10 conseils pour sécuriser les terminaux mobiles d'entreprise

Face à la montée des malwares pour terminaux mobiles, Sophos livre 10 conseils pour éviter les attaques et renforcer la sécurité et l’intégrité du réseau de l’entreprise.

Plate-forme largement dominante du marché mobile (avec plus de 70% de l’offre smartphone), Android est aussi le système le plus attaqué par les cyber-criminels avides d’argent facile (ou pas). Le laboratoire de Sophos relève ainsi une explosion de 600% du nombre de logiciels malveillants et de leurs composants. Une tendance appelée à s’accentuer en 2014 alors que le nombre d’appareils mobiles en service devrait doubler en 2014 à 2 milliards de smartphones générant ainsi une source potentielle de revenus toujours plus large pour les pirates (ou leurs commanditaires).

Une situation problématique pour les utilisateurs et pour les entreprises dont les salariés utilisent de plus en plus, de manière autorisée ou non, les outils mobiles pour travailler, prenant ainsi le risque d’infecter le système d’information de l’organisation. Un risque d’autant plus grand que les malwares deviennent de plus en plus sophistiqués et déploient, pour certains, des trésors d’ingéniosité pour ne pas être détectés.

La moitié des entreprises font confiance à l’OS

Pourtant, près de la moitié des entreprises américaines placent leur confiance dans la capacité du constructeur à protéger leur terminal et préfèrent attendre que les fonctions de sécurité soit intégrées dans le système d’exploitation lui-même plutôt que d’utiliser des protections supplémentaires, selon un sondage réalisé par le cabinet Infonetics Research.

Mieux vaut pourtant ne pas trop attendre et, en réponse, Sophos propose 10 conseils pour limiter les risques d’attaques. Conseils, souvent de simple bon sens, qui s’adressent aux administrateurs des entreprises concernées comme aux utilisateurs de leur propre smartphone. Les voici :

1 – Informer les utilisateurs des risques qu’encoure leur smartphone. Une démarche pédagogique visant à rappeler que, à l’instar d’un ordinateur, il est préférable de regarder à deux fois avant d’installer une application;

2 – Se méfier des hotspot Wifi publics, y compris ceux des aéroports, susceptibles d’être « écoutés » et préférer des technologies VPN chiffrées pour communiquer avec son entreprise;

3 – Etablir des règles de sécurités et inviter les employés à les suivre dans le cadre d’une politique de BYOD (utilisation du terminal personnel à des fin professionnelles);

4 – Interdire, ou pour le moins éviter, les terminaux « rootés » ou « jailbreaké » qui donnent tous les droits d’administration à son utilisateur mais casse les barrières de sécurité du système et facilite l’installation des applications, y compris les moins recommandables;

Lire aussi : Applications : pourquoi faire un audit de vos actifs logiciels

5 – Maintenir à jour son système d’exploitation. On ne le dira jamais assez mais, au-delà des innovations, les mises à jour systèmes comblent un certain nombre de failles (même s’ils en créent d’autres). Néanmoins, la politique de mise à jour de la plate-forme Android dépend souvent du constructeur de l’appareil et/ou de l’opérateur qui fournit le terminal, au-delà du rythme des mises à jour de Google (dans le cas d’Android). Faut-il donc choisir les deux premiers (constructeur et opérateur) en fonction de leurs politiques de mises à jour du système ? La question est posée;

6 - Crypter l'ensemble du terminal à l'aide d'un mot de passe fort aidera à protéger l'accès aux données en cas de perte de l'appareil. Risque de perte qui serait plus élevé encore que celui de se faire infecter, selon Sophos qui recommande également de laisser un code pour activer la carte SIM;

7 - Intégrer les règles de sécurité mobile dans la politique générale de sécurité de l'entreprise. « Si un appareil ne se conforme pas aux politiques de sécurité, il ne devrait pas être autorisé à se connecter au réseau de l'entreprise », conseille Sophos. Radical !;

8 - Installer des applications depuis des sources fiables et de confiance comme Google Play ou l'App Store. Mais aussi considérer la construction d'un magasin applicatif propre à l'entreprise pour distribuer les applications internes et sanctionner les applications grand public jugées inutiles ou nuisibles;

9 - Même logique pour le stockage et partage de fichiers. Sophos recommande la construction d'un cloud interne pour accéder de manière sécurisée aux documents de n'importe où avec n'importe quel terminal;

10 - Enfin, encourager l'adoption de logiciels anti-malwares sur les smartphones Android, les seuls à en disposer pour l'heure. Si les malwares dédiés à iOS, Blackberry ou les plates-formes Java n'en existent pas moins, celles-ci ne constituent pas la priorité des cybercriminels qui, répétons-le, s'attaquent avant tout à la large base d'utilisateurs installée du marché.

*Les différentes fonctions exploitables d'un smartphone piraté, selon Sophos.*

Lire aussi : RGPD : un obstacle de taille à l’innovation applicative ?