Comment garantir la cybersécurité sur les appareils d'entreprise

La mobilité d'entreprise a ouvert tout un monde de possibilités pour étendre la portée de l'organisation, l'immédiateté comme arme et la collaboration comme alliée pour les affaires. Mais cela représente, sans aucun doute, un énorme risque pour la sécurité, car cela donne accès aux réseaux d'entreprise et aux bases de données contenant des informations confidentielles depuis des dispositifs potentiellement non sécurisés.

Pas plus tard que le mois de mars dernier, des experts de Google ont identifié 18 vulnérabilités dans certains téléphones Android qui permettaient d'accéder aux terminaux via un processeur dédié. En mai, Apple a corrigé 3 nouvelles failles zero-day associées au moteur du navigateur de l'appareil.

Ces exemples montrent que les cybercriminels découvrent chaque jour de nouvelles façons de mener leurs attaques et qu'il est essentiel d'avoir une politique solide pour protéger les dispositifs qui se connectent chaque jour à l'entreprise.

Menaces les plus fréquentes sur les appareils mobiles

Voici quelques-unes des principales menaces de sécurité pour les appareils mobiles :

• Phishing. Sur les ordinateurs, le phishing se propage généralement par des messages faux avec des pièces jointes ou des liens malveillants. Dans le monde mobile, cependant, la plupart des tentatives de phishing proviennent des réseaux sociaux, des messages texte ou des applications. Une variante est le smishing, qui consiste en le vol des identifiants d'un utilisateur lorsqu'il accède à un lien malveillant reçu par SMS.
• Malware et ransomware. Le malware mobile le plus courant est constitué d'applications malveillantes créées pour endommager, interrompre ou obtenir un accès illégitime à un appareil. Parmi les types de malware, le ransomware se distingue comme la variante la plus courante. Les coûts augmentent chaque année.
• Rooting et jailbreaking. Comme nous l'avons déjà mentionné, le jailbreaking et le rooting sont des méthodes qui permettent à l'utilisateur d'obtenir un accès administrateur à son appareil mobile pour télécharger des applications malveillantes ou pour augmenter les permissions des applications.
• Attaques Man-in-the-Middle. Elles interceptent le trafic d'un réseau pour obtenir des données confidentielles en transit ou modifier les informations transmises. Les appareils mobiles sont particulièrement vulnérables à ces attaques, car contrairement au trafic web (qui utilise un protocole de chiffrement SSL/TLS), les applications mobiles peuvent transférer des données sensibles sans chiffrement.
• Spyware. C'est un type de malware qui surveille les activités de l'utilisateur et donne accès à des données telles que la localisation de l'appareil, l'historique du navigateur, les appels téléphoniques, les photos et vidéos, etc., dans le but de commettre des vols d'identité, des fraudes financières, etc.
• Applications et sites web malveillants : ce sont des programmes infectés par des malwares qui attaquent au moment d'accéder à une page web ou de télécharger une application.
• Réseaux wifi non sécurisés. Lorsque des réseaux wifi publics ou non sécurisés sont utilisés, le risque que le trafic sortant ou entrant vers l'appareil mobile soit intercepté et que ses informations soient compromises augmente.

8 aspects clés à prendre en compte…

Les entreprises doivent appliquer toutes les mesures nécessaires pour pouvoir identifier les attaques de manière précoce et générer des réponses adéquates pour limiter leur impact. Voici huit aspects clés à prendre en compte pour prévenir et/ou neutraliser les risques de sécurité des dispositifs mobiles. Les voici :

