Qu’est-ce que la sécurité mobile ? Tout savoir sur la sécurité des appareils mobiles

La croissance rapide de l’adoption des appareils mobiles en entreprise tient en grande partie au fait que les organisations ont besoin que leurs collaborateurs puissent travailler partout, sur n’importe quel appareil. En raison de leur polyvalence, les technologies mobiles gagnent du terrain dans de nombreux secteurs :

• Santé : appui aux soignants qui interviennent auprès de patients, parfois en situation d’urgence.
• Éducation : programmes individuels ou parcs d’appareils partagés qui enrichissent l’apprentissage des élèves.
• Chaîne d’approvisionnement et logistique : suivi et acheminement des approvisionnements.
• Commerce de détail : gestion instantanée des ventes, des données clients et de l’inventaire en quelques clics.
• Finance : suivi des données financières et gestion des investissements à tout moment.
• Vente : du matériel économe en énergie pour des équipes mobiles performantes et connectées.
• Aviation : 18 kg de manuels de vol et de cartes de navigation condensés dans 800 grammes à peine.

Grâce à l’alliance parfaite entre puissance informatique et légèreté, les appareils mobiles sont parfaits pour offrir aux utilisateurs un accès facile et sécurisé aux ressources essentielles, partout et à tout moment.

La sécurité du parc mobile présente de nombreuses similitudes avec celle des ordinateurs de bureau. En effet, les acteurs malveillants diversifient et font évoluer leurs menaces, si bien que ce qui affecte un appareil peut rapidement se propager à d’autres. C’est vrai, chaque plateforme a ses spécificités. Pourtant, l’un des principaux obstacles à la sécurité des appareils mobiles ne réside pas tant dans ces variables que dans le fait que les organisations omettent tout simplement de contrôler les risques liés à ces appareils.

Dans cet article de blog, nous nous intéressons aux défis et aux mythes qui entourent la sécurité des appareils mobiles. Nous allons notamment :

• Définir ce qu’est la sécurité mobile
• Discuter de l’importance de la sécurité des appareils mobiles
• Expliquer pourquoi la sécurité de base ne suffit pas
• Démontrer l’impact de la sécurité mobile sur les organisations
• Passer en revue les avantages d’une solution de sécurité mobile
• Rappeler la place essentielle qu’occupe la sécurité mobile dans la sécurité globale

Qu’est-ce que la sécurité mobile ?

La sécurité mobile désigne l’atténuation des risques et la prévention des menaces sur mobile. Elle consiste notamment à protéger les données et les ressources utilisées par les smartphones et les tablettes.

L’importance de la sécurité des terminaux mobiles

De plus en plus d’utilisateurs et d’organisations s’appuient sur les technologies mobiles pour communiquer, pour collaborer et, d’une manière générale, pour accomplir de nombreuses tâches au bureau et en dehors. De ce fait, les appareils mobiles sont de plus en plus utilisés pour contenir, traiter et transmettre des données sensibles. En tant qu’outils de travail, ils ont beaucoup en commun avec les ordinateurs de bureau, mais il faut souligner une différence essentielle : les appareils mobiles introduisent de nouvelles façons d’accomplir des tâches personnelles et professionnelles. Ils créent donc de nouveaux types de risques que les solutions de sécurité des terminaux habituelles, conçues pour des architectures de postes de travail, ne peuvent pas traiter de manière exhaustive.

Par exemple, compte tenu de la nature de la conception des systèmes d’exploitation mobiles, la plupart des logiciels malveillants qui les ciblent, une fois exécutés, opèrent au sein de la mémoire résidente. Si l’on éteint un iPad infecté, la mémoire est vidée et la menace est supprimée jusqu’à ce qu’elle s’exécute à nouveau. Malheureusement, les utilisateurs d’appareils mobiles redémarrent rarement leurs appareils. Les menaces persistent et font des ravages à l’insu de l’utilisateur.

Du point de vue de l’utilisateur, les logiciels malveillants fonctionnent de manière similaire sur ordinateur et sur mobile. Pourtant, les différences dans leurs architectures et dans le développement et l’exécution des logiciels entraînent des divergences significatives dans la manière dont la sécurité des terminaux traite les menaces en arrière-plan.

