Que requiert le contrôle A.3.22 ?
Les données personnelles stockées sur, traitées par ou accessibles via les terminaux des utilisateurs doivent être protégées.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe A.3.22 aborde l’un des principaux risques liés au traitement moderne des données personnelles : les terminaux. Ordinateurs portables, smartphones, tablettes et autres appareils portables constituent une surface d’attaque vaste et distribuée. Ils peuvent être perdus ou volés, utilisés sur des réseaux non sécurisés, partagés avec des personnes non autorisées ou compromis par des logiciels malveillants. L’annexe A.3 exige des organisations qu’elles mettent en œuvre des mesures de protection des données personnelles, quels que soient le lieu et les modalités d’utilisation des terminaux.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.22) fournit les indications suivantes :
- Empêcher toute compromission des appareils mobiles L’organisation doit veiller à ce que l’utilisation d’appareils mobiles n’entraîne pas de compromission des données personnelles.
- Voir aussi A.3.24 : Sauvegarde des informations pour les exigences connexes
- Voir aussi A.3.25 : Enregistrement pour les exigences connexes
Bien que les instructions de mise en œuvre soient concises, le champ d'application du contrôle est vaste. La protection des données personnelles sur les terminaux nécessite une combinaison de mesures techniques (chiffrement, effacement à distance, verrouillage de l'écran), de politiques (utilisation acceptable, règles BYOD) et de sensibilisation (formation du personnel à l'utilisation sécurisée des appareils). Ce contrôle s'applique aux trois scénarios suivants : données personnelles stockées localement sur l'appareil, données personnelles traitées activement par l'appareil et données personnelles accessibles à distance via l'appareil.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.22 correspond à ce qui suit GDPR article:
- Article 5(1)(f) — Le principe d’intégrité et de confidentialité, qui exige une sécurité appropriée des données personnelles, notamment la protection contre le traitement non autorisé ou illicite et contre la perte accidentelle
Les appareils perdus ou volés constituent l'un des types de violations les plus fréquemment signalés. GDPR. La mise en œuvre d’une protection robuste des terminaux est un moyen pratique et démontrable de satisfaire à l’article 5(1)(f).
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était couverte par la clause 6.8.2.8 (équipement utilisateur sans surveillance). L'édition 2025 regroupe ces éléments dans la clause A.3.22, élargissant ainsi le champ d'application des appareils mobiles à tous les terminaux utilisateurs. Ceci reflète le fait que la distinction entre terminaux mobiles et fixes est devenue moins pertinente. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.22, les auditeurs recherchent généralement :
- politique de sécurité des terminaux — Une politique documentée couvrant l'utilisation acceptable, les exigences de chiffrement, les paramètres de verrouillage d'écran, la gestion des correctifs et les capacités d'effacement à distance pour tous les types d'appareils
- Gestion des appareils mobiles (MDM) — Preuve qu'une solution MDM ou de gestion des terminaux centralisée est déployée, avec des profils de configuration appliquant des niveaux de sécurité de base
- Chiffrement intégral du disque — Preuve que tous les terminaux contenant des informations personnelles identifiables (IPI) disposent d'un chiffrement complet du disque activé (par exemple, BitLocker, FileVault ou chiffrement natif du périphérique).
- Capacité d'effacement à distance — Capacité démontrée à effacer ou verrouiller à distance des appareils perdus ou volés
- Contrôles BYOD — Si l'utilisation d'appareils personnels est autorisée à des fins professionnelles, une politique BYOD (Apportez votre propre appareil) précisant les exigences de sécurité, la conteneurisation et le droit de l'organisation à effacer les données de l'entreprise doit être mise en place.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.19 Bureau dégagé et écran dégagé | Les exigences de verrouillage d'écran sur les terminaux mettent en œuvre des règles d'effacement d'écran. |
| A.3.23 Authentification sécurisée | Les contrôles d'authentification protègent l'accès aux informations personnelles via les périphériques de terminaison. |
| A.3.26 Utilisation de la cryptographie | Le chiffrement du stockage des terminaux est une mesure de protection essentielle. |
| A.3.20 Supports de stockage | Les supports amovibles utilisés avec les terminaux doivent respecter les règles de gestion des supports. |
| A.3.21 Élimination ou réutilisation sécurisée | Les périphériques doivent être effacés de manière sécurisée avant d'être mis au rebut ou réaffectés. |
À qui s'applique ce contrôle ?
