Gouvernance BYOD pour ISO 27001, NIS2, DORA et GDPR
L’iPad perdu à 8 h 12
À 8 h 12, l’écran de Sarah s’est allumé sur un ticket de support apparemment banal : « iPad perdu, directeur commercial ».
Sarah était RSSI d’une fintech en forte croissance, et elle a immédiatement compris qu’il ne s’agissait pas d’un simple problème d’actif. Le directeur commercial utilisait intensivement son iPad personnel. Il accédait aux enregistrements CRM, aux courriels, aux listes sensibles de prospects, aux espaces de collaboration et aux tableaux de bord du pipeline de paiement depuis des chambres d’hôtel, des salons d’aéroport et des sites clients.
En quelques minutes, la situation s’est dégradée. L’appareil n’était pas enrôlé dans une solution de gestion des appareils mobiles. Rien ne confirmait qu’il était chiffré. Aucune capacité d’effacement à distance n’était disponible. Des règles d’accès conditionnel existaient, mais le directeur commercial bénéficiait depuis plusieurs mois d’une exception au motif qu’il était « toujours en déplacement ». L’équipe protection des données ne pouvait pas confirmer quelles données clients avaient été mises en cache localement. La responsable de la conformité a transféré un nouveau message de l’auditeur externe : « Veuillez fournir les éléments probants démontrant que les appareils mobiles personnels accédant aux données clients sont gouvernés, surveillés, chiffrés et peuvent être retirés du service en cas de compromission. »
L’iPad perdu n’était pas la véritable explosion. C’était le tir d’avertissement.
Voilà le problème de gouvernance des appareils mobiles et du BYOD en 2026. Les téléphones et tablettes personnels ne sont plus de simples commodités pour les employés. Ce sont des terminaux métier, des facteurs d’identité, des espaces de stockage de données, des outils d’approbation de paiements, des supports d’accès à privilèges et des canaux de signalement des incidents. Un seul appareil personnel peut contenir une application d’authentification pour l’accès administrateur, une messagerie d’entreprise contenant des données à caractère personnel, des fichiers cloud mis en cache, des captures d’écran d’informations réglementées, des sessions de navigateur actives dans des consoles SaaS et des jetons d’accès à des outils opérationnels.
Pour les RSSI, les responsables de la conformité et les conseils d’administration, la question n’est plus : « Autorisons-nous le BYOD ? » La vraie question est : « Pouvons-nous prouver que chaque chemin d’accès mobile est gouverné, soumis à une appréciation des risques, contrôlé techniquement, surveillé et récupérable ? »
La réponse ne devrait pas nécessiter des programmes de conformité distincts pour ISO 27001, NIS2, DORA et GDPR. Un système de management de la sécurité de l’information (SMSI) ISO/IEC 27001:2022 ISO/IEC 27001:2022, correctement délimité, peut intégrer le risque mobile et BYOD dans les politiques, la propriété des actifs, le contrôle d’accès, la conformité des appareils, la journalisation, la réponse aux incidents, les contrôles de protection de la vie privée et les éléments probants fournisseurs. L’approche de Clarysec consiste à constituer ces éléments probants une seule fois, puis à les réutiliser pour l’hygiène cyber NIS2, la gestion des risques liés aux TIC DORA et la sécurité du traitement prévue par l’Article 32 du GDPR.
Pourquoi le BYOD est désormais un enjeu de conformité au niveau du conseil d’administration
Le travail hybride a rendu l’accès mobile permanent. Les dirigeants commerciaux approuvent des contrats depuis des iPhone personnels. Les responsables financiers autorisent des paiements depuis des tablettes. Les ingénieurs utilisent des applications d’authentification sur leurs propres téléphones. Les dirigeants voyagent avec la messagerie d’entreprise sur des appareils personnels par commodité. Les prestataires accèdent aux tickets depuis des navigateurs mobiles. Les équipes de support reçoivent des alertes d’incident via des applications de messagerie mobile.
Cette flexibilité crée une lacune de gouvernance lorsque l’accès progresse plus vite que la politique et la conception des contrôles.
NIS2 rend cette lacune visible au niveau de la direction. L’Article 20 impose aux organes de direction d’approuver les mesures de gestion des risques de cybersécurité, d’en superviser la mise en œuvre et de recevoir une formation. L’Article 21 exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées, notamment l’analyse des risques, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, l’acquisition et la maintenance sécurisées, l’évaluation de l’efficacité, l’hygiène cyber, la cryptographie, la sécurité RH, le contrôle d’accès et la gestion des actifs. La gouvernance mobile et BYOD touche presque tous ces thèmes.