À ces différences s’ajoutent :

• L’explosion de l’adoption des appareils mobiles
• Leur dépendance à l’égard d’Internet pour l’accès aux ressources
• Leur exploitation comme vecteurs d’attaques de plus grande envergure
• Les efforts de développement des acteurs malveillants qui perfectionnent les cyberattaques

Si rien n’est fait, le mobile représente un risque aussi important que les ordinateurs pour la sécurité des données et la protection de la vie privée des utilisateurs finaux.

La sécurité de base des appareils mobiles ne suffit pas

Ceux qui suivent le blog de Jamf connaissent le rôle essentiel que jouent la sécurité et la protection de la vie privée dans l’utilisation de la technologie.

Apple et Google, tous deux leaders dans l’espace mobile, se sont engagés pour la sécurité et la protection de la vie privée, comme en témoigne l’inclusion native de cadres de sécurité et de confidentialité qui servent de piliers à ces plateformes. En outre, grâce aux innovations matérielles reposant sur ces cadres de sécurité et de confidentialité, comme la biométrie et le chiffrement des volumes, toute personne utilisant un smartphone bénéficiera du même niveau de protection sur l’ensemble des gammes de produits, tablettes et dispositifs corporels inclus.

Pourtant, malgré toutes leurs fonctionnalités de sécurité, les appareils mobiles ont besoin d’une approche granulaire pour assurer leur conformité, la sécurité des utilisateurs et la protection des données. Plutôt qu’une faiblesse inhérente aux appareils mobiles eux-mêmes, il faut plutôt y voir l’effet du grand dynamisme du paysage des menaces mobiles. La rapidité de son évolution est telle que les organisations parviennent difficilement à tenir le rythme. Par exemple, dans la précipitation à déployer des appareils mobiles, de nombreuses entreprises se concentrent sur la continuité des activités et négligent plusieurs problématiques que les protections mobiles par défaut ne traitent tout simplement pas :

• La mise en œuvre de protocoles de sécurité essentiels pour minimiser l’exposition aux risques
• L’intégration à une sécurité des terminaux globale pour faire face aux menaces connues et inconnues
• L’application uniforme de procédures et de workflows rigoureux d’hygiène de sécurité
• Le provisionnement sécurisé des appareils dès leur mise sous tension
• L’alignement des bonnes pratiques de renforcement de la sécurité mobile sur des configurations de référence solides
• Le maintien de l’intégrité de l’organisation par l’application de normes de sécurité
• L’extension globale de la conformité aux ressources de l’ensemble de l’infrastructure
• L’homogénéité du traitement de tous les OS, appareils et modèles de propriété pour empêcher tout angle mort dans la couverture de sécurité
• La réduction des risques logiciels par la surveillance et la validation des applications internes et tierces

La sécurité mobile impacte la sécurité de l’entreprise

Traditionnellement, la mise en œuvre d’une mesure de sécurité implique généralement un compromis. La dégradation de la flexibilité et de l’efficacité est souvent le résultat d’un problème d’équilibrage des mesures de sécurité : bien souvent, les organisations tombent en effet dans le piège de la surprotection ou de la sous-gestion. Mais quelle que soit la voie choisie par votre entreprise, le résultat reste le même : les appareils, les utilisateurs et les données sont vulnérables aux menaces.

Que l’appareil appartienne à l’entreprise ou qu’il s’agisse d’un appareil personnel, le risque est présent, quelle que soit la manière dont il est introduit, et même si les employés sont censés utiliser l’application de l’entreprise plutôt que celle dont ils ont l’habitude. En raison du manque de visibilité sur ce qui se trouve sur leur réseau et sur les usages qui en sont faits, les organisations n’ont souvent aucune idée des dangers jusqu’à ce qu’un incident se produise. Tout le nœud du problème est là : comment une organisation peut-elle gérer les appareils mobiles et assurer leur sécurité sans pour autant dégrader leurs performances ni l’expérience utilisateur ?

La réponse : trouver le juste équilibre entre la sécurité des appareils et le respect de la vie privée, et en faire des priorités dans chaque processus, chaque application et chaque ressource de l’entreprise accessible sur mobile.

