RGPD : Protéger et sécuriser les données des utilisateurs
Conformément à l’article 32 du RGPD, vous devez mettre en œuvre des mesures de sécurité appropriées afin de garantir un niveau de sécurité adapté au risque, y compris (mais sans s’y limiter) :
le chiffrement des données à caractère personnel;
la capacité à assurer en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement;
la capacité de rétablir la disponibilité et l’accès aux données à caractère personnel en temps utile en cas d’incident physique ou technique.
Plusieurs fonctionnalités d’Auth0 peuvent vous aider à atteindre cet objectif, comme le chiffrement du profil utilisateur, la protection contre la force brute, la détection des violations de mot de passe, l’authentification renforcée, etc.
Le contenu de ces documents ne constitue pas un avis juridique et ne doit pas être considéré comme un substitut à l’assistance juridique. C’est à vous qu’il incombe en dernier ressort de comprendre et de respecter le RGPD, mais Auth0 vous aidera à satisfaire aux exigences du RGPD dans la mesure du possible.
Chiffrement des informations du profil utilisateur
Vous pouvez chiffrer les informations de l’utilisateur avant de les enregistrer dans le profil utilisateur. Vous pouvez utiliser le mécanisme de chiffrement de votre choix avant de stocker les données dans les champs de métadonnées. Lorsqu’un utilisateur définit des informations sensibles, appelez le point de terminaison « Mettre à jour un utilisateur ».
Activer la protection contre les attaques par force brute
La protection contre les attaques par force brute d’Auth0 est activée par défaut pour arrêter les tentatives malveillantes d’accès à votre application.
Il existe deux types de déclencheurs pour cette protection :
10 tentatives de connexion échouées consécutives pour le même utilisateur et à partir de la même adresse IP
100 tentatives de connexion échouées à partir de la même adresse IP en 24 heures ou 50 tentatives d’inscription par minute à partir de la même adresse IP.
Par exemple, si un utilisateur avec user_id1 se connecte à partir de IP1 et échoue à se connecter consécutivement pendant 10 tentatives, sa tentative de connexion à partir de IP1 sera bloquée. Un autre utilisateur, user_id2, se connectant à partir de IP1 ne sera pas bloqué.
Chaque fois qu’Auth0 détecte 10 tentatives de connexion infructueuses à un compte unique à partir de la même IP, nous allons :
envoyer un courriel de notification à l’utilisateur,
bloquer l’adresse IP suspecte pour cet utilisateur.
Chaque fois qu’Auth0 détecte 100 tentatives de connexion échouées en 24 heures ou 50 tentatives d’inscription à partir de la même adresse IP, nous allons :
notifier le(s) administrateur(s) du Dashboard,
bloquer les adresses suspectes pendant 15 minutes.
Vous pouvez activer la protection contre les attaques par force brute, configurer les actions à entreprendre et personnaliser le courriel du compte bloqué à l’aide du Dashboard.
Activer la détection des violations de mot de passe
Le mécanisme de détection des violations de mot de passe vous aide à identifier les informations d’identification des utilisateurs qui pourraient avoir été compromises lors d’une violation de données publiques.
Auth0 surveille les brèches de sécurité majeures qui se produisent sur les principaux sites tiers. Si les informations d’identification de l’un de vos utilisateurs ont été incluses dans une faille de sécurité publique, vous pouvez prendre des mesures et :
envoyer un courriel à l’utilisateur concerné;
envoyer immédiatement un courriel aux propriétaires de tableaux de bord et/ou établir un récapitulatif quotidien/hebdomadaire/mensuel;
bloquer les tentatives de connexion pour les comptes d’utilisateurs suspects utilisant cette combinaison de nom d’utilisateur et de mot de passe. Ce blocage reste en place jusqu’à ce que l’utilisateur modifie son mot de passe.
Vous pouvez activer la détection des violations de mot de passe et configurer les actions à entreprendre à l’aide du Dashboard.
Renforcez votre sécurité avec l’authentification multifacteur (MFA)
L’authentification multifacteur (MFA) vous permet d’ajouter une couche de sécurité supplémentaire à vos applications. Il s’agit d’une méthode permettant de vérifier l’identité d’un utilisateur en lui demandant de s’identifier plusieurs fois.
Nous prenons en charge la MFA à l’aide de notifications poussées, de SMS, de services d’authentification par mot de passe à usage unique et de fournisseurs personnalisés. Vous pouvez activer la MFA pour des utilisateurs ou des actions spécifiques (par exemple, des écrans d’accès contenant des données sensibles). Vous pouvez également définir les conditions qui déclencheront des défis d’authentification supplémentaires, tels que les changements d’emplacement géographique ou les connexions à partir d’appareils non reconnus.
Aidez vos utilisateurs à choisir de meilleurs mots de passe
Vous pouvez personnaliser le niveau de complexité des mots de passe pour les nouvelles inscriptions. Par exemple, vous pouvez demander un mot de passe d’au moins 10 caractères comprenant au moins une lettre majuscule, un chiffre et un caractère spécial.
Vous pouvez également interdire l’utilisation de mots de passe antérieurs grâce à notre fonction Historique des mots de passe et empêcher les utilisateurs de choisir des mots de passe courants grâce à notre Dictionnaire des mots de passe. Ces trois fonctionnalités sont configurables à partir du Dashboard.
Authentification renforcée
Grâce à l’authentification renforcée, les applications peuvent demander aux utilisateurs de s’authentifier à l’aide d’un mécanisme d’authentification plus puissant pour accéder aux ressources sensibles. Par exemple, vous pouvez avoir une application bancaire qui ne nécessite pas d’authentification multifacteur (MFA) pour consulter les informations de base du compte, mais lorsque les utilisateurs essaient de transférer de l’argent entre les comptes, ils doivent s’authentifier avec un facteur supplémentaire (par exemple, un code envoyé par SMS).
Vous pouvez vérifier si un utilisateur s’est connecté avec la MFA en examinant le contenu de son jeton d’ID ou de son jeton d’accès. Vous pouvez alors configurer votre application pour refuser l’accès aux ressources sensibles si le jeton indique que l’utilisateur ne s’est pas connecté avec la MFA.
Disponibilité et résilience
Auth0 est conçu et construit comme un service en nuage évolutif, hautement disponible et multi-locataire. Nous sommes très résistants à la défaillance de n’importe lequel de nos composants car nous mettons en œuvre des composants redondants à tous les niveaux. D’autre part, nous détectons rapidement les défaillances et notre reprise après incident est très rapide.
Pour en savoir plus sur l’architecture d’Auth0, lisez Disponibilité et confiance.