Norme de sécurité des appareils mobiles

27 août 2013

But

Cette norme établit les exigences minimales pour une utilisation sécurisée des appareils mobiles et des tablettes, notamment les iPhone, les iPad, les appareils Android et autres smartphones.

Aperçu

Les appareils mobiles permettent de passer des appels, d'envoyer et de recevoir des courriels, de naviguer sur Internet, de stocker et de modifier des documents, d'accéder à des données à distance, d'enregistrer de l'audio et de la vidéo, et de servir d'aides à la navigation. La décision d'autoriser ou non l'utilisation d'appareils mobiles doit reposer sur une évaluation des risques et des avantages commerciaux liés à cet accès. Cette norme définit un ensemble minimal d'exigences de sécurité pour l'utilisation des appareils mobiles.

Portée

Cette norme s'applique aux appareils mobiles et aux tablettes, notamment les BlackBerry, iPhone, iPad, appareils Android et autres smartphones. Les ordinateurs portables et les netbooks sont couverts par la norme de protection des données des ordinateurs portables d'entreprise (Enterprise Laptop Data Protection Standard).

Cette norme s'applique à toutes les agences telles que définies par le chapitre 8A, section 101 du Code de l'Iowa. Les agences non participantes sont encouragées à suivre les directives de cette norme et d'autres normes d'entreprise, ainsi qu'à participer à des programmes de sécurité d'entreprise.

Définitions

Certains termes utilisés dans la norme relative aux appareils mobiles sont définis ci-dessous :

• Bluetooth : Technologie radio basse consommation permettant aux appareils de s'appairer et de se connecter sans fil.
• Appareil mobile : Appareil conçu pour l’informatique mobile utilisant un système d’exploitation tel qu’iOS, Android, S40 OS, Windows ou BlackBerry OS. Les appareils mobiles comprennent les tablettes, les BlackBerry, les iPhone, les iPad, les appareils Android et autres smartphones.
• Communication en champ proche (Near Field Communication ) : Interface de réseau personnel sans fil (WPAN) ne nécessitant aucune infrastructure pour fonctionner. Les appareils partagent des données par simple contact ou proximité.
• Wi-Fi public non authentifié : Wi-Fi public gratuit généralement proposé dans les cafés, les bibliothèques, les aires de repos, les aéroports et autres lieux publics.
• Périphériques de stockage USB : périphériques de stockage qui transfèrent des fichiers via le bus série universel.

Éléments de la norme

Les éléments suivants s'appliquent à tous les membres du personnel, contractuels, bénévoles et stagiaires de l'agence qui effectuent des tâches liées à l'État sur un appareil mobile.

1. Gestion centralisée : Les appareils mobiles doivent être gérés de manière centralisée. Les organismes doivent tenir à jour une liste des appareils autorisés à se connecter au système de messagerie électronique de l’État.
2. Mots de passe/codes PIN : Un mot de passe ou un code PIN doit être activé pour chaque appareil. Le mot de passe ou le code PIN doit comporter au moins 6 caractères.
3. Effacement des données et désactivation de l'appareil : les appareils seront désactivés et effacés après 10 tentatives de connexion infructueuses.
   1. Lorsqu'il est déclaré perdu ou volé.
   2. Avant élimination/retour au fournisseur.
4. Inactivité : L'appareil doit être configuré pour se verrouiller après 15 minutes d'inactivité, ou moins.
5. Chiffrement : Les données seront chiffrées à l’aide du chiffrement le plus robuste disponible pour l’appareil. Le chiffrement couvrira :
   1. Données en transit,
   2. Les données en mémoire de l'appareil, et
   3. Données sur une carte mémoire connectée à l'appareil.
6. Bluetooth : Les appareils doivent désactiver le Bluetooth par défaut, sauf autorisation de l’organisme compétent pour une utilisation mains libres. Si le Bluetooth est activé pour une utilisation mains libres, les appareils doivent :
   1. Désactiver le mode détectable.
   2. N'utilisez qu'un dispositif mains libres homologué par l'agence et conforme à cette norme.
7. Sécurité des appareils . Tous les appareils mobiles et systèmes de gestion doivent être équipés des correctifs de sécurité critiques les plus récents. Les appareils non pris en charge présentant des vulnérabilités critiques ne doivent pas se connecter au système de messagerie de l'État.
8. Politique d'utilisation : Les agences doivent :
   1. Mettez en place une politique encadrant l'utilisation des appareils mobiles, y compris les appareils personnels, et
   2. S'assurer que le personnel reçoive et prenne connaissance de la politique.
9. Formation : Les utilisateurs suivront une formation annuelle de sensibilisation à la sécurité portant sur l’utilisation sécurisée des appareils mobiles. Cette formation devra au minimum aborder les mots de passe, le phishing, les logiciels malveillants et le signalement des incidents.
10. Appareils personnels : Les appareils personnels connectés aux systèmes de messagerie électronique de l’État/de l’agence doivent :
    1. Être approuvé par la direction de l'agence.
    2. Être géré de manière centralisée à l'aide du système de gestion des appareils mobiles ITE ou de l'agence.
    3. Respectez les paramètres de configuration du système de gestion des appareils mobiles.
    4. Respectez toutes les exigences énoncées dans la présente norme.
    5. Effacer toutes les données de l'État de l'appareil lorsque celui-ci n'est plus utilisé pour les affaires de l'État ou lorsque l'employé quitte l'agence.
    6. Respectez les politiques BYOD de l'agence/de l'entreprise.
        
11. Signalement : Les utilisateurs doivent signaler la perte, le vol ou la disparition de leurs appareils à leur organisme, au service d’assistance informatique et au service de sécurité de l’information. La notification doit être effectuée dès que possible, et au plus tard 24 heures après la constatation de la disparition de l’appareil. La notification doit comprendre :
    1. Nom et coordonnées de l'agence,
    2. Date du vol/de la perte,
    3. Description du vol/de la perte, et
    4. Description des informations stockées sur l'appareil.
        
12. Applications tierces : Les utilisateurs ne peuvent installer sur leur appareil que les applications tierces approuvées par l'agence.
13. Wi-Fi : Les appareils de l'agence ne doivent pas se connecter à des réseaux Wi-Fi publics non authentifiés ou à des réseaux utilisant les protocoles WEP et WPA.
14. Logiciels malveillants : Les appareils doivent être dotés d’une protection à jour contre les logiciels malveillants, si disponible.
15. Protection physique . Les utilisateurs d'appareils mobiles sont responsables de leur protection physique. Les appareils mobiles doivent être mis en sécurité lorsqu'ils ne sont pas utilisés.
16. Synchronisation\Stockage :
    1. Les appareils fournis par l'État ne doivent pas se synchroniser avec un ordinateur personnel non étatique.
    2. Les données de l'État ne doivent pas être synchronisées avec un système non approuvé par l'État.
    3. Les appareils ne doivent pas être connectés aux bornes de recharge publiques.
        
17. Services de localisation : Les services de localisation seront désactivés en dehors des États-Unis.
18. Communication en champ proche : La communication en champ proche (NFC) sera désactivée par défaut, sauf autorisation de l’agence.

Mises à jour

Ce document sera revu au moins tous les deux ans et mis à jour au besoin.

Date d'entrée en vigueur

Cette norme entrera en vigueur le 27 août 2013.

Application de la loi

Cette norme sera appliquée conformément au Code administratif de l'Iowa 11—25.11(8A).

Variance

Le Code administratif de l'Iowa, article 11-25.11(2), prévoit des dérogations aux normes de sécurité. Toute demande de dérogation aux exigences de la présente politique doit être soumise par écrit au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.