DORA élève le niveau d’exigence pour les entités financières. Depuis janvier 2025, DORA impose un cadre documenté de gestion des risques liés aux TIC, une supervision par l’organe de direction, la continuité d’activité liée aux TIC, la gestion des incidents liés aux TIC, des tests de résilience opérationnelle numérique et la gestion des risques liés aux prestataires tiers de services TIC. Si les employés accèdent à des fonctions critiques ou importantes au moyen d’appareils mobiles, ces appareils font partie de la surface de risque TIC. Un fournisseur de gestion des appareils mobiles ou de gestion unifiée des terminaux peut également être pertinent pour les éléments probants relatifs aux tiers TIC s’il protège l’accès à des opérations réglementées.
GDPR ajoute la dimension de responsabilité. L’Article 5 exige que les données à caractère personnel soient traitées de manière sécurisée et impose au responsable du traitement de démontrer la conformité. L’Article 32 exige des mesures techniques et organisationnelles appropriées, notamment la confidentialité, l’intégrité, la disponibilité, la résilience et la capacité à restaurer l’accès lorsque nécessaire. En pratique, les revues de protection des données posent des questions concrètes : qui peut accéder aux données à caractère personnel depuis des appareils mobiles ? Comment l’accès est-il restreint ? Que se passe-t-il lorsqu’un téléphone est perdu ? Les données de l’entreprise peuvent-elles être effacées sans porter atteinte à la vie privée ? Les journaux sont-ils conservés ? Des éléments probants d’évaluation de violation sont-ils disponibles ?
ISO/IEC 27001:2022 fournit le modèle opérationnel. Les clauses 4.1 à 4.4 exigent que les organisations déterminent les enjeux internes et externes, les exigences des parties intéressées, les obligations réglementaires, le domaine d’application et les dépendances. La clause 5 exige le leadership ainsi que la définition des rôles et responsabilités. La clause 6 exige l’appréciation des risques et leur traitement. Les clauses 8.2 et 8.3 exigent que l’organisation réalise des appréciations des risques de sécurité de l’information et mette en œuvre des plans de traitement des risques.
Cela signifie que le BYOD ne peut pas rester dans une note informatique oubliée. Il doit relever du domaine d’application du SMSI, où les obligations légales, les attentes clients, les dépendances opérationnelles et les décisions de traitement des risques sont gérées.
Le groupe de contrôles ISO 27001 pour la gouvernance mobile et BYOD
Clarysec commence généralement la gouvernance mobile par un groupe de trois contrôles de l’Annexe A d’ISO/IEC 27001:2022, appuyé par les lignes directrices de mise en œuvre d’ISO/IEC 27002:2022.
| Thème de contrôle | Signification pour la gouvernance mobile | Éléments probants typiques |
|---|---|---|
| A.8.1 Équipements terminaux utilisateurs | Les smartphones, tablettes et ordinateurs portables doivent être durcis, gérés et surveillés selon le risque | Rapports d’enrôlement MDM, statut du chiffrement, conformité à la configuration de référence du système d’exploitation, protection contre les logiciels malveillants, capacité d’effacement à distance |
| A.6.7 Télétravail | L’accès hors site doit être encadré par une politique, des critères d’éligibilité, un accès sécurisé et des attentes relatives au comportement des utilisateurs | Politique de télétravail, accord BYOD, règles VPN ou d’accès conditionnel, enregistrements de formation |
| A.7.9 Sécurité des actifs hors des locaux | Les appareils et supports situés en dehors des locaux contrôlés doivent être protégés physiquement et suivis | Inventaire des actifs, propriété attribuée, procédure relative aux appareils perdus, consignes de déplacement, preuves de chiffrement |
Dans Zenith Controls: The Cross-Compliance Guide Zenith Controls, Clarysec considère ces contrôles comme se renforçant mutuellement. Pour les équipements terminaux utilisateurs, Zenith Controls classe le contrôle A.8.1 comme préventif, au service de la confidentialité, de l’intégrité et de la disponibilité, cartographié sur le concept de cybersécurité Protect et les capacités opérationnelles de gestion des actifs et de protection de l’information.
Le guide explique également pourquoi les contrôles des terminaux se rattachent directement à l’utilisation acceptable, au télétravail, à la restriction d’accès, à l’authentification sécurisée, à la protection physique, aux obligations de confidentialité et à la formation de sensibilisation.
