Perte ou vol de matériel informatique nomade : les bons réflexes à avoir !
Régulièrement, la CNIL communique sur des violations de données typiques inspirées d’incidents réels qui lui sont notifiés. La présente publication a pour objectif d’expliquer comment se protéger lors de l’utilisation de supports amovibles pouvant contenir des données personnelles.
Le recours à du matériel informatique nomade pouvant contenir des données personnelles est aujourd’hui courant. Cela va de l’utilisation de clés USB, de disques durs externes au déploiement massif de flottes d’ordinateurs portables ou encore de smartphones. Cette tendance s’est d’autant plus renforcée avec le développement accéléré du télétravail.
Si cette évolution répond à de réels besoins, elle engendre des risques particuliers dus aux risques de perte ou de vol dans l’espace public, hors de l’espace sécurisé de l’entreprise.
Heureusement, il est relativement simple et peu coûteux de sécuriser les données contenues dans ce matériel en cas de perte ou de vol. Une check-list en fin de page rappelle les bonnes pratiques à appliquer.
Découvrir toute l’histoire de Lucie et Nabil
Comment limiter le risque en cas de vol ou de perte de matériel ?
Pour éviter de vous retrouver dans la situation de Nabil et Lucie, voici ce qu’il est conseillé de faire :
-
Gérer son parc et les ressources de ses utilisateurs
✅ Savoir quel matériel est affecté à quelle personne.
✅ Connaître les matrices d’accès qui sont affectées à chaque profil (quel profil ou quelle fonction de l’entreprise accède à quel logiciel ou à quelle ressource réseau ? Etc.)
✅ Avoir à sa disposition les outils permettant de gérer les accès et avoir la possibilité de les révoquer.
✅ Lorsque cela n’est pas nécessaire, empêcher le démarrage (boot) depuis les ports USB et protéger l’accès au BIOS des postes de travail par un mot de passe.
-
Mettre en place des procédures d’authentification
✅Mettre en place un dispositif d’authentification robuste. Si l’authentification se fait par couple identifiant et mot de passe, respecter les recommandations de la CNIL et celles de l’ANSSI sur le sujet.
✅ Ne pas stocker ses identifiants et mots de passe au sein de ses navigateurs (et encore moins sur un post-it collé sur clavier !).
✅ Mettre à disposition des utilisateurs des gestionnaires de mots de passe sécurisés.
-
Chiffrer les données
✅ Chiffrer les données sur les postes nomades. Aujourd’hui, l’immense majorité des systèmes d’exploitation propose en standard des mesures de chiffrement faciles à mettre en œuvre.
✅ Chiffrer les données au repos des supports amovibles, comme les clé USB ou disques dur. L’ANSSI propose des solutions afin de faciliter la mise en œuvre de ce type de mesure.
✅ Mettre en place une procédure de gestion des clés cryptographiques : les clés de chiffrement des matériels nomades doivent être sauvegardées par le service informatique en cas d’oubli par les salariés.
-
Effectuer des sauvegardes régulières
✅ Prévoir, mettre en place et tester une procédure de sauvegarde des postes nomades lorsque ces derniers se connectent au réseau de l’entreprise.
-
Sensibiliser les utilisateurs
✅ Sensibiliser régulièrement les salariés sur les risques liés à la perte d’un support contenant des données personnelles et des donnés d’entreprise, par exemple par un envoi de mails réguliers à l’ensemble du personnel.
✅ Former les personnes amenées à manipuler des données stockées sur des supports amovibles et les inciter à signaler la perte ou le vol de leur matériel.
Pour approfondir
- Les violations de données personnelles
- Tous les contenus sur la cybersécurité
- La CNIL publie une recommandation relative aux mesures de journalisation
- Sécuriser l'informatique mobile
- Protéger ses appareils mobiles – cybermalveillance.gouv.fr
- Bonnes pratiques à l’usage des professionnels en déplacement - ANSSI