Le ministère de la Défense (DOD) a des exigences très strictes pour gérer les données sensibles, y compris les PII (informations personnellement identifiables) et le PHI (informations de santé protégées) sur les appareils mobiles, en particulier lors de leur courrier électronique. Bien qu'il n'y ait pas de méthode "d'authentification" unique mandatée, le DoD s'appuie sur une approche en couches impliquant:

1. Sécurité de l'appareil:

* Mots de passe / broches fortes: Nécessitent des mots de passe ou des épingles solides et uniques pour déverrouiller les appareils.

* Authentification biométrique: Utilisez des empreintes digitales, de la reconnaissance faciale ou des scans d'iris pour une sécurité améliorée.

* Encryption de périphérique: Cryptage à disque complet de mandat pour tous les appareils stockant des données sensibles. Cela garantit que même si l'appareil est perdu ou volé, les données restent inaccessibles.

* Gestion des appareils mobiles (MDM): Utilisez des solutions MDM pour appliquer les politiques de sécurité, surveiller l'activité des périphériques et effacer à distance les données si nécessaire.

2. Sécurité par e-mail:

* Encryption par e-mail: Utilisez des solutions de chiffrement par e-mail robustes, comme S / MIME ou PGP, pour protéger le contenu des e-mails contenant des données sensibles pendant le transit et au repos.

* Secure Courriel Secourse: Déployez les passerelles qui scannent les e-mails pour des informations sensibles et appliquez les politiques de chiffrement.

* Authentification à deux facteurs (2FA): Implémentez 2FA pour les comptes de messagerie pour ajouter une couche supplémentaire de protection contre l'accès non autorisé.

* Politiques de rétention par e-mail: Établir des politiques claires pour stocker et supprimer des données de messagerie sensibles.

3. Règlements spécifiques au DoD:

* DOD 5200.01 (programme de sécurité de l'information): Décrit le programme de sécurité des informations globales du département et jette les bases de la gestion des données sensibles.

* DOD 8500.01-M (Manuel d'exploitation du programme de sécurité industrielle nationale): Fournit des conseils spécifiques sur la sauvegarde des informations sensibles dans le contexte de la sécurité industrielle.

* DOD 8140 (main-d'œuvre d'assurance de l'information): Définit les qualifications et les exigences de formation pour les personnes qui gèrent les données sensibles.

* Certification du modèle de maturité de cybersécurité DOD (CMMC): Un cadre pour évaluer et certifier la posture de cybersécurité des entrepreneurs et des fournisseurs de défense.

Considérations importantes:

* Minimisation des données: Stockez uniquement la quantité minimale de données sensibles nécessaires sur les appareils mobiles.

* Sauvegarde et récupération des données: Assurez-vous des sauvegardes régulières de données sensibles et mettez en place un plan de récupération robuste.

* Conscience et formation des utilisateurs: Les employés doivent être informés de l'importance de la sécurité des données et de la manière de gérer les informations sensibles de manière responsable.

en résumé:

L'approche du DoD pour protéger les données sensibles sur les appareils mobiles est complète et rigoureuse. Il s'agit d'une combinaison de mesures de sécurité des appareils, de chiffrement des e-mails et d'adhésion aux réglementations du DoD. Les organisations du DoD doivent évaluer soigneusement leurs besoins spécifiques et mettre en œuvre les contrôles de sécurité appropriés pour garantir la confidentialité, l'intégrité et la disponibilité d'informations sensibles.

Article précédent： Quel est l'enregistrement d'un utilisateur qui contient toutes ses propriétés, y compris les droits sur les mots de passe et les noms de ressources?
Article suivant： Pourquoi est-ce une bonne idée que les utilisateurs changent leurs mots de passe la première fois qu'ils se connectent?