« Les terminaux sont les plateformes principales au moyen desquelles les politiques d’utilisation acceptable sont appliquées. »
Source : Zenith Controls, Équipements terminaux utilisateurs, contrôle 8.1 Zenith Controls
Pour le télétravail, Zenith Controls cartographie A.6.7 avec A.7.9 sécurité des actifs hors des locaux, A.8.1 équipements terminaux utilisateurs, A.5.1 politiques de sécurité de l’information, A.6.3 sensibilisation, formation et éducation à la sécurité de l’information, A.5.14 transfert de l’information, A.8.20 sécurité des réseaux, A.8.22 segmentation des réseaux, A.7.7 bureau propre et écran verrouillé, A.5.29 sécurité de l’information pendant une perturbation et A.5.30 préparation des TIC à la continuité d’activité.
Cette cartographie reflète le déroulement réel des audits. Un auditeur ne s’arrête pas à la question : « Disposez-vous d’une politique BYOD ? » Il vérifie si la politique est mise en œuvre, si les appareils sont enrôlés, si l’accès dépend de la conformité, si les journaux existent, si les utilisateurs sont formés, si les incidents liés aux appareils perdus sont traités et si les exceptions font l’objet d’une acceptation du risque.
Le socle de politique : formaliser explicitement les règles de gouvernance
Un programme BYOD défendable commence par des règles explicites. La bibliothèque de politiques de Clarysec propose des modèles pour PME et entreprises, afin que les organisations puissent faire évoluer les exigences sans perdre en clarté d’audit.
Pour les PME, la Politique relative aux appareils mobiles et au BYOD - PME Politique relative aux appareils mobiles et au BYOD - PME établit un point de contrôle de gouvernance simple :
« Les appareils BYOD personnels doivent être approuvés par le DG avant utilisation. »
Source : Politique relative aux appareils mobiles et au BYOD - PME, Exigences de gouvernance, clause 5.1.1 Politique relative aux appareils mobiles et au BYOD - PME
Cette courte phrase ferme une lacune d’audit fréquente. Elle empêche l’accès silencieux par appareil personnel, crée un point d’approbation et confère au propriétaire de l’entreprise ou au directeur général un rôle de gouvernance visible. Elle soutient également les clauses 5.1 à 5.3 d’ISO 27001, où la direction doit démontrer son leadership, communiquer les attentes et attribuer les responsabilités.
La politique PME rend également claire l’application de la configuration de référence :
« Les contrôles suivants doivent être appliqués sur tous les appareils mobiles, qu’ils soient détenus par l’entreprise ou BYOD : »
Source : Politique relative aux appareils mobiles et au BYOD - PME, Exigences de gouvernance, clause 5.2.1 Politique relative aux appareils mobiles et au BYOD - PME
Pour les organisations réglementées ou de plus grande taille, la Politique relative aux appareils mobiles et au BYOD Politique relative aux appareils mobiles et au BYOD est plus prescriptive :
« Tous les appareils mobiles, professionnels ou personnels, accédant aux ressources de l’organisation doivent être :
5.1.1 Enregistrés et enrôlés dans une plateforme approuvée de gestion des appareils mobiles (MDM).
5.1.2 Configurés avec des contrôles techniques de sécurité, notamment le chiffrement et l’authentification obligatoires.
5.1.3 Surveillés au titre de la conformité aux configurations de référence définies pour les systèmes d’exploitation (OS) et l’application des correctifs. »
Source : Politique relative aux appareils mobiles et au BYOD, Exigences de gouvernance, clause 5.1 Politique relative aux appareils mobiles et au BYOD
Cette formulation est compatible avec les exigences d’audit. L’auditeur peut tester la population des appareils mobiles, la comparer aux journaux d’accès, échantillonner les enregistrements d’enrôlement et vérifier que le chiffrement, l’authentification et les configurations de référence de correctifs sont appliqués.
Le BYOD exige également des limites de consentement respectueuses de la vie privée. La politique d’entreprise indique :
« L’accès Bring Your Own Device (BYOD) ne doit être accordé qu’après acceptation formelle de l’accord d’utilisation BYOD de l’organisation, qui comprend :
5.2.1 Le consentement à la surveillance des conteneurs d’entreprise ou des applications gérées
5.2.2 La prise de connaissance des contrôles de gestion des appareils mobiles (MDM), tels que l’effacement à distance ou le verrouillage
5.2.3 L’accord relatif à la participation volontaire et au droit de se retirer »
Source : Politique relative aux appareils mobiles et au BYOD, Exigences de gouvernance, clause 5.2 Politique relative aux appareils mobiles et au BYOD
Cette clause est centrale pour l’alignement avec GDPR. Elle précise que la surveillance s’applique aux conteneurs d’entreprise ou aux applications gérées, documente la prise de connaissance par l’employé du verrouillage ou de l’effacement à distance, et préserve le droit de se retirer. Elle contribue à distinguer la surveillance légitime de sécurité de l’entreprise d’une surveillance excessive de la vie personnelle.
