Pour l'utilisateur au quotidien.
Un terminal sans code de verrouillage donne accès à tous les documents, messages et applications en cas de vol ou de perte. Configurer un code PIN de 6 chiffres minimum ou une empreinte biométrique dès la première utilisation. Ne jamais utiliser une date de naissance ou une séquence simple comme code.
Le RGPD impose la protection des données personnelles stockées sur les terminaux mobiles professionnels. Sous iOS (iPhone/iPad) le chiffrement est actif dès que le code de déverrouillage est configuré. Sous Android, vérifier que le chiffrement complet est actif dans les paramètres de sécurité. Un code PIN de 6 chiffres minimum ou une phrase de passe est requis. En cas de perte d'un terminal non chiffré contenant des données clients ou salariés, la notification à la CNIL est obligatoire sous 72h.
Mélanger données professionnelles et personnelles sur un même terminal crée des risques juridiques (droit à la vie privée du salarié vs. obligations RGPD de l'employeur) et des risques techniques (applications personnelles non contrôlées, partage de données). L'entreprise doit avoir une politique BYOD (Bring Your Own Device) formalisée et signée par les utilisateurs, ou fournir des terminaux dédiés avec séparation applicative via conteneur MDM. Sans politique formalisée, l'accès aux ressources pro depuis un terminal personnel est une prise de risque non encadrée.
En cas de perte ou de vol, contacter la direction informatique dans les plus brefs délais pour déclencher l'effacement à distance des données. Chaque heure de délai augmente le risque d'accès non autorisé aux données professionnelles. Ne pas attendre de retrouver le terminal avant de signaler.
Les réseaux Wi-Fi publics (hôtels, gares, cafés) sont régulièrement utilisés pour des attaques de type man-in-the-middle : l'attaquant intercepte les communications entre le terminal et Internet. Configurer un VPN d'entreprise et l'activer obligatoirement sur tout réseau non contrôlé. Certaines solutions MDM permettent de forcer l'activation automatique du VPN hors du réseau de l'entreprise (always-on VPN). Sensibiliser les utilisateurs en déplacement au risque des bornes Wi-Fi inconnues.
Les applications installées en dehors du catalogue validé par l'entreprise peuvent accéder aux données professionnelles, contourner le MDM ou installer des logiciels malveillants. Utiliser uniquement les applications approuvées par la DSI et signaler tout besoin applicatif avant d'installer quoi que ce soit.
Un terminal posé sur une table de restaurant ou laissé dans un véhicule visible est une cible facile. Le garder sur soi ou dans un sac fermé. En cas de vol dans un véhicule, un terminal verrouillé et inscrit en MDM peut être effacé à distance, mais le signalement reste obligatoire.
Pour l'exploitant de l'équipement.
Les réseaux Wi-Fi publics (hôtels, gares, cafés) sont régulièrement utilisés pour des attaques de type man-in-the-middle : l'attaquant intercepte les communications entre le terminal et Internet. Configurer un VPN d'entreprise et l'activer obligatoirement sur tout réseau non contrôlé. Certaines solutions MDM permettent de forcer l'activation automatique du VPN hors du réseau de l'entreprise (always-on VPN). Sensibiliser les utilisateurs en déplacement au risque des bornes Wi-Fi inconnues.
Pour le technicien qui intervient.
Un terminal mobile professionnel perdu ou volé sans solution MDM (Mobile Device Management) ne peut pas être effacé à distance. Les solutions MDM (Microsoft Intune, Jamf, VMware Workspace ONE) permettent l'effacement à distance, la politique de mot de passe centralisée, la restriction des applications et la séparation données pro/perso. L'inscription MDM doit être réalisée avant la remise du terminal à l'utilisateur. Un terminal non inscrit en MDM ne doit pas accéder aux ressources internes (messagerie, VPN, SharePoint).
Apple supporte ses iPhones pendant 5 à 6 ans, Google ses Pixel pendant 7 ans, les autres Android entre 2 et 4 ans selon le constructeur. Un terminal qui ne reçoit plus de mises à jour de sécurité est une menace pour le réseau de l'entreprise. Inventorier la version d'OS de chaque terminal géré et planifier le renouvellement des appareils en fin de support 6 mois avant la date annoncée. Un contrat de renouvellement triennal avec un opérateur peut lisser le coût budgétaire.
Pour le responsable / gestionnaire.
Un terminal mobile professionnel perdu ou volé sans solution MDM (Mobile Device Management) ne peut pas être effacé à distance. Les solutions MDM (Microsoft Intune, Jamf, VMware Workspace ONE) permettent l'effacement à distance, la politique de mot de passe centralisée, la restriction des applications et la séparation données pro/perso. L'inscription MDM doit être réalisée avant la remise du terminal à l'utilisateur. Un terminal non inscrit en MDM ne doit pas accéder aux ressources internes (messagerie, VPN, SharePoint).
Le RGPD impose la protection des données personnelles stockées sur les terminaux mobiles professionnels. Sous iOS (iPhone/iPad) le chiffrement est actif dès que le code de déverrouillage est configuré. Sous Android, vérifier que le chiffrement complet est actif dans les paramètres de sécurité. Un code PIN de 6 chiffres minimum ou une phrase de passe est requis. En cas de perte d'un terminal non chiffré contenant des données clients ou salariés, la notification à la CNIL est obligatoire sous 72h.
Mélanger données professionnelles et personnelles sur un même terminal crée des risques juridiques (droit à la vie privée du salarié vs. obligations RGPD de l'employeur) et des risques techniques (applications personnelles non contrôlées, partage de données). L'entreprise doit avoir une politique BYOD (Bring Your Own Device) formalisée et signée par les utilisateurs, ou fournir des terminaux dédiés avec séparation applicative via conteneur MDM. Sans politique formalisée, l'accès aux ressources pro depuis un terminal personnel est une prise de risque non encadrée.
Les smartphones et tablettes contiennent des métaux rares (cobalt, lithium, tantale) et des substances dangereuses dont la mise en décharge est interdite par la directive DEEE. En France, les opérateurs et distributeurs ont l'obligation de reprendre les terminaux usagés gratuitement. Avant tout recyclage, effacer le terminal via la procédure d'effacement d'usine MDM et vérifier que l'effacement est complet. Conserver la preuve de recyclage pendant 3 ans. Les terminaux encore fonctionnels peuvent être reconditionnés et cédés à des associations.
Apple supporte ses iPhones pendant 5 à 6 ans, Google ses Pixel pendant 7 ans, les autres Android entre 2 et 4 ans selon le constructeur. Un terminal qui ne reçoit plus de mises à jour de sécurité est une menace pour le réseau de l'entreprise. Inventorier la version d'OS de chaque terminal géré et planifier le renouvellement des appareils en fin de support 6 mois avant la date annoncée. Un contrat de renouvellement triennal avec un opérateur peut lisser le coût budgétaire.