Par Andrej Sonkin, Directeur Général de la division Entreprises de HMD Global
Tribune. Notre monde professionnel est devenu un monde de travail hybride, un monde mobile et ultra connecté. Ce modèle s’est imposé à nous au cours des 2 dernières années, mais nous nous le sommes approprié progressivement, tirant profit de tous ses avantages : gain de temps de transport et meilleure répartition vie privée/vie professionnelle, possibilité pour certains de quitter les grandes zones urbaines, etc.
Mais le travail hybride rime aussi avec cyber risques. Alors que près de la moitié des employés travaillent dans un mode hybride alternant entre bureau et télétravail, pas moins de 97% des entreprises ont expérimenté des menaces sur leurs terminaux mobiles, smartphones, tablettes, IoT, PC, au cours des dernières années (Rapport Check Point Software 2021). Les attaquants ne font pas de distinction entre les petites et les grandes entreprises, ils ciblent tout le monde et l’essor du travail hybride leur a ouvert de nouvelles opportunités de toucher les entreprises par le biais des outils de leurs employés. Des outils numériques qui ont souvent le double emploi : privé et professionnel…
Les nombreux mauvais usages numériques mobiles qui rendent les entreprises très vulnérables
Les smartphones et les tablettes font désormais partie intégrante de la réussite des entreprises. Ils permettent de garantir la collaboration, la communication et l’accès aux données importantes de l’entreprise, où que se trouve l’employé. Cependant, ils rendent également les entreprises vulnérables à des menaces de sécurité accrues, les protocoles de sécurité des entreprises luttant pour suivre le rythme du changement.
Chaque mois, 0,12 % de tous les appareils mobiles dans le monde sont infectés par des logiciels malveillants (Rapport threat intelligence Nokia). Sur 5 milliards de mobiles dans le monde, cela représente 6 millions de mobiles infectés chaque mois.
En utilisant les mêmes devices à des fins personnelles et professionnelles (une pratique reconnue par 55% des travailleurs dans le monde d’après une étude du cabinet Gartner), les employés exposent encore plus leur entreprise. Les attaquants ne manquent alors pas de moyens : emails de phishing, smishing ou arnaque par SMS, la compromission de devices par les Wi-Fi domestiques ou publics généralement moins sécurisés, des malwares mobiles par le biais de fausses applications sur des stores non reconnus, ou encore l’exploitation de vulnérabilité affectant des navigateurs web.
Alors qu’il est avéré qu’une erreur humaine est à l’origine de 95% des attaques réussies, les mauvaises pratiques ont la peau dure : Seuls 31 % des employés pensent que le fait de laisser leurs amis et leur famille utiliser leur appareil professionnel présente un risque de sécurité ; Par ailleurs, 40 % des professionnels de l’informatique avoir recours à du “Shadow IT” c’est à dire à des applications ou systèmes de communication informatique non autorisés par la direction informatique…
Cette réalité crée des points d’entrée faible pour les cybercriminels pour voler des informations sensibles, bloquer les systèmes par des attaques de ransomware, espionner, etc. Les impacts financiers et sur la réputation peuvent être dramatiques.
Quelle stratégie de sécurité mobile mettre en place ?
Face à l’augmentation des cyberattaques et à la croissance du travail hybride, de plus en plus d’entreprises, petites et grandes, cherchent à prendre plus de précautions en matière de mobiles. Cela passe par plusieurs éléments : revoir la stratégie d’investissement dans leur parc de mobiles en intégrant une vraie composante sécurité à leur cahier des charges, mettre en place des technologies permettant de gérer et centraliser leur flotte de devices (mobiles, IoT, etc.) et sans oublier de mieux former les employés et les responsabiliser dans leurs pratiques.
1/ S’appuyer sur des terminaux qui prennent vraiment en considération la sécurité. Pour leurs flottes de mobiles les entreprises partent souvent du principe que le cycle de vie est court et que les mises à jour de sécurité seront donc principalement faites au moment du renouvellement, tous les 2-3 ans.
