Les entreprises européennes devront renforcer considérablement la sécurité de leurs appareils Apple, notamment les iPhone et iPad, sous peine de sanctions. La nouvelle loi européenne sur la cyber-résilience impose des obligations strictes en matière de protection des données et de gestion des appareils mobiles, avec les normes de l’Office fédéral de la sécurité de l’information (BSI) allemandes servant de référence.
Ce texte de loi, le Cyber Resilience Act (ARC), marque un tournant en matière de sécurité informatique. Il transfère une plus grande part de responsabilité aux fabricants et exige une conception sécurisée des produits. Pour les équipes informatiques, cela signifie passer d’une approche réactive à une stratégie proactive et documentée, en complétant les fonctionnalités natives d’Apple par des mesures conformes aux recommandations du BSI.
Dès le 11 septembre 2026, les fabricants devront signaler activement les vulnérabilités exploitées et les incidents de sécurité graves. Cette obligation de transparence vise à accélérer le déploiement des mises à jour de sécurité. Les entreprises disposant de parcs importants d’iPhone devront non seulement garantir l’installation rapide de ces mises à jour, mais aussi s’assurer que l’ensemble de leur infrastructure mobile est conforme aux exigences plus strictes de la directive NIS-2.
Le BSI propose un cadre précis pour sécuriser les appareils Apple, notamment à travers son IT-Grundschutz, et plus particulièrement l’élément de construction « SYS.3.2.3 iOS (pour Entreprise) ». Selon le BSI, l’administration centrale des appareils est indispensable, ce qui implique l’utilisation d’un système de gestion des appareils mobiles (MDM). Grâce à un MDM, les administrateurs peuvent appliquer des politiques de sécurité uniformes, distribuer des configurations et surveiller l’état de l’ensemble du parc d’appareils.
Une connexion sécurisée au réseau de l’entreprise via un réseau privé virtuel (VPN) et un contrôle rigoureux des applications installées sont également essentiels. Les entreprises doivent pouvoir démontrer qu’elles mettent en œuvre une stratégie réfléchie et documentée, au-delà de la simple confiance dans les mécanismes de sécurité intégrés d’Apple.
La sélection d’une solution MDM conforme aux normes minimales du BSI est une première étape cruciale. Il est ensuite nécessaire de définir des processus clairs de gestion des applications : quelles applications sont autorisées, qui peut les installer ? L’authentification joue également un rôle clé, avec la recommandation d’utiliser des méthodes modernes et résistantes au phishing, comme les clés de sécurité basées sur la norme FIDO2, promues par Apple.
Le non-respect de ces nouvelles obligations peut entraîner des risques juridiques et financiers importants. Les entreprises doivent désormais considérer leurs infrastructures mobiles comme une partie intégrante de leur système d’information et les protéger avec le même niveau de vigilance. La sécurité vérifiable des appareils Apple devient ainsi une question stratégique de survie pour les services informatiques.
Le BSI adaptera en permanence ses recommandations à l’évolution de la législation. Une collaboration étroite avec les fabricants reste essentielle pour évaluer rapidement les futures générations d’appareils. Les fournisseurs de services informatiques et les éditeurs de solutions MDM devraient proposer de plus en plus de solutions certifiées « conformes au BSI » et « prêtes pour l’ARC ».