Autrefois considérés comme un produit de luxe, les terminaux mobiles sont devenus un produit courant pour pratiquement tous les habitants de notre planète — hommes, femmes et enfants. En entreprise, téléphones mobiles et tablettes se sont imposés comme une nécessité ces dernières années. Et la tendance s'est encore accentuée avec l’évolution des technologies et le développement du télétravail.
Malgré des gains de productivité pour les travailleurs nomades, la sécurité de leurs appareils laisse à désirer… ce que hackers et cybercriminels exploitent à leur profit. Face à l’inéluctable marche en avant du progrès technologique, votre entreprise doit être prête à relever les défis de demain. Quel que soit votre secteur d’activité, de l'e-commerce au secteur de la santé, n’attendez plus pour sensibiliser vos collaborateurs aux bonnes pratiques de cybersécurité. Dans cet article, nous parlerons de sécurité mobile, des menaces courantes et des moyens de vous en prémunir et de rester productif.
Clés, portefeuille, téléphone : les indispensables d'aujourd'hui
Les temps changent. Notre dépendance vis-à-vis des appareils mobiles aussi. Avec la pandémie de Covid-19, de nombreuses entreprises ont été contraintes d'envoyer leurs collaborateurs travailler chez eux. Les experts estiment d'ailleurs que cette tendance pourrait se poursuivre tout au long de l’année 2021. Dans un avenir proche, on peut s’attendre à une augmentation du nombre de mobinautes avec un usage en hausse des smartphones pour les communications sms, e-mail et téléphoniques.
Parallèlement à l'essor du télétravail, de plus en plus d’organisations se tournent vers les solutions de Cloud Computing. Des études montrent qu’en 2021, 35 % des entreprises opteront pour ce type de service, idéal pour relier leurs employés. Ces derniers peuvent ainsi communiquer, voir le reflet de leur travail en temps réel, et accéder facilement aux applications dont ils ont besoin. Là encore, ces transitions organisationnelles sont formidables dans la pratique, mais si la sécurité n’est pas considérée comme une priorité, les données des entreprises et de leurs clients se retrouvent à la merci de pirates malintentionnés.
Malgré les avantages pour votre entreprise d'être reliée à vos collaborateurs, il suffirait qu'un hacker accède au terminal mobile d'un seul utilisateur pour pouvoir exploiter le réseau et infecter d'autres collaborateurs, jusqu'aux dirigeants. Pour étouffer le problème dans l'œuf, votre entreprise doit mettre en œuvre une politique d'utilisation acceptable et s'assurer qu'elle soit comprise et signée par l’ensemble de votre personnel. Dans ce document, vous aurez établi la liste des appareils qui peuvent être utilisés et des lieux où leur utilisation est autorisée. Si les appareils appartenant à l'entreprise ne sont destinés qu'à un usage professionnel, cela doit également être précisé. [Par ailleurs], pensez à intégrer la sensibilisation à la cybersécurité à vos programmes d'onboarding et de formation.
Menaces courantes pour la sécurité mobile
Pendant que notre monde change, les cybercriminels modifient aussi leurs tactiques. De nombreuses personnes travaillent depuis leur domicile ou dans des lieux publics. Les hackers en profitent par conséquent pour monter des attaques par interception (« man-in-the-middle »). Il s’agit de créer de faux réseaux wifi gratuits maquillés pour faire croire aux victimes qu’elles sont sur un réseau officiel. Or, lorsque vous vous connectez, la connexion est directement établie avec le système du pirate. Et c'est là que vos données peuvent être volées.
Contre une attaque de type « man-in-the-middle », la première ligne de défense consiste à vérifier que vous êtes sur le bon réseau wifi avant de vous connecter. Vous pouvez aussi désactiver complètement les fonctionnalités wifi de votre appareil. Au-delà de ça, tous les téléphones doivent être équipés d'un système de chiffrement des e-mails, soit par le biais d'un certificat numérique, d'un réseau privé virtuel (VPN) ou via une option de chiffrement activable sur tous les téléphones mobiles et tablettes récents.
