deuxième édition · 2 analyse des risques et de la sécurité sur les appareils mobiles ......

1 Analyse des risques et de la sécurité sur les appareils mobiles

v 1.5 | © 2016 MobileIron, Inc.

Analyse des risques et de la sécurité sur les appareils mobiles Deuxième édition


En brefBienvenue dans la deuxième édition de l'analyse des risques et de la sécurité sur les appareils mobiles. Vous trouverez dans ce numéro une mise à jour du contexte des menaces pour les appareils mobiles, une discussion sur les risques émergents, une présentation des parts de marché des différents systèmes d'exploitation en entreprise et la liste noire des applications grand public. En conclusion, nous formulons des recommandations à destination des entreprises pour la protection de leurs actifs contre les risques et les menaces liés aux appareils mobiles.

Plusieurs nouvelles attaques mobiles menaçant les entreprises sont apparues. La plupart réutilisent de vieilles méthodes contre les services spécifiques des appareils mobiles, telles que l'utilisation par SideStepper de l'attaque de type « man in the middle » (MITM) contre MDM, et n'emploient pas de nouvelles techniques ou n'exploitent pas de nouvelles vulnérabilités. Toutefois, lorsque ces attaques contre les utilisateurs réussissent, elles peuvent entraîner la perte de données personnelles et professionnelles.

Ce trimestre a été marqué par l'augmentation du nombre d'incidents de conformité liés aux collaborateurs :

• Appareils avec des règles obsolètes• Appareils manquants• Appareils sur lesquels l'application EMM a été

supprimée

Tandis que les comportements à risque suivants ont reculé :

• Appareils piratés• Appareils sur lesquels le code PIN a été supprimé

Les autres évènements non conformes sont, dans l'ensemble, restés stables. Toutefois, les entreprises demeurent en retard en matière de protection des données d'entreprise sur les applications et les appareils mobiles, comme l'illustre le très faible nombre d'entreprises qui utilisent des logiciels de réputation des applications ou de prévention des menaces sur les appareils mobiles, ou qui effectuent des mises à jour du système d'exploitation.


Les fournisseurs de systèmes d'exploitation continuent à corriger les vulnérabilitésComme pour tout logiciel, plus un système d'exploitation reste longtemps sur le marché, plus il est probable que des vulnérabilités soient identifiées. De même, plus les fonctionnalités ajoutées sont nombreuses, plus le risque de bug est élevé. Les systèmes d'exploitation mobiles ne font pas exception à cette règle. Au cours du trimestre écoulé, Apple et Google ont chacun publié trois mises à jour de leur système d’exploitation mobile1.

Les mises à jour d'iOS incluaient la correction de plusieurs problèmes principalement liés à la corruption de la mémoire et à une potentielle fuite de données, ainsi que certaines failles donnant lieu à une élévation des privilèges2.

Les mises à jour de sécurité Android publiées au cours du trimestre ont corrigé 20 vulnérabilités critiques et 36 vulnérabilités à haut risque du dictionnaire Common Vulnerabilities and Exposures (CVE), dont un grand nombre étaient liées à l'élévation des privilèges ou à l'exécution de code à distance. Il convient également de noter que Google continue de corriger des défauts à la fois dans libstagefright et dans les bibliothèques mediaserver Android, qui ont tous deux attiré l'attention après l'identification, l'an passé, de vulnérabilités Stagefright par Joshua Drake, chercheur chez Zimperium3.

Contexte des menaces pour les appareils mobiles Les appareils et les applications mobiles deviennent une cible de plus en plus attirante. Dans de nombreux cas, les appareils mobiles utilisés à des fins professionnelles sont souvent également utilisés à des fins personnelles. Les menaces de sécurité mobile constituent autant un risque pour les entreprises que pour les utilisateurs. Les utilisateurs d'entreprise sont particulièrement vulnérables à ces attaques s'ils ne disposent pas de contrôles de sécurité EMM sur leurs appareils.

Exemples d'attaques récentes sur des appareils mobiles :

GMBot Android

Ce logiciel espion contrôle à distance les appareils infectés et trompe ses victimes afin qu'elles fournissent leurs identifiants bancaires. En décembre 2015, le code source a été publié en ligne. Les cybercriminels ont non seulement pu accéder gratuitement à ce code, mais un tutoriel et un mode d'emploi côté serveur ont également été mis à leur disposition pour faciliter la perpétration d'attaques.

