< Back
cyberthreat news

Tags:

Ercom
01 January 2022

COMMENT METTRE EN PLACE UNE POLITIQUE DE CYBERSÉCURITÉ MOBILE EFFICACE AVEC PEU DE RESSOURCES ?

70 % du temps en ligne a lieu désormais sur les smartphones qui sont en passe de devenir l’outil de communication privilégié des entreprises agiles, ouvertes sur leur écosystème. En conséquence, le trafic mobile sera ainsi multiplié par 7 d’ici 2022. C’est pourquoi la cybersécurité mobile recouvre un enjeu critique pour les DSI et les chefs d’entreprise : 150 millions d’attaques mobiles au niveau mondial ont été recensées rien qu’au 1er semestre 2018 ! Face à cette recrudescence des cyberattaques et à l’obligation légale imposée par le RGPD de protéger les données personnelles sur l’ensemble des composants du système d’information, terminaux mobiles inclus, les entreprises doivent trouver le bon équilibre entre le niveau de sécurité dont elles ont besoin et la nécessité de rationaliser leurs coûts et leurs équipes. Un arbitrage qui peut s’avérer difficile pour les ETI et les PME dont les ressources sont souvent plus limitées. Toutefois, des solutions existent pour protéger efficacement ses terminaux mobiles sans dépasser son budget. 

blog

La sensibilisation des utilisateurs comme première ligne de défense

70 % des problèmes de sécurité impliquent directement les employés ! Le premier facteur de risques en entreprise reste humain qu’il soit volontaire ou non. Installation d’une application vérolée, partage de documents via une messagerie grand public ou connexion à un réseau Wifi non sécurisé… Le collaborateur n’est pas toujours au fait des risques qu’il encourt… et qu’il fait encourir au système d’information de son entreprise.

En effet, peu d’employés sont véritablement sensibilisés à la cybersécurité et le phénomène désormais très répandu du BYOD (Bring Your Own Device), qui consiste à utiliser ses terminaux personnels à des fins professionnelles, accentue considérablement les risques de vol ou de perte de données professionnelles. Sans oublier le Shadow IT qui rend très difficile le contrôle des terminaux utilisés et des usages qui en sont faits. Et, le plus souvent par méconnaissance, les collaborateurs imaginent à tort être protégés. C’est pourquoi il est essentiel de les responsabiliser par le biais de formations et d’ateliers de sensibilisation internes. En partageant des informations et des bonnes pratiques adaptées aux besoins de vos salariés, votre entreprise peut ainsi prévenir de nombreux incidents…

 

Parmi les principaux risques auxquels vos collaborateurs sont exposés :

  • Le phishing et le smishing (phishing par sms) : incitez les utilisateurs à rechercher les erreurs de syntaxe et de grammaire, à vérifier la provenance du message, à ne jamais cliquer sur un lien pour se connecter à un organisme connu sans passer par le site officiel, et à contacter le destinataire directement au téléphone si la demande semble inappropriée, suspecte ou inusuelle.
  • Installation des applications : demandez-leur de ne jamais télécharger d’applications mobiles en dehors des marketplaces officielles (App Store pour iOS et Google Play pour Android), ni via un lien inclus dans un sms ou un email.
  • Connexion sans fil : encouragez-les à ne pas se connecter à un réseau Wifi public, les attaques de type « man-in-the-middle » (technique qui consiste à intercepter des échanges via une fausse borne Wifi) se multiplient. Une connexion 3G/4G sera beaucoup plus sécurisée et difficile à pirater.
  • Mise à jour logicielle : poussez-les à installer les mises à jour de leur OS. Elles intègrent souvent de nouvelles mesures de sécurité.

 

link

 

Sécurité ne rime pas systématiquement avec budget

Si la sensibilisation et la formation de vos collaborateurs constituent un premier rempart contre les cyberattaques mobiles, elles ne peuvent suffire seules à contrer l’ensemble des menaces, tant celles-ci sont de plus en plus sophistiquées. Par conséquent, vous devez vous doter de solutions adaptées à vos besoins réels.

Au sein d’une même entreprise, tous les utilisateurs n’ont pas les mêmes besoins… ni les mêmes usages. Les employés sédentaires qui n’échangent pas forcément de données sensibles seront moins exposés et, de ce fait, nécessiteront un niveau de sécurité moins élevé. Pour ces employés, il faut leur mettre à disposition des outils professionnels adaptés aux règles de l’entreprise qui permettront ainsi d’éviter le Shadow IT et ainsi détourner les menaces les plus connues.

Les collaborateurs nomades ou sédentaires qui échangent des informations confidentielles, seront par conséquent davantage « ciblés ». Il convient dans un premier temps d’analyser leurs usages afin de configurer les smartphones et les tablettes selon leur profil et l’utilisation spécifique qu’ils en font. Vous déploierez ainsi les solutions qui conviennent à leurs besoins.

Ensuite, une bonne pratique consiste à définir une politique de sécurité interne stricte en matière de mobilité : code d’activation du smartphone obligatoire, interdiction de prêter son smartphone ou d’ouvrir des documents professionnels depuis son smartphone personnel…  Vous pouvez également mettre en place une solution qui permettra la conteneurisation  pour délimiter les usages professionnels, contrôlés par l’administrateur, et les usages personnels limitant ainsi les risques de compromission des données de l’entreprise. De même, il est possible de limiter l’accès au réseau de l’entreprise selon le niveau d’autorisation de l’utilisateur mobile.

Les problématiques de cybersécurité mobile imposent de répondre préalablement à certaines questions : de combien de smartphones professionnels se compose votre flotte ? Quels sont les modèles et les OS ? Quels sont les principaux usages ? Quel est la part de collaborateurs mobiles ? Avez-vous des clients ou des fournisseurs qui travaillent au sein d’industries sensibles (défense, santé, organismes publics, etc.) ?

La mise en place de solutions de sécurisation n’est pas nécessairement coûteuse ni complexe si elle protège efficacement votre entreprise. Réalisez différents scénarios : entre le vol de données professionnelle et personnelles, le sabotage, l’espionnage industriel, etc. Combien coûterait la remise en activité ? Quelle serait la perte sur votre chiffre d’affaires ? Quels serait les risques d’amende de la part des autorités si l’entreprise n’a pas de système de sécurité en place ? Quel serait l’impact sur la notoriété de votre société?

La réponse à ces questions vous permettra d’ajuster votre politique de sécurité mobile au plus près de vos besoins utilisateurs et, en ce sens, le budget nécessaire.

link