L'hameçonnage restera toujours une technique prisée des hackers qui cherchent à pousser leurs victimes à réagir de manière impulsive. L’e-mail qu’ils envoient à leur cible semble provenir d'une personne haut placée. Le message contient un lien ou une pièce jointe, mais en cliquant dessus, le destinataire permet à un virus ou un malware de s’introduire dans son système. À partir de là, les hackers peuvent mettre la main sur les données ou les verrouiller à l’aide d’un rançongiciel.
Les hackers adaptent souvent leurs messages au gré des événements. Ils pourront ainsi se faire passer pour des membres de la Haute Autorité de Santé annonçant un vaccin ou un médicament prometteur contre le Covid-19. Ils pourront également se targuer d’être votre fournisseur de services cloud, vous demandant de cliquer sur un lien afin de mettre à jour vos identifiants de connexion.
Aujourd'hui plus que jamais, il faut savoir déjouer ces escroqueries. Vos collaborateurs ne doivent jamais cliquer sur un lien ou une pièce jointe, sauf s'ils reconnaissent l'expéditeur ou si le message était attendu. Il faut aussi savoir repérer les signes d’alertes permettant d'identifier un e-mail d’hameçonnage :
● Présence de nombreuses fautes d'orthographe dans l'objet et le corps de l'e-mail (qui indiquent une tentative de contournement des filtres antispam)
● Salutation générale, telle que « à qui de droit » ou « à toute personne concernée »
● E-mail présentant une apparence « officielle », mais provenant d'un service mail comme Gmail ou Yahoo
Sécurité mobile : soyez proactif !
Même si les menaces peuvent changer, votre rempart de protection pourra résister à condition de respecter des normes de sécurité éprouvées. Un logiciel antivirus doit être installé sur chaque appareil mobile et sur les ordinateurs et systèmes de sauvegarde dans les bureaux principaux. Cet antivirus doit être associé à un pare-feu pour bloquer un maximum de trafic indésirable. Ces deux programmes doivent être mis à jour dès qu'une nouvelle version est disponible afin de protéger votre système contre les dernières menaces.
Outre ces logiciels, adoptez des réflexes de prudence comme l'utilisation de mots de passe forts à base de lettres, de chiffres et de caractères spéciaux. Ces mots de passe doivent être difficiles à deviner et ne comporter aucun indice qu'un hacker pourrait trouver sur vos profils de réseaux sociaux. Les mots de passe doivent être changés tous les deux mois, et si un employé quitte l'entreprise, son accès à l'appareil et à tous les programmes installés doit être révoqué.
Mais même les mots de passe les plus compliqués peuvent être percés à jour. Pensez par conséquent à ajouter l'authentification à deux facteurs (2FA) sur tous les appareils mobiles. Il s'agit d'une deuxième forme d'identification, combinée à votre mot de passe, que vous êtes le seul à posséder. Les SMS 2FA et les applications d'authentification qui utilisent une clé secrète pour débloquer l'accès aux applications constituent les types d’authentification à deux facteurs les plus courants. Mais, même avec toutes ces protections en place, rien n’empêchera un pirate de faire des dégâts si votre appareil atterrit dans ses mains. Téléphones et tablettes ne doivent par conséquent jamais être laissés sans surveillance. Lorsqu'ils ne sont pas utilisés, ils doivent rester dans votre poche.
Au fil du temps, le rôle des terminaux mobiles sera amené à évoluer. Ils joueront un rôle de plus en plus important dans le développement de nos entreprises et pour l'efficacité de collaborateurs sursollicités. Prenez dès maintenant le temps de protéger vos systèmes pour permettre à vos équipes de se concentrer sur leur travail et pas sur les risques.
Note. Cet article de blog a été écrit par un contributeur invité dans le but d'offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.
