Les appareils mobiles représentent aujourd'huiplus de la moitié de l'ensemble du trafic web,et ce chiffre semble appelé à augmenter au cours des prochainesannées. L'App Store d'Apple et le Play Store de Google comptent déjà plus de 5millions d'applications disponibles, mais toutes ne sont pas sûres. Unestratégie intelligente de sécurité des applications mobiles peut atténuercertaines des menaces liées à des logiciels non autorisés, mal configurés oumalveillants.
L'application de politiques strictes enmatière de sécuritédes appareils mobiles est bénéfique pour votre organisation, car ellepermet de minimiser le risque de violation des données. C'est également unebonne chose pour vos employés, en particulier s'ils utilisent des appareilspersonnels, car vous pouvez les aider à protéger leurs informationspersonnelles. Même s'il existe des millions d'applications mobiles sur lemarché, vous pouvez protéger les données sensibles de votre entreprise ensuivant sept étapes simples.
Risques courants liés à lasécurité des applications mobiles
Avant de renforcer la sécurité des applications mobilesde votre entreprise, vous devez connaître les types de menacesauxquelles vous êtes susceptible d'être confronté. Les menaces les plus courantes liées aux applicationsmobiles sont les suivantes :
● Applications non sécurisées : Selon HankSchless de Lookout, "les applications n'ont pas besoin d'êtremalveillantes pour être dangereuses". De nombreux programmes légitimespour smartphones présentent de graves vulnérabilités. Prenons le cas de Pinduoduo : une application de vente en lignequi contenait un code hautement exploitable. Les applications moins ouvertementdangereuses peuvent néanmoins demander plus d'autorisations que nécessaire oucollecter et partager des données personnelles avec des tiers incertains.
● Shadow IT : Le terme "Shadow IT" désigne les employés quiutilisent des applications et des appareils non autorisés à des finsprofessionnelles légitimes. L'utilisation de smartphones personnels poureffectuer des tâches ou le chargement d'applications non autorisées sur unetablette fournie par l'entreprise en sont quelques exemples. Comme les équipesinformatiques et de sécurité n'ont souvent que peu ou pas de visibilité surl'informatique parallèle, celle-ci peut être plus vulnérable aux attaques.
● Logiciels malveillants : Bien que lesapplications malveillantes soient rares, il arrive qu'elles s'introduisent dansles appareils. Elles se font généralement passer pour des programmes légitimes,tels que des applications bancaires ou des lecteurs de PDF. Une foisinstallées, elles volent les identifiants de connexion ou infectent lesappareils avec des logiciels malveillants.
7 étapes pour sécuriser lesapplications mobiles
Vérifier et configurer lesapplications mobiles
Avec des millions d'applications poursmartphones sur le marché - et des dizaines de versions de chacune d'entreelles - il peut être risqué de laisser les employés installer ce qu'ilsveulent. Une alternative possible consiste à fournir des appareils del'entreprise et à limiter les applications installables à une listepréapprouvée. Le service informatique peut contrôler ces logiciels à l'aide dela technologie de gestion des vulnérabilités mobiles (MVM), quiévalue le risque relatif de chaque application, système d'exploitation (OS) etappareil. Plus ces tests sont fréquents, meilleures sont les informationsrecueillies, mais une fois par mois est un bon point de départ.
Appliquer le contrôle d'accès
Le contrôle d'accès est le processus quipermet aux employés légitimes d'accéder à votre système tout en interdisantl'accès aux utilisateurs non autorisés. Si votre organisation stocke desdonnées dans le cloud (et statistiquement parlant, c'est probablement le cas), tant les employésque les acteurs de la menace peuvent être en mesure d'accéder à cesinformations à l'aide d'appareils mobiles.
Le contrôle d'accès peut intégrer de nombreuxaspects différents de la cybersécurité, qu'il s'agisse de mettre en œuvre des principes de confiance zéro sur un serveurdistant ou d'émettre des cartes-clés dans un bureau physique. Toutefois,l'authentification et l'autorisation constituent l'épine dorsale de cettestratégie. Demandez à vos employés de créer des mots de passe forts, de leschanger souvent et d'ajouter l'authentification multifactorielle (AMF) pour unecouche de sécurité supplémentaire.
