant les organismes traitant de nombreuses données personnelles, et en sanctionnant ceux ne mettant pas en oeuvre d’authentification multifacteur, est de réduire l’exposition des personnes concernées aux attaques par vol d’identifiant, par phishing, usurpation d’identité, etc. c’est-à-dire les méthodes de fraudes les plus fréquentes aujourd’hui.
Comprendre l’authentification multifacteur
L’authenfication multifacteur est un moyen d’authentification reposant au moins deux facteurs d’authentification parmi ces trois :
- Connaissance : mot de passe, code pin, …
- Possession : téléphone portable, application mobile d’authentification, clé physique, …
- Inhérence : empreinte digitale, reconnaissance faciale, …
Le facteur de connaissance repose sur ce que l’utilisateur sait, et est normalement le seul à connaître (par exemple, mot de passe).
Le facteur de possession repose sur ce que l’utilisateur détient physiquement (par exemple un smartphone). Il n’est pas censé prêter son matériel permettant l’authentification, ou le perdre.
Le facteur d’inhérence repose sur ce que l’utilisateur est, en s’appuyant sur ses caractéristiques biométriques (par exemple, le visage).
L’utilisation, non pas d’un seul, mais de deux facteurs d’authentification, coup sur coup, lors d’une tentative de connexion, est ce qu’on appelle « l’authentification multifacteur ». Elle limite les risques d’intrusion si l’un de des facteurs (par exemple, le mot de passe), est compromis.
L’authentification multifacteur a pour objectif de limiter les risques que l’une des méthodes d’attaques les plus fréquemment rencontrées ne réussisse, comme le phishing, le credentiela stuffing, la découverte ou compromission des mots de passe, ou les accès frauduleux par des outils de gestion distante.
Méthodes et outils disponibles pour la mise en oeuvre du MFA
Différentes méthodes sont beaucoup utilisées pour l’authentification multifacteur :
- Le code à usage unique ou OTP (One Time Password)
>> Il s’agit d’envoyer, par SMS ou par e-mail, un code temporaire unique que l’utilisateur doit renseigner, en complément de son identifiant et mot de passe, pour pouvoir se connecter.
Bien que cette méthode soit fréquemment utilisée aujourd’hui, elle n’est que sensiblement plus sécurisante pour les données, car des escrocs arrivent, par un argumentaire habile au téléphone, à obtenir ces informations auprès des personnes les moins
- L’application d’authentification mobile, ou TOTP (Time-based One-Time Password)
>> Il s’agit pour un individu d’installer une application mobile, comme Google Authenticator, sur son smartphone. Lors de la demande de connexion, il renseignera un numéro ou mot de passe unique généré par l’application sans connexion réseau.
Cette méthode, beaucoup plus sûre aujourd’hui que le code à usage unique, est aussi l’une des moins contraignantes à mettre en oeuvre, et l’une des plus respectueuses de la vie privée ou des droits des individus.
- La notification push sur smartphone
>> Il s’agit pour un individu d’installer une application mobile, comme Microsoft Authenticator, sur son smartphone. Lors d’une tentative de connexion, il reçoit une notification lui demandant de valider ou de refuser la tentaitve de connexion.
Cette méthode, elle aussi très sûre, présente cependant l’inconvénient de dépendre d’un accès réseau pour fonctionner.
- Clé sécurité physique
>> Il s’agit d’un petit appareil, souvent de la taille d’une clé USB, que l’on branche à l’ordinateur ou que l’on approche d’un smartphone via NFC. Il permet de valider une connexion sans avoir à saisir de code. L’utilisateur appuie simplement sur la clé pour prouver son identité.
Cette méthode extrêmement sécurisée est l’équivalent d’un base d’accès numérique pour les comptes en ligne. Elle est notamment utilisée dans certains secteurs particulièrement comme les hôpitaux.
- Authentification biométrique
>> Il s’agit d’utiliser, à partir de son smartphone ou de la caméra de son ordinateur, un outil de reconnaissance de l’empreinte digitale ou du visage.
