.jpg)
De nos jours, les appareils mobiles jouent un rôle essentiel dans la manière dont nous travaillons et de nombreux employés passent leurs journées à alterner entre leur téléphone et leur ordinateur.
Alors que dans la plupart des organisations, les ordinateurs portables et les réseaux d’entreprise bénéficient d’une solide stratégie de cybersécurité, les appareils mobiles ont tendance à être laissés sans protection. Et, c’est un problème de taille compte tenu des risques auxquels sont souvent confrontés ces derniers, comme les attaques de phishing et les vulnérabilités des systèmes d’exploitation.
Dans cet article, nous explorerons six idées reçues sur la sécurité des appareils mobiles et nous analyserons les moyens dont les organisations ont besoin pour la renforcer.
Idée reçue #1 - Les appareils mobiles sont plus sécurisés que les ordinateurs fixes et portables.
L’une des idées reçues les plus répandues sur la sécurité mobile est que les appareils mobiles sont par nature plus sécurisés que les terminaux traditionnels, tels que les ordinateurs de bureau et portables. Mais, c’est un mythe dangereux : les appareils mobiles présentent simplement un ensemble de vulnérabilités différentes qui les exposent à une multitude de risques liés à la cybersécurité.
Les utilisateurs téléchargent des dizaines d’applications non vérifiées sur leurs appareils et nul besoin pour celles-ci d’être malveillantes pour présenter des risques. De nombreuses applications mobiles demandent, en effet, des autorisations, comme l’accès à la liste de contact, aux fichiers locaux et à la localisation, ce qui peut se révéler dangereux en cas de piratage. Les systèmes d’exploitation obsolètes peuvent également favoriser les attaques zero-day.
Et ce n’est pas tout, puisque les appareils mobiles sont aussi, d’une certaine manière, plus vulnérables aux attaques de phishing que les terminaux traditionnels. D’autres attaques ciblées, telles que le smishing et le quishing , font également des appareils mobiles des cibles attrayantes pour les cybercriminels et peuvent entraîner des infections de malwares et des piratages de comptes.
Idée reçue #2 - Le stockage de données confidentielles sur des appareils mobiles n’est pas un risque.
On pense souvent à tort que nous n’enregistrons pas de données sensibles sur nos appareils mobiles et que nous n’avons donc pas à nous préoccuper de les protéger comme nous le faisons pour nos ordinateurs de bureau ou portables.
Si la plupart des employés ne sauvegardent effectivement pas de données sensibles directement sur leurs appareils mobiles, ils utilisent tout de même ces derniers pour accéder aux applications cloud qui, elles, conservent une multitude d’informations confidentielles. Ils s’en servent aussi souvent comme second moyen de connexion dans le cadre d’authentifications uniques et de vérifications de comptes. Si l’appareil mobile d’un de vos employés venait à être piraté, un cybercriminel pourrait facilement voler des pièces justificatives, accéder à votre infrastructure et compromettre les données des applications essentielles à votre entreprise. C’est pour ces raisons qu’il est essentiel de pouvoir détecter et prévenir la perte de données, même sur des appareils mobiles.
Idée reçue #3 - Les solutions MDM suffisent à protéger les appareils mobiles.
En matière de contrôle des appareils mobiles, de nombreuses organisations se sont tournées vers des solutions Mobile Device Management (MDM). Ces dernières sont parfaites pour dresser l’inventaire des équipements mobiles de par l’entreprise. Mais, elles sont nettement moins efficaces en ce qui concerne la cybersécurité.
Si ces MDM manquent d’efficacité, c’est principalement parce qu’elles couvrent uniquement les appareils de l’entreprise, tandis que de nombreux employés utilisent désormais leurs propres appareils au travail.
