Fichier 287

Publications

La cybersécurité mobile, nouveau défi des entreprises

La cybersécurité mobile, nouveau défi des entreprises

« En 2015, 36 % des mobiles ont subi une attaque, soit 12 % de plus qu’en 2014*. Alors que le télétravail et l’ultra-mobilité se développent, la sécurisation des usages mobiles constitue un vrai défi pour les entreprises. »

Pourquoi la mobilité devient-elle un enjeu de sécurité croissant pour les entreprises ? 

E. C. Parce qu’inéluctablement, les nouveaux modes de travail et la virtualisation des espaces de travail ouvrent des accès au système d’information des entreprises. Auparavant, les entreprises configuraient le PC Windows qu’elles fournissaient à leurs salariés et dont elles étaient propriétaires de façon à protéger leurs données sensibles. Les postes nomades, peu nombreux, étaient réservés aux itinérants.
Actuellement, la moitié des salariés utilisent leur propre PC portable, leur tablette et surtout leur smartphone pour des usages professionnels. Ils se connectent à l’intranet de l’entreprise via un terminal qui agrège par ailleurs tous leurs usages personnels : messagerie, communications voix, contacts, informations bancaires, photos, vidéos… Impossible pour l’entreprise de délimiter la frontière entre ses biens propres et les informations privées de ses collaborateurs auxquelles elle n’a légalement pas le droit d’accéder. L’entreprise a alors le choix entre deux options. Soit elle mobilise des compétences et des moyens dédiés à la cybersécurité pour imposer des systèmes et des usages sûrs, soit elle ouvre son SI aux terminaux mobiles personnels (BYOD : Bring Your Own Device). Elle s’expose alors à de grands risques que souligne l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Plusieurs autres paramètres complexifient la cyberprotection des données de l’entreprise : le très grand nombre d’utilisateurs, la multiplication des systèmes d’exploitation des appareils mobiles (Windows, Android, IOS Apple…) et celle des applis hébergées dans le cloud, l’émergence des objets connectés (IoT) et la mise en réseau des systèmes industriels (SCADA). 

À quels types d’attaques la mobilité expose-t-elle les entreprises ? 

E. C. Toutes les données confidentielles ou sensibles des entreprises se monnaient sur le marché de la cybercriminalité, un écosystème très organisé et lucratif pour les mafias. Les attaques mobiles sont de plus en plus sophistiquées, ciblées et variées : surveillance à distance du salarié via la caméra de son mobile ; envoi d’e-mails frauduleux pour récupérer des codes d’accès, mots de passe, coordonnées bancaires ; demande de rançon pour restituer des informations chiffrées par le pirate ; vol de données personnelles des clients de l’entreprise… Récemment de grands groupes ont été victimes de « l’arnaque au faux patron ». Un hacker pirate la carte SIM du mobile du dirigeant, appelle le directeur financier et lui ordonne de faire en toute confidentialité un très gros virement sur un compte en Asie. Si la mobilité améliore l’efficacité et la qualité des services, elle expose les entreprises à des risques de cyberattaques qui peuvent leur coûter très cher et ternir leur réputation. Les dirigeants en sont bien conscients mais, selon une étude KPMG, seuls 50 % d’entre eux mobilisent des ressources cybersécurité. 

Quelles sont les solutions ? 

E. C. Anticipation, protection et sensibilisation sont les socles de la cybersécurité. En France, en application de la loi de programmation militaire de 2013, l’ANSSI a défini 12 secteurs d’importance vitale et identifié 218 opérateurs publics et privés à cyberprotéger en priorité. Ces entreprises gestionnaires d’infrastructures sensibles (télécoms, énergie, transports…) ont obligation de fédérer une équipe cybersécurité, d’analyser leurs risques, d’établir un plan de sécurité. Il leur est également interdit de connecter certains systèmes critiques à Internet.
Les entreprises les plus vulnérables restent les PME. La solution la plus sûre consiste à équiper ses salariés de mobiles bridés. Au-delà des protections techniques, la sensibilisation interne et la mise en oeuvre de bonnes pratiques sont des facteurs clés. Les équipes de direction comme les collaborateurs doivent prendre conscience du caractère sensible des données de l’entreprise dans un environnement hyper concurrentiel et de leur responsabilité individuelle dans la protection des biens de l’entreprise.

* Etude mondiale Pwc "The Global State of Information Security Survey 2016".

Télécharger l'interview en version PDF

Télécharger le livret complet