03 / 06
Laptop, téléphone, clés FIDO2 : ce qui marche vraiment, ce qui est performatif, et comment durcir sans paralyser.
Un appareil est un compromis permanent entre opérabilité et exposition. Cet axe traite des choix matériels et logiciels qui ont un impact réel sur votre surface d’attaque : chiffrement de disque (et ses limites concrètes), choix d’un téléphone professionnel selon votre modèle de menace, philosophie du “laptop qui peut être perdu”, déploiement opérationnel de YubiKey et de clés FIDO2, durcissement raisonné d’OS.
Pas de checklist générique copiée-collée. Chaque article décompose les vrais arbitrages, identifie ce qui est performatif, et propose des mesures par niveau d’exposition.
Ce qui est performatif, ce qui change vraiment la surface d'attaque. Compte standard, signatures, allow-listing, logs. Les checklists 200 items qui font plus de mal que de bien.
FileVault, BitLocker, LUKS, dm-crypt : ce que chacun protège, à quel moment. Modes off et hot-state. Recovery keys : où, comment, jamais en clair.
Philosophie du laptop "perdable". Snapshot clean restorable. Données mission via cloud, jamais en local. Ré-image au retour.
Le bon choix dépend du modèle de menace. iPhone Lockdown, Pixel + GrapheneOS, BYOD vs dédié. Ce que MDM peut vraiment.
Choix de modèle. Multi-clés (primaire + backup + tiers). Protocoles : FIDO2/WebAuthn, PIV, OpenPGP, OTP. Cycle de vie et reset.