De la politique aux contrôles : MDM, conteneurs, accès et journaux
Une politique ne devient gouvernance que lorsqu’elle est mise en œuvre et étayée par des éléments probants. Le socle opérationnel commence par l’enrôlement.
« Tous les appareils mobiles doivent être enrôlés dans une solution de gestion des appareils mobiles (MDM) avant d’accéder aux systèmes de l’entreprise. »
Source : Politique relative aux appareils mobiles et au BYOD, Exigences de mise en œuvre de la politique, clause 6.1.1 Politique relative aux appareils mobiles et au BYOD
Dans les environnements d’entreprise, la même couche de mise en œuvre doit imposer le chiffrement, le code PIN, le mot de passe ou l’authentification biométrique, le verrouillage en cas d’inactivité, les versions de systèmes d’exploitation prises en charge, la détection des appareils jailbreakés ou rootés, les configurations de référence de correctifs ainsi que l’effacement ou la réinitialisation de l’appareil après des tentatives de connexion échouées répétées.
Pour le BYOD, la meilleure conception repose généralement sur des applications gérées ou des conteneurs d’entreprise, plutôt que sur une surveillance de l’ensemble de l’appareil. La politique le formule ainsi :
« Les données de l’entreprise doivent être stockées uniquement dans des conteneurs gérés et chiffrés. »
Source : Politique relative aux appareils mobiles et au BYOD, Exigences de mise en œuvre de la politique, clause 6.6.1 Politique relative aux appareils mobiles et au BYOD
Cela soutient la minimisation des données au sens du GDPR et la sécurité du traitement prévue à l’Article 32, car les données métier sont limitées à des espaces gérés et les espaces personnels ne sont pas traités comme des référentiels d’entreprise. Cela donne également à l’activité une réponse opérationnelle lorsqu’un téléphone personnel est perdu : révoquer les sessions, effacer les données de l’entreprise, conserver les journaux et évaluer l’exposition sans effacer les photos, messages ou applications personnels.
L’accès conditionnel relie ensuite l’identité au niveau de sécurité des équipements. Au minimum, les systèmes sensibles doivent exiger l’enrôlement, l’authentification multifacteur, le chiffrement, un système d’exploitation pris en charge, le verrouillage de l’écran, l’absence d’échec lié au jailbreak ou au root, l’accès via application gérée et, lorsque le risque l’exige, des restrictions sur les téléchargements, le partage du presse-papiers ou la capture d’écran. Cela donne un effet concret à A.8.1 équipements terminaux utilisateurs, A.8.3 restriction de l’accès à l’information et A.8.5 authentification sécurisée.
La journalisation referme la boucle. La politique d’entreprise exige :
« Les journaux d’accès mobile doivent être collectés et conservés pendant au moins 90 jours, avec intégration à la plateforme SIEM centrale lorsque cela est applicable. »
Source : Politique relative aux appareils mobiles et au BYOD, Exigences de gouvernance, clause 5.6 Politique relative aux appareils mobiles et au BYOD
Pour les environnements plus petits, la Politique de journalisation et de surveillance - PME Politique de journalisation et de surveillance - PME ajoute un minimum opérationnel :
« Les systèmes BYOD et distants doivent disposer d’une journalisation locale activée pour les événements d’authentification et les détections antivirus »
Source : Politique de journalisation et de surveillance - PME, Exigences de mise en œuvre de la politique, clause 6.3.1 Politique de journalisation et de surveillance - PME
Un programme de gouvernance mobile dépourvu de journaux est difficile à défendre. Une investigation sur appareil perdu nécessite l’historique des accès, les tentatives échouées, le statut de conformité de l’appareil, les éléments probants de révocation de session et toute activité pertinente de DLP ou de conteneur.
La place de la gouvernance mobile dans la feuille de route en 30 étapes
Zenith Blueprint: An Auditor’s 30-Step Roadmap de Clarysec Zenith Blueprint positionne la gouvernance mobile et BYOD dans plusieurs phases de mise en œuvre. Il ne traite pas le BYOD comme un simple document de politique.
