BYOD et CYOD obligent, les terminaux mobiles que les employés aiment utiliser à titre personnel sont désormais également devenus des outils professionnels qui accèdent aux réseaux et aux informations des entreprises. Bien sûr, les smartphones et tablettes ouvrent de nouvelles opportunités en matière de productivité portable. Mais de par leur nature mobile, ils entraînent également l’apparition de nouvelles vulnérabilités et notamment de nouveaux risques de perdre des données, à la fois pour l’utilisateur et pour l’entreprise. Heureusement, productivité et protection ne sont pas inconciliables mais il est nécessaire de prendre conscience des risques pour mieux les réduire. Passage en revue des six principaux risques et surtout de comment les éviter.

  1. La perte ou le vol de terminal

Le risque le plus évident est souvent traité avec la réponse la plus évidente : prévoir le remplacement des appareils perdus. Réponse triviale et partielle : en raison du BYOD, de nombreux appareils utilisés à des fins professionnelles appartiennent aux employés eux-mêmes. Et pour être plus pertinent et précis, ce qui compte, ce sont les informations contenues dans le terminal, et non le terminal en lui-même. Enfin, chaque appareil perdu est susceptible de devenir un portail permettant d’accéder aux applications et données de l’entreprise.

Vous pensez que nous exagérons ? En 2012, nous avons mis nos hypothèses à l’épreuve des faits. Dans le cadre d’un projet que nous avons appelé « Operation Honey Stick » (Opération bâton de miel), nous avons « perdu » dix smartphones dans chacune des cinq plus grandes villes américaines.

Chaque téléphone contenait de fausses données et applications d’entreprise, et était abandonné dans une zone très fréquentée. Il convient de porter au crédit de l’espèce humaine que des tentatives de restitution ont été faites pour la moitié des 50 téléphones. Mais quant aux autres chiffres, ils sont particulièrement révélateurs : révélateurs d’une image bien plus sombre de la nature humaine. Sur 89 % des appareils, des tentatives ont été faites pour accéder aux applications ou données personnelles, ce qui suggère que même ceux qui avaient initialement de bonnes intentions ont eu du mal à résister à la tentation. Les tentatives d’accès aux applications ou données professionnelles concernaient pour leur part 83 % des appareils. Un fichier « sauvegarde des mots de passe » a été ouvert sur 57 % des téléphones et une application « administration à distance » simulant l’accès au réseau de l’entreprise utilisée sur 49 % d’entre eux.

Moralité : plutôt que de se concentrer sur les appareils perdus, les entreprises doivent protéger les données sensibles susceptibles d’être perdues. La gestion de base des appareils doit être complétée par des politiques assurant la protection des applications et des données. A un premier niveau, cela signifie d’avoir la possibilité de localiser rapidement les appareils perdus et de procéder à des suppressions de données à distance. Pour bénéficier d’une protection plus approfondie, les entreprises doivent sécuriser les applications et chiffrer les données professionnelles utilisées sur des appareils mobiles.

  1. La fuite de données

On a beaucoup parlé, parfois à tort et à travers, des menaces liées à des « employés malveillants » qui recherchent délibérément des informations professionnelles confidentielles afin de les partager. Mais la plus grande menace émane peut-être bien des employés bienveillants et bien intentionnés qui utilisent des services basés sur le cloud tels que la messagerie électronique et les outils de collaboration en ligne tout simplement pour être plus productifs.

Mais une fois dans le cloud, les données de l’entreprise peuvent très bien échapper à tout contrôle. Les programmes de partage de fichiers et de modification de documents les plus répandus sont généralement dépourvus des protocoles d’accès et d’autorisation dont les entreprises ont besoin pour protéger leurs données. Sans la mise en œuvre de contrôles définis, les données peuvent « quitter » la sphère de l’entreprise et se retrouver dans un environnement bien moins sécurisé où elles sont exposées à des risques.

Une protection des applications et des données appropriée doit être la concrétisation d’une approche à deux niveaux de la sécurité : d’une part, la mise en place d’une liste noire d’applications interdites d’accès ou d’utilisation, d’autre part, le déploiement de contrôles interdisant le partage de données professionnelles via des applications en ligne. De l’authentification propre à l’application au chiffrement des données en passant par la désactivation du partage des documents, entre autres, différentes fonctionnalités de protection existent qu’il faut mettre en place et/ou activer.

