Dix choses à savoir sur la sécurité mobile 

La sécurité mobile est une nécessité, mais que doivent savoir les RSSI pour protéger les terminaux et les applications ?

La transformation digitale basée sur la mobilité (BYOD, applications mobiles) expose les entreprises à de nouvelles menaces, notamment le phishing mobile, les malwares et les exploits tels que Pegasus.

La sécurité mobile (aussi appelée MTD Mobile Threat Defense) est une nécessité, mais que doivent savoir les RSSI pour protéger les terminaux et les applications ? Pourquoi faut-il donner la priorité à la sécurité mobile aujourd’hui et quels sont les obstacles à surmonter dans sa mise en œuvre ?

1. Les attaques mobiles sont "très réelles" et ont un véritable impact sur l’activité d’une entreprise

Même si les attaques mobiles font l'objet d'une actualité quotidienne (Pegasus, PhoneSpy, GriftHorse…), il est essentiel que les entreprises prennent conscience de la portée et de l'ampleur de ce type de menaces. Elles ne sont pas uniquement un sujet de discussion entre responsables de la sécurité et un discours alarmiste dans les médias car ces attaques sont croissantes et peuvent avoir un impact considérable sur l’activité et le fonctionnement d’une entreprise. Les plus vulnérables à ce type d’attaques sont souvent les dirigeants qui ont un accès privilégié aux données de l'entreprise ainsi que les assistants de direction.

2. Les terminaux mobiles constituent une "énorme faille de sécurité"

Dans de nombreuses entreprises, les terminaux mobiles sont très mal protégés comparés aux terminaux traditionnels. La majorité des experts sont unanimes : pour favoriser la sécurité mobile et la financer, il faut pouvoir démontrer que les contrôles de sécurité effectués sur les endpoints traditionnels sont inexistants sur les dispositifs mobiles.

En effet, un grand nombre des protections ne sont pas présentes sur les mobiles des employés et ce manque doit être comblé. Par ailleurs, la plupart du temps, les terminaux mobiles se trouvent en dehors du pare-feu de l'entreprise, sur un autre réseau où ils peuvent être utilisés à n’importe quel moment. L'intégrité des appareils est primordiale pour les RSSI et il est extrêmement important de déterminer les lacunes des appareils mobiles en matière de sécurité. Les appareils rootés ou jailbreakés, par exemple, sont à bannir ou doivent être traités.

3. Chaque nouvelle application mobile "crée une nouvelle surface d'attaque"

Plus que jamais, les applications mobiles sont essentielles pour les entreprises et les nouveaux risques qu’elles représentent doivent être absolument pris en compte. Les applications mobiles mal configurées présentent des vulnérabilités dans le développement. Le code et les clés non protégés offrent aux attaquants un accès direct aux données et les appareils mobiles des utilisateurs compromis offrent une exposition supplémentaire. Chaque nouvelle application mobile, créé une nouvelle surface d'attaque. Il est essentiel de se concentrer sur l’application en question, de s’assurer qu'elle fonctionne en toute sécurité et qu’elle peut s’arrêter d’elle-même si l’environnement s’avère hostile.

4. Les organisations "ne comprennent pas le mobile"

La plupart des professionnels de la sécurité et de l'informatique n'ont pas d'expérience en matière de mobile et ne comprennent pas vraiment comment fonctionnent ces appareils et les outils de sécurité. Pour inciter les entreprises à mettre en œuvre une sécurité mobile efficace, les équipes doivent éduquer et impliquer les parties prenantes concernées en amont. Aujourd’hui, les téléphones mobiles sont omniprésents. L’attachement à un mobile est bien plus important qu’à un ordinateur portable. Les gens sont souvent très protecteurs avec leur mobile, même s’il est fourni par l'entreprise. Au sein de l’entreprise, l’idéal est de traiter l'ensemble du projet de sécurité mobile comme un changement organisationnel.

5. Les terminaux mobiles doivent être traités "comme des environnements hostiles"

Quel que soit leur propriétaire (entreprise ou particulier/BYOD), les appareils mobiles doivent être traités comme des environnements hostiles car ils passent la majorité du temps en dehors des réseaux protégés et sont entre les mains d'utilisateurs qui ne sont pas des experts en sécurité.

6. Plus de confiance zéro et moins de gestion des appareils

Aujourd’hui les experts sécurité semblent vouloir opter pour une approche Zero Trust combinée à une gestion des applications mobiles (MAM ou Mobile Applications Management) plutôt qu’à une gestion complète des appareils mobiles (MDM ou Mobile Device Management). Toutefois la question de l’approche diffère selon les entreprises. Si certaines optent pour une solution de Mobile Threat Detection combinée à une plateforme d'application dotée d’une couche de gestion des risques (plus simple car elle ne nécessite pas de gérer ou de contrôler les appareils eux-mêmes) d’autres préfère se tourner vers le MAM, moins intrusif et qui permet de protéger les données sans impacter la vie privée des utilisateurs.

7. Ne surtout pas activer Office 365 on Mobile sans sécurité mobile

Grâce à la sécurité mobile il est possible de mettre en œuvre des pratiques incontournables telles que le BYOD, le travail à distance et également l'accès à Office 365. Mais l'activation de cet accès sans protection contre les menaces mobiles est dangereuse. Il est conseillé de ne pas déployer O365 sur mobile sans une approche Mobile Threat Defence. De nombreuses données d'entreprise se trouvent dans Outlook ou font l'objet de discussions dans Teams sur des terminaux mobiles. Permettriez-vous une telle exposition sur une autre plateforme sans protection ? Jamais.

8. Les approches de la sécurité mobile doivent "protéger aussi la vie privée"

Que les appareils mobiles appartiennent à l'entreprise ou à des particuliers (BYOD), les utilisateurs ont l'impression qu'ils sont personnels. Contrairement aux endpoints traditionnels, les solutions de sécurité mobile doivent protéger la vie privée en même temps que les données. Cela nécessite une approche architecturale différente (notamment des capacités de détection sur l'appareil plutôt que d'envoyer beaucoup de données dans le cloud). Un grand nombre de fournisseurs se concentraient uniquement sur la sécurisation des appareils gérés par l'entreprise. Avec le BYOD, tout a évolué. Il ne s’agit plus de simplement prendre le contrôle du téléphone, il faut également le protéger en respectant la vie privée et les données personnelles.

9. La protection des applications mobiles doit inclure des concepts de sécurité dès le début

Il est essentiel de sécuriser l'ensemble du parcours DevSecOps des applications mobiles, car dans le cas de certaines, connectées avec des appareils médicaux sensibles par exemple, des vies peuvent être en jeu. La solution consiste à mettre en place une approche de sécurité solide dès le début.

10. Choisir des fournisseurs de sécurité mobile pour leur capacité d'adaptation dans le temps

Chaque année, Apple et Android sortent une nouvelle version. Choisir un fournisseur (et une solution) de sécurité mobile qui tient compte des nombreuses évolutions sur les plateformes mobiles et les systèmes d'exploitation, est primordial. Par ailleurs, il ne faut pas avoir peur de challenger les fournisseurs potentiels pour s’assurer qu'ils seront capables de s'adapter aux transformations futures. Un bon fournisseur doit aussi être un bon partenaire.