Recommandation : la publication du code source signifie probablement que de nouvelles variantes de GMBot vont apparaître. Dans la mesure où les logiciels malveillants qui arrivent à contourner les premières analyses dans les magasins d'applications commerciales sont souvent détectés et supprimés très rapidement, le moyen le plus courant de les propager consiste à utiliser des magasins tiers ou des « sources non approuvées ». Pour vous protéger contre les logiciels malveillants, surveillez les appareils qui permettent l'installation d'applications provenant de « sources inconnues » ou sur lesquels le « débogage USB » est activé, et appliquez des mesures appropriées.

1 Apple lance officiellement iOS 9.3.1 le 31 mars 2016, le dernier jour du premier trimestre. 2 https://support.apple.com/en-us/HT206568, https://support.apple.com/en-us/HT206902 3 https://source.android.com/security/bulletin/2016-04-02.html https://source.android.com/security/bulletin/2016-05-01.html https://source.android.com/security/bulletin/2016-06-01.html


Logiciel malveillant AceDeceiver iOS

Le logiciel malveillant AceDeceiver est conçu pour voler les identifiants Apple d'une personne. Ce logiciel malveillant, qui était déguisé sous la forme d’un fond d'écran et a été mis en ligne sur l'App Store à la fin de l'année 2015, a réussi à infecter des appareils dont le système d'exploitation n'avait pas été piraté. Il n'utilise pas non plus de certificat d'entreprise délivré par Apple. Le faux fond d'écran invite les utilisateurs à se connecter à un magasin d'applications tiers où il leur est demandé d'entrer leurs identifiants Apple, qui sont ensuite volés et téléchargés sur un serveur. Nous incluons AceDeceiver dans notre liste des menaces du deuxième trimestre car il exploite des défauts du DRM d'Apple qui autorise la réinstallation du logiciel malveillant même après sa suppression du magasin d'applications, ce qui lui permet de persister d'une façon jamais vue auparavant.

Recommandation : il est important de noter que seules trois applications contenant le logiciel malveillant AceDeceiver ont été identifiées et, même si elles n'ont pas été détectées dans un premier temps, elles ont ensuite été identifiées et supprimées. Il est également important de rappeler que AceDeceiver peut se réinstaller sur les appareils iOS Apple à l'aide d'un autre logiciel malveillant présent sur un PC. Ironie du sort, le meilleur moyen de se protéger contre AceDeceiver est d'utiliser des solutions antivirus et anti-logiciels malveillants traditionnelles pour PC pour empêcher que ces derniers ne soient infectés par l'utilitaire qui est utilisé pour recharger AceDeceiver.

« Vulnérabilité » SideStepper iOS

En mars 2016, des chercheurs en sécurité de Check Point ont à nouveau mis en évidence les risques des attaques de type « décodage du mot de passe » ou « attaque de l’intercepteur » (man in the middle, MITM), qui consistent à intercepter et manipuler le trafic entre un serveur MDM et un appareil géré, en ciblant particulièrement les commandes d'installation d'application par MDM pour installer des applications qui peuvent « contourner » les processus d'approbation normaux des applications. L'attaque SideStepper cherche à tromper l'utilisateur final pour qu'il installe un profil de configuration malveillant, généralement à la suite d'une attaque d'hameçonnage. L'utilisateur doit confirmer l'installation du profil et confirmer des invites supplémentaires pour installer les applications malveillantes.

Recommandation : le risque de SideStepper réside principalement dans l'exécution réussie d'une attaque MITM. Pour vous protéger contre ce type d'attaques, configurez les restrictions d'iOS pour empêcher les utilisateurs d'accepter des certificats SSL non approuvés et l'installation de profils de configuration. Pour les clients MobileIron qui possèdent des règles de sécurité plus strictes, songez à activer un mode FIPS.

