Le dernier rapport Data Breach 2015 de Verizon, rendu public le mois dernier, conclut que les menaces de sécurité liées aux terminaux mobiles sont généralement « exagérées ».
Autre conclusion forte de ce rapport : le nombre de vulnérabilités qui ont été utilisées pour des exploits en 2014 – indépendamment de la plateforme – est “marginal”. Quelque soit le terminal utilisé, la menace de sécurité planant au-dessus de la tête des utilisateurs ne serait donc pas si forte, tant que ceux-ci utilisent leur bons sens et qu’ils respectent un certain nombre de bonnes pratiques.
Les affirmations de ce rapport ont fait couler beaucoup d’encre et remettent en question quelques idées reçues. Avec en première ligne, les médias ou encore les fournisseurs de solutions de sécurité qui aiment souligner les risques de sécurité importants liés aux terminaux mobiles que nous utilisons tous au quotidien.
En effet, nombreux sont ceux qui alertent sur les malwares mobiles et le risque important d’infection des téléphones portables par exemple. Mais dans la réalité, à part quelques cas de “hacks” de haute volée – qui étaient finalement plus des attaques d’ingénierie sociale que de vraies hacks – aucune attaque à fort impact n’a réellement été observée jusqu’alors dans le monde de la cybersécurité et du mobile.
Dans son rapport, Verizon précise : « nous avons trouvé des centaines de milliers d’infections de logiciels malveillants (sur Android), dont une majeure partie étant plutôt classée dans la catégorie des malwares « gênants ». Mais les analyses plus approfondies ont révélé qu’en moyenne, 0,03% des Smartphones – sur plusieurs dizaines de millions de devices mobiles sur le réseau Verizon – ont été infectés par des codes malveillants de plus haut calibre, par semaine ». Ce qui peut paraitre insignifiant.
Evidemment si votre téléphone ou celui du Directeur-Général de votre entreprise se trouve dans ces 0,03%, dans ce cas, il y a de quoi s’inquiéter.
Certains points de l’analyse méritent d’être soulignés car ils sont particulièrement vrais aujourd’hui et permettent de tirer quelques enseignements importants sur les enjeux de la sécurité du mobile.
Les cyberattaques sont certes de plus en plus sophistiquées, mais la plus part des compromissions ont été générées par des techniques très simples et déjà très connues, comme du phishing, de l’ingénierie sociales ou des techniques de hacks simples visant à pénétrer le réseau.
En complément de cette analyse de Verizon, le dernier rapport Cisco a démontré que les entreprises n’utilisaient clairement pas tous les moyens dont elles disposaient pour protéger leur réseau. L’exemple du patching est révélateur, les entreprises n’utilisent pas de manière optimale le patching pour leurs serveurs et leurs sites alors que cet outil est un basique des outils de sécurité pour l’entreprise. Un chiffre fort illustre ce fait : alors que la vulnérabilité Heartbleed a été révélée et surtout largement rendue publique, 56% des entreprises que nous avons observées en 2014, utilisaient encore des applications datant de plus de 56 mois et qui étaient donc encore vulnérables à Heartbleed !
En résumé, bien que les nouvelles menaces sont désormais plus rapidement portées à notre attention, notamment grâce aux médias, la majorité des cyberattaques actuelles utilisées dans le monde entier, usent de techniques testées et connues exploitant des risques et vulnérabilités très connues.
Certains cybercriminels utilisent sans aucun doute des techniques ciblant les terminaux mobiles, mais leurs efforts sont éclipsés par le nombre incroyablement plus élevé d’attaques plus « grand public » ciblant les applications et réseaux non mobiles existants.
A côté de ce très haut volume d’attaque « mainstream », le volet plus sombre et inquiétant vient de cybercriminels très bien financés et de gouvernements étrangers qui investissent des millions dans la recherche de vulnérabilités. Et cela en vue d’identifier des vulnérabilités inconnues (Zero Day) et construire et utiliser des exploits très sophistiqués qui sont testés contre les technologies de sécurité avant d’être lancées sur des cibles très bien définies. La finalité de ces attaques étant de voler la propriété intellectuelle d’une entreprise afin de la revendre ou de gagner en compétitivité à moindre coût.
Mais tout cela ne signifie pas que nous pouvons être suffisants avec la sécurité de nos terminaux mobiles. Nous savons que les cybercriminels suivent l’argent et que lorsqu’une porte est fermée, ils cherchent d’autres opportunités à exploiter. Cela peut évidemment valoir pour le mobile. Les entreprises continuent à embrasser la mobilité et de plus en plus à profiter des avantages offerts par l’Internet of Everything, ce qui laisse à penser que les cybercriminels vont forcément porter leur attention plus sérieusement sur ces plateformes à l’avenir.
Il est donc temps de suivre de bonnes pratiques et d’implémenter des politiques de sécurité liées au Bring Your Own Device (BYOD) par exemple, qui définissent précisément les usages des terminaux personnels des employés au sein de l’entreprise et permettent d’embarquer la sécurité au coeur des politiques et des réseaux.
Et pour maintenir le contrôle du réseau, nous pouvons rappeler quelques orientations et solutions très efficaces :
- Premièrement, identifier les technologies qui fournissent une visibilité sur l’ensemble du réseau – sur les terminaux, les systèmes d’exploitation, les applications et les utilisateurs, les comportements du réseau, les fichiers ainsi que les menaces et vulnérabilités. Grâce à cette base solide d’informations, ces outils peuvent surveiller l’utilisation des terminaux mobiles et des applications et identifier les potentielles violations de politiques de sécurité.
- Ensuite, les entreprises devraient tirer parti des technologies qui aident à retirer de l’intelligence des données en matière de sécurité, afin qu’elles puissent mieux identifier les risques. A partir de là, il est possible d’évaluer les applications mobiles afin de déterminer si elles sont des malwares et également d’identifier les vulnérabilités et les attaques ciblant les actifs des mobiles.
- Troisièmement, identifier les technologies « agiles » qui permettent à l’entreprise de s’adapter rapidement et d’agir pour protéger les systèmes dans un contexte d’évolutions rapides des environnements mobiles. Les entreprises doivent créer et imposer des politiques qui régulent et définissent les données qui peuvent être transmises aux utilisateurs BYOD.
- Pour les terminaux personnels des employés, il serait intéressant de fermer le réseau ou les ordinateurs de l’entreprise (PC portables ou fixes, serveurs) avec des fonctionnalités tels que le contrôle des applications. Les entreprises peuvent également mettre en place des outils permettant d’examiner les applications approuvées qui peuvent être utilisées par les employés en accès distant via une tablette personnelle par exemple, lorsque l’employé revient de vacances. Même si l’entreprise ne peut pas empêcher un employé d’installer une application sur son terminal personnel, elle peut toutefois empêcher cette application de fonctionner sur un ordinateur de l’entreprise.
Finalement, nous pouvons résumer les enjeux futurs de la sécurité dans l’univers du mobile ainsi : d’un côté, les professionnels de la cybersécurité doivent focaliser leur attention sur les menaces existantes dans leurs environnements et ne pas se laisser éblouir par chaque nouveau cas de piratage médiatisé, mais dans le même temps, ils se doivent d’être en veille permanente pour être prêts à réagir lorsque des nouvelles menaces jusque-là théoriques finissent par devenir réalité.
Par Christophe Jolly – Directeur Sécurité Cisco France