La sécurité des actifs hors site consiste à appliquer des mesures de protection spécifiques aux équipements et informations utilisés en dehors des locaux de l'organisation (télétravail, déplacements professionnels, sites clients). L'ISO 27002 mesure 7.9 recommande quatre contrôles principaux :

• Chiffrement obligatoire : tous les équipements contenant des données professionnelles doivent être chiffrés intégralement (chiffrement complet du disque)
• Protection physique renforcée : mesures anti-vol, surveillance accrue, règles de transport et stockage sécurisés
• Contrôle d'accès strict : authentification forte, verrouillage automatique, protection par mot de passe ou biométrie
• Règles d'usage en mobilité : politiques claires sur l'utilisation des équipements dans les lieux publics, les connexions réseau, et le stockage temporaire

Ces contrôles visent à garantir que les actifs hors site bénéficient d'un niveau de protection équivalent à celui des locaux de l'organisation.

Ordinateurs portables

Les laptops professionnels contiennent souvent l'intégralité des données de travail : emails, documents, accès VPN, fichiers clients. Utilisés dans les trains, avions, hôtels, cafés, espaces de coworking, ils sont exposés au vol, à la perte, et aux regards indiscrets.

Risques spécifiques : vol dans les transports en commun ou véhicules, perte lors de déplacements, visualisation d'écran par des tiers (shoulder surfing), connexion à des réseaux WiFi non sécurisés.

Smartphones et tablettes professionnels

Les terminaux mobiles donnent accès aux emails professionnels, agendas, contacts, applications métier, messageries instantanées. Perdre un smartphone non protégé expose toutes ces informations.

Risques spécifiques : perte fréquente (oublié dans un taxi, restaurant, transport), vol ciblé, connexion automatique aux WiFi publics malveillants, installation d'applications non autorisées.

Supports de stockage externes

Clés USB, disques durs externes, cartes SD transportés pour des présentations, sauvegardes, transferts de fichiers volumineux.

Risques spécifiques : perte facile (petite taille), vol, oubli sur site client, connexion sur des machines non sécurisées.

Documents papier

Dossiers clients, documents stratégiques, notes de réunion confidentielles imprimés et transportés dans des sacoches, sacs.

Risques spécifiques : oubli dans les transports ou sur site, visualisation dans les espaces publics, vol de sacoche, photocopie non autorisée.

Chiffrement intégral du disque (FDE)

Tous les ordinateurs portables et tablettes professionnels doivent avoir le chiffrement complet du disque activé : Windows : BitLocker (intégré dans Windows 10/11 Pro et Enterprise), macOS : FileVault (intégré, activation simple), Linux : LUKS (Cryptsetup).

Le chiffrement intégral protège toutes les données du disque. Si le laptop est volé éteint, impossible d'accéder aux données sans le mot de passe de déchiffrement.

Configuration obligatoire : chiffrement activé avant première utilisation, clé de récupération sauvegardée dans un coffre-fort d'entreprise (pour récupération en cas d'oubli), vérification régulière que le chiffrement est actif (audit via MDM).

Chiffrement des supports amovibles

Utiliser des clés USB et disques externes avec chiffrement matériel intégré (AES-256) ou activer le chiffrement logiciel (BitLocker To Go pour Windows). Jamais de données professionnelles sur un support non chiffré.

Chiffrement des smartphones

iOS : chiffrement actif par défaut si code PIN configuré (protection renforcée avec code alphanumérique long), Android : activer le chiffrement dans les paramètres de sécurité (actif par défaut sur versions récentes avec code écran).

Câbles antivol

Attacher les laptops avec un câble de sécurité (type Kensington) dans les environnements semi-publics : espaces de coworking, salles de réunion chez le client, bureaux partagés temporaires.

Le câble n'empêche pas un vol déterminé mais dissuade les vols opportunistes.

Sacoche discrète

Éviter les sacoches d'ordinateur trop identifiables (marquage constructeur visible). Utiliser des sacs discrets qui ne signalent pas immédiatement la présence d'équipement de valeur.

Ne jamais laisser une sacoche visible dans un véhicule (même coffre), toujours la garder avec soi.

Règles de transport

En voiture : ne jamais laisser d'équipements visibles, même pour "juste 5 minutes". Ranger dans le coffre avant d'arriver à destination (pas sur le parking).

En transport en commun : garder la sacoche sous surveillance visuelle constante, la tenir près du corps, ne jamais la poser au sol hors de vue.

En avion : garder le laptop en bagage cabine (jamais en soute), surveiller lors des contrôles de sécurité (moment de vol fréquent).

En hôtel : utiliser le coffre-fort de la chambre pour les équipements non utilisés, ne rien laisser dans la chambre lors des absences.