5

Problèmes très graves d'OpenSSL

En mai 2016, OpenSSL a dévoilé deux failles4. L’une d’elles, CVE-2016-2107, ouvre la voie à une attaque Padding Oracle qui peut permettre le déchiffrement du trafic si la connexion utilise un chiffrement AES CBC et que le serveur prend en charge les instructions AES-NI. Le second problème est une vulnérabilité de corruption de mémoire dans l'encodeur ASN.1 utilisé dans OpenSSL. Ces vulnérabilités peuvent potentiellement avoir un impact sur un grand nombre d'applications et de services, ce qui peut in fine compromettre les données en transit de l'entreprise.

Recommandation : les problèmes très graves d'OpenSSL ne se limitent pas aux seuls appareils mobiles. Nous les soulignons ici car ils sont représentatifs d'un nouveau type de risques créés par l'utilisation de composants open source et partagés. Les vulnérabilités de ces types de composants peuvent entraîner, en raison de leur omniprésence, une exposition généralisée aux risques. La protection contre ces types de vulnérabilités exige un inventaire des composants open source qui peuvent être utilisés dans votre environnement et une analyse du code source des applications et des services qui utilisent ces composants.

Logiciel malveillant Marcher Android

Depuis sa première apparition en 2013, Marcher a évolué pour imiter les pages Web de banques qui conduisent les utilisateurs à saisir leurs informations de connexion via des sites de commerce en ligne.

Recommandation : ici encore, le logiciel malveillant est relativement ancien et, non seulement il persiste, mais il élargit ses cibles. Nous mentionnons Marcher dans ce rapport car il a commencé à cibler de nouvelles banques au cours du dernier trimestre. Les recommandations pour vous protéger contre Marcher sont les mêmes que celles fournies pour GMBot : surveillez les appareils qui permettent l'installation d'applications provenant de « sources inconnues » ou sur lesquels le « débogage USB » est activé, et appliquez des mesures appropriées.

4 https://threatpost.com/openssl-patches-two-high-severity-vulnerabilities/117792/


Augmentation des risques et des coûts liés à la sécurité mobileLes incidents de sécurité sont souvent annonciateurs d'une violation car ils rendent un appareil ou une application vulnérable et peuvent faire courir un risque aux données d'entreprise. Un appareil mobile qui est piraté ou non conforme accroît la vulnérabilité d’une entreprise, et donc le coût des vols de données. En 2016, le Ponemon Institute a mené une étude auprès de 383 entreprises dans 12 pays. Les résultats ont montré que le coût total d'un vol de données s'élevait en moyenne à 4 millions de dollars, soit une augmentation de 29 % par rapport à 20135.

Hausse des incidents de sécurité liés aux collaborateurs Appareils manquants

Un appareil manquant est défini comme un appareil qui est hors de contact pendant une longue période. Il peut être perdu, volé, non utilisé ou éteint. 40 % des entreprises recensaient des appareils manquants, contre 33 % au quatrième trimestre 2015. Les entreprises allemandes étaient les plus susceptibles de compter des appareils manquants (50 %) et les entreprises espagnoles les moins concernées par ce phénomène (25 %).

Recommandation : en cas d'appareils manquants, il est important de « fermer la boucle » avec l'utilisateur final pour déterminer l'état réel d'un appareil qui est manquant. Outre le placement en quarantaine de l'appareil pour éviter tout accès aux ressources d'entreprise, les entreprises doivent utiliser les mécanismes de notification automatique pour informer à la fois les utilisateurs finaux et le service informatique afin que l'état de l'appareil puisse être déterminé et, si nécessaire, que d'autres mesures puissent être prises.

Règles obsolètes

Les règles deviennent obsolètes lorsque l'administrateur de l'informatique mobile modifie une règle sur la console, mais que le changement n'est pas propagé sur tous les appareils mobiles. La part d'entreprises avec des règles obsolètes est passée de 20 % au quatrième trimestre 2015 à 27 % au deuxième trimestre 2016. Les entreprises américaines étaient les plus nombreuses à fonctionner avec des règles obsolètes (33 %) et les entreprises espagnoles les moins nombreuses (20 %).

Recommandation : comme les appareils manquants, l'existence de règles obsolètes exige que des mesures soient prises par le service informatique et, éventuellement, par l'utilisateur final. Dans la mesure où, par définition, les appareils assortis de règles obsolètes ne sont pas conformes à la configuration standard actuelle, le service informatique et les utilisateurs finaux doivent être informés et l'accès aux ressources d'entreprise doit être limité pendant le diagnostic et la résolution du problème.

