COMMENT SE PROTÉGER DES MENACES QUI PÈSENT SUR LA SÉCURITÉ MOBILE DE VOTRE ENTREPRISE ? – ACTE II
Au cœur de la stratégie de sécurité mobile, désormais incontournable pour toute entreprise et institution, figure l’identification des menaces, des impacts et des mesures techniques à mettre en œuvre pour protéger ses smartphones, ses communications et ses données mobiles.
Ces mesures techniques sont couvertes par un écosystème foisonnant de solutions commerciales qui manque encore de lisibilité : Enterprise Mobility Management, Mobile Device Management, Mobile Application Management, Mobile Threat Protection, Smartphone sécurisé, Messagerie chiffrée… Explications et recommandations.
Quelles mesures techniques face aux attaques locales, aux attaques réseaux et aux attaques applicatives ?
Comme nous l’avons détaillé dans « Quelles cybermenaces pèsent sur les données et communications mobiles de votre entreprise ? », il existe plusieurs types d’attaques menaçant les terminaux et communications mobiles.
Mais restons optimistes. « En toutes circonstances, il n’y a pas de mal qui n’ait son remède. » disait Madeleine de Puisieux au 18e siècle déjà… Et l’univers cyber, 3 siècles plus tard, ne fait pas exception à l’adage. A chaque maux, son remède. Il faut simplement savoir, comme en médecine, décrypter l’ordonnance et la notice…
Types d’attaquesMesures techniques
Attaques locales (accès physique)
- Application des règles de sécurité Android/iOS
- Authentification forte et code PIN
- Chiffrement local de données
- Conteneurisation
- Contrôle des ports locaux (USB/BT)
- Effacement à distance
Attaques réseaux 3G/4G/Wi-Fi
- Voix / SMS chiffrés
- VPN mobile
- Détection piratage Wifi
- Détection Man-in-the-middle
Attaques vulnérabilités HW/OS
- Boot sécurisé et sécurisation de l’OS (Android SE)
- Conteneurisation
- Trustzone (CPU mobile) et carte à puce
- Détection vulnérabilité de l’OS
Attaques vulnérabilités HW/OS
- Conteneurisation
- Audit de la sécurité des applications
- Liste blanche des applications
- App Store d’entreprise
- Gestion stricte des droits des application
Phishing mobile
- SMS chiffrés
- Carnet de contacts sécurisés
- Détection de phishing
Les mesures techniques sont donc nombreuses, de natures différentes (prévention, détection, réponse, prédiction) et disponibles dans des solutions commerciales aux profils multiples.
« La clé est de trouver une solution ergonomique pour le collaborateur, avec un niveau de confidentialité et de sécurité adapté aux informations à protéger et aux usages et exigences opérationnelles » souligne Raphaël Basset, VP Marketing & Business Development chez ERCOM.
Ergonomie, flexibilité opérationnelle et sécurité : pour parvenir à ce trinôme et maîtriser la surface d’attaque grandissante, il est souvent nécessaire de combiner plusieurs solutions. Revue de détail …
Qu’est-ce que « l’Enterprise Mobility Management (EMM) » ?
L’EMM ou la « Gestion Mobilité d’Entreprise » en français, recouvre un ensemble de technologies permettant aux entreprises de gérer et de sécuriser les appareils mobiles, smartphones ou tablettes, et les données qu’ils contiennent.
Selon les éditeurs, l’EMM regroupe plusieurs briques fonctionnelles:
- les MDM (Mobile Device Management) qui permettent de gérer les appareils mobiles et leurs paramètres logiciels,
- les MAM (Mobile Application Management) qui prennent en charge le déploiement et la mise à jour des applications mobiles,
- voire les MIM (Mobile Identity Management) qui permettent de gérer les processus d’identification et d’accès aux données.
Qu’est-ce que le « Mobile Device Management (MDM) » ?
Le Mobile Device Management permet la gestion d’une flotte d’appareils mobiles, avec pour objectif l’harmonisation et la sécurisation de la flotte en s’assurant que tous les collaborateurs aient des programmes à jour et que leurs appareils soient correctement paramétrés.
Il permet d’imposer l’utilisation d’un code de déverrouillage (code PIN) et le chiffrement global ou ciblé du contenu des appareils mobiles.
Cette précaution garantit l’intégrité des informations clés de l’entreprise en cas de perte ou de vol d’un terminal. Il permet aussi le blocage et l’effacement à distance, et intègre la sauvegarde et restauration des comptes utilisateurs et des données associées.