Cette méthode est néanmoins peu recommandée par la CNIL : les données biométriques sont en effet des données considérées comme « sensibles » au sens du RGPD, elles ne peuvent pas être traitées n’importe comment, et contrairement à d’autres informations, elles ne changent normalement pas (empreinte digitale) ou assez peu (visage) durant la vie de l’utilisateur.
Les bonnes pratiques CNIL lors de la mise en oeuvre du MFA
Dans sa recommandation de mars dernier, la CNIL insiste sur un point essentiel : toutes les méthodes de double authentification ne se valent pas. Certaines sont très robustes et adaptées à la sécurité des données personnelles, tandis que d’autres, bien qu’historiquement très utilisées, sont désormais jugées insuffisantes face aux techniques d’attaques modernes.
Par exemple, l’envoi d’un code par SMS ou par e-mail reste aujourd’hui largement utilisé, et car elle est l’une des méthodes historiques de double authentification, et est assez simple à mettre en oeuvre. Il est néanmoins possible aujourd’hui d’intercepter un SMS ou de détourner l’accès à une boite e-mail. C’est pourquoi la CNIL invite les organismes à réserver cette méthode aux cas peu sensibles.
Parmi les solutions jugées plus fiables, les applications d’authentification mobile qui génèrent un code unique sur téléphone, même sans connexion internet, sont recommandées. Pour les authentifications qui doivent être plus sécurisées, pour l’accès à des données sensibles par exemple, les clés de sécurité physique (comme les clés YubiKey) sont particulièrement recommandées.
La CNIL se montre cependant plus réservée sur l’usage de la biométrie comme facteur d’authentification complémentaire. Bien que ces méthodes soient pratiques, et déjà présentes sur la plupart des smartphones sur le marché, elles posent des questions juridiques complexes : la donnée utilisée pour la connexion ne peut être changée / modifiée en cas de fuite, et est considérée comme sensible par la RGPD, limitant ainsi les cas dans lesquels les organismes peuvent traiter la donnée.
Il n’existe donc pas une méthode parmi d’autres que la CNIL recommanderait. Le niveau de sécurité offert par l’authentification multifacteur dépend de la méthode utilisée, et cette méthode doit s’adapter aux types d’accès et aux données : volumétrie d’informations disponibles après l’accès, nature des données, risques pour les personnes en cas de fuite des données, …
Conseils pratiques au DPO et Responsable du traitement
La mise en place de l’authentification multifacteur ne se résume pas à un simple choix d’outil : il doit s’inscrire dans une démarche globale de sécurisation du système d’information.
Il est essentiel, au travers du registre des traitements et de la documentation du SI tenue par l’organisme, d’identifier les zones sensibles du système d’information, puis de définir une politique spécifique et adaptée de MFA. Le choix de l’outil ne vient qu’après avoir déterminé les risques pesant sur les individus, la criticité de la donnée pour l’organisme et ses impératifs de confidentialité, voire après avoir réalisé une Analyse d’Impact sur la Protection des Données (AIPD).
Par ailleurs, l’accompagnement et la sensibilisation des utilisateurs à l’usage de ces nouvelles méthodes de connexion sera clé : en cas de mauvaise compréhension des utilisateurs, en cas de sensation de blocage, en cas de refus d’utiliser ces nouvelles méthodes, les utilisateurs prêteront leurs clés d’identification ou leurs smartphones, copieront les données sur un environnement moins sécurisé, etc.
Il vous faudra au moins :
- Prévoir des sensibilisations ou webinaires internes expliquant aux collaborateurs les enjeux de sécurité répondus par la MFA ;
- Prévoir des guides clairs et visuels expliquant comment fonctionne la MFA ;
- Mettre en place un point de contact pour gérer les situations de perte d’accès.
Il sera, bien sûr, important de documenter ces décisions et actions.
_____________________________________
Des questions ? Besoin d’aide ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.