Contrôle de l’accès des apps aux fichiers sous macOS
Chez Apple, nous croyons que les utilisateurs devraient profiter d’une transparence et d’un contrôle complets sur ce que les apps font avec leurs données et pouvoir y consentir. Sous macOS 10.15, ce modèle est appliqué par le système pour contribuer à garantir que toutes les apps doivent obtenir le consentement de l’utilisateur avant d’accéder aux fichiers dans Documents, Téléchargements, Bureau et iCloud Drive ainsi que sur les volumes réseau. Sous macOS 10.13 et les versions ultérieures, les apps qui demandent l’accès à l’intégralité du dispositif de stockage doivent être explicitement ajoutées dans Réglages système (macOS 13 ou une version ultérieure) ou dans Préférences Système (macOS 12 ou une version antérieure). De plus, les fonctionnalités d’accessibilité et d’automatisation nécessitent l’autorisation de l’utilisateur pour contribuer à garantir qu’elles ne contournent pas d’autres protections. Selon la politique d’accès, les utilisateurs peuvent être invités ou forcés à modifier les réglages dans :
macOS 13 ou une version ultérieure : Réglages système > Confidentialité et sécurité > Confidentialité
macOS 12 ou une version antérieure : Préférences Système > Sécurité et confidentialité > Confidentialité
Élément | L’utilisateur est invité par l’app | L’utilisateur doit modifier les réglages de confidentialité du système |
|---|---|---|
Accessibilité |
|
|
Accès à l’intégralité du stockage interne |
|
|
Fichiers et dossiers Remarque : Comprend Bureau, Documents, Téléchargements, les volumes réseau et les volumes amovibles |
|
|
Automatisation (événements Apple) |
|
|
Quand FileVault est activé, le Mac demande à l’utilisateur de s’authentifier avant de poursuivre le démarrage et de donner accès aux modes de démarrage spécialisés. Si l’utilisateur ne fournit pas les bonnes informations d’identification ou la clé de secours, le volume demeure chiffré et protégé contre les accès non autorisés, même si le dispositif de stockage est retiré du Mac et branché à un autre ordinateur.
Pour protéger les données en entreprise, les équipes des TI doivent définir une politique claire pour la configuration de FileVault et l’imposer par l’intermédiaire d'une solution de gestion des appareils mobiles (GAM). Les organisations disposent de plusieurs options pour la gestion des volumes chiffrés, comme les clés de secours institutionnelles, les clés de secours personnelles (qui peuvent être enregistrées dans la solution de GAM pour l’autorité de séquestre), ou une combinaison des deux. La rotation de clés peut elle aussi faire l’objet d’une politique de GAM.