Au cours de l'année écoulée, le nombre d'incidents de sécurité impliquant des appareils mobiles a augmenté, mais les entreprises ne protègent pas leurs actifs mobiles aussi bien que les autres systèmes. Selon une étude réalisée par Verizon auprès de 671 professionnels chargés de l’achat et de la gestion du parc d'appareils mobiles, une entreprise sur trois admet qu’elle a déjà subi une intrusion à cause d’un terminal de sa flotte mobile. Par rapport au sondage équivalent effectué l'an dernier, ce nombre d’intrusions a augmenté de 5 %. « Au même titre que d’autres appareils, les mobiles sont la cible d’un grand nombre d’attaques », déclare Verizon dans son rapport Mobile Security Index 2019. « Les téléphones mobiles sont exposés à la plupart des attaques de phishing et de sites mal codés et leurs utilisateurs sont encore plus vulnérables. Sans compter les exploits spécifiques aux mobiles sous forme d’applications malveillantes et les hotspots sans fil malveillants ».

« Cette année encore, nous avons constaté que de nombreuses entreprises ne protégeaient pas leurs appareils mobiles », note l’opérateur. « Pourtant, on ne parle pas d’une mise en œuvre au-delà des standards : beaucoup d’entreprises ne respectent pas les normes de sécurité de base ». Et l’on ne peut pas mettre cela sur le compte d’une sensibilisation insuffisante, puisque plus de 80 % des personnes interrogées ont déclaré que leur entreprise était menacée par des attaques mobiles et 69% ont déclaré que ces risques avaient augmenté au cours de l'année passée. Dans le même temps, plus des deux tiers des personnes interrogées ont déclaré qu'elles avaient moins confiance dans la sécurité des appareils mobiles de leur entreprise que dans celle des autres systèmes.

Sécurité sacrifié pour accélérer les déploiements

Près de la moitié des personnes interrogées ont reconnu que leur entreprise avait sacrifié la sécurité mobile pour accélérer ses déploiements et près de la moitié de celles qui ont négligé cette question ont subi une intrusion à partir d’un appareil mobile. Par ailleurs, moins de 25 % des entreprises qui n’ont pas négligé la sécurité au nom de la vitesse et du profit ont été confrontées à une intrusion liée à ses appareils mobiles. Environ 60 % des incidents ont été qualifiés de « majeurs » et 40 % de « majeurs avec des répercussions durables ». Plus de la moitié des intrusions ont entraîné une perte de données et 58 % d’entre elles ont également entraîné la compromission d'autres appareils.

Le rapport de Verizon met aussi l’accent sur un écart de perception. En effet, plus de 80 % des entreprises estiment que leurs mesures sont soit efficaces, soit très efficaces, alors que moins de 12 % d’entre elles ont effectivement mis en œuvre les quatre protections de base : chiffrement des données sur les réseaux publics, modification des mots de passe par défaut, tests réguliers des systèmes de sécurité et restriction de l'accès aux données en fonction du « besoin de savoir ». Huit entreprises sur dix pensent également qu’elles sont capables de détecter rapidement un problème. Or l'étude révèle que dans 63 % des cas, les intrusions ont été signalées par une tierce partie, soit un client, un partenaire ou une autorité judiciaire. Ce n'est pas très surprenant, étant donné que deux entreprises sur trois seulement ont déployé au moins une solution qui permettrait de détecter les incidents de sécurité, qu'il s'agisse de la sécurité des terminaux mobiles, de la prévention des pertes de données ou de la gestion des informations et événements de sécurité (SIEM). 

Un tableau de recommandations pour améliorer la sécurité

« Beaucoup de personnes interrogées ont déclaré qu’elles prévoyaient de mettre en œuvre chacune des protections de sécurité mobile mentionnées ci-dessus au cours des 12 prochains mois, mais beaucoup moins ont répondu qu’elles avaient pris ces mesures dans les 12 mois précédents », a encore déclaré Verizon. « On pourrait déduire à partir de là qu’un plus grand nombre d'entreprises ont compris qu’elles devaient améliorer leur défense et qu’elles ont décidé de prendre les mesures adéquates. Mais un coup d’œil sur les statistiques de l’an dernier appelle à la prudence. En effet, même si elles planifient de mieux se protéger, beaucoup d’entreprises ne le feront pas ».

Les entreprises sont préoccupées en priorité par les menaces liées à la mobilité de leurs salariés actuels ou passés. Viennent ensuite les menaces des groupes de cybercriminels organisés, celles des pirates informatiques, des activistes soutenus par des états et des partenaires. Cependant, Verizon a constaté que moins d'une entreprise sur cinq avait adopté des politiques globales d'utilisation acceptable de l’Internet couvrant l’usage des appareils mobiles. Le rapport Verizon a réuni dans un tableau des recommandations pour améliorer la sécurité des appareils mobiles dans l'entreprise. Celles-ci sont regroupées par modalités : évaluation, protection, détection et intervention, niveau de sophistication (basique, bon, optimum).

Article rédigé par
Lucian Constantin, IDG NS (adaptation Jean Elyan)
http://k6.re/cs8nd

Toutes les solutions de sécurité pour les mobiles sont à retrouver les 1-2-3 octobre 2019 à La Porte de Versailles
THEME SECU