Sécurisation des appareils personnels

Évaluer les risques spécifiques à l’utilisation d’équipements personnels par les utilisateurs (pratique du « bring your own device » ou BYOD en anglais) et ne les autoriser qu’en fonction des risques identifiés. Les données et les applications accessibles sur ces appareils non maîtrisés par l’organisme doivent être limitées en fonction de leur criticité.

Les responsabilités de chacun et les précautions à respecter doivent être formalisées dans la charte informatique (voir la fiche n°2 - Définir un cadre pour les utilisateurs). Mettre en place un système de gestion des appareils mobiles (MDM ou « mobile device management »), y compris pour les appareils personnels utilisés dans le cadre professionnel (BYOD) si la pratique est autorisée, afin d’uniformiser les configurations et de maîtriser le niveau de sécurité des appareils qui se connectent au réseau de l’organisme.

Limiter le stockage des données sur les postes nomades au strict nécessaire, en particulier lors de l’usage d’équipements personnels, et éventuellement l’interdire lors de déplacements à l’étranger. En cas d’utilisation d’un mécanisme d’effacement, ses modalités d’utilisation par l’employeur sur l’équipement personnel d’un employé (BYOD) doivent être intégrées à la charte informatique (voir la fiche n°2 - Définir un cadre pour les utilisateurs).

Cloisonner les parties d’un équipement personnel ayant vocation à être utilisées dans un cadre professionnel. L'utilisation d'appareils personnels complique la sécurisation de votre entreprise. Près de deux professionnels de la sécurité sur trois (65 %) affirment que l'utilisation d'appareils personnels complique considérablement la surveillance des pratiques de sécurité des employés et engendre des problèmes de visibilité.

Les appareils personnels créent des angles morts en matière de conformité. Ne vous contentez pas de gérer vos appareils, sécurisez-les. Allez au-delà de MDM et vérifiez que tous les appareils sont sécurisés et sains avant d’autoriser l’accès à toute application, y compris celles utilisées par des tiers et des sous-traitants.

Permettez aux employés de résoudre eux-mêmes les problèmes. Fournissez aux employés des indications claires sur les raisons pour lesquelles leur appareil pourrait ne pas être conforme. Permettez-leur de résoudre eux-mêmes les problèmes pour retrouver l'accès aux systèmes de l'entreprise, réduisant ainsi la pression sur le service informatique et les perturbations opérationnelles.

Appliquez des politiques granulaires sur tous les appareils. Vérifiez que chaque appareil est conforme aux politiques de sécurité, par exemple qu'un outil EDR est installé et fonctionne correctement, avant d'autoriser l'accès. Bloquez ou restreignez l'accès en fonction de ce contexte, en veillant à ce que les appareils non sécurisés n'aient jamais accès aux systèmes de l'entreprise.

Protégez les données sensibles des appareils non gérés et inconnus tout en permettant aux utilisateurs de remédier eux-mêmes aux problèmes. Protégez les informations sensibles de l'entreprise. Réduisez le risque d'accès non autorisé et de violations de données en vous assurant que les données sensibles ne sont accessibles qu'aux appareils de confiance et conformes, qu'ils soient gérés, non gérés ou utilisés par des tiers ou des sous-traitants.

Mettez en œuvre des politiques de sécurité robustes, telles que la vérification de la confiance des appareils, et assurez-vous que tous les employés respectent des normes de sécurité cohérentes et efficaces dans toute l'entreprise. Édifiez une culture axée sur la sécurité. Intégrez des pratiques sécurisées dans les flux de travail quotidiens en faisant de la confiance et de la conformité des appareils une responsabilité partagée par toutes les équipes.