Demander à un salarié d'utiliser son matériel personnel ce n'est pas normal. Je ne connais pas les textes de lois là-dessus, mais je déconseille vivement.
Petite anecdote, entreprise qui fait un renouvellement ISO 27k1, l'auditeur se rend compte de l'usage d'un smartphone par un directeur. Il regarde les documents et voit qu'il y a quelques tels pros déclarés. Il demande à voir l'inventaire des tels pros. Il fait ses recherches et passe à autre chose.
Quelques jours plus tard, fin d'audit, à priori tout est en ordre, le directeur le raccompagne, dans l'ascenseur l'auditeur demande pourquoi son téléphone n'est pas dans l'inventaire, le directeur dit que c'est son personnel, l'auditeur relève que les textes de l'entreprise interdisent les BYOD. Il demande à consulter le téléphone, le directeur lui déverrouille et il constate qu'il y a les emails pros, la téléphonie IP, les contacts / agenda pro, le partage de documents avec accès à tout.
Au moment de sortir, l'auditeur lui dit qu'il conclura l'audit
par une non conformité majeure, le directeur en question étant
impliqué dans la gestion / animation du SMSI. Il a rouspété en
disant qu'il n'a pas envie d'avoir deux téléphones mais ça n'a eu
aucune influence sur la décision.
Sinon pour revenir au 2FA, si les ordis sont chiffrés, que personne d'autre que l'utilisateur connait les mots de passe de sa session, l'usage d'un 2FA sous forme de TOTP dans une application sur le poste de travail est largement suffisant.
Les tokens physiques, c'est bien, mais dans la réalité, il en
faut 2 : 1 pour l'usage au quotidien et 1 avec une sauvegarde à
mettre au coffre. Je vois beaucoup de perte de ces tokens ou même
des casses, on le met au porte-clef et à force de se prendre des
coups, ils cessent de fonctionner.
Il reste les tokens ultra-fin qu'on laisse en permanence dans le port usb, cela réduit la sécurité de la solution, donc autant faire du TOTP.
La YubiKey est compatible Microsoft 365 (utilisée sur Ubuntu).
> les utilisateurs ne souhaitant pas utiliser leur tel perso ?
On a le droit de demander aux utilisateurs d'utiliser leur téléphone personnel pour une activité professionnelle ?
Remarque : le jour où son téléphone perso a un soucis et qu'il ne peut donc plus se connecter au SaaS le service support lui réparera son téléphone perso :)