Formation RGPD Salariés 2026

Bonnes pratiques au quotidien

Module 4 / 5

Module 4 : Bonnes pratiques 17 min de lecture

4.2 Mots de passe, MFA et hygiène numérique

81 % des violations de données impliquent un mot de passe faible, réutilisé ou volé (Verizon DBIR 2023). C'est la première mesure de sécurité — et la plus mal appliquée. Recommandations CNIL/ANSSI à jour, et bons réflexes pour le quotidien.

1

Les recommandations CNIL pour un bon mot de passe

Depuis sa délibération du 21 juillet 2022, la CNIL recommande des règles modernisées : la longueur prime sur la complexité.

Sans MFA
  • Minimum 12 caractères
  • 3 types parmi : majuscules, minuscules, chiffres, caractères spéciaux
  • Avec mécanisme de blocage (3 à 10 tentatives)
Avec MFA
  • Minimum 8 caractères (la MFA compense)
  • Avec mécanisme de blocage
  • Privilégier la qualité du second facteur
Ce que la CNIL ne recommande PLUS
  • Le changement périodique forcé (tous les 3 mois) — il pousse à choisir des mots de passe faibles. Recommandé seulement en cas de soupçon de compromission
  • Les questions secrètes (« nom de jeune fille de votre mère ») — facilement devinables ou trouvables sur les réseaux sociaux
2

Comment créer et retenir un mot de passe long

Méthode de la phrase de passe

Choisir une phrase mémorisable et la transformer.

Exemple : « Mon premier vélo était bleu en 1992 ! »

MpVeb1992! ou mieux MonPremierVeloBleu1992!

Gestionnaire de mots de passe

La meilleure pratique : un coffre-fort numérique (KeePass, Bitwarden, 1Password) qui génère et stocke des mots de passe uniques pour chaque service.

Vous ne retenez plus qu'un seul mot de passe maître — long et solide.

À ne JAMAIS faire
  • Utiliser le même mot de passe sur plusieurs comptes
  • Noter les mots de passe sur un post-it sous le clavier ou collé à l'écran
  • Stocker les mots de passe en clair dans un fichier Excel ou Word
  • Les transmettre par e-mail, SMS ou messagerie instantanée non sécurisée
  • Les communiquer à un collègue, un manager, un service IT « pour vérification »
3

L'authentification multifacteur (MFA) : indispensable

La MFA combine deux ou plusieurs preuves d'identité différentes : ce que vous savez (mot de passe), ce que vous avez (téléphone, clé physique), ce que vous êtes (empreinte). Elle bloque plus de 99 % des attaques de type credential stuffing (Microsoft, 2023).

Application TOTP

Google Authenticator, Microsoft Authenticator, FreeOTP. Code à 6 chiffres renouvelé toutes les 30 secondes.

Clé physique FIDO2

YubiKey, Titan : niveau de sécurité maximal, recommandé pour les comptes sensibles (admin, dirigeants, RH).

SMS (à éviter)

Faiblement sécurisé (SIM swapping, interception SS7). Mieux que rien, mais à remplacer dès que possible.

4

Hygiène numérique au quotidien

Mises à jour

Appliquer les mises à jour de sécurité (OS, navigateur, applications). Une faille non corrigée est la porte ouverte aux attaques. Ne pas reporter indéfiniment les redémarrages demandés par la DSI.

Clés USB inconnues

Une clé USB trouvée sur le parking ne se branche jamais sur le poste. Méthode classique d'attaque ciblée. Si nécessaire, faire vérifier par la DSI.

Wi-Fi public

Éviter de se connecter à un Wi-Fi public (gare, hôtel, café) sans VPN d'entreprise. Ne jamais saisir de mot de passe ou consulter des données sensibles sans connexion chiffrée.

Cloud personnel

Ne jamais déposer de données professionnelles dans un Dropbox / Google Drive personnel. Sortie du SI maîtrisé = perte de contrôle juridique et risque RGPD.

Synthèse du chapitre

  • CNIL 2022 : 12 caractères minimum sans MFA, 8 avec MFA
  • Un mot de passe unique par service — gestionnaire recommandé
  • La MFA bloque plus de 99 % des attaques de credential stuffing
  • Mises à jour, méfiance USB, Wi-Fi public, pas de cloud perso pour le pro
RGPD pour Salariés