8 aspects clés d’un programme d’audit de sécurité des appareils mobiles

Pourquoi les audits de sécurité des appareils mobiles sont importants

Les appareils mobiles stockent et transmettent des données sensibles sur des réseaux gérés ou non. Pour atténuer les risques, les services informatiques devraient effectuer un audit de sécurité des appareils mobiles afin d’évaluer systématiquement les mesures de sécurité qui leur sont appliquées.

Un audit de sécurité des appareils mobiles évalue des détails tels que les types d’appareils, les versions de systèmes d’exploitation, les politiques, les contrôles d’accès, les mises à jour logicielles et le chiffrement. En examinant ces aspects, les organisations peuvent comprendre à quel point leurs ressources sont protégées contre les potentielles fuites de données.

L’audit des appareils mobiles dans l’entreprise ne concerne pas seulement les téléphones portables. Il doit être plus petit qu’un audit réseau complet, mais doit néanmoins inclure tout ce qui se connecte à Internet et peut se déplacer. Certains appareils peuvent sembler fixes ou dédiés à un seul usage, mais ils peuvent encore poser problème s’ils se connectent au Wi-Fi ou au Bluetooth. Les gadgets comme les sonnettes intelligentes ou même les machines à café intelligentes peuvent présenter des risques de sécurité importants.

Par exemple, certaines organisations choisissent d’utiliser des clés partagées pour l’authentification réseau plutôt que des méthodes basées sur des certificats plus sécurisés. Si quelqu’un possède cette clé et ajoute son appareil intelligent au réseau de l’entreprise, les administrateurs IT doivent savoir ce que cet appareil fait sur le réseau. Envoie-t-il des données sur le réseau ? Où vont ces données ? Les pirates peuvent-ils l’exploiter ?

Il est important de prendre en compte des facteurs tels que la version du système d’exploitation, le support du fabricant et la segmentation du réseau dans un audit mobile. La sécurité réseau étant un élément clé de la sécurité mobile, les administrateurs IT devraient isoler tous les appareils IoT et réseau de l’infrastructure critique de l’entreprise.

Un audit ne doit pas être une tâche unique ; il doit faire partie d’un programme plus large et récurrent. Des audits réguliers permettent au service informatique de renforcer les mesures de cybersécurité et de les tenir à jour, tout en sensibilisant les utilisateurs finaux aux meilleures pratiques de sécurité mobile.

8 aspects clés d’un programme d’audit de sécurité des appareils mobiles

Lors de la réalisation d’un audit, les administrateurs informatiques doivent prêter attention aux appareils les plus à risque que les employés introduisent dans l’organisation et veiller à ce qu’ils soient à jour avec des correctifs et un support adéquat. Bien que la gestion des appareils mobiles (MDM) soit essentielle pour gérer les accès et prévenir la perte de données, les outils de défense contre les menaces mobiles (MTD) sont également indispensables. Ces outils font désormais partie des nouvelles directives du NIST américain pour la gestion et la sécurisation des appareils.

Pour qu’un programme d’audit de sécurité des appareils mobiles soit complet et efficace, les administrateurs doivent se concentrer sur les aspects clés suivants :

