RGPD : protéger et sécuriser les données des utilisateurs

Conformément à l’article 32 du RGPD, vous devez mettre en œuvre des mesures de sécurité appropriées afin d’assurer un niveau de sécurité adapté au risque, notamment (sans s’y limiter) :

Le chiffrement des données personnelles
La capacité d’assurer en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement
La capacité de rétablir, dans des délais appropriés, la disponibilité des données personnelles et l’accès à celles-ci en cas d’incident physique ou technique

Plusieurs fonctionnalités d’Auth0 peuvent vous aider à y parvenir, comme le chiffrement du profil utilisateur, la , la , l’authentification renforcée et plus encore.

Le contenu de ces documents ne constitue pas un avis juridique et ne doit pas être considéré comme un substitut à une assistance juridique. Il vous incombe en dernier ressort de comprendre le RGPD et de vous y conformer, bien qu’Auth0 vous aide à satisfaire aux exigences du RGPD lorsque cela est possible.

Chiffrer les renseignements du profil de l’utilisateur

Vous pouvez chiffrer les renseignements de l’utilisateur avant de les enregistrer dans son profil. Vous pouvez utiliser le mécanisme de chiffrement de votre choix avant de stocker des données dans les champs de métadonnées. Lorsqu’un utilisateur définit des renseignements sensibles, appelez le point de terminaison Update a User.

Activer la protection contre les attaques par force brute

La protection d’Auth0 contre les attaques par force brute est activée par défaut pour empêcher les tentatives malveillantes d’accéder à votre application. Ce mécanisme de protection comporte deux types de déclencheurs :

10 tentatives de connexion consécutives échouées pour le même utilisateur à partir de la même adresse IP
100 tentatives de connexion échouées à partir de la même adresse IP en 24 heures, ou 50 tentatives d’inscription par minute à partir de la même adresse IP

Par exemple, si un utilisateur ayant user_id1 se connecte à partir de IP1 et échoue 10 fois de suite, ses tentatives de connexion à partir de cette IP1 seront bloquées. Un autre utilisateur, user_id2, qui se connecte à partir de IP1, ne sera pas bloqué. Chaque fois qu’Auth0 détecte 10 tentatives de connexion échouées sur un même compte à partir de la même adresse IP, nous allons :

Envoyer un courriel de notification à l’utilisateur.
Bloquer l’adresse IP suspecte pour cet utilisateur.

Chaque fois qu’Auth0 détecte 100 tentatives de connexion échouées en 24 heures ou 50 tentatives d’inscription à partir de la même adresse IP, nous allons :

Aviser les administrateurs du Dashboard.
Bloquer les adresses suspectes pendant 15 minutes.

Vous pouvez activer la protection contre les attaques par force brute, configurer les actions à effectuer et personnaliser le courriel envoyé lorsqu’un compte est bloqué à l’aide du Dashboard.

Activer la détection des mots de passe compromis

La fonctionnalité de détection des mots de passe compromis vous aide à repérer les identifiants d’utilisateurs qui pourraient avoir été compromis lors d’une brèche de données publique. Auth0 suit les brèches de sécurité majeures qui touchent d’importants sites tiers. Si les identifiants de l’un de vos utilisateurs ont été exposés dans une brèche de sécurité publique, vous pouvez prendre les mesures suivantes :

Envoyer un courriel à l’utilisateur concerné
Envoyer immédiatement un courriel aux propriétaires du Dashboard et/ou recevoir un résumé quotidien, hebdomadaire ou mensuel
Bloquer les tentatives de connexion pour les comptes d’utilisateurs soupçonnés d’utiliser cette combinaison de nom d’utilisateur et de mot de passe. Ce blocage reste en place jusqu’à ce que l’utilisateur change son mot de passe

Vous pouvez activer la détection des mots de passe compromis et configurer les mesures à prendre à l’aide du Dashboard.

Renforcez votre sécurité avec l’authentification multifacteur

Avec l’ (MFA), vous pouvez ajouter une couche de sécurité supplémentaire à vos applications. Il s’agit d’une méthode de vérification de l’identité d’un utilisateur qui consiste à lui demander de fournir plus d’un élément d’identification. Nous prenons en charge la MFA au moyen de notifications push, de SMS, de services d’authentification par mot de passe à usage unique et de fournisseurs personnalisés. Vous pouvez activer la MFA pour certains utilisateurs ou pour certaines actions (par exemple, l’accès à des écrans contenant des données sensibles). Vous pouvez également définir les conditions qui déclencheront des demandes d’authentification supplémentaires, comme un changement d’emplacement géographique ou des connexions à partir d’appareils non reconnus.

Aidez vos utilisateurs à choisir de meilleurs mots de passe

Vous pouvez personnaliser le niveau de complexité des mots de passe pour les nouvelles inscriptions. Par exemple, vous pouvez exiger un mot de passe d’au moins 10 caractères, comprenant au moins une lettre majuscule, un chiffre et un caractère spécial. Vous pouvez aussi interdire la réutilisation d’anciens mots de passe à l’aide de notre fonctionnalité Password History et empêcher les utilisateurs de choisir des mots de passe courants grâce à notre fonctionnalité Password Dictionary. Ces trois fonctionnalités sont configurables dans le Dashboard.

Authentification renforcée

Avec l’authentification renforcée, les applications peuvent demander aux utilisateurs de s’authentifier au moyen d’un mécanisme plus robuste pour accéder à des ressources sensibles. Par exemple, vous pouvez avoir une application bancaire qui n’exige pas l’authentification multifacteur (MFA) pour consulter les renseignements de base d’un compte, mais lorsque les utilisateurs tentent de transférer de l’argent d’un compte à l’autre, ils doivent alors s’authentifier à l’aide d’un facteur supplémentaire (par exemple, un code envoyé par SMS). Vous pouvez vérifier si un utilisateur s’est connecté avec MFA en examinant le contenu de son ou de son . Vous pouvez ensuite configurer votre application pour refuser l’accès aux ressources sensibles si le jeton indique que l’utilisateur ne s’est pas connecté avec MFA.

Disponibilité et résilience

Auth0 est conçu et développé comme un service infonuagique évolutif, hautement disponible et multi-locataire. Nous sommes très résilients aux pannes de n’importe lequel de nos composants, car nous mettons en œuvre des composants redondants à tous les niveaux. Nous détectons aussi rapidement les défaillances, et le basculement s’effectue très vite. Pour en savoir plus sur l’architecture d’Auth0, consultez Availability & Trust.

​Chiffrer les renseignements du profil de l’utilisateur

​Activer la protection contre les attaques par force brute

​Activer la détection des mots de passe compromis

​Renforcez votre sécurité avec l’authentification multifacteur

​Aidez vos utilisateurs à choisir de meilleurs mots de passe

​Authentification renforcée

​Disponibilité et résilience

​En savoir plus

Chiffrer les renseignements du profil de l’utilisateur

Activer la protection contre les attaques par force brute

Activer la détection des mots de passe compromis

Renforcez votre sécurité avec l’authentification multifacteur

Aidez vos utilisateurs à choisir de meilleurs mots de passe

Authentification renforcée

Disponibilité et résilience

En savoir plus