Anticiper l’atteinte à la sécurité des données consécutive au vol ou à la perte d’un équipement mobile.
La multiplication des ordinateurs portables, des clés USB et des smartphones rend indispensable d’anticiper les atteintes à la sécurité des données consécutives au vol ou à la perte de tels équipements.
Les précautions élémentaires
Sensibiliser les utilisateurs aux risques spécifiques liés à l’utilisation d’outils informatiques mobiles (ex : vol de matériel) et aux procédures prévues pour les limiter.
Mettre en œuvre des mécanismes maîtrisés de sauvegardes ou de synchronisation des postes nomades, pour se prémunir contre la disparition des données stockées.
Prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple :
- le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose ;
- le chiffrement fichier par fichier ;
- la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffré
De nombreux ordinateurs portables intègrent une solution de chiffrement du disque dur : le cas échéant, il convient d’utiliser cette fonctionnalité.
Concernant les smartphones, en plus du code PIN de la carte SIM, activer le verrouillage automatique du terminal et exiger un secret pour le déverrouiller (mot de passe, schéma, etc.).
Ce qu’il ne faut pas faire
- Utiliser comme outil de sauvegarde ou de synchronisation les services cloud installés par défaut sur un appareil sans analyse approfondie de leurs conditions d’utilisation et des engagements de sécurité pris par les fournisseurs de ces services. Ceux-ci ne permettent généralement pas de respecter les préconisations données dans la fiche Sécurité : Gérer la sous-traitance.
Pour aller plus loin
- Positionner un filtre de confidentialité sur les écrans des postes utilisés dans des lieux publics.
- Limiter le stockage des données sur les postes nomades au strict nécessaire, et éventuellement l’interdire lors de déplacement à l’étranger (voir le « Passeport de conseils aux voyageurs» publié par l’ANSSI) cf document RGPD-Annexe5.pdf
- Prévoir des mécanismes de protection contre le vol (par ex. câble de sécurité, marquage visible du matériel) et de limitation de ses impacts (par ex. verrouillage automatique, chiffrement).
- Lorsque des appareils mobiles servent à la collecte de données en itinérance (ex : assistants personnels, smartphones, ordinateurs portables, etc.), chiffrer les données sur le terminal. Prévoir aussi un verrouillage de l’appareil au bout de quelques minutes d’inactivité et la purge des données collectées sitôt qu’elles ont été transférées au système d’information de l’organisme.