  1. Les attaques de logiciels malveillants

Les chiffres indiquent toujours sans équivoque que les attaques de logiciels malveillants affectant les ordinateurs sont bien plus nombreuses que celles touchant les appareils mobiles. Mais le taux de croissance des attaques ciblant les appareils mobiles est beaucoup plus élevé. Tandis que les professionnels de l’informatique traditionnelle n’accordent pas beaucoup d’attention aux logiciels malveillants qui s’en prennent aux appareils mobiles, les cybercriminels voient dans ce domaine leur prochaine grande opportunité de croissance.

Cela concerne aussi bien le vol d’identités, l’exposition d’informations et la perte de données provoqués par des attaques de logiciels malveillants tels que chevaux de Troie, des moniteurs et d’autres « auto-stoppeurs » malveillants. En la matière, les applications falsifiées constituent peut-être la menace la plus importante : camouflées derrière le nom d’un jeu ou d’une application populaire et rendues attirantes par la proposition d’un téléchargement gratuit, elles introduisent dans l’appareil du code malveillant pouvant envoyer des SMS vers des numéros surtaxés, récupérer les données de l’appareil ou bien même pénétrer les réseaux de l’entreprise.

Pour être véritablement efficace, une solution de protection contre les menaces doit tenir compte des variations du profil de risque entre les différentes plateformes et agir de manière coordonnée pour protéger les ressources de l’entreprise contre les attaques externes, les applications indésirables, la navigation non sécurisée et même l’utilisation incorrecte des batteries.

  1. Les appareils et mots de passe partagés

Le partage d’appareils mobiles est désormais un fait établi entre amis, voisins ou au sein d’une même famille. Ces partages, même occasionnels, sont une des premières failles de sécurité provoquées par le personnel.

Il serait vain de lutter contre cette habitude apparemment anodine et en tout cas conviviale. Néanmoins, il convient d’authentifier les utilisateurs qui accèdent aux données et applications de l’entreprise. Là encore, comme bien souvent, les technologies existent, telles l’authentification à deux facteurs (la clé de la réussite en matière de gestion des accès des utilisateurs et des applications tout comme en matière de protection des applications et des données) combinant quelque chose que l’utilisateur connaît (comme un mot de passe) avec quelque chose dont il dispose (comme un jeton, une empreinte digitale ou une empreinte rétinienne).

  1. Désimlockage et « jailbreak »

Dans un monde où le BYOD est commun, un employé peut facilement introduire un appareil modifié (desimlocké ou jailbreaké) dans l’environnement de l’entreprise. De telles modifications peuvent permettre de contourner les protocoles de sécurité, de désinstaller des fonctions de sécurité et d’ouvrir l’accès à des systèmes de fichiers et contrôles de données précédemment protégés.

Les entreprises doivent mettre en œuvre des politiques de gestion des appareils appliquant des normes cohérentes pour la configuration et la sécurité de tous les appareils, que ceux-ci appartiennent à la société ou aux employés. Les appareils modifiés doivent être identifiés et tout accès doit leur être refusé pour protéger le réseau de l’entreprise. Plus que de la technologie, il s’agit de définir et d’appliquer strictement des règles de sécurité.

  1. Espionnage des connexions Wi-Fi et autres connexions sans fil

La gratuité est souvent synonyme de moindre sécurité : lorsqu’un point d’accès est ostensiblement signalé comme étant gratuit, il existe un risque de visibilité, de monitoring voire de contrôle des données qu’il transmet. Bien souvent, les utilisateurs n’ont pas conscience de leur vulnérabilité et les entreprises n’ont ni contrôle ni visibilité sur les réseaux 3G, 4G et 4G LTE.

Pour être complètes, les politiques de gestion des applications, des données et des appareils doivent protéger deux niveaux :
– Les communications, comme le courrier électronique de l’entreprise, via des connexions sécurisées SSL ou VPN ;
– Le chiffrement des données de l’entreprise, aussi bien lorsqu’elles sont en transit que lorsqu’elles sont stockées sur des appareils mobiles.

Nous venons de le voir : il est simple et tristement banal de perdre des données mobiles. Néanmoins, les parades humaines, technologiques et procédurales existent. Elles ne sont pas si difficiles à définir et à faire accepter, et permettent une gestion des risques optimales et in fine, une meilleure protection des données des entreprises.

 

________
Laurent Heslault est Directeur des Stratégies de Sécurité de Symantec