A.3.22 est un contrôle partagé Cela concerne aussi bien les responsables du traitement que les sous-traitants de données personnelles. Toute organisation dont le personnel utilise des terminaux pour stocker, traiter ou accéder à des données personnelles doit mettre en œuvre des mesures de protection appropriées. Cela inclut les organisations ayant des télétravailleurs, du personnel de terrain, des politiques BYOD (Apportez votre propre appareil) ou toute situation où les données personnelles sont accessibles depuis l'extérieur du réseau de l'entreprise.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion des périphériques terminaux ?
ISMS.en ligne fournit des outils pratiques pour la gestion de la sécurité des périphériques terminaux :
- Registre de l'appareil — Tenir un inventaire centralisé de tous les terminaux ayant accès aux données personnelles, associés à leurs propriétaires, à leurs configurations de sécurité et à leur état de conformité.
- Gestion de politique — Publier et diffuser les politiques de sécurité des terminaux et de BYOD avec suivi des accusés de réception et contrôle de version
- Évaluations des risques — Effectuez des évaluations de risques ciblées pour les menaces liées aux terminaux, avec des scénarios de risques prédéfinis pour les appareils perdus, les réseaux non sécurisés et le BYOD.
- gestion des incidents — Enregistrez et gérez les incidents de perte ou de vol d'appareils grâce à des flux de travail intégrés pour l'évaluation et la notification des violations.
- Tableaux de bord de conformité — Surveillez la conformité de la sécurité des terminaux au sein de votre organisation grâce à une visibilité en temps réel sur le respect des politiques et les actions en cours.
Questions fréquentes
Ce contrôle s'applique-t-il aux appareils personnels utilisés à des fins professionnelles ?
Oui. Si des appareils personnels (BYOD) sont utilisés pour stocker, traiter ou accéder à des données personnelles identifiables (DPI), ils relèvent du champ d'application de la section A.3.22. Les organisations doivent mettre en œuvre une politique BYOD qui spécifie les exigences minimales de sécurité, telles que le chiffrement, la complexité des mots de passe, les mises à jour automatiques et le droit d'effacer à distance les données d'entreprise. Les solutions de conteneurisation permettent de séparer les données personnelles et professionnelles sur un même appareil.
Quels types d'appareils sont considérés comme des terminaux ?
Les terminaux comprennent tout appareil utilisé par une personne pour accéder à des données personnelles, les traiter ou les stocker : ordinateurs portables, ordinateurs de bureau, smartphones, tablettes, clients légers et objets connectés. L’édition 2025 utilise délibérément le terme plus large « terminaux utilisateurs » plutôt que « appareils mobiles » afin d’inclure tous les types d’appareils, y compris les postes de travail fixes pouvant se trouver dans des lieux partagés ou non sécurisés.
Comment les organisations doivent-elles gérer les appareils perdus ou volés ?
Les organisations doivent disposer d'une procédure documentée de gestion des incidents en cas de perte ou de vol d'appareils. Celle-ci doit inclure la possibilité de verrouiller et d'effacer immédiatement les données à distance, d'évaluer si des informations personnelles sont à risque (en tenant compte du niveau de chiffrement), de notifier l'équipe de protection des données et, le cas échéant, l'autorité de contrôle compétente conformément à l'article 33 du RGPD. L'inventaire des appareils doit être mis à jour pour refléter la perte et les identifiants d'accès utilisés sur l'appareil doivent être révoqués.
Consignez ce contrôle dans votre Déclaration d'applicabilité avec votre approche de mise en œuvre.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.
