Objectif du contrôle
Le contrôle 8.1 a pour objectif de garantir que les informations de l’organisation soient protégées lorsqu’elles sont stockées, traitées ou consultées via les dispositifs utilisés par les utilisateurs. Cela s’applique indépendamment du type d’appareil ou de son emplacement, et vise à prévenir les accès non autorisés, les pertes d’informations ou les usages abusifs des systèmes de l’entreprise.
Pour considérer ce contrôle comme correctement mis en œuvre, l’organisation doit s’assurer que les dispositifs des utilisateurs ne deviennent pas un point faible de sa sécurité de l’information.
Dispositifs utilisateurs et risques associés
Sont considérés comme dispositifs utilisateurs tous les équipements utilisés par des personnes pour accéder aux systèmes et services de l’organisation, tels que les ordinateurs, ordinateurs portables, téléphones mobiles, tablettes ou dispositifs d’accès à distance.
Ces appareils représentent l’un des principaux vecteurs de risque, car ils sont exposés à des menaces telles que les malwares, le phishing ou le vol d’identifiants. Les risques liés à des mots de passe faibles, réutilisés ou partagés sont également fréquents, tout comme la perte ou le vol d’appareils dépourvus de chiffrement ou de mécanismes d’effacement à distance.
À cela s’ajoutent les risques internes, comme l’utilisation abusive des informations par des employés ou collaborateurs, ainsi que l’usage d’applications ou de services non autorisés (Shadow IT) pouvant contourner les contrôles de sécurité de l’entreprise.
Utilisation des appareils personnels (BYOD)
Le modèle BYOD (Bring Your Own Device) permet d’utiliser des appareils personnels à des fins professionnelles. Bien qu’il apporte de la flexibilité, il augmente également les risques s’il n’est pas correctement encadré. Pour répondre aux exigences du contrôle 8.1, l’organisation doit définir clairement quels appareils sont autorisés, quelles exigences de sécurité ils doivent respecter et quels contrôles doivent être appliqués.
Parmi les mesures les plus courantes figurent l’enregistrement des appareils, l’utilisation d’une authentification renforcée, le chiffrement des informations professionnelles, la séparation entre données personnelles et professionnelles ainsi que des audits périodiques de conformité.
Application dans les entreprises de développement logiciel
Dans les entreprises de développement logiciel, les dispositifs utilisateurs constituent des environnements de travail actifs depuis lesquels les collaborateurs accèdent au code source, aux dépôts de code, aux environnements cloud et aux données des clients.
Dans les solutions SaaS, le principal risque concerne l’accès à distance à des infrastructures centralisées. Le contrôle 8.1 doit alors se concentrer sur la sécurisation des accès depuis des appareils protégés, avec une authentification robuste, un contrôle des privilèges et une traçabilité des actions. La fuite d’identifiants, de tokens ou de clés API depuis les appareils utilisateurs constitue l’une des menaces les plus fréquentes.
Dans les solutions on-premise, le risque porte davantage sur les informations stockées localement sur les appareils, telles que le code source, les configurations ou les copies de données clients. Dans ce modèle, le contrôle doit renforcer le chiffrement des équipements, la séparation des informations par client et la gestion sécurisée des accès aux environnements des clients.
Non-conformités fréquemment détectées lors des audits
Lors de nos audits, nous identifions fréquemment des non-conformités liées à ce contrôle, notamment :
- Ordinateurs portables professionnels sans chiffrement de disque utilisés hors des locaux.
- Absence d’un inventaire à jour des dispositifs utilisateurs.
- Utilisation d’appareils personnels pour accéder aux dépôts de code ou aux environnements cloud sans politique BYOD formalisée.
- Identifiants et clés d’accès stockés en clair sur les appareils des développeurs.
- Absence de procédures pour retirer les accès et supprimer les informations lorsqu’un employé quitte l’organisation.
- Formation insuffisante des utilisateurs sur l’utilisation sécurisée des appareils et la détection du phishing.
Conclusion
Le contrôle 8.1 est essentiel pour démontrer la diligence technique et organisationnelle dans la protection des informations. Sa bonne mise en œuvre nécessite de combiner des mesures techniques, des politiques claires et la sensibilisation des utilisateurs, en adaptant les contrôles au modèle économique de l’entreprise et, dans le cas des sociétés de développement logiciel, au type de solution développée.
