La conception d’Apple pour la stratégie de sécurité d’entreprise a beaucoup contribué à apaiser la frustration liée à la sécurité d’entreprise. Lorsqu’Apple a créé le point de terminaison de sécurité sans kextless, il disait que l’expérience des employés était importante. L’une des raisons pour lesquelles les gens ont toujours détesté leurs ordinateurs de travail est qu’ils étaient pénibles à utiliser. À vrai dire, de nombreux environnements Windows ont tellement de « bloatwares » ajoutés pour empêcher l’employé d’installer des choses qu’il ne devrait pas installer et de vérifier la conformité que les employés ont du mal à faire leur travail. Apple a adopté une approche différente avec la façon dont il a mis en œuvre la sécurité et la façon dont il a construit son protocole MDM. Au cours des trois prochaines semaines, j’examinerai en profondeur trois d’entre eux.

Il existe de nombreuses innovations qu’Apple a mises en œuvre sur macOS qui ont bien servi les entreprises clientes sans compromettre la sécurité ou les fonctionnalités. Cette semaine, je veux plonger dans trois parties critiques de la stratégie de sécurité d’Apple dans l’entreprise pour voir comment certaines de leurs innovations ont conduit à une meilleure acceptation de la part des RSSI, CTO et CIO. Tout d’abord, cette semaine, je veux me pencher sur FileVault 2.

Qu’est-ce que FileVault 2 ?

FileVault 2 a été un élément crucial des clients d’entreprise, garantissant que les données stockées localement sur les ordinateurs ne sont pas accessibles en cas de perte de la machine. Il utilise le cryptage XTS-AES-128 avec une clé de 256 bits pour garantir que les données ne sont pas accessibles sans autorisation.

FileVault a fait sa première apparition dans OS X Lion et est toujours utilisé aujourd’hui. Les utilisateurs personnels peuvent l’activer sous l’onglet Sécurité et confidentialité dans les Préférences Système. Néanmoins, il peut également être activé via un fournisseur de gestion des appareils mobiles pour être activé de force pour toutes les machines de votre flotte. La clé de récupération peut également être stockée en toute sécurité dans votre MDM.

Lorsque les utilisateurs de Windows pensent au chiffrement complet du disque, ils pensent probablement que cela ralentira leur ordinateur. Avec macOS, vous savez à peine qu’il fonctionne. Le cryptage initial s’est produit en arrière-plan et uniquement lorsque votre Mac est branché sur l’alimentation secteur.

Une fois le cryptage terminé, vous redémarrerez votre Mac et votre mot de passe Mac déverrouillera votre disque et permettra à votre Mac de finir de se déverrouiller. FileVault 2 nécessite que vous vous connectiez à chaque démarrage de votre Mac, afin qu’aucun compte ne puisse se connecter automatiquement.

Pourquoi le service informatique devrait-il activer FileVault 2 ?

Les services informatiques doivent activer FileVault 2 sur tous leurs ordinateurs, car cela garantira que les données sensibles de l’entreprise ne seront pas accessibles même si l’accès physique à une machine est obtenu. Lors de la vérification de la sécurité pour des raisons de conformité, FileVault 2 est un incontournable.

Il n’y a presque pas de perte de performances, mais il y a beaucoup de gains en termes de sécurité. Les utilisateurs finaux ne sauront probablement jamais qu’ils utilisent FileVault 2.

Qu’en est-il des Mac T2 ?

Tous les Mac dotés de la puce T2 ont déjà leurs disques durs chiffrés, même sans FileVault 2. Il est toujours recommandé d’activer FileVault 2, de sorte que la connexion automatique ne peut pas être activée. La seule fois où vous ne souhaitez pas utiliser FileVault, c’est pour les Mac dans les zones partagées (laboratoires scolaires, etc.).

Emballer

Presque tous les fournisseurs de MDM s’intégreront désormais à FileVault 2 et feront de l’intégration de l’activation et du rapport de la récupération un processus clé en main. Parce qu’il accomplit une tâche de sécurité vitale consistant à chiffrer toutes les données sur le disque lorsque la machine est verrouillée sans impact notable sur les performances de l’utilisateur, il est fortement recommandé pour tous les services informatiques de l’entreprise.

Au fur et à mesure que nous poursuivons cette série, vous remarquerez un aspect clé de la stratégie de sécurité d’entreprise d’Apple : mise en œuvre sans impact sur les performances.