Dans la phase Controls in Action, Étape 16, People Controls II, Zenith Blueprint traite du télétravail et du BYOD :
« L’utilisation d’appareils personnels (BYOD) devrait être soit interdite, soit autorisée uniquement sous conditions strictes, par exemple l’enrôlement dans une solution de gestion des appareils mobiles (MDM) prenant en charge la conteneurisation des données et l’effacement à distance des données de l’entreprise si l’appareil est perdu ou si l’utilisateur quitte l’entreprise. »
Source : Zenith Blueprint, phase Controls in Action, Étape 16, People Controls II Zenith Blueprint
À l’Étape 19, Technological Controls I, Zenith Blueprint présente les terminaux comme le point de départ de l’interaction numérique :
« Les terminaux utilisateurs — ordinateurs portables, smartphones, tablettes, postes fixes et même clients légers — sont le point de départ de l’interaction numérique. Ce sont les portes et fenêtres donnant accès à vos systèmes. »
Source : Zenith Blueprint, phase Controls in Action, Étape 19, Technological Controls I Zenith Blueprint
L’Étape 18, Physical Controls II, couvre la sécurité des actifs hors des locaux. Cela inclut les appareils laissés dans des voitures, les tablettes utilisées dans des espaces publics, les ordinateurs portables enregistrés en soute et les fichiers stockés hors ligne. Le principe est simple : même si un appareil est perdu ou volé, les données doivent rester inaccessibles.
| Phase et étape de Zenith Blueprint | Livrable de gouvernance mobile | Valeur pour l’audit |
|---|---|---|
| Controls in Action, Étape 16 | Conditions de télétravail et de BYOD | Atteste la politique, l’éligibilité, la formation et les attentes MDM |
| Controls in Action, Étape 18 | Protection des actifs hors des locaux | Atteste l’attribution des actifs, les comportements en déplacement et les preuves de chiffrement |
| Controls in Action, Étape 19 | Durcissement et gestion des terminaux | Atteste la conformité des appareils, l’application des correctifs, la surveillance et l’accès conditionnel |
Cette approche en couches explique comment Sarah est passée de la panique à la gouvernance. Elle n’a pas acheté un outil en déclarant le problème résolu. Elle a relié les règles relatives aux personnes, les comportements physiques et l’application technique dans un système auditable unique.
Sprint d’une semaine pour constituer un dossier d’éléments probants BYOD
Une méthode opérationnelle pour fermer la lacune consiste à constituer un dossier d’éléments probants BYOD. Il s’agit de l’ensemble des livrables justificatifs qu’un RSSI peut remettre à un auditeur, une autorité de régulation, un évaluateur client ou un comité du conseil d’administration.
| Jour | Action | Éléments probants produits |
|---|---|---|
| Jour 1 | Définir le périmètre de l’accès mobile au titre des clauses 4.1 à 4.4 d’ISO 27001 | Inventaire des cas d’usage mobiles, exigences des parties intéressées, systèmes inclus dans le périmètre |
| Jour 2 | Approuver la règle BYOD et attribuer la propriété | Politique approuvée, RACI, enregistrement d’approbation de la direction |
| Jour 3 | Configurer le socle technique | Export d’enrôlement MDM, paramètres de chiffrement, configuration de référence OS, règles d’authentification |
| Jour 4 | Relier l’accès à la conformité de l’appareil | Politique d’accès conditionnel, preuve de refus des appareils non conformes, liste des exceptions |
| Jour 5 | Collecter les éléments probants de journalisation et d’incident | Échantillon SIEM, journaux d’accès mobile, modèle de ticket d’incident, workflow d’appareil perdu |
| Jour 6 | Tester la réponse à la perte d’un appareil | Compte rendu d’exercice sur table, preuves de révocation de session, test d’effacement à distance, notes d’évaluation de violation |
| Jour 7 | Approuver les exceptions et le risque résiduel | Enregistrement d’acceptation du risque, contrôles compensatoires, date d’expiration, approbation du propriétaire du risque |
Pour le Jour 1, identifiez les téléphones détenus par l’entreprise, les téléphones personnels utilisés pour l’authentification multifacteur, les tablettes BYOD accédant à des tableaux de bord, les appareils mobiles de prestataires, les utilisateurs à privilèges accédant aux consoles d’administration et tout accès mobile à des systèmes traitant des données à caractère personnel ou des transactions financières.
