Les MSP doivent donner la priorité à la sécurité des appareils mobiles

La semaine dernière, nous avons eu un aperçu des préoccupations et des défis de sécurité croissants liés aux appareils mobiles. Cette semaine, nous poursuivons la conversation sur les appareils mobiles avec Eric O'Neill. Eric est un ancien agent du FBI spécialisé dans la lutte contre le terrorisme et le contre-espionnage, conférencier en cybersécurité et fondateur du Georgetown Group et de Nexasure AI.

Les fournisseurs de services gérés (MSP) et d’autres acteurs négligent souvent les appareils mobiles, car ils peuvent facilement être considérés comme des « appareils personnels ». En particulier dans un contexte post-pandémique, la frontière entre vie professionnelle et vie privée est devenue de plus en plus floue.

« Les appareils mobiles qui se connectent à des réseaux et à des systèmes de données sécurisés doivent faire l'objet de la même attention et des mêmes contrôles de cybersécurité que les ordinateurs portables administrés par le service informatique de l'entreprise », précise M. O'Neill. Il ajoute que chaque téléphone mobile est un point de terminaison qui peut accorder l'accès aux systèmes de données, affirmant que « les MSP et CISA doivent s'assurer qu'une sécurité fiable des points de terminaison est installée et priorisée par le biais de politiques sur tous les appareils mobiles, professionnels et personnels, qui accèdent aux réseaux critiques. »

Défis et meilleures pratiques en matière de sécurité mobile

Cette cybersécurité comprend le chiffrement des données professionnelles et des e-mails, l'identification multifactorielle activée pour chaque appareil et une politique exigeant des mots de passe et des codes de déverrouillage forts. M. O'Neill souligne également que les téléphones portables ont besoin d'un accès « need to know » (besoin de savoir) aux données sensibles et au contrôle des applications. C'est pour empêcher l'installation d'applications malveillantes.

Cependant, aussi répandus que soient les appareils mobiles, représentent-ils une menace pour la sécurité ?

M. O'Neill dit oui. « Les appareils mobiles sont les principales cibles des cybercriminels », prévient-il. Il n’est pas toujours nécessaire d’être un hacker de génie qui utilise les outils les plus récents. « Les criminels surveillent une cible potentielle dans les lieux publics et attendent que la personne déverrouille son téléphone à l'aide d'un code. Une fois le code mémorisé, ils volent le téléphone et changent rapidement le code et les mots de passe du compte cloud, contrôlant ainsi le téléphone. »

Les utilisateurs de téléphones portables ont également tendance à laisser une trace de leurs téléchargements, ce qui, selon M. O'Neill, peut rendre une personne ou une entreprise vulnérable. « Les utilisateurs mobiles téléchargent un large éventail d’applications, dont beaucoup ne déploient pas de sécurité fiable ou peuvent elles-mêmes être malveillantes », explique M. O’Neill. Il ajoute que les mesures de sécurité ne sont pas aussi sophistiquées pour les téléphones mobiles que pour les ordinateurs de bureau. « Cela place une grande partie de la responsabilité de la sécurité sur le propriétaire de l’appareil mobile, ce qui n’est jamais une bonne stratégie de cybersécurité. »

Sécurisation des appareils mobiles

Il est plus fréquent qu'on ne le pense que les employés puissent utiliser des appareils mobiles personnels pour leur travail professionnel sans qu'une politique rigoureuse d'utilisation des appareils personnels (BYOD) ait été mise en place. « Les cybercriminels savent que les organisations négligent souvent les téléphones portables comme principale porte d'entrée pour lancer des cyberattaques sophistiquées », explique M. O'Neill.

« Ces appareils peuvent ne pas mettre en œuvre des contrôles de sécurité mobiles essentiels comme le chiffrement, l’accès « need to know » aux réseaux sécurisés, l’authentification multifactorielle et le contrôle des mots de passe », poursuit-il, ajoutant qu’en raison de ce laxisme, la plupart des sites d'hameçonnage ciblent désormais les appareils mobiles aussi bien que les ordinateurs de bureau.

« Statistiquement, un utilisateur est bien plus susceptible de cliquer sur un lien malveillant envoyé par SMS sur un téléphone portable que sur un e-mail de spear phishing envoyé par e-mail sur son ordinateur », explique M. O'Neill. Il fait remarquer que les téléphones portables ne feront que s'enraciner dans notre vie au fil du temps. Les MSP et les spécialistes de la sécurité doivent les traiter comme des vulnérabilités commerciales.

« Nos téléphones mobiles ne sont plus simplement les dépositaires de nos données les plus personnelles, ils sont désormais nos identités numériques. Nous avons remplacé le portefeuille plein à craquer de notre père ou le sac à main surchargé de notre mère par l’équivalent numérique des pièces d’identité, des cartes de crédit et bancaires et des cartes de fidélité », déclare M. O’Neill. « L’avenir de la technologie mobile doit suivre les meilleures pratiques de cybersécurité pour les autres terminaux. Cela inclut une sécurité intrinsèque basée sur le Zero Trust. Les futurs appareils mobiles seront conçu à partir de zéro, avec des contrôles de sécurité multiples et redondants en place. Ils seront liés biométriquement à un seul utilisateur et surveillés par l’intelligence artificielle (IA) de chasse aux menaces. »

En attendant, les utilisateurs doivent rester vigilants. Les MSP auraient également intérêt à proposer la sécurité des appareils mobiles en tant que service distinct.

Remarque : cet article a été initialement publié sur SmarterMSP.