RSSI : voici votre mission, si vous l’acceptez !

Aujourd'hui, les appareils mobiles des entreprises sont principalement la cible de 5 menaces. Voici les meilleures pratiques de sécurité pour réduire les risques.

Les entreprises étant de plus en plus mobiles, les cybercriminels doivent s'adapter. Ils savent que lorsqu'un changement de technologie s'opère, la sécurité est souvent en retard et des cibles vulnérables existent. Le nombre d'appareils mobiles personnels se connectant à un réseau d’entreprise au cours des deux dernières années a connu une évolution considérable. Il n'est donc pas surprenant que les logiciels malveillants et autres menaces mobiles se multiplient au même rythme.

Les systèmes mobiles, les réseaux auxquels ils se connectent, et les applications qu'ils utilisent, peuvent être exploités pour dérober des données confidentielles ­telles que des documents, des rendez-vous, des e-mails, des SMS et des pièces jointes. Les cybercriminels peuvent utiliser le microphone et la caméra des appareils pour espionner les réunions et envoyer des enregistrements à des serveurs distants. Les noms d'utilisateur et mots de passe peuvent être capturés lorsque les utilisateurs se connectent aux systèmes d'entreprise. Les réseaux non protégés permettent aux criminels d'espionner, dérober ou modifier les données échangées avec les appareils. Des applications malveillantes peuvent fournir aux agresseurs un accès pratiquement illimité à un appareil, ses données et votre réseau.

La détection précise des menaces et leur traitement efficace sont des éléments essentiels de la prévention des attaques avancées sur les appareils mobiles. Même si les solutions antivirus et les solutions de réputation des applications sont en mesure d'identifier les menaces connues, elles ne peuvent détecter les logiciels malveillants nouvellement créés ni découvrir des vulnérabilités dans les réseaux, les systèmes d'exploitation et les applications. Dans l'ensemble, il existe cinq grandes catégories d'attaques et vulnérabilités auxquelles les RSSI d'aujourd'hui doivent être préparés.

1. Vulnérabilités système

Chaque version d'un système d'exploitation mobile contient des vulnérabilités que les criminels peuvent exploiter pour lancer des attaques. La publication de nouvelles versions souffre généralement de retards, et les tests des mises à jour de sécurité critiques sont en conséquence retardés de plusieurs semaines, voire plusieurs mois. Les RSSI ont donc besoin d'une solution capable d'analyser en permanence les appareils pour découvrir les vulnérabilités et les comportements que les cybercriminels utilisent pour attaquer les appareils. Lorsqu'une menace est identifiée, il faut avant tout réduire au maximum tous les risques jusqu’à ce qu’elle soit définitivement éliminée.

Les meilleures pratiques de sécurité contre ces vulnérabilités sont :

  • L'analyse en continu des appareils pour découvrir les vulnérabilités du système et les comportements inhabituels,
  • La limitation automatique des risques jusqu'à ce que les menaces soient éliminées.
  • 2. Rootage et canaux de configuration

    Le rootage d'un smartphone ou d'une tablette, procédé permettant de modifier le système d'exploitation d’un appareil afin d’en obtenir son contrôle total, n'est plus seulement réservé aux bidouilleurs informatiques. Le rootage permet un large éventail de personnalisations et de configurations, et fournit un meilleur accès aux cybercriminels, ce qui fait courir un risque aux appareils et aux données. Les changements de configuration, que les utilisateurs peuvent accepter lors de l'installation d'applications légitimes, peuvent également être utilisés pour lancer des attaques.

    Les systèmes traditionnels de MDM (gestion des appareils mobiles) et d'EMM (gestion de la mobilité d'entreprise) proposent des indicateurs statiques de rootage, qui détectent les fichiers système permettant l'accès root (accès à des fonctionnalités qui était auparavant désactivées ou limitées par le constructeur mobile ou l’opérateur mobile). Cependant, les criminels peuvent échapper à toute détection en téléchargeant des outils gratuits ou en bloquant les requêtes de vérification du rootage. Les entreprises doivent donc s'écarter des indicateurs statiques pour privilégier des techniques avancées de détection de la méthode de rootage et de la raison pour laquelle l'accès root a été accordé. Elles doivent être en mesure d'effectuer des ajustements de politique en temps réel, en fonction des risques sur les appareils compromis, superviser tous les changements de configuration et analyser les comportements pour détecter tout comportement système inattendu.