Pour le Jour 6, testez un scénario réaliste : un directeur commercial signale qu’un téléphone personnel contenant une messagerie d’entreprise gérée a été volé dans un aéroport. La politique PME fixe une attente claire en matière de signalement :
« Les appareils perdus, volés ou compromis doivent être signalés au DG dans un délai d’une heure »
Source : Politique relative aux appareils mobiles et au BYOD - PME, Exigences de mise en œuvre de la politique, clause 6.4.1 Politique relative aux appareils mobiles et au BYOD - PME
L’exercice doit vérifier si l’équipe peut identifier l’appareil, révoquer les sessions, effacer à distance les données de l’entreprise, conserver les journaux, évaluer l’exposition des données à caractère personnel, décider si une analyse de violation GDPR est nécessaire et déterminer si les seuils de notification NIS2 ou DORA pourraient être déclenchés.
Conformité multi-référentiels : un programme mobile, quatre dossiers d’éléments probants
La valeur d’une gouvernance BYOD fondée sur ISO 27001 réside dans la réutilisation. Un même ensemble de contrôles peut générer des éléments probants pour plusieurs obligations s’il est correctement structuré.
| Référentiel | Question mobile et BYOD | Éléments probants issus de l’approche Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Les risques mobiles sont-ils identifiés, traités et contrôlés au moyen du SMSI ? | Domaine d’application, appréciation des risques, Déclaration d’applicabilité, approbation de la politique, rapports MDM, journaux, enregistrements d’incident |
| NIS2 | L’hygiène cyber, le contrôle d’accès, la gestion des actifs, la gestion des incidents et la formation sont-ils mis en œuvre ? | Approbation du conseil d’administration, politique BYOD, enregistrements de formation, contrôles d’accès, workflow d’appareil perdu, éléments probants fournisseurs |
| DORA | Les appareils mobiles font-ils partie du risque TIC, de la gestion des incidents, des tests de résilience et de la gouvernance des tiers ? | Registre des risques TIC, conformité des appareils, classification des incidents, preuves de tests, diligences préalables relatives au fournisseur MDM |
| GDPR Article 32 | Les activités de traitement de données à caractère personnel sont-elles protégées par des mesures techniques et organisationnelles appropriées ? | Conteneurisation, chiffrement, restriction d’accès, journalisation, évaluation de violation, enregistrements de protection des données dès la conception |
La même logique s’applique au niveau des contrôles.
| Contrôle de l’Annexe A ISO/IEC 27001:2022 | Valeur probante NIS2 | Valeur probante DORA | Valeur probante GDPR Article 32 |
|---|---|---|---|
| A.8.1 Équipements terminaux utilisateurs | Soutient les politiques d’hygiène cyber, de gestion des actifs et de contrôle d’accès | Soutient la protection des actifs TIC, la surveillance des terminaux et les tests de résilience | Soutient le chiffrement, la confidentialité, l’intégrité et l’accès sécurisé aux données à caractère personnel |
| A.6.7 Télétravail | Soutient l’accès à distance sécurisé, la formation et les attentes de signalement des incidents | Soutient les procédures du cadre de gestion des risques TIC et la gestion des incidents liés au télétravail | Soutient les règles organisationnelles applicables au traitement de données à caractère personnel hors des locaux contrôlés |
| A.7.9 Sécurité des actifs hors des locaux | Soutient la protection des actifs, la continuité et les attentes de traitement par des tiers | Soutient l’atténuation des risques de vol ou de perte pour les appareils utilisés à distance | Soutient la prévention de la perte accidentelle, de la destruction ou de l’accès non autorisé |
Pour NIS2, le périmètre compte. Les fournisseurs d’infrastructure numérique, prestataires de services cloud, fournisseurs de centres de données, réseaux de diffusion de contenu, fournisseurs DNS, registres TLD, prestataires de services de confiance, fournisseurs de communications électroniques publiques, prestataires B2B de services managés et prestataires de services de sécurité managés peuvent relever des catégories d’entités essentielles ou importantes selon leur taille, leur secteur et la mise en œuvre nationale. Dans ce contexte, un accès mobile non géré aux systèmes opérationnels n’est pas une exception informatique mineure. C’est un enjeu de gouvernance.
Pour DORA, le fournisseur MDM ou UEM peut faire partie des éléments probants relatifs aux risques liés aux tiers s’il soutient l’accès à des fonctions critiques ou importantes. Les organisations concernées par DORA doivent documenter les diligences préalables, les niveaux de service, les localisations des données, l’assistance en cas d’incident, les mesures de sécurité, les droits d’audit, les dispositifs de sortie et la participation du prestataire aux tests lorsque cela est pertinent.
