Pour gérer vos consentements :

10 conseils pour sécuriser les terminaux mobiles d’entreprise

Plate-forme largement dominante du marché mobile (avec plus de 70% de l’offre smartphone), Android est aussi le système le plus attaqué par les cyber-criminels avides d’argent facile (ou pas). Le laboratoire de Sophos relève ainsi une explosion de 600% du nombre de logiciels malveillants et de leurs composants. Une tendance appelée à s’accentuer en 2014 alors que le nombre d’appareils mobiles en service devrait doubler en 2014 à 2 milliards de smartphones générant ainsi une source potentielle de revenus toujours plus large pour les pirates (ou leurs commanditaires).

Une situation problématique pour les utilisateurs et pour les entreprises dont les salariés utilisent de plus en plus, de manière autorisée ou non, les outils mobiles pour travailler, prenant ainsi le risque d’infecter le système d’information de l’organisation. Un risque d’autant plus grand que les malwares deviennent de plus en plus sophistiqués et déploient, pour certains, des trésors d’ingéniosité pour ne pas être détectés.

La moitié des entreprises font confiance à l’OS

Pourtant, près de la moitié des entreprises américaines placent leur confiance dans la capacité du constructeur à protéger leur terminal et préfèrent attendre que les fonctions de sécurité soit intégrées dans le système d’exploitation lui-même plutôt que d’utiliser des protections supplémentaires, selon un sondage réalisé par le cabinet Infonetics Research.

Mieux vaut pourtant ne pas trop attendre et, en réponse, Sophos propose 10 conseils pour limiter les risques d’attaques. Conseils, souvent de simple bon sens, qui s’adressent aux administrateurs des entreprises concernées comme aux utilisateurs de leur propre smartphone. Les voici :

1 – Informer les utilisateurs des risques qu’encoure leur smartphone. Une démarche pédagogique visant à rappeler que, à l’instar d’un ordinateur, il est préférable de regarder à deux fois avant d’installer une application;

2 – Se méfier des hotspot Wifi publics, y compris ceux des aéroports, susceptibles d’être « écoutés » et préférer des technologies VPN chiffrées pour communiquer avec son entreprise;

3 – Etablir des règles de sécurités et inviter les employés à les suivre dans le cadre d’une politique de BYOD (utilisation du terminal personnel à des fin professionnelles);

4 – Interdire, ou pour le moins éviter, les terminaux « rootés » ou « jailbreaké » qui donnent tous les droits d’administration à son utilisateur mais casse les barrières de sécurité du système et facilite l’installation des applications, y compris les moins recommandables;

5 – Maintenir à jour son système d’exploitation. On ne le dira jamais assez mais, au-delà des innovations, les mises à jour systèmes comblent un certain nombre de failles (même s’ils en créent d’autres). Néanmoins, la politique de mise à jour de la plate-forme Android dépend souvent du constructeur de l’appareil et/ou de l’opérateur qui fournit le terminal, au-delà du rythme des mises à jour de Google (dans le cas d’Android). Faut-il donc choisir les deux premiers (constructeur et opérateur) en fonction de leurs politiques de mises à jour du système ? La question est posée;

6 – Crypter l’ensemble du terminal à l’aide d’un mot de passe fort aidera à protéger l’accès aux données en cas de perte de l’appareil. Risque de perte qui serait plus élevé encore que celui de se faire infecter, selon Sophos qui recommande également de laisser un code pour activer la carte SIM;

7 – Intégrer les règles de sécurité mobile dans la politique générale de sécurité de l’entreprise. « Si un appareil ne se conforme pas aux politiques de sécurité, il ne devrait pas être autorisé à se connecter au réseau de l’entreprise », conseille Sophos. Radical !;

8 – Installer des applications depuis des sources fiables et de confiance comme Google Play ou l’App Store. Mais aussi considérer la construction d’un magasin applicatif propre à l’entreprise pour distribuer les applications internes et sanctionner les applications grand public jugées inutiles ou nuisibles;

9 – Même logique pour le stockage et partage de fichiers. Sophos recommande la construction d’un cloud interne pour accéder de manière sécurisée aux documents de n’importe où avec n’importe quel terminal;

10 – Enfin, encourager l’adoption de logiciels anti-malwares sur les smartphones Android, les seuls à en disposer pour l’heure. Si les malwares dédiés à iOS, Blackberry ou les plates-formes Java n’en existent pas moins, celles-ci ne constituent pas la priorité des cybercriminels qui, répétons-le, s’attaquent avant tout à la large base d’utilisateurs installée du marché.

Les différentes fonctions exploitables d’un smartphone piraté, selon Sophos.

crédit photo © ck. – shutterstock

Recent Posts

Pistage : les navigateurs ne s’attaquent pas qu’aux cookies

Dans la lignée de Brave, Firefox met en place un mécanisme de filtrage de certains…

11 heures ago

Open Source : la Fondation Linux veut normaliser l’accès aux DPU

L’effort porte sur la standardisation de la pile logicielle prenant en charge les processeurs de…

13 heures ago

vSphere+ : qu’y a-t-il dans la vitrine multicloud de VMware ?

VMware a structuré une offre commerciale favorisant l'accès à des capacités cloud à travers vCenter.…

13 heures ago

Le PEPR cybersécurité prend forme : les choses à savoir

Le PEPR rattaché à la stratégie nationale de cybersécurité a connu une forme d'officialisation la…

18 heures ago

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésente les ESN et éditeurs de logiciels en France, a précisé sa feuille…

1 jour ago

HPE Discover 2022 : Red Hat rejoint l’écosystème GreenLake

OpenShift, RHEL, Ansible... Red Hat va proposer une version sur site avec paiement à l'usage…

1 jour ago