5 http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=SEL03094WWEN


Appareils sur lesquels le profil EMM a été supprimé

Ce type de non-conformité peut être dû à différentes activités. Nous estimons que la majorité des cas survient lorsqu'un collaborateur change d'appareil et désactive son ancien appareil ou lorsqu'un collaborateur rétablit les paramètres d'usine sur son appareil. Toutefois, il existe également des cas où le collaborateur supprime délibérément le profil EMM d’un appareil qu’il ne souhaite plus utiliser à des fins professionnelles pour des raisons de confidentialité.

Le pourcentage d’entreprises où l'application EMM a été supprimée sur un ou plusieurs appareils mobiles est passé de 5 % au quatrième trimestre 2015 à 26 %. Si moins de 1 % des appareils faisaient partie de cette catégorie, ils étaient répartis dans un plus grand nombre d'entreprises. La raison de cette augmentation n'est pas connue. Néanmoins, cette tendance est surprenante compte tenu de la prise de conscience générale que le piratage d'un seul appareil accroît le risque d'attaque et peut introduire un logiciel malveillant sur le réseau d'entreprise ou permettre le vol de données d'entreprise sensibles qui se trouvent derrière le pare-feu. Les entreprises américaines étaient les plus enclines à utiliser des appareils non gérés par EMM (30 %) et les entreprises britanniques étaient les moins susceptibles d'être dans cette situation (17 %).

Recommandation : les collaborateurs ont des attentes en matière de confidentialité des données personnelles stockées sur leur appareil. Les entreprises doivent expliquer de façon simple à leurs collaborateurs ce qu’elles peuvent et ne peuvent pas voir sur un appareil, ce qu’elles peuvent faire, et pourquoi elles ont besoin de cette visibilité. Si l'acceptation de conditions d'utilisation formelles est généralement exigée par les entreprises, celles-ci doivent s'adresser à leurs collaborateurs par un autre moyen, en utilisant des mots simples qu'ils pourront facilement comprendre, dès lors qu'il s'agit de la confidentialité de leurs données. Une bonne pratique consiste à afficher ces informations lorsque les employés sont le plus à même d'y penser, par exemple, lorsqu'ils activent la solution EMM et configurent leur appareil. Ces informations peuvent être présentées sous la forme d'une fenêtre contextuelle, comme dans certaines applications de productivité populaires telles que Dropbox ou Evernote, ou d'une page facilement accessible, par exemple sur l'intranet de l'entreprise.

Diminution des comportements à risqueAppareils piratés

Souvent désigné comme étant jailbreaké ou rooté, un appareil est piraté lorsque le système d'exploitation a été falsifié et que la sécurité fondamentale du système d'exploitation a été contournée. Cela inclut l'octroi à l'utilisateur de privilèges root ou de « superutilisateur » ou la suppression des restrictions liées à un environnement d'applications en bac à sable, etc. Le pourcentage d'appareils piratés a légèrement reculé, avec 10 % des entreprises qui signalaient au moins un appareil piraté au quatrième trimestre 2015 contre 9 % au deuxième trimestre 2016. Les entreprises belges sont les plus nombreuses à compter des appareils piratés permettant d'accéder à des données d'entreprise (12 %), tandis que les entreprises britanniques sont les moins nombreuses dans cette situation (4 %).


Les pratiques de sécurité restent stablesAppareils non conformes

Cette catégorie inclut l'ensemble des violations de règles observées dans nos données. La notion de non-conformité revêt un sens différent selon les entreprises, mais dans tous les cas, cela signifie que l'appareil effectue une action que l'entreprise n'a pas autorisée. Non seulement les appareils non conformes compromettent potentiellement les données d'entreprise, mais ils peuvent également exposer les entreprises à des violations de la réglementation. Plus de 50 % des entreprises recensaient au moins un appareil non conforme aux règles au deuxième trimestre 2016. Cette proportion est restée stable par rapport au quatrième trimestre 2015. Les entreprises allemandes sont les plus susceptibles d'avoir au moins un appareil non conforme (66 %), tandis que les entreprises britanniques sont les moins nombreuses dans cette situation (39 %).

