Sécurité : Sécuriser l'informatique mobile

La multiplication des pratiques de travail hors des locaux de l’organisme (ex. : déplacements, télétravail) comporte des risques spécifiques liés à l’usage d’ordinateurs portables, de clés USB ou encore de smartphones : il est indispensable de les encadrer.

Les précautions élémentaires

Sensibiliser les utilisateurs aux risques spécifiques liés à l’utilisation d’outils informatiques mobiles (ex : vol de matériel, risques liés à la connexion aux réseaux et équipements non maîtrisés, notamment public) et aux procédures prévues pour les limiter.

Mettre en œuvre des mécanismes maîtrisés de sauvegardes ou de synchronisation des postes nomades, pour se prémunir contre la disparition des données stockées.

Prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ex : ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), tels que :

• le chiffrement du disque dur (de nombreux systèmes d'exploitation intègrent une telle fonctionnalité) ;
• le chiffrement fichier par fichier ;
• la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés.

Concernant les smartphones, en plus du code PIN de la carte SIM, activer le verrouillage automatique du terminal et exiger un secret pour le déverrouiller (mot de passe, schéma, etc.).

Informer les utilisateurs de la personne à contacter en cas de perte ou de vol de leur matériel.

Ce qu’il ne faut pas faire

Utiliser comme outil de sauvegarde ou de synchronisation les services cloud installés par défaut sur un appareil sans analyse approfondie de leurs conditions d’utilisation et des engagements de sécurité pris par les fournisseurs de ces services. Ceux-ci ne permettent généralement pas de respecter les préconisations données dans la fiche n°14 : Gérer la sous-traitance.

Pour aller plus loin

• Positionner un filtre de confidentialité sur les écrans des postes utilisés dans des lieux publics.
• Ne pas laisser d'équipements ou de documents sans surveillance dans les lieux publics.
• Ne pas discuter (ex : conversation en groupe ou au téléphone) d'informations sensibles dans les lieux publics.
• Limiter le stockage des données sur les postes nomades au strict nécessaire, et éventuellement l’interdire lors de déplacement à l’étranger.
• Prévoir des mécanismes de protection contre le vol (par ex. câble de sécurité, marquage visible du matériel) et de limitation de ses impacts (par ex. verrouillage automatique, chiffrement).
• Lorsque des appareils mobiles servent à la collecte de données en itinérance (ex : assistants personnels, smartphones, ordinateurs portables), chiffrer les données sur le terminal. Prévoir aussi un verrouillage de l’appareil au bout de quelques minutes d’inactivité et la purge des données collectées aussitôt qu’elles ont été transférées au système d’information de l’organisme.