Mettre en place les recommandations ANSSI sur l'authentification

[yaf]

Actuellement

Il n'y a aucune contrainte sur l'authentification d'un agent ou d'un usager.

Objectif

Mettre en place les recommandations de l'ANSSI en matière de sécurité d'authentification pour les agents et les usagers (une première partie au moins).

• [ ] Imposer un délai d'expiration sur les mots de passe des comptes à privilèges
• [ ] Limiter la durée de validité d'une session authentifiée
• [ ] Limiter dans le temps le nombre de tentatives d'authentification
• [ ] Ne pas donner d'information sur l'échec de l'authentification
• [ ] Définir un délai d'expiration des facteurs d'authentification
• [ ] Imposer une longueur minimale pour les mots de passe
• [ ] Mettre en œuvre des règles sur la complexité des mots de passe

Certaines sont présentes ou facilement activables via Devise. À voir pour les autres. Cela concerne les comptes agents, pas forcément les comptes usagers qui n'ont que peu de privilèges d'accès.

Dans un second temps, nous pourrons mettre en place une authentification multifacteur

[yaf]

Et j'ajoute le document de la CNIL à propos de la gestion de mot de passe :

https://www.cnil.fr/sites/default/files/atoms/files/recommandation-mots-de-passe_annexe2_tableau-correspondance.pdf