    Les meilleures pratiques de sécurité contre le rootage sont :

  • L'utilisation de méthodes de détection statique et dynamique pour analyser la méthode de rootage et la raison pour laquelle l'accès root a été accordé,
  • La supervision de tous les changements de configuration,
  • L'utilisation de l'analyse comportementale pour détecter les comportements système inattendus,
  • L'intégration de la détection avancée avec des systèmes d'EMM ou de MDM pour ajuster la politique en temps réel sur les appareils compromis.
  • 3. Fausses applications et applications reconverties

    Des applications malveillantes peuvent prendre le contrôle complet des appareils mobiles. Il est très facile pour les criminels de défaire des applications populaires, ou de créer des copies en apparence authentiques d'applications existantes. Ces applications peuvent être utilisées pour accéder aux appareils à distance ou télécharger des applications malveillantes. Certaines applications légitimes peuvent également présenter des comportements à risque, entraînant un casse-tête pour les équipes de sécurité et une mauvaise expérience pour les utilisateurs.

    Les solutions antivirus mobiles recherchent du code malveillant dans les applications à l'aide de signatures binaires uniques, mais les criminels peuvent masquer leur code et aucune signature n'existe pour les logiciels malveillants « zero-day ». Les entreprises doivent donc recourir à des méthodes de détection supplémentaires, telles que la supervision des processus d'installation, pour déterminer leur origine et les exécuter dans un bac à sable afin d'analyser leur comportement. Une solution dans le cloud peut notamment agréger des renseignements sur le développeur de chaque application, afin de constituer une liste de confiance.

    Les meilleures pratiques de sécurité contre les applications malveillantes sont :

  • L'inspection des applications à l'aide de signatures binaires uniques pour rechercher les logiciels malveillants connus,
  • L'identification de l'origine des applications et la surveillance de leurs processus d'installation,
  • L'exécution des applications téléchargées dans un environnement de bac à sable pour analyser leurs comportements,
  • La constitution d'une liste blanche d'applications et de développeurs de confiance.
  • 4. Chevaux de Troie et logiciels malveillants

    Les chevaux de Troie infectent des appareils à des fins d'écoute électronique et d'enregistrement des conversations, d'extraction des journaux d'appels, de localisation géographique, de journalisation des frappes au clavier ou de collecte des mots de passe. Le code des applications étant volumineux et complexe, il est difficile d'identifier les activités malveillantes des chevaux de Troie. Une solution capable de s’emparer de l’application et de la détruire automatiquement est nécessaire pour créer un modèle d'analyse sémantique identifiant les comportements suspects.

    Les meilleures pratiques de détection des logiciels malveillants sont :

  • L’appropriation et le démantèlement des applications pour analyse du code afin d'exposer les comportements suspects,
  • L'automatisation des traitements et des notifications aux utilisateurs précisant les étapes nécessaires pour supprimer les logiciels malveillants,
  • Le déclenchement dynamique des changements de la politique appliquée aux appareils dans votre solution d'EMM ou de MDM,
  • Le blocage du trafic vers les serveurs malveillants pour maîtriser toute attaque.
  • 5. Attaques de type « man-in-the-middle »

    Les attaques de type « man-in-the-middle » permettent d'espionner, d'intercepter et de modifier le trafic entre deux appareils. Vous pensez interagir avec une entité de confiance, mais une attaque copie les identifiants, espionne les messages instantanés ou dérobe des informations confidentielles. Les avertissements sont souvent négligés sur les petits écrans des appareils mobiles, et les criminels peuvent facilement créer de faux points d'accès Wifi pour lancer des attaques.

    Les entreprises ont besoin de l'analyse comportementale pour détecter les faux points d'accès, ainsi que les conditions et les comportements réseau malveillants, et désactiver automatiquement les réseaux suspects pour protéger les appareils et les données. Elles doivent valider l'intégrité des connexions sécurisées pour identifier les connexions compromises, et utiliser un « honeypot » pour attirer et identifier les agresseurs qui tentent de pénétrer dans les réseaux. Un VPN sécurisé peut également être déclenché dynamiquement sur les appareils afin de minimiser l'impact des attaques.

    Les meilleures pratiques contre ces attaques sont :

  • L'analyse comportementale pour identifier les réseaux et les points d'accès malveillant,
  • La désactivation automatique des réseaux suspects pour maintenir la sécurité des appareils et données,
  • La validation de l'intégrité des connexions sécurisées pour détecter les brèches,
  • L'utilisation d'un « honeypot » pour attirer et identifier les agresseurs,
  • Le déclenchement dynamique d'un VPN sécurisé pour protéger l'intégrité des données et la confidentialité.
  • Une protection mobile complète exige des solutions fonctionnant ensemble de manière cohérente, afin d'identifier différents types de menaces et protéger les données tout en répondant aux préoccupations de confidentialité des employés, plutôt qu'un mélange mal intégré de produits individuels. Seules les solutions capables d'analyser les comportements sur l'ensemble des vecteurs, à la recherche d'indicateurs d'attaque, peuvent efficacement assurer la sécurité des appareils mobiles.

    RSSI