L’utilisateur, l’indispensable rempart de la sécurité mobile

L’utilisateur, l’indispensable rempart de la sécurité mobile

Malgré sa réputation de sécurité, le mobile est une cible vulnérable et alléchante pour les cyberpirates. Pour les entreprises, il est urgent de se prémunir, ce qui doit aussi passer par leurs utilisateurs.

Durant le récent Mobile World
Congress de Barcelone, un groupe d’universitaires a jeté un froid en révélant
trois importantes failles de sécurité dans les protocoles 4G et 5G1.
Cette annonce est venue souligner l’urgence pour les entreprises de prendre
très au sérieux les cyber-risques spécifiques au mobile.

Aujourd’hui, il faut prendre
conscience que le mobile est un poste de travail à part entière, au même titre
que le PC de bureau ou l’ordinateur portable. Même si les collaborateurs en font
aussi un usage personnel, ils manipulent des données de l’entreprise, reçoivent
des messages, accèdent à leurs applications, se connectent au réseau interne… Autant
d’actions sensibles qui font du smartphone une cible de choix pour
l’intelligence économique. Mieux encore pour les pirates, en prenant discrètement
le contrôle de l’appareil, ils peuvent écouter, voir et localiser leur cible,
et disposer ainsi d’un redoutable outil d’espionnage et d’ingénierie sociale.
Imaginez le profit pour une entreprise de connaître ne serait-ce que les
déplacements du PDG d’un de ses concurrents !

Face à ce risque bien réel,
comment expliquer que, dans la majorité des cas, les entreprises n’intègrent
pas de solution de sécurité à leurs déploiements mobiles ? En effet, un rapport de Verizon* démontre que moins de 30% des entreprises interviewées ont mis en place les outils nécessaires. On peut avancer
plusieurs explications : par exemple, l’idée bien ancrée que les environnements
iOS et Android sont parfaitement sécurisés, ou bien le fait que la mobilité relève
souvent de directions métiers ou digitales pour qui la cybersécurité n’est pas
un réflexe, ou encore le peu de place qu’accordent les grands acteurs de la
sécurité informatique à ce sujet dans leur communication. En outre, les attaques
connues, comme le spyware Pegasus découvert en 2016, concernent rarement le
grand public et sont donc peu médiatisées, ce qui contribue peu à sensibiliser
sur le sujet.

Faire de l’utilisateur un allié

Mais il y a une autre raison
majeure, qui tient aux systèmes mobiles eux-mêmes. En effet, dès l’origine, ceux-ci
ont été conçus pour laisser le maximum de latitude à l’utilisateur. C’est lui
qui a le dernier mot et il ne dépend pas, comme sur un PC, d’un administrateur
qui pourrait lui imposer un pare-feu ou un antivirus. Autrement dit, pour qu’il
se protège, il faut impérativement le convaincre de le faire et lui proposer
des solutions qui ne nuiront pas à son expérience. La sécurité dite
"post-périmétrique" exige avant toute chose de faire de
l’utilisateur un allié. Or, ce n’est pas la culture
habituelle du monde de la sécurité numérique, qui considère généralement
l’utilisateur comme le maillon faible. Que ce soit par méconnaissance,
négligence, maladresse ou malveillance, c’est souvent un utilisateur qui, en
effet, ouvre la brèche fatale dans des systèmes par ailleurs bien gardés. Mais
dans un environnement mobile, il est capital de ne plus le désigner comme
faisant partie du problème, mais de le placer au contraire au cœur de la
solution. Il faut non seulement l’informer, le sensibiliser et encourager ses
bonnes pratiques au moyen de dispositifs incitatifs (en utilisant la
gamification, par exemple), mais il faut surtout l’associer aux solutions. Que
ce soit en termes de fonctionnalités, d’ergonomie ou d’expérience globale, il
doit être consulté et prendre partie à la démarche de sécurité. Ce n’est que de
cette manière qu’on l’amènera à accepter des solutions de MTP (Mobile Threat
Prevention) ou MTD (Mobile Threat Defense) sur son terminal.

Une triple approche pour
sécuriser la mobilité

S’appuyant notamment sur
l’analyse prédictive et l’intelligence artificielle, ces outils permettent de
sécuriser les terminaux mobiles en intervenant à trois niveaux. Premièrement,
au niveau des applications, dont ils évaluent le risque potentiel en fonction de
leur comportement et des autorisations qu’elles sollicitent, ce qui permet de
bloquer ou supprimer les plus douteuses. Deuxièmement, au niveau des flux
(mails, SMS, MMS, messageries…) afin de prévenir le phishing. Troisièmement, au
niveau des données elles-mêmes dont l’accès est subordonné au rôle et à
l’identité de l’utilisateur. Cette triple approche permet de couvrir l’ensemble
des menaces dans l’environnement ouvert et connecté de la mobilité sans pour
autant imposer à l’utilisateur des contraintes qu’il ne tolèrerait plus.

Face à l’importance de l’enjeu,
les entreprises n’ont donc plus d’excuses pour sécuriser l’un des flancs les
plus vulnérables de leur système d’information. Les solutions existent et, grâce
aux outils de gestion de flotte (Mobile Device Management, ou MDM), elles peuvent
être déployées aisément, rapidement et à grande échelle. L’une des conditions
est d’obtenir l’assentiment et l’adhésion des utilisateurs qui, de maillons
faibles, deviennent donc par nécessité le maillon fort de la sécurité
numérique.

*Verizon 2018 Data Breach Investigations Report11th edition

source : JDN : E-business, FinTech, Big Data, IoT, tendances média, décideurs… March 14, 2019 at 07:55PM