Recommandation : les entreprises doivent évaluer la gravité et l'importance des différentes facettes de leurs règles de sécurité mobile et prendre les mesures appropriées. S'il peut être adapté de se limiter à informer les utilisateurs lorsqu'une règle ou un paramètre de configuration est obsolète, le placement en quarantaine ou le nettoyage sélectif des appareils est plus approprié pour les appareils dont la sécurité du système d'exploitation est compromise ou dont les contrôles MDM ont été désactivés. Il est crucial que les entreprises adaptent leur appétence pour le risque aux différents types de violations des règles et configurent les contrôles appropriés pour fournir des réponses et une correction automatiques.

Réalisation des mises à jour du système d'exploitation

Les règles EMM peuvent imposer une version minimale du système d'exploitation afin d'encourager les utilisateurs à mettre à niveau et donc à corriger leurs appareils. 8 % des entreprises exigeaient la mise à jour des systèmes d'exploitation, un chiffre comparable à celui du quatrième trimestre 2015. Les entreprises belges sont presque deux fois plus enclines à imposer la mise à jour des systèmes d'exploitation que les entreprises de toute autre région (15 %). Les entreprises japonaises sont les moins nombreuses à réaliser ces mises à jour (2 %).

Les logiciels EMM peuvent informer le service informatique en cas d'incident et lui offrir une fenêtre d'opportunité critique pour corriger toute faille de sécurité et garantir que les appareils mobiles de l'entreprise sont correctement protégés. Les recommandations de ce rapport présentent certaines mesures que les entreprises peuvent prendre pour se protéger des attaques mobiles telles que celles répertoriées ci-dessus.

Recommandation : comme indiqué précédemment dans ce rapport, les fournisseurs de systèmes d'exploitation mobiles prennent la sécurité au sérieux et proposent des mises à jour régulières pour régler les problèmes de sécurité. Les entreprises doivent toujours examiner le contenu de sécurité de ces mises à jour et imposer des versions minimales du système d'exploitation pour garantir que leur parc mobile est suffisamment protégé.


Service de réputation des applications et de prévention des menaces sur les appareils mobiles

Les logiciels de réputation des applications et de prévention des menaces sur les appareils mobiles fournissent aux entreprises une meilleure visibilité sur le comportement des applications exécutées dans leur environnement. Ces outils peuvent aider les entreprises à se défendre contre les logiciels malveillants et, plus important encore, peuvent être utilisés pour surveiller les comportements d'applications spécifiques et créer des « profils » de caractéristiques acceptables et inacceptables (par exemple, que les applications se connectent ou non à des services de synchronisation et de partage de fichiers stockés dans le cloud). Moins de 5 % des entreprises ont déployé un logiciel de réputation des applications, un chiffre comparable à celui constaté au quatrième trimestre 2015 et qui est resté uniforme dans toutes les régions.

Recommandation : la création manuelle de listes noires ne constitue pas une approche évolutive en matière de gestion des risques liés aux applications mobiles. Les entreprises doivent plutôt profiter des services de réputation des applications et de prévention des menaces sur les appareils mobiles pour mettre l'accent sur des comportements et des compétences génériques au lieu d'essayer de gérer manuellement des listes de progiciels.


Entreprises comptant des appareils permettant d'accéder à des données d'entreprise piratés (c.-à-d. jailbreakés ou rootés)

International Belgique France Allemagne Japon Espagne Royaume-Uni États-Unis Admin.

% d'entreprises dont des appareils ont été piratés :

9 % 12 % 12 % 6 % 4 % 10 % 4 % 11 % 8 %

Entreprises imposant la mise à jour du système d'exploitation


% d'entreprises qui effectuent des mises à jour du système d'exploitation :

8 % 15 % 5 % 10 % 2 % 6 % 5 % 9 % 9 %


Entreprises qui recensent des appareils non conformes


% d'entreprises qui recensent des appareils non conformes :

53 % 62 % 55 % 66 % 53 % 40 % 39 % 58 % 61 %

Entreprises qui recensent des appareils manquants (non conformes pendant une période prolongée)


% d'entreprises qui recensent des appareils manquants :