1. Politiques et procédures. Les organisations doivent fournir des politiques claires et complètes sur les appareils mobiles. Ces politiques doivent couvrir l’utilisation acceptable, la gestion des données, les mots de passe et l’accès à distance. Le service informatique doit également revoir et mettre à jour régulièrement ces politiques de sécurité.
2. Contrôle d’accès. Des méthodes d’authentification fortes, telles que l’authentification multifactorielle, doivent être mises en place, ainsi que le contrôle d’accès basé sur les rôles pour les données sensibles. De plus, il est essentiel de surveiller et de consigner toutes les tentatives d’accès.
3. Logiciels et mises à jour. Le service informatique doit suivre un calendrier rigoureux de mises à jour des versions du système d’exploitation et des correctifs de sécurité, en donnant la priorité aux mises à jour pour les vulnérabilités critiques. Les outils de MDM peuvent aider à automatiser ces mises à jour et à garantir la conformité.
4. MDM. Le service informatique doit utiliser une plate-forme de MDM complète pour la gestion centralisée, l’application des politiques, le suivi des inventaires, l’effacement à distance et le déploiement d’applications. Les journaux de MDM doivent également être audités régulièrement.
5. Chiffrement. Le service informatique doit mettre en œuvre des protocoles de chiffrement complexes pour les données en transit et au repos. Des exigences de chiffrement pour les informations sensibles sur les appareils doivent également être définies. Envisagez des solutions basées sur le matériel, comme le Trusted Platform Module ou l’Enclave Sécurisée d’Apple, pour améliorer la sécurité et les performances.
6. Formation à la sensibilisation à la sécurité. Les utilisateurs doivent recevoir une formation à la sécurité mobile et à leur rôle dans son maintien. Cela peut inclure des conseils sur l’hygiène des mots de passe, les attaques de phishing, les logiciels malveillants et autres menaces courantes, ainsi que des instructions sur ce qu’il faut faire en cas de perte ou de vol d’appareil.
7. Médias amovibles. Les organisations doivent définir des politiques d’utilisation des supports amovibles avec les appareils mobiles. Imposer le chiffrement des données transférées vers et depuis les supports amovibles, et envisager de restreindre l’accès si ce n’est pas essentiel.
8. Conformité avec le NIST et d’autres normes de sécurité. Les directives du NIST et autres normes de sécurité des données, telles que le Payment Card Industry Data Security Standard (PCI DSS) et la loi HIPAA, doivent être intégrées dans les programmes d’audit. Évaluer les politiques de mots de passe, les méthodes de chiffrement, les procédures de réponse aux incidents, le MDM, le MTD et d’autres facteurs en fonction de ces normes.

Bonnes pratiques pour la création d’un programme d’audit

Il n’existe pas de programme d’audit universel applicable à tous les services informatiques. Les détails spécifiques à prendre en compte pour un programme d’audit de sécurité des appareils mobiles dépendent des facteurs suivants :

• Taille de l’organisation. Une grande organisation avec une diversité d’appareils mobiles peut avoir besoin d’un programme d’audit plus complet qu’une petite organisation avec un nombre limité d’appareils.
• Types d’appareils. Les types d’appareils mobiles utilisés au sein de l’organisation peuvent influencer l’approche de l’audit. Par exemple, le service informatique peut se concentrer sur le chiffrement et la sécurité physique lorsqu’il audite des ordinateurs portables, tandis que l’audit des smartphones pourrait nécessiter une plus grande attention au contrôle d’accès et à la sécurité des applications.
• Systèmes d’exploitation. Les différents systèmes d’exploitation offrent des caractéristiques de sécurité et vulnérabilités variées, nécessitant des approches d’audit adaptées.
• Réglementations sectorielles. Les organisations dans des secteurs réglementés, tels que la santé ou la finance, doivent souvent suivre des normes de sécurité spécifiques à l’industrie. Leurs programmes d’audit doivent en tenir compte.
• Propriété des appareils. Les organisations qui permettent le BYOD (Bring Your Own Device) doivent inclure certaines considérations de sécurité et de confidentialité supplémentaires dans leurs procédures d’audit.

Une fois les objectifs et la portée de l’audit déterminés, les administrateurs doivent créer et suivre une liste de contrôle d’audit, qui inclura généralement les étapes suivantes :

1. Auditer les points de terminaison mobiles, y compris les smartphones, ordinateurs portables et appareils IoT.
2. Assurer l’isolation et la segmentation des réseaux pour les appareils IoT et mobiles.
3. Mettre à jour les appareils IoT et mobiles vers les dernières versions prises en charge.
4. Mettre en œuvre des outils MDM de base.
5. Mettre en œuvre des outils de sécurité avancés, notamment le MTD, en particulier pour les organisations à haut risque.

Michael Goad est rédacteur indépendant et architecte de solutions avec une expérience dans la gestion de la mobilité en milieu d’entreprise.