L’utilisateur, l’indispensable rempart de la sécurité mobile

Malgré sa réputation de sécurité, le mobile est une cible vulnérable et alléchante pour les cyberpirates. Pour les entreprises, il est urgent de se prémunir, ce qui doit aussi passer par leurs utilisateurs.

Durant le récent Mobile World Congress de Barcelone, un groupe d’universitaires a jeté un froid en révélant trois importantes failles de sécurité dans les protocoles 4G et 5G1. Cette annonce est venue souligner l’urgence pour les entreprises de prendre très au sérieux les cyber-risques spécifiques au mobile.

Aujourd’hui, il faut prendre conscience que le mobile est un poste de travail à part entière, au même titre que le PC de bureau ou l’ordinateur portable. Même si les collaborateurs en font aussi un usage personnel, ils manipulent des données de l’entreprise, reçoivent des messages, accèdent à leurs applications, se connectent au réseau interne… Autant d’actions sensibles qui font du smartphone une cible de choix pour l’intelligence économique. Mieux encore pour les pirates, en prenant discrètement le contrôle de l’appareil, ils peuvent écouter, voir et localiser leur cible, et disposer ainsi d’un redoutable outil d’espionnage et d’ingénierie sociale. Imaginez le profit pour une entreprise de connaître ne serait-ce que les déplacements du PDG d’un de ses concurrents !

Face à ce risque bien réel, comment expliquer que, dans la majorité des cas, les entreprises n’intègrent pas de solution de sécurité à leurs déploiements mobiles ? En effet, un rapport de Verizon* démontre que moins de 30% des entreprises interviewées ont mis en place les outils nécessaires. On peut avancer plusieurs explications : par exemple, l’idée bien ancrée que les environnements iOS et Android sont parfaitement sécurisés, ou bien le fait que la mobilité relève souvent de directions métiers ou digitales pour qui la cybersécurité n’est pas un réflexe, ou encore le peu de place qu’accordent les grands acteurs de la sécurité informatique à ce sujet dans leur communication. En outre, les attaques connues, comme le spyware Pegasus découvert en 2016, concernent rarement le grand public et sont donc peu médiatisées, ce qui contribue peu à sensibiliser sur le sujet.

Faire de l’utilisateur un allié
Mais il y a une autre raison majeure, qui tient aux systèmes mobiles eux-mêmes. En effet, dès l’origine, ceux-ci ont été conçus pour laisser le maximum de latitude à l’utilisateur. C’est lui qui a le dernier mot et il ne dépend pas, comme sur un PC, d’un administrateur qui pourrait lui imposer un pare-feu ou un antivirus. Autrement dit, pour qu’il se protège, il faut impérativement le convaincre de le faire et lui proposer des solutions qui ne nuiront pas à son expérience. La sécurité dite "post-périmétrique" exige avant toute chose de faire de l’utilisateur un allié. Or, ce n’est pas la culture habituelle du monde de la sécurité numérique, qui considère généralement l’utilisateur comme le maillon faible. Que ce soit par méconnaissance, négligence, maladresse ou malveillance, c’est souvent un utilisateur qui, en effet, ouvre la brèche fatale dans des systèmes par ailleurs bien gardés. Mais dans un environnement mobile, il est capital de ne plus le désigner comme faisant partie du problème, mais de le placer au contraire au cœur de la solution. Il faut non seulement l’informer, le sensibiliser et encourager ses bonnes pratiques au moyen de dispositifs incitatifs (en utilisant la gamification, par exemple), mais il faut surtout l’associer aux solutions. Que ce soit en termes de fonctionnalités, d’ergonomie ou d’expérience globale, il doit être consulté et prendre partie à la démarche de sécurité. Ce n’est que de cette manière qu’on l’amènera à accepter des solutions de MTP (Mobile Threat Prevention) ou MTD (Mobile Threat Defense) sur son terminal.

Une triple approche pour sécuriser la mobilité
S’appuyant notamment sur l’analyse prédictive et l’intelligence artificielle, ces outils permettent de sécuriser les terminaux mobiles en intervenant à trois niveaux. Premièrement, au niveau des applications, dont ils évaluent le risque potentiel en fonction de leur comportement et des autorisations qu’elles sollicitent, ce qui permet de bloquer ou supprimer les plus douteuses. Deuxièmement, au niveau des flux (mails, SMS, MMS, messageries…) afin de prévenir le phishing. Troisièmement, au niveau des données elles-mêmes dont l’accès est subordonné au rôle et à l’identité de l’utilisateur. Cette triple approche permet de couvrir l’ensemble des menaces dans l’environnement ouvert et connecté de la mobilité sans pour autant imposer à l’utilisateur des contraintes qu’il ne tolèrerait plus.

Face à l’importance de l’enjeu, les entreprises n’ont donc plus d’excuses pour sécuriser l’un des flancs les plus vulnérables de leur système d’information. Les solutions existent et, grâce aux outils de gestion de flotte (Mobile Device Management, ou MDM), elles peuvent être déployées aisément, rapidement et à grande échelle. L’une des conditions est d’obtenir l’assentiment et l’adhésion des utilisateurs qui, de maillons faibles, deviennent donc par nécessité le maillon fort de la sécurité numérique.

*Verizon 2018 Data Breach Investigations Report11th edition