4. Ne partageons jamais nos mots de passe :
Un mot de passe est personnel et ne doit jamais être partagé. Il ne doit pas être :
- transmis oralement à un tiers (même un collègue, une personne du support technique ou sa hiérarchie)
- écrit / imprimé sur un papier, une étiquette…
- inscrit « en clair » dans un fichier informatique (fichier texte, traitement de texte, tableur, base de données...)
- saisi sur un terminal non maîtrisé appartenant à un tiers
En révélant nos mots de passe, nous risquons d’être responsables des actes qui pourraient être réalisés avec nos accès.
En utilisant l’accès d’un tiers, nous risquons de nous rendre coupable d’usurpation d’identité.
5. Modifions nos mots de passe en cas de soupçon :
Un mot de passe doit être modifié dès lors que nous suspectons une éventuelle compromission :
- une activité suspecte détectée sur un service (connexion signalée depuis un terminal inconnu où à une heure inhabituelle…)
- une erreur de saisie : mot de passe du site A utilisé sur le site B
- la saisie de son mot de passe sur un site malveillant (on s’aperçoit parfois trop tard que l’on a saisi son mot de passe sur un site contrefait, dans ce cas, il est nécessaire de le changer rapidement)
- un regard indiscret sur son clavier
- un mot de passe révélé face à l’urgence / la contrainte
- un mot de passe apparu dans une fuite de données (voir https://haveibeenpwned.com/)
6. Utilisons une authentification « forte » lorsque cela est possible :
L’utilisation d’un second facteur d’authentification est à activer dès qu’un mécanisme est disponible : Pro Santé Connect via carte CPx et e-CPS, Certificat, code à usage unique, second facteur universel (U2F)… N’hésitez pas à solliciter vos fournisseurs sur ce sujet.
Les données de santé sont des données particulièrement sensibles auxquelles il convient de porter une attention particulière, notamment concernant leurs modalités d’accès.
De nombreuses exigences relatives à l’authentification forte ont été inscrites dans le Référentiel d’identification électronique, première brique opposable de la PGSSI-S publié le 1er avril 2022, faisant suite à l’Arrêté du 28 mars 2022. A noter que nous nous orientons vers la fin de l'utilisation du mot de passe simple pour l'accès aux données de santé... L'utilisation d'un seul facteur d'authentification (mot de passe seul) et ce, sous conditions de respects de certaines exigences, ne sera plus autorisée que de manière transitoire jusqu'au 31/12/2025. (cf Exigence n°25 du référentiel).