Les impacts critiques dont on entend le plus souvent parler dans les médias concernent les appareils, les utilisateurs et les données, mais la sécurité des appareils mobiles touche bien d’autres aspects d’une organisation :

• Perte d’intégrité de l’entreprise et dégradation de son image et de sa réputation auprès du public
• Interruption des opérations et de la continuité des activités
• Fuite d’informations confidentielles telles que des secrets commerciaux
• Poursuites civiles et/ou pénales découlant de la violation des règles de conformité
• Compromissions d’appareils pouvant permettre des déplacements latéraux sur le réseau et des violations de données ultérieures
• Accès non autorisé à des données utilisateur protégées telles que les IPI et les IPS.
• Dégradation de la productivité des espaces de travail mobiles et des équipes distribuées

Rappelons que, même si ces problèmes de sécurité peuvent un jour toucher votre organisation, ces informations ont pour but d’éclairer le lecteur, et non de l’effrayer. Connaître les menaces mobiles et leur impact sur votre organisation est la première étape vers la mise en œuvre d’une stratégie de défense en profondeur, capable de gérer les appareils mobiles de manière globale tout en atténuant les risques actuels et à venir.

Types de menaces visant la sécurité des appareils mobiles

Nous avons répertorié les principales menaces qui pèsent sur les technologies de mobilité. Cette liste n’est en aucun cas exhaustive ni définitive. Elle offre un aperçu des menaces les plus courantes, pour donner au service informatique et aux utilisateurs une meilleure idée des vulnérabilités et des campagnes d’attaque exploitées par les pirates qui ciblent les mobiles.

• Phishing : campagnes d’ingénierie sociale qui exploitent les SMS, les e-mails, les appels téléphoniques, les réseaux sociaux, les codes QR et les logiciels de messagerie pour tromper les utilisateurs finaux, compromettre les points de terminaison et accéder à des données sensibles.
• Logiciel malveillant : code malveillant qui compromet la sécurité et la confidentialité des terminaux et des utilisateurs afin d’atteindre un objectif particulier. Quelques exemples :
  • Ransomware ou rançongiciel : chiffre les données privées et demande à l’utilisateur de payer une rançon pour obtenir la clé de déchiffrement, sous peine de perdre définitivement ses données.
  • Logiciel espion : collecte des informations sensibles sur les utilisateurs – historique de navigation et cookies principalement – afin de détourner les sessions pour réaliser des tâches sensibles, comme des opérations bancaires.
  • Logiciel publicitaire : publicités qui intègrent du code malveillant capable d’exploiter les vulnérabilités de l’appareil et incitent les utilisateurs à cliquer pour l’exécuter.
  • Stalkerware : comme les logiciels espions, ces malwares ciblent les caméras, les photos et le micro d’un appareil, et enregistrent les conversations textuelles et les données de localisation pour suivre les déplacements de la victime.
  • Cryptomining : microcode qui réduit les performances du matériel en utilisant ses ressources pour miner des cryptomonnaies pour le compte d’acteurs malveillants.
  • Programme potentiellement indésirable (PUP) : s’il ne s’agit pas toujours de logiciels malveillants, ce sont généralement des applications indésirables qui sont livrées avec des logiciels légitimes et peuvent présenter un risque.
  • Cheval de Troie : code malveillant intégré à des applications légitimes pour masquer sa véritable intention. P. ex. logiciel commercial craqué et distribué gratuitement via des magasins d’applications non officiels.
• Perte/vol : en raison de la portabilité des appareils, les données sensibles et les informations confidentielles qu’ils contiennent sont plus exposées au risque de perte, de vol ou d’interception malveillante.
• Man-in-the-Middle (MitM) : lorsque des utilisateurs peu méfiants se connectent à des points d’accès publics ou malveillants, des pirates peuvent intercepter les communications pour mener des attaques.
• Permissions des applications : L’acquisition et l’exploitation de permissions excessives peuvent entraîner des accès non autorisés aux données, des violations de la confidentialité, voire l’exfiltration de données.
• Gestion des correctifs : l’absence de mises à jour rend les appareils vulnérables à des menaces connues qui pourraient être atténuées et en fait des vecteurs d’attaque potentiels.
• Mots de passe faibles ou absents : les mots de passe par défaut, faibles ou simplement inexistants, n’offrent que peu ou pas de protection contre l’accès non autorisé aux appareils et/ou aux données.
• Chiffrement : contrairement aux mots de passe évoqués ci-dessus, le chiffrement (« dernier maillon de la sécurité ») assure la sécurité des données en les rendant illisibles pour quiconque ne dispose pas du mot de passe ou de la clé de récupération.
• Connexions non sécurisées : les points d’accès Wi-Fi ouverts n’offrent aucune protection de sécurité, juste un accès à Internet. Les données qui circulent dessus sont donc lisibles pour toute personne qui écoute le réseau.
• Mauvaises configurations : les appareils mal configurés et ceux qui n’ont que les réglages par défaut ne sont pas protégés contre les menaces courantes et offrent donc une grande surface d’attaque aux acteurs malveillants.