Pour toutes les raisons expliquées ci-avant, cette approche ne doit plus exister aujourd’hui, même dans les plus petites entreprises. La sécurité doit être mise à jour aussi vite que les cybercriminels font évoluer leurs attaques… Les constructeurs doivent être en mesure de fournir des mises à jour de sécurité régulièrement, et idéalement mensuellement. Cela nécessite de revoir une stratégie bien ancrée dans de nombreuses entreprises, mais cela leur permettrait de conserver leur flotte de mobiles plusieurs années de plus car des outils mis à jour restent performants très longtemps. Mais ça n’est peut-être pas une stratégie pertinente pour tous les constructeurs…
En matière d’OS, notons qu’il existe aujourd’hui un label « Android Enterprise Recommanded »(NB: Android est l’OS mobile le plus utilisé en France avec plus de 76% de parts de marché en 2021, selon Kantar World Panel) garantissant aux entreprises que les appareils répondent à des critères stricts de Google en matière de matériel informatique et de logiciels. Les employeurs ont donc la garantie d’avoir une flotte d’appareils mobiles de confiance comprenant notamment des mises à jour et correctifs de sécurité importants à installer.
2/ Gérer de manière centralisée les équipements et les politiques de sécurité, c’est possible. Les solutions dites d’EMM (Entreprise Mobile Management) permettent de disposer d’une visibilité sur un parc entier de mobiles, smartphones, tablettes mais aussi IoT, de les mettre à jour de manière centralisée, de définir des politiques pour ce qui est permis ou non aux employés.
Des solutions permettent également de distinguer au sein d’un même appareil ce qui est du domaine privé et professionnel, et de cloisonner les applications à usage privé et à usage personnel, et de bloquer des applications issues de magasins d’applications non reconnus.
3/ Gérer les accès et identités : Au-delà des outils, savoir qui accède à quoi dans le périmètre de l’entreprise et d’être certain que la période qui se connecte à distance au réseau, aux applications critiques, etc. est bien celle qu’elle prétend être, s’avère essentiel. Cela est valable bien entendu pour des entreprises disposant de beaucoup d’employés, mais alors que la surface d’attaque s’élargit toujours plus avec le Cloud, toujours plus de mobiles et objets connectés, et les fuites de données d’identification s’accumulent, les attaquants ont bon nombre d’opportunités pour usurper des comptes et se faire passer pour des utilisateurs légitimes et compromettre les systèmes d’entreprise. La sécurité basée sur l’identité est un moyen efficace de se protéger.
4/ Former les collaborateurs : Les employés sont souvent présentés comme le maillon faible de la sécurité mais nous oublions souvent de rappeler que ça n’est pas leur métier. D’où l’importance de la technologie pour compenser leurs failles. Néanmoins, en inculquant progressivement des bonnes pratiques, comme le fait de douter de tous les emails et SMS non habituels, et de les signaler, de ne télécharger des applications que sur des stores connus ou encore de fournir un minimum d’informations professionnelles sur les réseaux sociaux, peuvent grandement faire progresser la sécurité de l’entreprise. En instaurant des formations régulières au sein de l’entreprise, nous pouvons inculquer progressivement une culture cyber chez les employés, les dirigeants.
Les entreprises doivent garder à l’esprit qu’il existe une corrélation directe entre le niveau de maturité de la cybersécurité dans l’organisation et la rentabilité de celle-ci. Si les entreprises parviennent à sécuriser leurs données critiques, à gérer l’accès à distance, à communiquer les politiques et les exigences en matière de cybersécurité en interne et auprès des partenaires existants, à mettre à jour régulièrement les protocoles de cybersécurité et à analyser en permanence les paysages informatiques pour détecter d’éventuelles lacunes en matière de sécurité, elles amélioreront leur rentabilité et créeront un environnement de sécurité holistique proactif dans toute l’entreprise.
Andrej Sonkin
Source : https://bit.ly/3WCdyCL
