Souvenez-vous : il y a une dizaine d’années seulement, l’information la plus sensible contenue dans un téléphone professionnel était une liste de contact et leurs numéros de téléphone. Aujourd’hui, le smartphone d’un collaborateur est un concentré de données stratégiques et confidentielles, connecté à Internet en continu. Bref, le Graal pour tous les hackers de la planète. Et de quoi donner quelques cheveux blancs aux responsables IT.
Alors, comment sécuriser les smartphones de vos équipes ? On vous dit tout.
Les mises à jour : halte au snooze !
La cybersécurité est une course de vitesse entre pirates et experts en sécurité. Les premiers cherchent les failles, les seconds les comblent avec des correctifs. Les mises à jour du système d’exploitation et des applications mobiles sont essentielles pour corriger les failles de sécurité. Et les collaborateurs qui ne les font pas exposent leur terminal aux menaces.
La solution ? Les outils de gestion de flotte UEM (Unified Endpoint Management) permettent d’automatiser les mises à jour sur tous les appareils d’une entreprise. Ils offrent ainsi une protection dite « statique » contre les attaques les plus communes. Cependant, il faut garder en tête qu’ils sont inefficaces contre les malwares 0-day (malwares non répertoriés par les bases virales). Seules des technologies plus avancées, capables de détecter une « utilisation inhabituelle » du mobile, peut alerter d’une menace en cours. Autre point positif de ces outils : ils permettent aussi de généraliser les paramétrages décidés par la DSI (possibilité ou non de télécharger des pièces jointes, de télécharger certaines applications mobiles, etc.).
Le phishing : la pêche est bonne ?
« Couvrez ce lien que je ne saurais voir », aurait pu dire Molière s’il était né quelques siècles plus tard. Le phishing (ou hameçonnage) est une pratique courante dont les entreprises sont régulièrement victimes. Un problème encore plus préoccupant avec le développement des mobiles. En effet, une étude d’Orange Cyberdefense montre que les collaborateurs sont moins vigilants sur leur téléphone : ils ont 3 fois plus de chances de cliquer sur un lien de frauduleux depuis l’écran de leur mobile que celui de leur ordinateur.
De plus en plus de pirates ont également recours au smishing, l’hameçonnage par SMS. Ici, l’utilisateur clique sur un lien reçu par SMS lui faisant croire qu’une attaque a été détectée, il est redirigé vers une page lui proposant le téléchargement d’un antivirus et installe en fait le virus lui-même.Contre le phishing en entreprise, la meilleure protection reste la sensibilisation des collaborateurs. Idéalement, il est également conseillé de déployer un bon filtre antispam permettant de bloquer les messages de phishing. Enfin, et lorsque les menaces sont trop récurrentes, il est conseillé de faire appel à des services de détection des opérations de phishing (envoi d’alertes dès le début des attaques, transmission des informations aux éditeurs de logiciels antivirus…).
Les réseaux publics : le tapis rouge pour les hackers
D’après une enquête Verizon, 81% des collaborateurs admettent utiliser des réseaux Wi-Fi public pour travailler, principalement en déplacement. Et les pirates peuvent très facilement créer des faux points d’accès Wi-Fi ou exploiter les failles de Wi-Fi publics officiels pour attaquer un mobile. De la même façon, les collaborateurs en télétravail se connectent généralement depuis une box, plus ou moins sécurisée (entre nous, qui ne connaît pas un ami qui a changé le mot de passe complexe de son fournisseur par « bienvenue123 » ?).
L’utilisation d’un VPN se présente comme une solution efficace contre cette menace (et bien d’autres). Les VPN offrent un canal d’échange sécurisé qui protège le collaborateur des interférences et de l’espionnage pendant sa navigation. Il permet également de masquer la location géographique, l’adresse IP et de chiffrer les données. Bref, le VPN délocalise la connexion, obligeant ainsi les salariés à passer par la passoire informatique de leur entreprise.
Les applications mobiles corrompues : quand Candy Crush peut faire planter une entreprise
C’est une pratique courante et de plus en plus sophistiquée. Une fois installée, l’application mobile peut demander des droits (localisation GPS, accès à la messagerie, activation du microphone, etc.) qui seront exploités par les cybercriminels. D’après une récente étude, centrée sur les applications Androïd, des problèmes de sécurité affecteraient des milliers d’applications : « L’évaluation a révélé une situation préoccupante. Nous avons identifié 12 706 applications contenant une variété de portes dérobées telles que des clés d’accès secrètes, des mots de passe administrateur et des commandes secrètes », expliquent les chercheurs.
Si les mécanismes de détection de Google Play Store ou de l’Apple Store sont de plus en plus élaborés, certaines applications passent malgré tout au travers du filet. C’est pourquoi il est indispensable de sensibiliser ses collaborateurs, et de leur recommander de lire les commentaires d’une application mobile avant toute installation. De la même manière, il est conseillé de fuir les apps mal notées, sans aucun score ou qui demandent un panel d’autorisations (accès au microphone, à la messagerie, etc.) démesuré. En parallèle, les responsables IT peuvent évidemment doter les mobiles de solutions qui analysent le comportement des applications et les alertent en cas de doute.
Le développement rapide et chaotique de la mobilité dans les entreprises – au-delà même du débat BYOD (Bring Your Own Device) / COPE (Corporate Owned, Personally Enabled) – a augmenté le nombre de portes d’entrée pour les hackers, et fragilisé les systèmes informatiques. D’après une enquête Verizon, 33% des entreprises avaient déjà connu une brèche de sécurité mobile en 2018. Et ce chiffre risque d’augmenter dans les prochains mois.Le déploiement de nouveaux outils pour accompagner les récentes politiques de télétravail est une occasion formidable de rappeler les bonnes pratiques en matière de sécurité des mobiles. Car si les pirates informatiques ne manquent pas d’imagination pour créer de nouvelles stratégies d’attaques, les entreprises sont (heureusement) loin d’être sans défense.
Recent Comments