Pour GDPR, un téléphone personnel perdu ne constitue pas automatiquement une violation de données à caractère personnel notifiable. La situation devient préoccupante si les données de l’entreprise sont accessibles, non chiffrées, mises en cache hors des conteneurs gérés ou exposées via des sessions actives. L’organisation doit savoir quelles données étaient accessibles, si les contrôles ont empêché l’accès non autorisé et si les journaux étayent la conclusion.
Comment les auditeurs testeront la gouvernance BYOD
Un programme mature doit être prêt à répondre à différents styles d’audit.
| Profil de l’auditeur | Approche d’audit probable | Éléments probants attendus |
|---|---|---|
| Auditeur ISO 27001 | Tracer le risque mobile depuis le contexte, le domaine d’application, l’appréciation des risques et la Déclaration d’applicabilité jusqu’aux contrôles mis en œuvre | Domaine d’application du SMSI, enregistrements de risques mobiles, Déclaration d’applicabilité, politique, rapports d’enrôlement, règles d’accès, actions correctives |
| Évaluateur NIST CSF | Comparer les profils actuel et cible selon les résultats GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND et RECOVER | Profil CSF, plan d’action priorisé, inventaire des appareils, surveillance, plans de réponse, éléments probants de rétablissement |
| Auditeur COBIT 2019 ou ISACA | Se concentrer sur les objectifs de gouvernance, la responsabilité, la performance, la propriété du risque et l’efficacité des contrôles | Approbation de la direction, RACI, métriques, registre des exceptions, tests des contrôles, remédiation des problèmes |
| Réviseur DORA | Traiter l’accès mobile comme faisant partie du risque TIC, de la gestion des incidents, des tests de résilience et des dépendances vis-à-vis de tiers | Cadre de gestion des risques TIC, classification des incidents, enregistrements de tests de résilience, registre des fournisseurs MDM, plan de sortie |
| Auditeur GDPR ou réviseur protection des données | Évaluer si le traitement mobile des données à caractère personnel est licite, nécessaire, sécurisé et démontrable | Limites du consentement BYOD, conteneurisation, DLP, chiffrement, journaux d’accès, enregistrements d’évaluation de violation |
La liste de contrôle d’audit de Zenith Blueprint pour le télétravail est directe : les auditeurs vérifieront si la politique est mise en œuvre, et non simplement documentée. Soyez prêts à présenter la politique formelle, à expliquer l’application par l’usage du VPN, le chiffrement des terminaux ou le MDM, à montrer l’enrôlement BYOD ou les restrictions, à fournir les enregistrements de formation et à démontrer que les employés distants comprennent leurs obligations.
NIST CSF 2.0 fournit un modèle complémentaire utile. Sa fonction GOVERN exige que les exigences légales, réglementaires et contractuelles de cybersécurité soient comprises et gérées, que le risque de cybersécurité soit intégré à la gestion des risques de l’organisation, que les rôles et autorités soient définis, que les politiques soient établies et surveillées, et que la performance soit évaluée. Pour la gouvernance mobile, un profil cible opérationnel pourrait indiquer : tous les appareils accédant à des données à caractère personnel ou à des systèmes métier critiques sont enrôlés, chiffrés, conformes, surveillés et révocables dans l’heure suivant la notification d’une compromission.
Constats d’audit BYOD courants
Les constats de gouvernance mobile proviennent rarement d’une seule défaillance catastrophique. Ils résultent généralement de petites exceptions qui n’ont jamais été clôturées.
Les constats courants comprennent :
- BYOD autorisé en pratique mais non approuvé formellement
- Applications d’authentification considérées comme hors du domaine d’application du SMSI
- MDM configuré pour les appareils de l’entreprise, mais pas pour les appareils personnels disposant d’un accès d’entreprise
- Dirigeants exclus des configurations de référence de conformité des appareils
- Accès conditionnel contourné via des protocoles hérités ou des navigateurs non gérés
- Appareils personnels accédant à la messagerie sans conteneurisation
- Journaux mobiles conservés dans des plateformes SaaS, mais non revus ni exportés
- Procédure relative aux appareils perdus existante, mais délai de signalement inconnu du personnel
- Absence de formulation relative à la vie privée expliquant ce que l’entreprise peut ou ne peut pas surveiller
- Absence d’éléments probants montrant que les exceptions mobiles sont limitées dans le temps et acceptées au titre du risque
- Fournisseur MDM non inclus dans la gestion des risques liés aux tiers TIC
- Absence d’exercice sur table pour une compromission mobile
- Absence de cartographie des contrôles BYOD vers les éléments probants GDPR Article 32, NIS2 ou DORA
Chaque constat peut être corrigé. Le problème est rarement l’absence d’outils. Il réside généralement dans l’absence de propriété, de conception des éléments probants et de cartographie multi-référentiels.