• Sécurité des applications et des terminaux. Les systèmes MAM (Mobile Application Management) et MDM (Mobile Device Management) permettent d'auditer et de gérer les logiciels utilisés par les dispositifs mobiles, et d'appliquer les critères requis par l'entreprise. Pour leur part, les solutions CASB (Cloud Access Security Broker) protègent la sécurité des applications cloud, en se connectant aux installations et aux réseaux d'entreprise, en appliquant des normes de sécurité et en gérant l'utilisation des ressources dans le cloud.
• Contrôles d'accès selon l'utilisateur et selon le dispositif. Les systèmes de gestion des utilisateurs et des identités (IAM, pour son sigle en anglais) permettent de réguler les privilèges des utilisateurs sur leurs informations. C'est-à-dire, s'ils peuvent ajouter, modifier, supprimer ou copier des données depuis le terminal mobile.
• Éléments de sécurité avancés tels que les antivirus, les réseaux privés virtuels (VPN), les passerelles, les pare-feu, les IPS, etc. aideront à renforcer la sécurité des dispositifs. Les passerelles, par exemple, permettent d'établir des connexions réseau sécurisées entre deux dispositifs ou entre un dispositif et Internet, garantissant que la connexion respecte les politiques de cybersécurité de l'entreprise, indépendamment de l'emplacement et du type de dispositif utilisé.
• Sécurité du courrier électronique. Le courrier électronique est l'un des principaux outils utilisés par les cybercriminels. Par conséquent, maintenir une politique de sécurité rigoureuse pour le courrier électronique d'entreprise est primordial. Cela inclut l'activation de capacités de protection avancées qui détectent et résolvent les menaces et protègent les informations confidentielles par chiffrement, évitant ainsi la perte de données.
• Gestion des autorisations des applications mobiles. Les autorisations accordées aux applications mobiles déterminent leur niveau de fonctionnalité. Cependant, accorder des autorisations à une application vulnérable peut donner aux cybercriminels accès à des données confidentielles sur l'appareil.
• Connexions chiffrées. Les entreprises peuvent étendre leur réseau d'entreprise pour qu'il soit accessible à l'utilisateur depuis n'importe quel endroit en utilisant des réseaux privés virtuels (VPN), qui permettent de chiffrer la connexion des appareils à n'importe quel réseau (y compris les réseaux wifi publics). Les systèmes d'authentification multi-facteurs (MFA) sont actuellement la méthode la plus efficace pour renforcer la sécurité.
• Gestion des mots de passe : La politique de l'organisation peut et doit obliger les employés à changer régulièrement leurs mots de passe et à utiliser des combinaisons robustes qui, au minimum, alternent lettres, symboles et signes de ponctuation. Une option différente ou supplémentaire aux mots de passe est la configuration du verrouillage de l'écran avec l'empreinte digitale ou la reconnaissance faciale de l'utilisateur de l'appareil, de sorte que seul ce dernier puisse accéder à son contenu.

Ces actions représentent déjà un grand progrès dans la protection des dispositifs personnels et de l'entreprise contre les cyberattaques et les malwares. Cependant, elles devraient également être complétées par une architecture informatique complète qui contrôle de manière centralisée les différentes solutions de sécurité.

… et 5 conseils pour une stratégie de sécurité mobile efficace

La gestion sécurisée des appareils mobiles peut faire la différence lorsqu'il s'agit de déterminer les risques que l'organisation assume. Voici 5 conseils pour consolider avec succès un réseau d'entreprise efficace mais sécurisé.

1. Établir une politique de sécurité mobile claire et complète qui fixe les lignes directrices à suivre pour l'utilisation des appareils mobiles. Ces politiques de sécurité doivent inclure des éléments tels que des configurations obligatoires, des modes d'utilisation ou des mesures contre le vol et les fuites de données, ainsi que la coordination des systèmes de surveillance et de contrôle à distance des appareils.
2. Mettre à jour régulièrement le système d'exploitation et les applications mobiles. Les systèmes d'exploitation mobiles, ainsi que les applications mobiles, sont constamment révisés par leurs créateurs pour corriger les vulnérabilités de sécurité et optimiser leur fonctionnement. Par conséquent, utiliser des versions obsolètes expose à des cyberattaques qui pourraient mettre en danger les opérations de l'entreprise.
3. Sauvegarde régulière et effacement à distance des données. Il est essentiel de configurer tous les appareils mobiles pour qu'ils effectuent des sauvegardes pouvant être stockées sur site ou dans le cloud. L'idéal est également de configurer l'effacement à distance des données, ce qui permet de supprimer toute donnée de l'appareil même sans y avoir accès direct.
4. Éviter l'installation de programmes directement sur les appareils. Les logiciels malveillants affectent quotidiennement des centaines de milliers de mobiles, et l'une des principales voies d'infection est l'installation d'applications. L'idéal est de migrer les applications vers un environnement web (ou dans le cloud) qui élimine la nécessité d'installer et de réinstaller des logiciels sur les terminaux.
5. Former les employés à la cybersécurité et aux menaces de sécurité. Lorsqu'il s'agit d'utiliser des appareils appartenant à l'entreprise, il est important d'investir du temps et des ressources dans la sensibilisation à la cybersécurité. Par exemple, ne pas cliquer sur des liens suspects, ne pas télécharger de contenus provenant de sources non fiables, utiliser des mots de passe complexes, faire des sauvegardes, utiliser des antivirus… Et bien sûr, la formation doit atteindre le niveau de la direction, y compris la formation de spécialistes en cybersécurité mobile.

En conclusion

Comme nous pouvons le voir, gérer la sécurité des dispositifs mobiles pour leur utilisation dans les réseaux d'entreprise implique une réflexion sérieuse de la part des organisations et un défi titanesque pour les départements informatiques. Il est nécessaire d'en être conscient et de mettre en place des mesures pour réduire les risques.

En résumé, nous devons être conscients que disposer de dispositifs mobiles avec accès aux données nécessite une sécurité supplémentaire. Une sécurité qui nous permettra de recourir à des solutions qui devraient être presque obligatoires, faciles à mettre en œuvre et qui garantissent une sécurité adéquate tant pour le réseau que pour chacun de ses éléments.