Une sécurité renforcée sur nos logiciels

Nous avons renforcé il y a quelques mois la sécurité au niveau de l’accès aux comptes lecteurs dans Decalog PORTAIL. C’est au tour de Decalog SIGB de bénéficier d’une protection accrue des accès à la plateforme logicielle pour lutter contre les menaces informatiques.

Ce renforcement vient en réponse au Règlement Général sur la Protection des Données (RGPD) qui impose la mise en place de mesures de sécurité et d’outils adaptés pour assurer la protection des données personnelles.

La méthode est ancienne mais des techniques informatiques permettent de tester des millions de combinaisons de caractères en un temps record pour “craquer” un mot de passe ou un nom d’utilisateur, trouver une page Web cachée ou encore la clé utilisée pour chiffrer un message. On appelle cette méthode l’attaque par force brute. Des règles de bonnes pratiques sont donc indispensables pour limiter ces risques.

Qu’est-ce qui change donc au niveau de nos plateformes web ?

  • Expiration et complexité des mots de passe : il est possible de définir une durée d’expiration d’un mot de passe.

Le nouveau mot de passe devra de plus comporter impérativement 8 caractères minimum dont une minuscule, une majuscule, un chiffre et un caractère spécial. Cette règle évite les mots de passe construits sur une date de naissance, le prénom du conjoint adoré ou un mot usuel simple… Elle favorise des mots de passe “solides”. 2 méthodes sont aujourd’hui bien connues pour la création de mots de passe en s’appuyant sur des moyens mnémotechniques de son choix :

    • La méthode des premières lettres : Un tiens vaut mieux que deux tu l’auras >>> 1tvmQ2tl’A
    • La méthode phonétique : J’ai acheté huit CD pour cent euros cet après-midi >>> ght8CD%E7am
  • Temporisation en cas d’échecs répétés : une temporisation de 3 minutes est imposée après 3 échecs de connexions pour contrer les attaques de type « robot ».
  • Désactivation des comptes inactifs : Les utilisateurs qui ne se sont pas connectés depuis un délai défini en amont (maximum 1 an) sont automatiquement désactivés. L’usager peut toutefois réactiver son compte en cliquant sur « Mot de passe oublié » lors de sa tentative de connexion. La réactivation du compte peut également être effectuée par un administrateur Decalog SIGB.
  • Amélioration du système de chiffrement des mots de passe par l’utilisation de l’algorithme SHA-256 recommandé par les institutions CNIL et ANSSI
  • Amélioration de la sécurité des modèles de documents rendant impossible la lecture des données utilisées.

 

Retrouvez les conseils de la CNIL pour un bon mot de passe ici.