Vous êtes ici :
Applications clientes externes : Paramètres de l'application mobile : Verrou d'écran mobile
Le contrôle impose un mécanisme d'authentification obligatoire, tel qu'un code PIN, un mot de passe ou un facteur biométrique, qui doit être validé avec succès avant qu'un utilisateur puisse accéder à l'application mobile ou à l'environnement de l'appareil.
Nom du contrôle
Applications clientes externes : Paramètres de l'application mobile : Verrou d'écran - Sélectionner
Configuration recommandée
Verrouillage de l'écran : sélectionnez.
Vue d'ensemble du contrôle
Le contrôle impose un mécanisme d'authentification obligatoire, tel qu'un code PIN, un mot de passe ou un facteur biométrique, qui doit être validé avec succès avant qu'un utilisateur puisse accéder à l'application mobile ou à l'environnement de l'appareil.
Risque de sécurité s'il n'est pas configuré
L'absence de verrou d'écran permet aux personnes non autorisées qui ont un accès physique à l'appareil de contourner l'authentification locale et d'accéder immédiatement aux données confidentielles de l'application et aux sessions authentifiées.
Scénarios de menace
Un acteur de la menace peut exploiter un appareil perdu ou volé en accédant à l'application mobile pour exfiltrer des données mises en cache, effectuer des transactions non autorisées ou récolter des jetons de session pour un déplacement latéral.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'impact potentiel comprend la divulgation non autorisée d'informations d'identification personnelle (PII), la perte de propriété intellectuelle et la non-conformité réglementaire résultant d'un manquement à la protection des données au repos.
Risque plus élevé quand
Si l'application met en cache localement des identifiants confidentiels, conserve des jetons de session de longue durée ou fonctionne dans un environnement à haut risque de vol où le renouvellement de l'appareil est fréquent.
Risque faible quand
Si l'application utilise de courtes expirations de session, force sa propre réauthentification au niveau de l'application ou si l'appareil est géré via une organisation sandbox qui crypte les données indépendamment du verrou du système d'exploitation.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation peut nécessiter une intégration à des stratégies de gestion des appareils mobiles (MDM) ou des appels d'API locaux pour vérifier la conformité des appareils, ce qui peut impacter les frictions des utilisateurs et les frais généraux de support pour le matériel hérité.
Remédiation recommandée
Configurez l'application mobile pour interroger le statut de sécurité du système d'exploitation et restreindre l'accès à l'interface de l'application, sauf si un verrou d'écran au niveau du système est vérifié comme actif.
Guide d'examen sanitaire de sécurité
Alignez le dispositif de sécurité mobile sur le principe du moindre privilège en vous assurant que les données locales restent cryptées et inaccessibles jusqu'à la libération d'une clé cryptographique via une authentification utilisateur réussie.
