RGPD : Authentification multifacteur (MFA)
Définition
L’authentification d’un utilisateur a pour objet de vérifier la preuve de son identité avant de lui donner l’accès aux ressources d’un système d’information (ordinateur, partage réseau, site web, application mobile, etc.).
Une authentification multifacteur, généralement abrégée par MFA (pour multi-factor authentication en anglais), a pour caractéristique de s’appuyer sur plusieurs preuves, appelées facteurs d’authentification, appartenant à au moins deux des trois catégories suivantes :
- Un facteur de connaissance (ce que la personne sait) : un secret à mémoriser, par exemple une phrase de passe (passphrase en anglais), un mot de passe ou un code confidentiel, plus communément appelé code PIN (Personal Identification Number en anglais) ;
- Un facteur de possession (ce que la personne a) : un élément secret non mémorisable, tel qu’une clé cryptographique, permettant de prendre part à des protocoles d’authentification (par exemple ceux faisant intervenir un mot de passe à usage unique, généralement nommés protocoles OTP pour onetime password en anglais) et contenu dans un objet physique unique qui idéalement protège cet élément d’extractions. Il peut s’agir, concrètement :
- D’un jeton matériel (hard token en anglais) à savoir un dispositif matériel dédié, idéalement muni d’un composant de sécurité, fourni par le vérifieur (voir annexe), tel qu’une carte à puce, une clé USB d’authentification, un authentifieur OTP (composant matériel muni d’un écran affichant un code à usage unique renouvelé régulièrement), une calculette OTP, etc. ;
- Ou d’un jeton logiciel lié (device-bounded soft token en anglais) reposant sur une application associée à un appareil enrôlé. Ce jeton logiciel ne devrait pouvoir être actif que sur un seul et unique appareil, idéalement équipé d’un composant de sécurité intégré, ou a minima être sécurisé en termes de confidentialité et d’intégrité1
- Un facteur d’inhérence parfois dit, par abus de langage, facteur biométrique (ce que la personne est ou fait) une caractéristique physique indissociable d’une personne qui peut être :
- Morphologique, par exemple une empreinte digitale, une empreinte rétinienne, la structure du visage, etc. ;
- Comportementale, par exemple la frappe au clavier, la voix, la démarche ou encore l’écriture ;
- Ciologique, par exemple l’ADN, le sang, etc.
Comment respecter les obligations de protection des données personnelles ?
L’authentification multifacteur doit, comme tout traitement de données à caractère personnelle, respecter le RGPD. À ce titre, il est nécessaire de mener préalablement à la mise en place d’une authentification multifacteur les actions suivantes, développées dans les sections ci-après :
- Evaluer l’opportunité de mettre en place une authentification multifacteur ;
- Justifier d’une base légale pour le traitement d’authentification multifacteur ;
- Identifier une exception permettant l’usage du facteur d’inhérence le cas échéant ;
- Choisir la solution en prenant en compte les risques relatifs aux personnes concernées ;
- Qualifier les acteurs et préciser leurs obligations ;
- Minimiser la collecte de données ;
- Définir les modalités de conservation des données ;
- Documenter et encadrer les potentiels transferts de données ;
- Prévoir l’exercice des droits des personnes concernées ;
- Sécuriser l’authentification multifacteur.
Liens
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32014R0910
https://esante.gouv.fr/produits-services/pgssi-s/corpus-documentaire