Le MDM permet aussi l’installation de logiciels, de correctifs de sécurité, et de certificats à travers le réseau cellulaire. A ce titre, il permet aussi d’interdire l’installation d’applications non validées par l’entreprise. Certains MDM proposent en outre une fonction de VPN pour accéder aux données et serveurs de l’entreprise de manière sécurisée.
Lire également l’article I « Quelles cybermenaces pèsent sur les données et communications mobiles de votre entreprise ? »
Qu’est-ce que le « Mobile Application Management (MAM) » ?
Les logiciels MAM se focalisent sur la sécurisation des données (fichiers, informations de localisation, captures audio / vidéo…) accessibles aux applications installées sur le smartphone.
Le MAM permet en effet la mise en place de listes blanches d’applications ou d’un App store d’entreprise, et la gestion fine des droits des applications.
L’administrateur de flotte peut ainsi appliquer une politique de prévention de fuite de données (Data Loss Prevention), en interdisant par exemple la copie ou la lecture de fichiers par certaines applications.
Le MAM permet également de compartimenter les données. Cette conteneurisation permet ainsi de s’assurer que les opérations menées dans l’espace personnel n’auront aucun effet sur les données professionnelles.
Lire également l’article I « Quelles cybermenaces pèsent sur les données et communications mobiles de votre entreprise ? »
Qu’est-ce que le « Mobile Threat Protection (MTP) » ?
Les solutions MDM et MAM protègent l’entreprise contre les fuites de données en cas de perte ou de vol d’un appareil, et contre certaines attaques réseaux basiques et comportements d’applications malveillantes connues. Cependant, elles n’assurent pas la défense contre les menaces avancées du type malware ou phishing, qui évoluent en permanence.
Il peut donc être utile d’opter pour un niveau de protection supplémentaire, et être capable de repérer en temps réel les anomalies dans le comportement de l’appareil et de ses applications, de détecter les vulnérabilités et de prévenir les infections par des malwares connus ou inconnus. C’est le propre du MTP.
Lire également l’article I « Quelles cybermenaces pèsent sur les données et communications mobiles de votre entreprise ? »
Qu’est-ce qu’une « Messagerie chiffréé » ?
A l’origine, les messageries mobiles se sont développées sur le marché grand public, grâce à une ergonomie supérieure aux SMS, une interopérabilité totale (quelque soit l’opérateur 3G/4G et le type de smartphone utilisé) et des communications internationales à couts réduits.
Ces applications ont progressivement chiffré en totalité ou en partie les communications voix/vidéo, messages instantanés et transferts de fichiers, et sont aujourd’hui utilisées dans le monde professionnel.
Elles permettent aux entreprises d’améliorer la productivité et de se protéger contre les écoutes téléphoniques et interceptions de SMS principalement. Le revers de ces messageries gratuites est l’exploitation des méta-données et carnets d’adresses à des fins publicitaires/marketing, et l’absence de fonctionnalités d’administration de flotte.
De nouvelles messageries sécurisés – telles que Citadel Team – sont apparues avec des fonctionnalités de chiffrement de bout-en-bout, d’administration de flotte et de « privacy by design ».
Quelles sont les spécificités d’un Smartphone sécurisé ?
Au-delà des solutions logicielles de détection et de protection, certains smartphones dits sécurisés intègrent des mécanismes de sécurité directement dans leur processeur, leur système d’exploitation, et leur carte SIM ou SD.
Ces solutions apportent une meilleure protection contre les attaques visant les vulnérabilités « de bas niveau » des plateformes mobiles matérielles et logicielles.
Les attaques locales, telles que les extractions de données via ports USB/Bluetooth, sont également mieux contrées.
Enfin, elles offrent un chiffrement renforcé des données et des communications, grâce à une sécurité physique des secrets cryptographiques.
Ces smartphones sécurisés bénéficient d’un niveau de sécurité et d’assurance supérieur aux solutions purement applicatives, et sont donc recommandés pour les professionnels traitant des sujets sensibles (membres de gouvernements et ministères, dirigeants d’entreprises, avocats, etc.).
La plupart des smartphones sécurisés sont construits sur des plateformes matérielles et logicielles propriétaires qui évoluent peu. Ils pêchent donc souvent par leurs fonctionnalités, ergonomie et performances très en retard sur les smartphones grand public.
Cependant, certains smartphones sécurisés – tels que le Cryptosmart d’Ercom – sont basés sur les terminaux grand public les plus récents et combinent sécurité de niveau militaire, performance, design et ergonomie.