Commençons par la raison la plus évidente : les taux d’adoption des appareils mobiles augmentent à une vitesse fulgurante dans le monde entier. Vous voulez savoir est réellement l’ampleur de la pénétration du mobile ? Selon une enquête de BankMyCell (mise à jour en 2024), voici les chiffres de l’utilisation des smartphones dans le monde :

• 7,21 milliards d’abonnements actifs
• 4,88 milliards d’utilisateurs
• 60,42 % de la population mondiale possède un smartphone
• 2,33 milliards d’abonnements concernent des utilisateurs qui possèdent plusieurs smartphones
• 8,1 milliards : estimation de la population mondiale actuelle

Si le smartphone représente l’essentiel du marché mobile, ces chiffres laissent de côté d’autres types d’appareils pourtant très utilisés : les tablettes et les dispositifs corporels, montres connectées en tête. Tous ces appareils peuvent servir à un usage personnel comme à des tâches professionnelles, notamment :

• Traitement des données commerciales
• Utilisation d’applications professionnelles
• Accès aux ressources de l’organisation
• Connexion aux réseaux de l’entreprise

Même en séparant l’usage professionnel de l’usage personnel, en l’absence de stratégies de gestion et de sécurité adéquates, les risques de circulation des données et non-conformité des appareils restent présents, avec les conséquences que l’on connaît sur la protection de la vie privée.

L’intégration de stratégies mobiles dans votre plan de sécurité présente d’autres avantages :

• Extension homogène des protections à l’ensemble de l’infrastructure
• Atténuation des risques liés aux terminaux face aux menaces modernes et émergentes
• Protection des ressources professionnelles et des données confidentielles
• Couverture de sécurité homogène, quel que soit le modèle de propriété des appareils
• Sécurisation du travail partout, sur n’importe quel appareil et via n’importe quelle connexion réseau
• Conformité garantie et alignée sur les normes de l’entreprise et les réglementations du secteur

Types de solutions de sécurité mobile

Comparons rapidement le taux de croissance des mobiles à celui des ordinateurs. Entre 2025 et 2029, les derniers devraient progresser à un taux de 0,06 % par an. En revanche, les premiers devraient croître à un taux de 3,76 % par an sur la même période.

L’augmentation de l’adoption des appareils mobiles et l’utilisation de technologies avancées telles que l’IA générative encouragent les acteurs malveillants à cibler les mobiles avec des menaces de plus en plus sophistiquées. Les solutions suivantes, qui soulignent l’importance de la gestion et de la sécurisation de votre infrastructure, sont essentielles pour sécuriser votre parc mobile, vos données et vos utilisateurs :

