Contrôle de l’accès des apps aux fichiers sous macOS
Chez Apple, nous croyons que les utilisateurs devraient profiter d’une transparence et d’un contrôle complets sur ce que les apps font avec leurs données et pouvoir y consentir. Sous macOS 10.15, ce modèle est appliqué par le système pour contribuer à garantir que toutes les apps doivent obtenir le consentement de l’utilisateur avant d’accéder aux fichiers dans Documents, Téléchargements, Bureau et iCloud Drive ainsi que sur les volumes réseau. Sous macOS 10.13 et les versions ultérieures, les apps qui demandent l’accès à l’intégralité du dispositif de stockage doivent être explicitement ajoutées dans les Préférences Système. De plus, les fonctionnalités d’accessibilité et d’automatisation nécessitent l’autorisation de l’utilisateur pour contribuer à garantir qu’elles ne contournent pas d’autres protections. Selon la politique d’accès, les utilisateurs peuvent être invités ou forcés à modifier les réglages dans Préférences Système > Sécurité et confidentialité > Confidentialité.
Élément | L’utilisateur est invité par l’app | L’utilisateur doit modifier les réglages de confidentialité du système |
---|---|---|
Accessibilité | ||
Accès à l’intégralité du stockage interne | ||
Fichiers et dossiers Remarque : Comprend Bureau, Documents, Téléchargements, les volumes réseau et les volumes amovibles | ||
Automatisation (événements Apple) |
Les éléments dans la corbeille de l’utilisateur sont protégés contre les apps qui ont un accès complet au disque. L’utilisateur ne sera pas invité à autoriser ou non l’accès. Les fichiers contenus dans la corbeille doivent être déplacés vers un autre emplacement si l’utilisateur souhaite que les apps puissent y accéder.
Quand FileVault est activé, le Mac demande à l’utilisateur de s’authentifier avant de poursuivre le démarrage et de donner accès aux modes de démarrage spécialisés. Si l’utilisateur ne fournit pas les bonnes informations d’identification ou la clé de secours, le volume demeure chiffré et protégé contre les accès non autorisés, même si le dispositif de stockage est retiré du Mac et branché à un autre ordinateur.
Pour protéger les données en entreprise, les équipes des TI doivent définir une politique claire pour la configuration de FileVault et l’imposer par l’intermédiaire de la solution de gestion des appareils mobiles (GAM). Les organisations disposent de plusieurs options pour la gestion des volumes chiffrés, comme les clés de secours institutionnelles, les clés de secours personnelles (qui peuvent être enregistrées dans la solution de GAM pour l’autorité de séquestre), ou une combinaison des deux. La rotation de clés peut elle aussi faire l’objet d’une politique de GAM.