40 % 46 % 38 % 50 % 32 % 24 % 30 % 46 % 48 %


Entreprises ayant demandé à leurs utilisateurs de supprimer MDM


% d'entreprises ayant demandé à leurs utilisateurs de supprimer MDM :

26 % 30 % 24 % 26 % 24 % 20 % 17 % 30 % 28 %

Entreprises utilisant des règles obsolètes


% d'entreprises utilisant des règles obsolètes :

27 % 23 % 22 % 26 % 25 % 20 % 21 % 33 % 33,8 %

Evernote et Line rejoignent la liste noire des applications grand public

La liste des dix applications grand public non gérées que les entreprises ajoutent le plus souvent sur liste noire a évolué entre le quatrième trimestre 2015 et le deuxième trimestre 2016. Line et Evernote figurent parmi les nouveaux entrants dans la liste. C'est au Japon, suivi du Royaume-Uni et des États-Unis, que Line, une application vocale et de messagerie gratuite japonaise, était le plus souvent placée sur liste noire. Facebook est passé de la troisième à la deuxième place, tandis que Skype a progressé de la neuvième à la quatrième place. OneDrive a chuté de la quatrième à la septième place et Google Drive a reculé de la cinquième à la huitième place. Enfin, Twitter est passé de la huitième à la neuvième place.

La liste noire illustre la tension entre le service informatique et les collaborateurs. Les collaborateurs souhaitent utiliser les applications grand public qu'ils aiment lorsqu'ils sont au travail. Par chance, des versions d'entreprise d'applications telles que Box, Dropbox et Evernote sont disponibles, ce qui permet aux entreprises d'offrir à leurs collaborateurs l'expérience qu'ils attendent tout en protégeant les données d'entreprise.

T4 2015 T2 2016 :

1 Dropbox Dropbox

2 Angry Birds Facebook

3 Facebook Angry Birds

4 OneDrive Skype

5 Google Drive Line

6 Box Box

7 WhatsApp OneDrive

8 Twitter Google Drive

9 Skype Twitter

10 SugarSync Evernote



Coup de projecteur sur un secteur : l'administrationLes organisations gouvernementales ont des exigences de sécurité parmi les plus rigoureuses, ce qui peut leur poser des difficultés pour suivre le rythme rapide des technologies mobiles. Les processus d'approbation peuvent être longs et approfondis, ce qui amène ces organisations à utiliser des technologies obsolètes qui les rendent vulnérables aux menaces modernes.

Alors que la réglementation se renforce, nos données montrent que les organisations gouvernementales à travers le monde sont confrontées à un plus grand risque que les autres entreprises étudiées dans cette enquête. • 61 % des organisations gouvernementales ont au moins un appareil non conforme,

contre une moyenne mondiale de 53 %.• 48 % des organisations gouvernementales recensent des appareils manquants,

contre une moyenne mondiale de 40 %.• 34 % des organisations gouvernementales utilisent des règles obsolètes,

contre une moyenne mondiale de 27 %.• 28 % des organisations gouvernementales ont demandé à leurs utilisateurs de

supprimer l'application EMM de leurs appareils, contre une moyenne mondiale de 27 %.

iOS reste majoritaire en entrepriseLa part des appareils iOS est passée de 78 % au quatrième trimestre 2015 à 81 % au deuxième trimestre 2016. La part des appareils Android est restée stable à environ 18 % sur la même période.

Ce trimestre est marqué par la répartition régionale de l'adoption des systèmes d'exploitation. L'Espagne affiche la plus grande part de marché des appareils Android et la plus petite part de marché des appareils iOS. À l'inverse, le Japon a la plus grande part de marché des appareils iOS et la plus petite part de marché des appareils Android.

Parts de marché des systèmes d'exploitation par pays


81 % 84 % 50 % 85 % 92 % 33 % 83 % 86 % 82 %

18 % 15 % 50 % 14 % 5 % 66 % 16 % 14 % 18 %


RésuméLa mobilité fait désormais partie de la vie quotidienne de toute entreprise internationale et les collaborateurs s'attendent à pouvoir accéder, partout et à tout moment, aux applications et aux données d'entreprise. Autoriser cet accès améliore la productivité et permet plus de souplesse dans l'équilibre entre la vie professionnelle et la vie privée des collaborateurs. L'accès mobile n'est toutefois pas sans risque et les services informatiques ne peuvent plus se permettre d'ignorer ces risques.