• Accès réseau zero-trust : abrévié en ZTNA, il sécurise les communications réseau comme le fait un VPN, tout en offrant des garanties de protection supplémentaires pour les ressources, les applications et les services. Grâce à la vérification intégrée de la santé des appareils, les équipes informatiques obtiennent une image riche et détaillée de leur parc. Elles savent si les correctifs ont été installés, quels appareils peuvent avoir été compromis ou affectés par des logiciels malveillants, et s’ils répondent aux exigences de l’organisation. Et toutes ces conditions seront vérifiées avant d’accorder le moindre accès à une ressource. Les ressources sont isolées les unes des autres à des fins de sécurité. En d’autres termes, si une application a été compromise, elle devient inaccessible, mais les utilisateurs peuvent continuer à travailler sur d’autres ressources sans craindre qu’un déplacement latéral ne les compromette. Quand un appareil échoue aux contrôles d’intégrité, l’accès lui est refusé. Il passe ensuite en mode correction afin de résoudre les problèmes observés, après quoi l’accès pourra à nouveau lui être accordé.
• Protection des terminaux mobiles : le blocage des logiciels malveillants n’est qu’une partie de l’équation de la sécurité mobile. L’atténuation des menaces liées au phishing est toute aussi cruciale pour la protection de votre parc mobile. Il s’agit cette fois d’identifier et de bloquer les URL malveillantes utilisées dans des campagnes et des attaques de type « zero-day ». Des protections supplémentaires contre les attaques basées sur le réseau, notamment de type MitM, ainsi que des vérifications de conformité, permettent aux organisations d’aligner leurs exigences sur les règles d’utilisation acceptables (AUP). La gestion basée sur les règles minimise les erreurs de configuration, ce qui renforce encore la posture de sécurité de vos appareils et de votre organisation, que son infrastructure soit locale, basée dans un cloud public ou privé, ou encore hybride.
• Filtrage du contenu web : la mise en œuvre d’un filtrage intelligent du contenu des sites web malveillants ne permet pas seulement de minimiser les risques de phishing, mais aussi de réduire les risques juridiques liés à l’utilisation de sites web illicites. Cette approche s’appuie sur des contrôles de sécurité réseau qui protègent les connexions cellulaires, filaires, en itinérance et Wi-Fi, afin d’offrir une couche de protection supplémentaire aux utilisateurs et aux appareils. L’extension de cette pratique à différents modèles de gestion – BYOD, CYOD, COPE – permet d’appliquer les règles d’utilisation acceptables à tous les appareils, qu’ils appartiennent à l’entreprise ou aux employés. De cette façon, les ressources de l’entreprise sont aussi bien protégées que la vie privée des utilisateurs finaux, sans aucun compromis.
• Gestion des correctifs : la gestion des appareils n’est pas complète si elle ne tient pas compte du cycle de vie des applications et des appareils. Une gestion efficace garantit la conformité de l’approvisionnement et la mise à jour du matériel et des logiciels. Elle veille également à ce que les configurations critiques soient systématiquement appliquées à tous les types d’appareils. En misant sur une plateforme de gestion centralisée qui atténue les vulnérabilités des logiciels, on permet aux utilisateurs finaux de se concentrer sur leur travail partout et à tout moment, sans nuire à leur efficacité. Les équipes informatiques et de sécurité sont alertées en temps réel en cas de problème pour qu’elles puissent intervenir rapidement. Cette plateforme doit enfin prendre en charge les fonctionnalités de sécurité les plus récentes et les mises à jour logicielles dès le premier jour.

Les appareils mobiles doivent s’inscrire dans un plan de sécurité global

Si votre entreprise sécurise ses ordinateurs, pourquoi ne ferait-elle pas de même avec les appareils mobiles ?

Dans tous les secteurs d’activité et toutes les régions du monde, des organisations adoptent les appareils Apple au travail. Saviez-vous qu’en 2021, le chiffre d’affaires d’Apple s’élevait à 365,8 milliards de dollars ! Les ventes combinées de l’iPhone (51,9 %) et de l’iPad (8,8 %) représentaient 60,7 % de ce chiffre. À elle seule, l’Apple Watch s’est vendue plus que l’iPad et le Mac (9,8 %), soit 10,4 % du chiffre d’affaires total.

Les appareils mobiles fonctionnant sous iOS et iPadOS sont très demandés dans un paysage où l’on trouve également des appareils sous Windows, Android et ChromeOS. Multiplier les appareils, c’est augmenter les risques pour votre organisation.

Les appareils mobiles sont moins ouverts que les ordinateurs : pourquoi auraient-ils besoin du même niveau de sécurité ?