Contrôler l'informatiqueparallèle
Vos employés vont probablement utiliser leurspropres applications et appareils, même si vous leur demandez de ne pas le faire.C'est particulièrement vrai pour les appareils mobiles, étant donné labanalisation des programmes BYOD (bring-your-own-device). Vous ne devriezpas nécessairement essayer d'éradiquer l'informatique parallèle, mais vousdevriez avoir une certaine visibilité à ce sujet. La bonne solution de sécurité mobile peut vous donnerune meilleure image de votre position globale en matière de risque mobile etplus de visibilité sur les applications non approuvées.
Chiffrer les données sensibles
Qu'il s'agisse d'une petite entreprise ou d'ungrand groupe, chaque organisation a desdonnées sensibles à protéger. Bien que le cryptage des données ne soit passpécifique aux appareils mobiles, il constitue une couche de sécuritéessentielle contre les menaces qui pèsent sur les smartphones et les tablettes.Le cloud computing a rendu les données sensibles théoriquement accessiblesdepuis n'importe quel appareil, n'importe où avec une connexion internet. Lesacteurs de la menace disposent donc aujourd'hui de beaucoup plus de moyensd'attaque qu'à l'époque des serveurs sur site. Les responsables informatiquespeuvent chiffrer automatiquement les données sensibles à l'aide d'outils telsque la gestion des droits numériques de l'entreprise (EDRM).
Sensibiliser les employés
Un employé informé est votre meilleure défensecontre les menaces mobiles. C'est pourquoi vous devez leur enseigner les notionsessentielles de cybersécurité dont ils ont besoin pour se protéger - etprotéger les données de votre entreprise. Prenons l'exemple du phishingmobile. Une application de messagerie peut être parfaitement sûre ensoi. Cependant, un acteur malveillant avisé pourrait utiliser cette applicationpour inciter un employé à donner ses identifiants de connexion ou un code MFA.Une application malveillante déguisée en application réelle pourrait atteindrele même objectif. Si vos employés savent repérer les signes d'ingénierie sociale, ils seront plusenclins à utiliser des applications légitimes en toute sécurité et à éviter lesapplications trompeuses.
Mise en place d'un système EDRmobile
La sécurité des applications mobiles estun processus continu, vous aurez donc besoin d'outils qui évoluent en mêmetemps que les menaces. Une solution de détection et de réponse des terminaux mobiles (EDR)peut fournir une protection en temps réel pour les appareils mobiles de votreentreprise. Grâce à des ensembles de données complets et à des algorithmessophistiqués, les EDR mobiles peuvent identifier les sites et les applicationsmalveillants, alerter les employés en cas de tentatives d'hameçonnage et mêmeprotéger les données contre des acteurs connus de la menace. Les logiciels EDRmobiles peuvent même accorder un accès conditionnel en fonction des facteurs derisque potentiels d'un utilisateur donné.
Respecter les réglementationssectorielles
Selon votre secteur d'activité, vous devrezpeut-être intégrer des normes de conformité dans votre stratégie de sécurité desappareils mobiles. Par exemple, la loi HIPAA (Health InsurancePortability and Accountability Act) aux États-Unis et le règlement général surla protection des données (RGPD) dans l'Union européenne dictent tous deux lamanière dont les organisations privées peuvent accéder aux donnéespersonnelles, les stocker et les partager. Chaque secteur a des pratiques deconformité différentes, mais une stratégie de sécurité mobile centrée sur les donnéespeut aider à garder les informations protégées entre les mains des utilisateursautorisés.
Protégez vos données avec l'EDRmobile
Pour améliorer la sécurité des applicationsmobiles au sein de votre organisation, l'EDR mobile peut être un outilinestimable. Pour les responsables informatiques, l'EDR mobile peut aider àidentifier les applications obsolètes ou malveillantes. En même temps, lesemployés bénéficient d'une protection en temps réel contre l'hameçonnage etl'ingénierie sociale. Lisez le livre électronique de Lookout The Mobile EDR Playbook : Key Questions for ProtectingYour Data pour découvrir comment cette technologie peut constituerun élément essentiel de votre stratégie de cybersécurité.