Limiter le risque posé par les applications mobiles malicieuses
Une formation à la sécurité des terminaux mobiles peut aider à réduire la menace posée par les applications malicieuses en incitant les utilisateurs à réfléchir à deux fois avant de télécharger.
Selon l’édition 2012 du Global Mobility Study d’IDC, 70 % des employés accèdent à leur réseau d’entreprise depuis un smartphone ou une tablette personnelle. L’utilisation de terminaux mobiles personnels pour le travail ne fera que se développer, et les gains de productivité associés seront trop grands pour courir le risque de compromettre la sécurité des données. Compte tenu de la diversité des terminaux mobiles, il est souvent plus efficace de se concentrer sur la formation des utilisateurs, et de gérer et suivre les accès aux ressources du réseau, plutôt que d’essayer de contrôler chaque terminal.
De nombreux utilisateurs perçoivent les politiques de BYOD comme une chance d’échapper aux restrictions d’une sécurité appliquée au niveau du réseau. Ils n’apprécient pas que des cybercriminels visent de plus en plus les utilisateurs mobiles pour tirer profit de ceux qui baissent leur garde. Toutefois, des techniques d’attaque connues et établies telles que le hameçonnage sont bien adaptées à l’environnement mobile pour tromper les utilisateurs et les conduire à fournir des informations confidentielles et à télécharger des applications malicieuses. Les utilisateurs doivent comprendre cela et savoir comment éviter de devenir une victime.
Les formations à la sécurité actuelles tendent à être basées sur l’utilisateur de postes de travail conventionnels. Elles doivent être adaptées pour prendre en compte les différences marquées entre la manière dont les terminaux mobiles sont utilisés, par rapport aux terminaux fixes, et le risque supplémentaire généré par les applications mobiles. Par exemple, les utilisateurs mobiles téléchargent des applications dédiées pour accéder à des contenus et réaliser des tâches spécifiques ; ils n’utilisent pas des moteurs de recherche et leur navigateur Web autant que les utilisateurs de postes de travail fixes. En outre, de nombreux utilisateurs de terminaux mobiles ne savent pas comment configurer les réglages de sécurité et de confidentialité intégrés à leurs appareils, ou encore comment désactiver des fonctions telles que le suivi de géolocalisation.
La formation à la sécurité des terminaux mobiles doit souligner l’importance de ne télécharger des applications qu’à partir de sources de confiance, et d’éviter celles qui demandent des autorisations excessives. Cliquer sur « Continuer » durant le processus d’installation sans vérifier ce que l’on accepte est devenu une habitude qu’il faut désormais corriger. Les utilisateurs devraient prendre en compte les notes et commentaires déposés par d’autres, et signaler les applications à éviter. Des contrôles de sécurité tels que le chiffrement des données personnelles sont des caractéristiques importantes à chercher dans les descriptions des applications. Toute application qui cherche à imiter d’autres applications bien connues ne devrait pas être installée.
Les pirates ont de nombreuses opportunités de piéger les utilisateurs mobiles alors qu’ils surfent sur le Web : il est plus difficile de vérifier une URL sur un smartphone que sur un ordinateur. Et les utilisateurs sont habitués à être redirigés vers des pages optimisées pour les terminaux mobiles. Et de nombreuses URL sont raccourcies, cachant la réelle destination… Ces aspects de la navigation mobile impliquent que les utilisateurs doivent être encore plus prudents lorsqu’un site demande des détails personnels ou appelle à télécharger une application.
Si les terminaux mobiles peuvent introduire une façon de travailler et de communiquer plus informelle, les politiques de sécurité et les mesures disciplinaires ne doivent pas être relâchées. Sans une application consistante des règles de sécurité mobiles, les utilisateurs abandonnent rapidement les bonnes pratiques. Le déploiement d’un système de MDM pour imposer le chiffrement de mots de passe de verrouillage, ou encore effacer à distance les terminaux perdus, peut aider à contrer les utilisations insouciantes tout en fournissant à l’IT de la visibilité dans les applications accédant aux données d’entreprise.
De nouvelles techniques pour attaquer les utilisateurs mobiles continuent d’émerger, exigeant l’actualisation régulière des programmes de formation. Et les politiques de sécurité mobile ne seront pas efficaces si les organisations ne prennent pas en compte l’expérience utilisateur et les menaces auxquelles ils sont confrontés. Pour aider à intégrer la sécurité dans le quotidien des collaborateurs, il est possible d’imposer la formation à la sécurité mobile à toute nouvelle recrue, comme préalable à l’autorisation d’utiliser des ressources du réseau d’entreprise à partir d’un terminal mobile. Et il convient de s’assurer que les utilisateurs savent reconnaître les signes d’une infection : performances et autonomie réduites, applications qui se figent, notamment. Il faut en outre prévoir de restreindre certaines activités ou services pour les utilisateurs contrevenant aux règles de sécurité afin de s’assurer que celles-ci sont prises au sérieux.
Echouer à intégrer des formations spécifiques à l’utilisation de terminaux mobiles conduira à faire des utilisateurs et de leurs terminaux mobiles des trous béants dans les défenses du réseau. Améliorer leur posture de sécurité est la manière la plus efficace de protéger les actifs de l’entreprise alors que le développement du recours aux terminaux mobiles est inévitable.
Adapté de l’anglais par la rédaction.