Avant toute utilisation des moyens informatiques, un utilisateur doit être doté d’un identifiant qui lui est propre et doit s’authentifier afin de permettre de contrôler son identité et ses accès aux données dont il a besoin.

Les mécanismes permettant de réaliser l’authentification des personnes sont catégorisés selon qu’ils font intervenir :

• un facteur de connaissance (ce que l’on sait), par exemple un mot de passe ;
• un facteur de possession (ce que l’on a), par exemple une carte à puce ;
• un facteur inhérent (ce que l’on est) qui peut être biométrique, par exemple une empreinte digitale, ou comportementale, par exemple la frappe au clavier. Pour rappel, le traitement de données biométriques visant à identifier un individu automatiquement et de manière unique à partir de ses caractéristiques physiques, physiologiques ou comportementales est un traitement de données sensibles donnant lieu à l’application de l’article 9 du RGPD.

L’authentification d’un utilisateur est qualifiée de multifacteur lorsqu’elle a recours à une combinaison d’au moins deux de ces catégories distinctes. Elle est dite robuste si elle repose sur un mécanisme cryptographique dont les paramètres et la sécurité sont jugés robustes (ex. : clé cryptographique).

Les précautions élémentaires

Définir un identifiant unique par utilisateur

Et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, exiger une validation de la hiérarchie, mettre en œuvre des moyens pour tracer les actions associées à ces identifiants et renouveler le mot de passe dès qu’une personne n’a plus besoin d’accéder au compte.

Source