Les 7 enjeux de la sécurité pour les terminaux mobiles

Les responsables sécurité ont intérêt à maîtriser la gestion des terminaux mobiles, ou tous ceux ramenés par les salariés, et s’assurer du niveau de confiance qu’on peut leur accorder suivant l’utilisation.

Récemment encore la gestion des terminaux mobiles, dans le cadre de l’entreprise, était principalement sous la responsabilité des équipes en charge du poste de travail, auxquelles on demandait d’étendre leur champ d’action à la mobilité. Le besoin était, avant tout, de contrôler la flotte d’appareils mobiles et, à travers une politique de «Mobile Device Management(1)» de pouvoir éventuellement contrôler certains paramètres (ex. code de verrouillage). Ces terminaux étaient essentiellement distribués pour donner un accès à la messagerie électronique. 

Depuis, le phénomène de la mobilité en entreprise s’est étendu, poussé par le BYOD (Bring Your Own Device), et avec lui de nouveaux usages sont apparus : diffusion d’applications d’entreprise accédant au Système d’Information, navigation web vers l’intranet, accès aux bases de contenu documentaire. Les responsables sécurité ont donc intérêt à maîtriser la gestion de ces terminaux et s’assurer du niveau de confiance qu’on peut leur accorder suivant l’utilisation.

 Les enjeux de sécurité autour des appareils mobiles sont de deux natures : d’une part, l’entreprise doit s’assurer que ses actifs sont protégés contre toute forme d’espionnage, de risque économique ou d’atteinte à la réputation. D’autre part, elle doit veiller à ce que l’utilisation des terminaux mobiles soit en conformité avec les réglementations en vigueur (CNIL, loi travail, EU model clause (1) et bientôt GDPR, …). Pour les pirates, quelle meilleure cible qu’un appareil mobile ! Il contient à la fois les données personnelles et professionnelles, il est partout où l’utilisateur se trouve, il est utilisé en toutes circonstances au travers de multiples réseaux, et le niveau de sécurité est plus ou moins élevé selon les OS et les constructeurs.

 On distingue deux grands vecteurs d’attaques ciblant les terminaux mobiles : celles de type réseau (redirection de trafic type Man In the Middle (2) ou via hameçonnage ; les fausses bornes WIFI ou 4G, attaque via Bluetooth ; les failles du réseau lui-même). Mais également celles ciblant les appareils (vol, lecture via les périphériques, malwares, vulnérabilités des OS).

Devant ces menaces, l’entreprise doit mettre en œuvre plusieurs stratégies :

1/ Sécuriser les terminaux : 

Un outil de «Mobile Device Management» permettra de sécuriser l’accès à l’appareil, paramétrer certaines options de sécurité, vérifier la conformité pour empêcher l’accès aux ressources de l’organisation comme la messagerie par les terminaux non conformes. En complément, un outil de « Mobile Threat Management (3)» permettra de détecter les appareils piratés ou infestés par un malware, ou encore de détecter l’utilisation de réseaux frauduleux.

2/ Sécuriser le contenu :

Faire confiance au seul terminal apparaît souvent utopique au vu de la diversité des OS et des appareils mobiles. Un utilisateur apportant son propre terminal se pliera difficilement aux mêmes contraintes que si celui-ci est fourni par l’entreprise. Dans ce cadre, l’utilisation d’un conteneur permettant de séparer l’espace professionnel de l’espace personnel est indispensable. Les applications faisant partie du conteneur répondent à des contraintes (politiques) qui ne dépendent plus de l’appareil. Il est ainsi possible de forcer le chiffrement de l’espace de stockage de chaque app, d’imposer un code de déverrouillage pour accéder au conteneur, d’empêcher la fuite de données (exports de fichiers, copier-coller, copies écran) et backup dans des environnements Cloud, de contrôler la navigation web, d’accéder au réseau d’entreprise par un VPN applicatif dédié au conteneur.

3/ Sécuriser les apps : 

Trop peu d’organisations intègrent, pour le développement d’apps mobiles, la sécurité dès la conception alors que les vulnérabilités recensées dans ces phases sont beaucoup plus faciles et moins coûteuses à réparer qu’une fois mises en production. Différentes bonnes pratiques et outils de scan permettent de sécuriser des apps « by design ». Enfin, la diffusion au travers d’un catalogue d’entreprise doit être maitrisée pour la gestion du cycle de vie des apps. 

4/ Sécuriser le réseau : 

Il convient d’adopter une posture adaptée au contexte d’utilisation pour gérer les accès au réseau de l’organisation et le niveau d’authentification demandé aux utilisateurs. Pour éviter le « blind spot mobile(4)», l’utilisation d’un VPN « always ON » peut s’avérer nécessaire.

5/ Intégrer le mobile dans une chaîne de sécurité globale :

Les événements de sécurité spécifiques aux mobiles doivent être traités au même titre que les événements qui ont lieu sur les équipements traditionnels. Il est indispensable, lors de l’analyse des comportements utilisateurs, de prendre en compte l’activité du canal mobile.

6/ Utiliser des solutions en mode SaaS : 

Ce point peut surprendre, mais la vitesse à laquelle les OS évoluent combinée à l’accélération de nouveaux usages rendent pertinentes les solutions d’« Enterprise Mobility Management(1) » proposées en mode SaaS, qui permettent de bénéficier au fil de l’eau des correctifs et de l’amélioration des fonctionnalités.

7/ Sensibiliser les utilisateurs : 

Les trois facteurs clés de succès d’une politique de mobilité et de sécurité en entreprise sont la communication, la motivation (quels bénéfices) et la facilité d’usage (une politique trop contraignante sera forcément contournée par les utilisateurs). Il est capital qu’ils comprennent les contraintes auxquelles l’organisation doit faire face, qu’ils soient sensibilisés aux comportements à risque et à la nécessité de protéger leur vie privée, qu’ils sachent comment choisir leurs moyens d’authentification et comment réagir en cas de doute.

En conclusion, les enjeux de la sécurité autour des terminaux mobiles sont multiples et nécessitent d’être répercutés à tous les niveaux de l’entreprise, mais ils sont à la taille des bénéfices : productivité accrue, fluidité des processus, satisfaction des employés et des clients, réputation non entachée.


(1) EU model clause: Réglementation européenne  actuellement en vigueur depuis l’invalidation de Safe Harbor

(2) Man In the Middle: est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis

(3) Mobile Threat Management : solutions permettant de détecter des mobiles piratés, des malwares installés, ou l'utilisation d'un réseau à risque

(4) Blind spot mobile: Terme utilisé pour indiquer que la navigation internet des utilisateurs se fait en dehors du réseau de l’entreprise et échappe donc aux règles de surveillance et d’usage mises en œuvre.