Authentification forte

Tous les équipements mobiles doivent avoir une authentification forte activée : laptops : mot de passe robuste au démarrage (12+ caractères) + biométrie (empreinte, reconnaissance faciale) si disponible, smartphones : code PIN minimum 6 chiffres ou mot de passe alphanumérique + biométrie, tablettes : idem smartphones.

Interdire les codes simples (1234, 0000) ou patterns prévisibles sur Android.

Verrouillage automatique

Configuration obligatoire du verrouillage automatique après inactivité : laptops : 5 minutes maximum en environnement de bureau, 2 minutes en mobilité, smartphones/tablettes : 2 minutes maximum, 30 secondes recommandé en environnement sensible.

L'utilisateur doit aussi verrouiller manuellement dès qu'il s'éloigne de l'équipement.

Limitation des tentatives

Configurer un nombre maximum de tentatives de déverrouillage échouées : après 10 tentatives échouées : verrouillage de l'appareil nécessitant intervention IT, smartphones avec MDM : possibilité d'effacement à distance après X tentatives (mesure extrême pour données très sensibles).

Connexions réseau sécurisées

Interdiction WiFi public ouvert : ne jamais se connecter aux réseaux WiFi publics non protégés (aéroports, cafés, hôtels) sans VPN.

VPN obligatoire : si connexion à un WiFi public nécessaire, utiliser systématiquement le VPN d'entreprise qui chiffre tout le trafic.

Partage de connexion smartphone : préférer le partage de connexion 4G/5G du smartphone professionnel (plus sûr que WiFi public).

Désactivation WiFi automatique : désactiver la connexion automatique aux réseaux WiFi (évite les connexions à des hotspots malveillants avec noms similaires).

Confidentialité visuelle

Filtres de confidentialité : installer des filtres d'écran qui rendent l'affichage illisible latéralement. Obligatoire pour les postes manipulant des données sensibles en mobilité.

Positionnement : dans les transports et espaces publics, positionner l'écran dos à un mur ou de manière à minimiser la visibilité par des tiers.

Pas de travail sensible en public : éviter de traiter des informations très confidentielles (données RH, financières, stratégiques) dans des environnements complètement ouverts. Attendre d'être dans un lieu plus privé.

Appels et visioconférences

Ne pas discuter d'informations confidentielles dans les transports en commun ou espaces publics. Reporter les appels sensibles ou se déplacer dans un endroit isolé.

Pour les visioconférences en mobilité, vérifier que personne ne peut voir l'écran ou entendre la conversation.

Signalement immédiat

Processus clair : l'employé doit signaler toute perte ou vol d'équipement professionnel dans les 2 heures maximum (même si hors horaires de travail). Numéro d'urgence IT disponible 24/7 pour les équipements critiques.

Verrouillage et effacement à distance

Les équipements mobiles gérés par MDM (Mobile Device Management) peuvent être : verrouillés à distance : l'appareil devient inutilisable même si le voleur tente de contourner le code, localisés : géolocalisation pour tenter une récupération (si équipement allumé et connecté), effacés à distance : suppression complète de toutes les données (mesure radicale si données très sensibles).

Solutions MDM : Microsoft Intune, VMware Workspace ONE, MobileIron, Jamf (pour iOS/macOS).

Révocation des accès

Dès le signalement de perte/vol : révocation immédiate des certificats VPN de cet appareil, déconnexion forcée de toutes les sessions actives (emails, applications cloud), changement des mots de passe si l'utilisateur utilisait la mémorisation automatique, surveillance des logs pour détecter toute tentative d'utilisation.

• Ne jamais tester les restaurations : une sauvegarde non testée peut s'avérer inutilisable au moment critique. Testez au moins tous les trimestres et vérifiez que le RTO est respecté.
• Définir des RPO/RTO irréalistes : un RPO de 15 minutes avec des sauvegardes quotidiennes est incohérent. La stratégie technique doit correspondre aux objectifs.
• Stocker toutes les copies au même endroit : un incendie, une inondation ou un ransomware détruit alors l'ensemble. La copie hors site est obligatoire.
• Sauvegardes accessibles sans restriction : un attaquant qui compromet le réseau peut détruire les sauvegardes. Limitez les droits de suppression et utilisez l'immutabilité.

La sécurité des actifs hors site protège les équipements et données professionnels utilisés en mobilité par le chiffrement obligatoire (BitLocker, FileVault, chiffrement matériel supports), la protection physique (câbles antivol, sacoches discrètes, surveillance constante), et le contrôle d'accès strict (authentification forte, verrouillage automatique 2-5 minutes).

Les règles d'usage en mobilité imposent le VPN sur WiFi public, les filtres de confidentialité pour écrans, l'évitement du travail sensible dans les transports. La gestion de la perte ou du vol combine signalement immédiat (< 2h), effacement à distance via MDM, révocation des accès et certificats. L'inventaire complet des actifs mobiles et les audits réguliers de conformité (chiffrement actif, filtres installés) complètent le dispositif.