Le récit au niveau du conseil d’administration
La direction n’a pas besoin de connaître chaque détail de configuration MDM. Elle a besoin d’un récit clair de responsabilité.
Une position BYOD solide au niveau du conseil d’administration affirme :
- Nous savons quels appareils mobiles accèdent aux ressources de l’organisation.
- Nous distinguons les accès depuis des appareils détenus par l’entreprise et les accès BYOD.
- Le BYOD est volontaire, approuvé et régi par un accord.
- Les données de l’entreprise sont chiffrées et isolées.
- L’accès dépend de la conformité de l’appareil.
- Les journaux sont conservés et revus.
- Les appareils perdus ou compromis sont signalés rapidement.
- Les données de l’entreprise peuvent être effacées ou l’accès révoqué.
- Les risques liés aux données à caractère personnel sont évalués au titre du GDPR.
- Les exceptions sont approuvées, limitées dans le temps et revues.
Cela relie la gouvernance mobile à l’appétence au risque, à la résilience opérationnelle, à la responsabilité juridique et à la confiance des clients. Cela fournit également aux organes de direction les éléments probants nécessaires pour démontrer leur supervision au titre de NIS2 et de DORA.
Comment Clarysec accompagne
Le modèle de gouvernance mobile et BYOD de Clarysec combine politique, mise en œuvre et cartographie multi-référentiels.
Premièrement, la bibliothèque de politiques fournit aux organisations un langage de gouvernance prêt à être adapté. La Politique relative aux appareils mobiles et au BYOD - PME est opérationnelle pour les petites entreprises qui ont besoin de règles claires d’approbation et de signalement. La Politique relative aux appareils mobiles et au BYOD soutient les environnements réglementés exigeant MDM, chiffrement, authentification, configurations de référence OS, DLP, conteneurs, journalisation et accords BYOD formels.
Deuxièmement, Zenith Blueprint fournit le chemin de mise en œuvre. Il montre où la gouvernance mobile s’inscrit dans la feuille de route d’audit en 30 étapes : télétravail, sécurité des actifs hors des locaux et contrôles des terminaux. Cela évite l’erreur fréquente consistant à traiter le BYOD comme un document isolé plutôt que comme un système de contrôle vivant.
Troisièmement, Zenith Controls fournit la boussole multi-référentiels. Il relie les contrôles de l’Annexe A d’ISO/IEC 27001:2022 A.8.1, A.6.7 et A.7.9 aux contrôles associés, aux normes de référence et aux attentes d’audit. Cette cartographie aide les RSSI à répondre à la vraie question du régulateur : montrer que la gouvernance mobile est proportionnée, mise en œuvre et efficace.
Prochaines étapes : constituer votre dossier d’éléments probants BYOD défendable
Si votre organisation autorise l’accès mobile ou BYOD, n’attendez pas qu’un iPad perdu révèle la lacune d’éléments probants.
Commencez par une évaluation ciblée :
- Recensez chaque chemin d’accès mobile aux données de l’entreprise et aux systèmes critiques.
- Comparez les accès réels avec la Politique relative aux appareils mobiles et au BYOD Politique relative aux appareils mobiles et au BYOD ou la Politique relative aux appareils mobiles et au BYOD - PME Politique relative aux appareils mobiles et au BYOD - PME.
- Créez une entrée d’une page dans le registre des risques mobiles liée à ISO/IEC 27001:2022 ISO/IEC 27001:2022.
- Utilisez Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint pour mettre en œuvre le télétravail, les contrôles d’actifs hors des locaux et les contrôles des terminaux.
- Utilisez Zenith Controls: The Cross-Compliance Guide Zenith Controls pour cartographier les éléments probants avec les attentes NIS2, DORA, GDPR, NIST et COBIT 19.
- Utilisez la Politique de journalisation et de surveillance - PME Politique de journalisation et de surveillance - PME pour définir les attentes opérationnelles de journalisation dans les environnements plus petits.
- Exécutez un exercice sur table relatif à la perte d’un appareil et conservez les éléments probants.
Clarysec peut vous aider à transformer un accès mobile non géré en programme de gouvernance défendable et auditable. Téléchargez les politiques, cartographiez vos contrôles avec Zenith Controls, mettez en œuvre la feuille de route avec Zenith Blueprint et planifiez une évaluation Clarysec avant que votre prochain auditeur ne pose la question de 8 h 12.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
