Ordinateur portable volé : les 30 premières minutes

Un appel : ordinateur portable volé dans une voiture. Le chrono tourne. Voici les 10 étapes à suivre ABSOLUMENT dans les 30 premières minutes, dans l'ordre.

Chaque minute pendant laquelle un ordinateur perdu ou volé peut être en ligne représente un risque. Ces 10 étapes doivent être effectuées dans les 30 premières minutes.

Minute 0-10 : confinement

\n
1. Signalez l'incident à l'IT / responsable sécurité. Notez la date et l'heure.
\n
2. Déclenchez l'effacement à distance via Intune / Jamf / Kandji. Immédiatement, pas plus tard.
\n
3. Verrouillez le compte de l'utilisateur dans M365 / Entra. Déconnectez toutes les sessions actives.
\n
4. Révoquez les jetons MFA — l'appareil n'est plus de confiance.
\n
5. Modifiez les mots de passe des comptes principaux utilisés par cet utilisateur.
\n

Minute 10-20 : évaluation

\n
6. Qu'y avait-il dessus ? Vérifiez la synchronisation OneDrive, les fichiers locaux et le cache du gestionnaire de mots de passe.
\n
7. Des données clients à bord ? Si oui : possible violation de données — voir notification de violation de données.
\n
8. Chiffrement du disque : le chiffrement était-il activé ? En général oui (BitLocker / FileVault) — l'appareil physique est alors inaccessible.
\n

Minute 20-30 : dépôt de plainte et communication

\n
9. Dépôt de plainte auprès de la police pour l'assurance et en cas de récupération éventuelle.
\n
10. Entrée dans le journal des incidents. À compléter ultérieurement selon les éléments découverts.
\n

Prévention (à mettre en place en amont)

\n
• Chiffrement du disque obligatoire sur chaque appareil (stratégie de conformité Intune).
\n
• Inscription MDM pour permettre l'effacement à distance.
\n
• Aucun mot de passe en clair sur l'ordinateur portable.
\n
• Gestionnaire de mots de passe dédié, pas le coffre-fort intégré au navigateur.
\n
• Données minimales sur l'appareil — privilégier OneDrive et le cloud.
\n

Voir aussi : pilier sécurité, les bases d'Intune.