Par ailleurs, les MDM sont peu utiles pour suivre et remédier aux risques de sécurité mobile. Bien qu’elles puissent être utilisées pour localiser et effacer à distance des appareils perdus ainsi que pour distribuer vos applications d’entreprise et en bloquer d’autres, les MDM ne peuvent pas détecter les risques et les menaces auxquels sont confrontés vos appareils et réagir en conséquence. Voilà pourquoi vous avez besoin d’une solution de sécurité mobile qui agisse en complément de votre MDM en ajoutant une protection fiable à vos moyens de gestion.
Idée reçue #4 - Les appareils personnels sont suffisamment sécurisés.
L’omniprésence actuelle des programmes BYOD (« Bring Your Own Device ») tourmente probablement les services chargés de l’informatique et de la sécurité, conscients des risques engendrés par les appareils mobiles personnels non gérés. Après tout, dans le cadre de ce genre de programmes, les employés sont eux-mêmes chargés d’effectuer les mises à jour de leurs logiciels et ils alternent constamment entre un usage personnel et professionnel.
L’une des pires erreurs qu’une organisation puisse commettre est de croire qu’elle ne peut rien faire pour couvrir ces appareils non protégés ou de considérer qu’ils n’ont pas besoin d’être davantage sécurisés. La bonne solution de sécurité mobile vous permettra de protéger tous vos appareils mobiles, gérés ou non, sans compromettre la vie privée de vos employés.
Idée reçue #5 - Les mots de passe à usage unique suffisent à sécuriser les appareils mobiles.
Les appareils mobiles étant utilisés pour accéder aux données de l’entreprise depuis n’importe quel endroit, il est important de savoir qui se cache derrière leur utilisation. Vous croyez peut-être qu’un mot de passe à usage unique suffit à confirmer l’identité de l’utilisateur, mais ce n’est pas le cas. Si un appareil est piraté après que l’authentification a été effectuée, vous n’avez aucun moyen de le savoir. Peu importe les menaces ou les risques que l’appareil représente pour votre organisation, ils peuvent passer totalement inaperçus.
Vous devriez plutôt opter pour une stratégie Zéro Trust fondée sur un accès conditionnel continu. En surveillant en permanence des éléments comme la santé de l’appareil et le comportement de l’utilisateur ainsi qu’en réalisant des vérifications d’identité, vous pourrez mieux appréhender les niveaux de risque de l’ensemble des appareils ayant accès à vos données.
Idée reçue #6 - L’ajout d’un service de renseignement sur les menaces mobiles est facultatif.
Certaines équipes chargées de l’informatique et de la sécurité privilégient les services de renseignements sur les menaces qui se concentrent principalement sur les serveurs ou les ordinateurs de bureau ou portables. Pourtant, les appareils mobiles constituent une cible de choix pour les cybercriminels et il est donc indispensable de les couvrir également.
Un service de renseignement sur les menaces mobiles fournit une image des menaces mobiles auxquelles votre organisation est confrontée, afin que vous puissiez les contrer efficacement, et ne doit pas être considéré comme une simple option. Grâce à un service de renseignement sur les menaces mobiles constamment actualisé, vos équipes informatiques et de sécurité seront en mesure d’identifier les schémas d’attaque, d’analyser les chaînes d’exécution pour modéliser les processus d’intrusion de manière plus générale, et de reconnaître les cybercriminels. Elles pourront ainsi améliorer le niveau de sécurité mobile de votre organisation.
Réduire les risques liés à la sécurité des appareils mobiles
Les appareils mobiles sont désormais tout autant utilisés au travail que les ordinateurs de bureau ou portables et c’est pour cette raison que la simple protection des terminaux traditionnels ne suffit plus. La sécurité des appareils mobiles doit faire partie intégrante de votre stratégie de cybersécurité globale. Pour mieux comprendre le rôle de la sécurité mobile dans votre organisation, consultez notre e-book gratuit The Mobile Security Playbook: Key Questions for Protecting Your Data (disponible en anglais). Vous y découvrirez les raisons pour lesquelles la sécurité mobile est essentielle à la protection de vos données et les moyens dont vous avez besoin pour la renforcer.