Lignes directrices sur la gestion des risques pour les appareils mobiles

L’utilisation d’appareils mobiles, notamment les ordinateurs portables, les téléphones intelligents, les tablettes et les clés USB, crée des préoccupations en matière de sécurité, étant donné les possibilités de vol d’équipement et de données sensibles et précieuses. De plus, les appareils mobiles sont exposés à tous les autres risques de sinistres, comme les attaques par des logiciels malveillants, la suppression de fichiers, les dommages électriques, etc. Le présent bulletin fournit des suggestions pour protéger les appareils mobiles contre les sinistres.  

Protection physique 

Voici des procédures de base en matière de sécurité physique et environnementale qui peuvent vous aider à protéger votre appareil mobile contre le vol et les dommages : 

• Ne laissez jamais votre ordinateur portable ou un autre appareil mobile sans surveillance dans un espace public ou dans une voiture.
  
• Verrouillez ou sécurisez toujours votre appareil. Utilisez un câble de sûreté compatible ou verrouillez votre appareil dans votre bureau la nuit. Les câbles de sûreté peuvent également être utilisés dans des endroits publics où la sécurité des lieux peut être limitée, comme les bibliothèques, les écoles, les salles de congrès, les salons professionnels et les parquets de bourse. 
  
• Utilisez un sac robuste, résistant aux intempéries, rembourré et discret pour ranger votre ordinateur portable. Lorsque vous transportez un ordinateur portable dans un étui ou une valise avec une courroie, marchez en gardant une main sur la courroie.
  
• Tenez à jour une liste des actifs, incluant les numéros de série des appareils et les logiciels, sans oublier les personnes auxquelles l’équipement est actuellement attribué. Ces personnes doivent conserver un enregistrement distinct du numéro de série de leur appareil.
  
• Étiquetez l’appareil au moyen de renseignements d’identification, comme un numéro de stock ou un numéro de téléphone, au cas où l’appareil serait perdu et retrouvé. Choisissez une étiquette qui ne permet pas l’identification du propriétaire ou de l’entreprise, si possible. 
  
• Ne laissez pas les appareils dans des conditions de gel, car ils ne tolèrent probablement pas le froid extrême. 
  
• Lorsque vous rangez un ordinateur portable dans votre véhicule, il est conseillé de le garder hors de vue à l’arrière ou dans le coffre. Assurez-vous qu’il est immobilisé de manière à ne pas bouger pendant que vous conduisez. Si vous décidez de garder l’ordinateur portable à l’avant, vous ne devez en aucun cas tenter de l’utiliser pendant que vous conduisez le véhicule.
  
• Lorsque l’appareil ne fonctionne pas en mode batterie, utilisez un parasurtenseur.
  
• Gardez le capuchon de sécurité sur les batteries. Les batteries sont habituellement de type lithium-ion ou nickel-hydrure métallique. Les deux types peuvent se désintégrer rapidement.  

Sécurité des données

Les mesures de contrôle suivantes peuvent vous aider à protéger les données stockées sur des appareils mobiles : 

• Utilisez des mots de passe forts, comme des « phrases passe », et faites des vérifications périodiques. Sur les téléphones mobiles, utilisez l’identification biométrique, dans la mesure du possible. Ne vous contentez pas de modèles (dessinés par glissement) pour déverrouiller des appareils comme des téléphones intelligents ou des tablettes.
  
• Assurez-vous de la sécurité des points d’extrémité et des lecteurs multimédias portables connectés. 
  
• Fournissez un accès par réseau privé virtuel (RPV) et à authentification multifactorielle. 
  
• Utilisez le RPV pour chiffrer la session lorsque vous connectez des appareils mobiles à des réseaux Wi-Fi publics ou lorsque vous accédez à des sites qui sont moins sécurisés.
  
• Mettez à jour le logiciel pour corriger les vulnérabilités connues sur votre appareil.
  
• Périodiquement, examinez et mettez en œuvre des profils de configuration sécurisés pour tous les appareils mobiles.
  
• Sauvegardez les données pour prévenir toute perte et pour vous assurer de l’identification et du suivi efficaces des données sensibles qui ont pu être stockées sur l’appareil mobile.
  
• Utilisez la solution Mobile Device Management (MDM) ou Enterprise Mobility Management (EMM) et mettez en œuvre la politique de sécurité, les configurations de base, les mesures de contrôle de l’installation des applications et les sauvegardes à distance obligatoires pour certains utilisateurs ou référentiels.
  
• Chiffrez systématiquement les appareils lorsqu’ils contiennent des données confidentielles et sensibles. En cas de vol, cela protégera vos données contre tout accès non autorisé.
  
• Équipez les appareils mobiles d’outils de suivi ou de suppression des données à distance. 

