Saviez-vous que 24% des appareils d’entreprise ne recevront jamais de protection contre les vulnérabilités critiques? Voici comment empêcher vos données mobiles d’échapper aux pirates informatiques.
Les données corporatives ont dépassé vos quatre murs et se retrouvent maintenant sur les appareils mobiles des employés. Cela fait des téléphones intelligents, tablettes et autres appareils une cible privilégiée des attaques.
Les pirates lancent maintenant des attaques Rowhammer contre les téléphones Android.
Après qu’un utilisateur Android ait visité une page web malveillante, l’exploit installe du code qui fait que les cellules mémoire « retournent » leurs uns et zéros. Cela modifie l’information stockée dans la mémoire de l’appareil. Il s’agit de « la toute première mise en œuvre à distance, ciblant les téléphones intelligents, de l’attaque Rowhammer », selon Wired.
L’éléphant dans la pièce : appareils Android non sécurisés
Les attaques contre les androïdes continueront d’augmenter, car ils sont des cibles faciles.
Beaucoup d’appareils Android sont lancés avec des systèmes d’exploitation qui ont déjà un an.
De plus, ces appareils sont rarement – voire jamais – corrigés.
En fait, 71% de tous les utilisateurs Android des cinq principaux opérateurs américains utilisent des correctifs de sécurité datant d’au moins deux mois, selon une étude de Symantec.
Par ce temps, Google a révélé que la moitié des appareils Android utilisés n’avaient pas reçu de mise à jour de sécurité de la plateforme au cours de l’année précédente.
Le graphique suivant de Symantec montre la fréquence des correctifs Android. Au moment où les appareils ont cinq mois, seulement trois pour cent d’entre eux reçoivent des correctifs mensuels.
Source : Symantec Mobile Threat Intelligence Report
Les appareils mobiles non sécurisés représentent une menace majeure pour les entreprises américaines. En fait, la Federal Trade Commission a abordé la question. Le rapport de la FTC indique que de nombreux appareils « restent sans mises à jour de sécurité importantes pendant de longues périodes – soit parce qu’aucune mise à jour n’est émise, soit parce que l’approbation et le déploiement d’un correctif sont un processus long, soit parce que les utilisateurs n’installent pas les mises à jour disponibles. » Le rapport indique également que, bien que des appareils avec un support robuste soient disponibles, ils « peuvent être difficiles à identifier car les fabricants ont tendance à fournir peu d’informations sur les périodes de support avant l’achat. »
3 façons de protéger les appareils mobiles de votre entreprise
Avec si peu de protection dès l’emploi, les entreprises doivent trouver d’autres moyens de protéger leurs appareils mobiles.
Voici trois étapes qui vous aideront à protéger vos données sensibles :
-
Choisissez une plateforme qui peut être corrigée
Cela ne sera peut-être pas bien accueilli dans votre entreprise, mais vous devriez envisager d’interdire l’utilisation des appareils Android puisqu’ils ne sont pas assez sécurisés pour une utilisation en entreprise.
Les employés sont souvent attachés à leur téléphone et beaucoup n’aiment pas abandonner leur Android. Mais vous ne pouvez pas permettre les appareils non patchés et non contrôlés sur votre réseau. Créez une politique d’entreprise stipulant que les employés ne peuvent utiliser que des appareils sécurisés pour le travail.
Apple corrige ses téléphones et offre une plus grande rigueur dans leur boutique d’applications, donc l’iPhone est un meilleur choix. Symantec déclare : « Les appareils iOS d’Apple adoptent généralement rapidement les mises à jour de sécurité parce que le logiciel, le matériel et le mécanisme de distribution sont tous étroitement intégrés. Ce n’est pas le cas pour Android, qui supporte plusieurs plateformes matérielles et composants à travers plusieurs opérateurs mobiles, chacun devant créer sa propre variante du correctif de sécurité avant la distribution. »
Cependant, les employés n’auront peut-être pas besoin de rester longtemps sans leurs appareils Google.
Google investit dans la sécurité mobile et propose maintenant un téléphone Pixel qui peut être corrigé de façon fiable. L’avenir d’Android pourrait être le système d’exploitation Fuchsia de Google.
-
Correctement du mandat
Pour les organisations sécurisées, le patchage de vos appareils mobiles n’est pas optionnel, car vos employés stockent désormais des données sensibles dessus. Vous pouvez améliorer la sécurité de vos appareils en obligeant les employés à installer des correctifs.
Grâce aux plateformes de gestion d’appareils mobiles, vous pouvez forcer les employés à corriger leur téléphone. Par exemple, s’ils ne patchent pas leurs téléphones, ils ne pourront pas accéder à leurs comptes courriel.
-
Gardez un œil sur votre réseau
Un système de détection d’intrusion vous aidera à identifier les appareils compromis et à vous alerter des menaces potentielles, comme des infections par balisage ou des attaques d’hameçonnage. Les infections par balisage – lorsqu’un actif compromis signale un hôte mauvais connu – deviennent de plus en plus fréquentes. Vous pouvez aussi effectuer un scan quotidien de votre réseau pour localiser les appareils vulnérables.
Assurez-vous de vérifier régulièrement votre inventaire pour voir si des employés ajoutent des appareils malveillants à votre réseau. De cette façon, vous pouvez régler un problème de façon proactive avant qu’un pirate pirate ne pénètre dans votre réseau via l’appareil mobile d’un employé. Vous pouvez aussi surveiller des comportements dangereux, comme les employés qui tentent d’installer des applications non autorisées sur leur téléphone.
L’avenir de la sécurité de vos appareils mobiles
Bien que les attaques contre les appareils mobiles soient en hausse, il n’y a pas encore eu d’événement majeur « WannaCry » sur les téléphones cellulaires. Pour cette raison, de nombreuses entreprises ont été lentes à protéger leurs appareils mobiles et à s’assurer qu’ils soient régulièrement corrigés.
Cependant, ce n’est qu’une question de temps avant qu’une attaque contre les appareils mobiles d’une entreprise ne fasse la une des journaux. Vous ne voulez pas être un pionnier dans ce domaine.
Travailler avec un fournisseur de services gérés (MSP) peut vous aider à sécuriser vos appareils mobiles – en les maintenant corrects et conformes. Un MSP peut prendre des mesures pour protéger vos données, comme installer une protection contre les terminaux et les logiciels malveillants sur les appareils de votre entreprise.
Ils peuvent aussi surveiller vos appareils 24h/24 et 7j/7 pour détecter toute activité suspecte.
Prochaines étapes
Pour en savoir plus sur la façon de sécuriser les appareils mobiles de votre entreprise, nous vous suggérons de lire :
- Ce que vous devriez savoir sur la sécurité des terminaux
- Pourquoi et comment bloquer les failles de sécurité au niveau du point de terminaison
- 10 questions pour déterminer si votre IDPS est bien configuré
Vous pouvez aussi nous contacter dès aujourd’hui pour découvrir comment nous pouvons vous aider à protéger les appareils mobiles de votre entreprise.