La sécurité des équipements utilisateurs regroupe l'ensemble des mesures techniques et organisationnelles qui protègent les terminaux contre les menaces de vol, perte, compromission ou utilisation malveillante. L'ISO 27002 mesure 8.1 recommande quatre contrôles principaux :

• Protection physique : empêcher le vol ou la perte des équipements, notamment pour les terminaux mobiles
• Protection logique : sécuriser l'accès aux données stockées sur les équipements par chiffrement et authentification
• Configuration sécurisée : appliquer des paramètres de sécurité standards sur tous les équipements (antivirus, pare-feu, mises à jour)
• Séparation usage professionnel/personnel : distinguer clairement les données professionnelles des données personnelles, notamment sur les équipements personnels (BYOD)
  

Ces exigences visent à garantir que même en cas de vol ou de perte d'un équipement, les données professionnelles restent protégées et inaccessibles.

Vol et perte

Un ordinateur portable volé dans un train, un smartphone oublié dans un taxi, ou une tablette dérobée dans un café exposent toutes les données stockées localement : emails professionnels, documents confidentiels, identifiants de connexion enregistrés, accès VPN. Sans chiffrement, toutes ces informations sont directement accessibles.

Compromission par malware

Un utilisateur qui télécharge un fichier infecté, clique sur un lien de phishing, ou visite un site compromis peut installer un malware sur son poste. Ce malware peut voler des données, espionner les frappes clavier, ou servir de point d'entrée pour attaquer le réseau de l'entreprise.

Utilisation non sécurisée

Connexion à des réseaux WiFi publics non protégés, utilisation d'équipements personnels non sécurisés pour accéder aux ressources professionnelles, ou absence de verrouillage automatique créent des vulnérabilités exploitables.

Mélange usage professionnel/personnel

Sur les équipements personnels utilisés à des fins professionnelles (BYOD), le mélange de données personnelles et professionnelles complique la gestion de la sécurité et crée des risques de fuite lors de la réparation, du remplacement ou de la revente de l'appareil.

Chiffrement des données

Le chiffrement complet du disque (BitLocker sur Windows, FileVault sur Mac, chiffrement natif sur smartphones) rend les données inaccessibles sans le mot de passe ou code PIN. En cas de vol ou perte, l'équipement devient inutilisable par un tiers.

Application : activer le chiffrement par défaut sur tous les équipements professionnels (ordinateurs portables, smartphones, tablettes). Pour les équipements personnels (BYOD), exiger le chiffrement comme condition d'accès aux ressources professionnelles.

Authentification renforcée

Un mot de passe ou code PIN robuste, complété par la biométrie (empreinte, reconnaissance faciale), protège l'accès à l'équipement. Le verrouillage automatique après quelques minutes d'inactivité empêche un accès opportuniste.

Paramètres recommandés : verrouillage automatique après 5 minutes d'inactivité, obligation de mot de passe au démarrage, limitation du nombre de tentatives (10 échecs = blocage ou effacement sur smartphones).

Configuration sécurisée standard

Tous les équipements doivent respecter une configuration minimale de sécurité : antivirus à jour, pare-feu activé, mises à jour automatiques des systèmes et applications, désactivation des services inutiles. Cette configuration doit être appliquée dès la mise en service et maintenue dans le temps.

Approches : utilisation de systèmes de gestion des équipements (MDM pour les mobiles, GPO pour Windows), images système standardisées pour les nouveaux postes, contrôles périodiques de conformité.

Effacement à distance

En cas de vol ou perte déclarée, la capacité d'effacer à distance toutes les données de l'équipement limite considérablement le risque. Cette fonction doit être activée et testée régulièrement.  Solutions : MDM (Mobile Device Management) pour smartphones et tablettes, solutions d'effacement à distance pour ordinateurs portables (Microsoft Intune, solutions tierces).

Définir une politique claire

Le BYOD (Bring Your Own Device) permet aux collaborateurs d'utiliser leurs équipements personnels pour accéder aux ressources professionnelles. Cette pratique nécessite une politique documentée qui définit les conditions d'accès, les exigences de sécurité, et les responsabilités de chacun.

Éléments clés : types d'équipements autorisés, exigences de sécurité minimales (chiffrement, code PIN, antivirus), applications autorisées, séparation des données professionnelles/personnelles, conditions de départ du collaborateur.

Séparer les données professionnelles

Sur un équipement personnel, les données professionnelles doivent être isolées des données personnelles. Les solutions de conteneurisation créent un espace professionnel distinct et chiffré sur l'équipement, permettant d'effacer uniquement les données professionnelles en cas de départ ou de compromission, sans toucher aux données personnelles.

Acceptation formelle

Le collaborateur doit accepter formellement les conditions d'utilisation, notamment le droit pour l'organisation d'effacer les données professionnelles à distance, de contrôler la conformité de l'équipement, et de restreindre certains usages.

Les bonnes pratiques à enseigner

Les utilisateurs doivent comprendre les risques et connaître les comportements sécurisés : ne jamais laisser un équipement sans surveillance dans un lieu public, verrouiller systématiquement l'écran en s'absentant, éviter les réseaux WiFi publics non sécurisés pour les données sensibles, signaler immédiatement tout vol ou perte.

Procédure de déclaration

Un processus simple et rapide de déclaration de vol ou perte permet d'agir immédiatement : effacement à distance des données, révocation des accès, analyse des journaux pour identifier les actions réalisées entre la perte et la déclaration.

Responsabilisation

Chaque utilisateur doit se sentir responsable de la sécurité de son équipement. Les équipements professionnels sont des outils de travail qui contiennent des données sensibles appartenant à l'organisation, pas des objets personnels.

• Pas de chiffrement des équipements mobiles : un portable volé sans chiffrement expose toutes les données en clair. Le chiffrement est indispensable sur tout équipement susceptible de quitter les locaux.
• Mots de passe faibles ou absents : un code PIN à 4 chiffres ou l'absence de mot de passe rendent inutiles toutes les autres protections. Exiger au minimum 6 chiffres pour les mobiles, 12 caractères pour les ordinateurs.
• Pas d'effacement à distance : en cas de vol déclaré, l'impossibilité d'effacer les données laisse l'organisation totalement exposée. Déployer et tester cette capacité.
• BYOD sans politique ni contrôle : autoriser l'accès professionnel depuis des équipements personnels non contrôlés crée une brèche de sécurité majeure. Documenter et faire respecter une politique BYOD stricte.

La sécurité des équipements utilisateurs repose sur quatre piliers : chiffrement complet des données, authentification renforcée, configuration sécurisée standard, et capacité d'effacement à distance. Ces mesures garantissent que même en cas de vol ou perte, les données professionnelles restent protégées.

La gestion des équipements personnels (BYOD) nécessite une politique documentée, la séparation des données professionnelles/personnelles par conteneurisation, et l'acceptation formelle des conditions par les utilisateurs. La sensibilisation des utilisateurs aux bonnes pratiques et la mise en place d'une procédure de déclaration rapide complètent le dispositif.