Les solutions EMM, telles que la plateforme MobileIron, offrent les outils de base pour réduire ces risques tout en permettant au personnel de gagner en mobilité. De plus, elles sont conçues pour réduire les risques tout en protégeant la confidentialité des données personnelles des collaborateurs (photos, messages, e-mails personnels) contenues sur l'appareil mobile. Néanmoins, malgré la disponibilité de solutions EMM, nous constatons un nombre croissant de failles de sécurité.

Il est important de noter que ces failles de sécurité ne sont pas dues à des faiblesses des EMM. Nos données font au contraire apparaître que de nombreux services informatiques n'ont tout simplement pas considéré la sécurité mobile comme une priorité, même dans des entreprises qui utilisent actuellement des EMM. Comme indiqué dans nos recommandations ci-dessous, les entreprises peuvent donner la priorité à la sécurité mobile tout en préservant la productivité et le respect de la vie privée des collaborateurs.


Recommandations Dans chaque service informatique conscient des contraintes budgétaires, la grande question est la suivante : « c'est une excellente idée, mais combien cela va-t-il coûter ? ». L'effort permanent pour sécuriser les données et les applications mobiles peut sembler onéreux au premier abord, mais l'approche la plus rentable a été répétée maintes fois : « mieux vaut prévenir que guérir ». Le coût de la prévention d'une attaque mobile est largement inférieur aux 4 millions de dollars que coûte le nettoyage après une attaque.

La bonne nouvelle est que ces recommandations peuvent aider les services informatiques à s'appuyer sur les ressources qui existent déjà, mais dont le potentiel n'est pas pleinement exploité.

1. Protégez tous les appareils. Les entreprises gèrent généralement une fraction des appareils mobiles à l'aide d'une solution EMM. Tout appareil non géré constitue une brèche pour des pirates souhaitant voler des données d'entreprise. Les services informatiques doivent s'assurer que les contrôles de sécurité mobile sont déployés et mis en œuvre sur chaque appareil utilisé pour accéder aux données et aux applications d'entreprise.

2. Mettez en place des règles de sécurité mobile. Il est essentiel de gagner la confiance des utilisateurs pour conserver les contrôles EMM sur les appareils mobiles, mais les services informatiques ne doivent pas placer la sécurité de l'entreprise entre les seules mains des utilisateurs finaux. Cela signifie que les collaborateurs ne doivent pas être autorisés à supprimer les contrôles de sécurité EMM sans l'autorisation du service informatique. À l'avenir, le service informatique doit envisager de déployer tous les appareils qui sont sous la responsabilité de l'entreprise à l'aide du programme d'inscription des appareils (DEP, Device Enrollment Program) d'Apple, du programme KNOX Samsung ou de la fonction Propriétaire de l'appareil Android for Work, qui sont tous à présent largement disponibles. Ces fonctionnalités empêchent les utilisateurs de supprimer ou de contourner les règles de sécurité de l'entreprise sur ces appareils.

Dans la plupart des entreprises, la sensibilisation et la mise en œuvre d'une sécurité mobile sont encore en phase de maturation. En consultant les travaux de recherche actuels sur les menaces de sécurité mobile et les failles des appareils mobiles, des applications, des réseaux et des comportements des utilisateurs, les services informatiques peuvent améliorer en permanence les tactiques de sécurité pour protéger les données d'entreprise, où qu'elles se trouvent. Les entreprises dans lesquelles une solution EMM, telle que la plateforme MobileIron, est déjà déployée disposent de la plupart des outils dont elles ont besoin. Il leur suffit alors de les mettre en pratique.

Méthodologie :

Les données de ce rapport sont des données normalisées et anonymes recueillies entre le 1er avril et le 30 juin 2016. Nous estimons que ce rapport constitue l'analyse la plus exhaustive de données relatives à la sécurité des appareils mobiles en entreprise pour les trois principaux systèmes d'exploitation mobiles : Android, iOS et Windows.

deuxième édition · 2 analyse des risques et de la sécurité sur les appareils mobiles ......

Documents