Sécurité : Sécuriser l'informatique mobile

14 mars 2024

Anticiper l’atteinte à la sécurité des données à l'extérieur des locaux, dont le vol ou à la perte d’un équipement mobile.

La multiplication des pratiques de travail hors des locaux de l’organisme (ex. : déplacements, télétravail) comporte des risques spécifiques liés à l’usage d’ordinateurs portables, de clés USB ou encore de smartphones : il est indispensable de les encadrer.

Les précautions élémentaires

Sensibiliser les utilisateurs aux risques spécifiques liés à l’utilisation d’outils informatiques mobiles (par exemple : vol de matériel, risques liés à la connexion aux réseaux et équipements non maîtrisés, notamment public, usage d’équipements personnels) et aux procédures prévues pour les limiter.

Prévoir un contrôle d’accès par des dispositifs d’authentification adaptées (par exemple : certificat électronique, carte à puce). Tous les flux d’information devraient être chiffrés (par exemple : VPN pour les accès externes).

Mettre à disposition des utilisateurs des espaces de stockage partagé accessibles en nomadisme Leur recommander d’y stocker toutes leurs données pour se prémunir contre la perte ou le vol du matériel.

Prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (par exemple : ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), tels que :

  • le chiffrement du disque dur (de nombreux systèmes d'exploitation intègrent une telle fonctionnalité) ;
  • le chiffrement fichier par fichier ;
  • la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés.

Concernant les smartphones, en plus du code PIN de la carte SIM, activer le verrouillage automatique du terminal et exiger un secret pour le déverrouiller (mot de passe, schéma, etc.).

Informer les utilisateurs de la personne à contacter en cas de perte ou de vol de leur matériel.

Évaluer les risques spécifiques à l’utilisation d’équipements personnels par les utilisateurs (pratique du « bring your own device » ou BYOD en anglais) et ne les autoriser qu’en fonction des risques identifiés. Les données et les applications accessibles sur ces appareils non maîtrisés par l’organisme doivent être limitées en fonction de leur criticité. Les responsabilités de chacun et les précautions à respecter doivent être formalisées dans la charte informatique (voir la fiche n°2 - Définir un cadre pour les utilisateurs).

Ce qu’il ne faut pas faire

  • Utiliser comme outil de sauvegarde ou de synchronisation les services cloud installés par défaut sur un appareil sans analyse approfondie de leurs conditions d’utilisation et des engagements de sécurité pris par les fournisseurs de ces services. Ceux-ci ne permettent généralement pas de respecter les préconisations données dans la fiche n°14 : Gérer la sous-traitance.
  • Prévoir des mesures de sécurité (ex. : par le paramétrage d’un système de gestion des appareils mobiles ou MDM, « mobile device management ») qui entravent l’utilisation d’un équipement personnel dans le cadre privé (BYOD) au motif qu’il est utilisé dans le cadre professionnel (ex. : interdire l’installation d’applications sur l’appareil).
  • Accéder à des éléments relevant de la vie privée des personnes stockés dans l’espace personnel d’un équipement personnel utilisé dans le cadre professionnel (BYOD).

Pour aller plus loin

  • Voir la fiche dédiée à l’utilisation d’équipement personnel par les utilisateurs sur le site de la CNIL.
  • Mettre en place un système de gestion des appareils mobiles (MDM ou « mobile device management »), y compris pour les appareils personnels utilisés dans le cadre professionnel (BYOD) si la pratique est autorisée, afin d’uniformiser les configurations et de maîtriser le niveau de sécurité des appareils qui se connectent au réseau de l’organisme.
  • Fournir un filtre de confidentialité pour les écrans des postes utilisés dans des lieux publics.
  • Sensibiliser sur les mauvaises pratiques dans les lieux publics :
    • ne pas laisser d’équipements ou de documents sans surveillance ;
    • ne pas discuter (ex. : conversation en groupe ou au téléphone) d’informations sensibles (ex. : données personnelles, informations pouvant dévoiler des failles de sécurité).
  • Limiter le stockage des données sur les postes nomades au strict nécessaire, en particulier lors de l’usage d’équipements personnels, et éventuellement l’interdire lors de déplacements à l’étranger.
  • Prévoir des mécanismes de protection contre le vol (ex. : câble de sécurité, marquage visible du matériel) et de limitation de ses impacts (ex. : verrouillage automatique, chiffrement, effacement à distance). En cas d’utilisation d’un mécanisme d’effacement, ses modalités d’utilisation par l’employeur sur l’équipement personnel d’un employé (BYOD) doivent être intégrées à la charte informatique (voir la fiche n°2 - Définir un cadre pour les utilisateurs).
  • Cloisonner les parties d’un équipement personnel ayant vocation à être utilisées dans un cadre professionnel.