Éducation et sensibilisation

L’éducation des utilisateurs est essentielle pour minimiser les sinistres. Le vol de données et l’espionnage visant les ordinateurs personnels, les ordinateurs portables, les réseaux et les ports d’accès à distance sont devenus endémiques. La formation et la sensibilisation des employés doivent inclure les mesures suivantes : 

• Gardez le travail distinct. N’utilisez pas les appareils mobiles professionnels pour les activités personnelles, à moins que cela ne soit autorisé par la politique de sécurité, notamment sur certains téléphones intelligents.
  
• N’enregistrez pas de données localement, afin de réduire le risque de vol de données. 
  
• Utilisez des services d’infonuagique ou de stockage en centre de données qui sont préapprouvés par l’entreprise, particulièrement pour les données sensibles comme les renseignements permettant d’identifier une personne, les renseignements de santé confidentiels, les secrets commerciaux, etc.
  
• N’utilisez pas de dispositifs USB trouvés par hasard. 
  
• Dans la mesure du possible, évitez d’utiliser des clés USB ou d’autres dispositifs de stockage amovibles, à moins qu’il ne s’agisse d’un dispositif sécurisé fourni par l’entreprise.
  
• Désactivez les connexions automatiques à des réseaux ouverts.
  
• Évitez de vous connecter à des réseaux Wi-Fi inconnus.
  
• Limitez l’utilisation de la technologie Bluetooth et de la communication en champ proche (CCP) pour le partage de données sensibles.
  
• Désactivez la connectivité sans fil (Wi-Fi et Bluetooth) lorsque vous ne l’utilisez pas.
  
• Utilisez la connectivité Wi-Fi ou par réseau de données cellulaires de l’entreprise plutôt qu’un réseau Wi-Fi public.
  
• Téléchargez des applications uniquement à partir de sources fiables (Apple App Store et Google Play, par exemple) ou de sites Web de confiance (sites Web reconnus sur lesquels vous pouvez vérifier la présence de l’icône de « cadenas » ou de l’expression « https:// » dans l’adresse du site Web, ce qui indique la validité du certificat).
  
• Éliminez adéquatement tout contenu sur un portail, conformément à la politique de l’entreprise :
  
  • Ne vous fiez pas aux commandes de suppression.
    
  • Demandez au service informatique de se charger de l’élimination d’un appareil. 
    
  • Faites appel à des entreprises d’élimination approuvées et obtenez les certificats appropriés. 

Politiques et procédures

Les politiques et procédures écrites doivent couvrir des éléments tels que les suivants : 

• Responsabilité et imputabilité en ce qui concerne la sécurité et la protection de l’équipement attribué. Par exemple, les personnes auxquelles l’équipement est attribué doivent être tenues responsables en cas de perte d’un appareil laissé sans surveillance ou non sécurisé.  
• Une copie signée de l’énoncé de politique doit être exigée de tous les employés auxquels des appareils mobiles sont attribués.  
• Vérifications annuelles des politiques, des procédures, de l’équipement attribué et des listes de logiciels.  
• Procédures de recours hiérarchique, d’avis et de signalement en cas de perte ou de vol d’appareils mobiles, d’intrusions présumées et de modification de données. 
• Enquête sur la perte ou le vol d’appareils mobiles ou sur les atteintes à la protection des données présumées. 
• Évaluation du risque d’atteinte à la protection des données, compte tenu des contrôles existants. 
• Registres des incidents et documentation des mesures prises. 
• Participation de fournisseurs tiers de soutien à l’intervention, comme des accompagnateurs en matière d’atteinte à la protection des données, des conseillers juridiques externes, des entrepreneurs en intervention en cas d’incident et des fournisseurs techniques. 
• Signalement des incidents aux forces de l’ordre, si nécessaire. S’il y a lieu, on doit également signaler le vol au gestionnaire du lieu où l’incident s’est produit (hôtel, compagnie aérienne, autobus, agence de location de voitures, etc.). 

Bonnes pratiques de voyage 

Les vols d’ordinateurs portables sont fréquents dans les aéroports. Lorsque vous voyagez avec un ordinateur portable, gardez les yeux sur le convoyeur à courroie. Surveillez l’arrivée de vos bagages et de votre portable, ainsi que les articles ramassés par les personnes qui se trouvent devant vous. Voici d’autres lignes directrices pour vous aider à protéger votre ordinateur portable lorsque vous vous déplacez dans un aéroport : 

• Ne laissez jamais un appareil sans surveillance ou hors de vue.  
• N’enregistrez jamais un ordinateur portable comme bagage.  
• Laissez votre ordinateur portable passer la radiographie, ne demandez jamais une inspection manuelle et ne le perdez jamais de vue.  
• Si les responsables de la sécurité exigent de le voir fonctionner, faites les manipulations vous-même. Dans la mesure du possible, ne les laissez jamais toucher à votre ordinateur.  
• Signalez immédiatement toute perte aux autorités. 
• Conservez les numéros de série, la marque et le modèle de votre ordinateur portable, ou de tout article de valeur, séparément de l’article, afin de pouvoir fournir des renseignements précis aux autorités en cas de vol.