Rappelons d’abord que ce sont des appareils informatiques, qui utilisent le même type d’applications, de services et de processus pour accomplir des tâches en toute sécurité. Ne vous laissez pas tromper par les différences dans la façon dont les systèmes d’exploitation mobiles et de bureau gèrent les processus ou les workflows : sur le plan de la sécurité des terminaux et des données, ils présentent de nombreuses similitudes. Il est donc essentiel que les administrateurs informatiques tiennent compte de ces points communs lors de l’élaboration des processus de gestion multiplateforme, et qu’ils gardent à l’esprit leurs différences lors de lors de l’implémentation des contrôles, pour minimiser les facteurs de risque propres à chaque plateforme.

Quel est l’impact des environnements mixtes mêlant appareils personnels et professionnels sur la sécurité mobile ?

Pour les organisations qui n’ont pas mis en place de plan de sécurité mobile, la réalité est qu’il n’y a guère de différence entre les appareils personnels et professionnels du point de vue de la gestion des risques. Sans visibilité sur le parc mobile, les équipes informatiques et de sécurité ne disposent pas en temps réel des informations nécessaires pour comprendre l’état des appareils, leur posture de sécurité et leur impact sur celle de l’organisation.

En revanche, avec une stratégie mobile intégrée à un plan de sécurité global, vous êtes protégé contre les menaces modernes. Et cette protection couvre toutes vos plateformes, quels que soient le type d’appareil, le système d’exploitation ou le modèle de propriété. S’ajoute à cela la couverture qui protège l’infrastructure dans sa globalité. Elle s’étend aux appareils, aux utilisateurs, aux ressources et aux référentiels de données pour faire de la sécurité une exigence fondamentale qui s’applique à toutes les couches de haut en bas, d’un bout à l’autre de la chaîne.

Pourquoi est-il urgent d’investir dans la sécurité des appareils mobiles ?

Selon un aphorisme courant du secteur de la sécurité, le délai avant la survenue d’un incident de sécurité correspond à la période pendant laquelle les entreprises considèrent la protection comme une dépense inutile. Ce n’est qu’une fois l’incident apparu qu’elles sont disposées à investir pour le corriger.

En d’autres termes, lorsque tout se passe bien, on perd rapidement de vue l’intérêt de la sécurité des terminaux parce que les incidents sont atténués en amont.

Mais on peut voir les choses sous un autre angle : le meilleur moment pour investir dans la sécurité mobile n’est pas lorsque l’organisation est victime d’une ; c’est quand les équipes informatiques et de sécurité peuvent collaborer pour implémenter les technologies nécessaires aux besoins de l’organisation, de façon réfléchie et préparée, sans précipitation.

Conclusion

Parfois mal gérée et souvent négligée, la stratégie de sécurité mobile est un aspect essentiel d’un plan de sécurité global. Elle vise à assurer une protection complète des appareils, des utilisateurs et des ressources professionnelles contre le paysage des menaces actuelles et émergentes.

Le dilemme de la sécurité des appareils mobiles est exacerbé par la multiplication rapide des appareils mobiles, avec des taux d’adoption globaux qui n’ont rien à envier aux autres technologies informatiques. L’augmentation du nombre d’appareils se combine aux progrès des technologies mobiles, ce qui se traduit par intensification des usages et de la dépendance vis-à-vis de toutes les plateformes, dans tous les secteurs.

En outre, les objectifs des entreprises sont de plus en plus liés à la mondialisation et à la mobilité des équipes Comme les acteurs malveillants ciblent de plus en plus les appareils mobiles, les organisations ne peuvent pas se contenter de protéger leurs appareils : elles doivent protéger leur infrastructure pour en assurer la conformité et la sécurité.

Au cœur de la protection de votre environnement se trouve l’intégration de la sécurité mobile à votre plan de sécurité existant, pour une couverture exhaustive et hermétique. Seule une solution intégrant de manière transparente la gestion des appareils, la gestion des identités et des accès, et la sécurité des terminaux est à même de protéger de manière globale tous vos appareils. Surtout, cette approche préservera l’efficacité, l’expérience et la vie privée des utilisateurs.