Embed Size (px)
Citation preview
Ne perdez pas vos données : sixvecteurs de pertes de données mobiles,à votre insu
Responsables informatiques, directeurs de la sécurité informatique,vice-présidents responsables des opérations informatiques,architectes mobiles, responsables des programmes mobiles. Cedocument examine brièvement les six principales menaces auxquellesvotre personnel itinérant est exposé et propose des solutionsvéritablement utiles que vous pouvez mettre en œuvre pour obtenir leniveau de sécurité dont votre entreprise a besoin.
LIVR
E BLA
NC
:N
E PERD
EZ PAS VOS D
ON
NÉES : SIX
VE C
TEUR
S DE PER
TES DE D
ON
NÉES M
OB
ILES. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sommaire
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1. Perte et vol d'appareil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2. Fuite de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
3. Attaques de logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
4. Appareils et mots de passe partagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
5. Débridage et passage en mode "root" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
6. Espionnage des connexions Wi-Fi et autres connexions sans fil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu
Introduction
Si votre lieu de travail est mobile, votre entreprise risque-t-elle de se laisser emporter ?
Les appareils mobiles que vos employés aiment utiliser à titre personnel sont désormais également devenus les outils professionnels
dont ils se servent pour votre compte. Une étude que nous avons réalisée récemment est révélatrice : 65 % des entreprises dont nous
avons interrogé les responsables permettent à leurs employés d'accéder à leur réseau avec leurs propres appareils, 80 % des
applications dont ces employés se servent ne sont pas sur site mais dans le cloud et 52 % des employés utilisent régulièrement, non pas
un, mais au moins trois appareils.
Bien sûr, ces appareils mobiles (smartphones, ordinateurs portables et tablettes) ouvrent de nouvelles opportunités en matière de
productivité portable. Mais de par leur nature mobile, ils entraînent également l'apparition de nouvelles vulnérabilités : de nouvelles
causes de perte de données, de protection et de confiance dans la sécurité du réseau de votre entreprise.
Heureusement, la productivité et la protection ne sont pas inconciliables à condition que vous preniez pleinement conscience des
risques et de ce que vous pouvez faire pour les réduire. Ce document examine brièvement les six principales menaces auxquelles votre
personnel itinérant est exposé et propose pour ces dangers du monde réel des solutions véritablement utiles que vous pouvez mettre en
œuvre pour obtenir le niveau de sécurité dont votre entreprise a besoin.
1. Perte et vol d'appareil
Le risque le plus évident est souvent traité avec la réponse la plus évidente : prévoir le remplacement des appareils perdus. Mais de
nombreux appareils utilisés à des fins professionnelles appartiennent aux employés eux-mêmes : c'est le phénomène BYOD (utilisation
du matériel personnel). Le plus important, c'est ce qui est stocké dans l'appareil, et non l'appareil lui-même, qui compte réellement.
Chaque appareil perdu est susceptible de devenir un portail permettant d'accéder aux applications et données de votre entreprise.
Vous pensez que nous exagérons ? En 2012, nous avons mis nos préoccupations à l'épreuve d'un test. Dans le cadre d'un projet que nous
avons appelé "Operation Honey Stick" (Opération bâton de miel), nous avons "perdu" dix smartphones dans chacune des cinq grandes
villes suivantes : Los Angeles, San Francisco, Washington et New York aux Etats-Unis ainsi que Ottawa au Canada. Chaque téléphone, qui
contenait de fausses données et applications d'entreprise, a été abandonné dans une zone très fréquentée.
Il convient de porter au crédit de l'espèce humaine que des tentatives de restitution ont été faites pour la moitié des 50 téléphones. Mais
quant aux autres chiffres, ils sont révélateurs d'une image bien plus sombre de la nature humaine. Sur 89 % des appareils, des
tentatives ont été faites pour accéder aux applications ou données personnelles, ce qui suggère que même ceux qui avaient initialement
de bonnes intentions ont eu du mal à résister à la tentation. Les tentatives d'accès aux applications ou données professionnelles
concernaient pour leur part 83 % des appareils. Un fichier "sauvegarde des mots de passe" a été ouvert sur 57 % des téléphones et une
application "administration à distance" simulant l'accès au réseau de l'entreprise utilisée sur 49 % d'entre eux.
Moralité : plutôt que de se concentrer sur les appareils perdus, les entreprises doivent protéger les données sensibles susceptibles d'être
perdues. La gestion de base des appareils doit être complétée par des politiques assurant la protection des applications et des données.
A un premier niveau, cela signifie d'avoir la possibilité de localiser rapidement les appareils perdus et de procéder à des suppressions de
données à distance. Pour bénéficier d'une protection plus approfondie, les entreprises doivent sécuriser les applications et chiffrer les
données professionnelles utilisées sur des appareils mobiles.
2. Fuite de données
Beaucoup a été dit sur les menaces liées à des "employés malveillants" qui recherchent délibérément des informations professionnelles
confidentielles afin de les partager. Mais la plus grande menace émane peut-être bien des employés bienveillants et bien intentionnés
Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu
1
qui utilisent des services basés sur le cloud tels que la messagerie électronique et les outils de collaboration en ligne tout simplement
pour être plus productifs. Sur le chemin en constante évolution vers une plus grande facilité d'utilisation (mouvement également appelé
"consumérisation"), les employés apprécient d'utiliser des applications conçues dans une optique de convivialité plutôt que
conformément aux impératifs de sécurité des entreprises.
Mais une fois dans le cloud, les données de votre entreprise peuvent très bien échapper à votre contrôle. Les programmes de partage de
fichiers et de modification de documents les plus répandus que vos employés aiment utiliser sont généralement dépourvus des
protocoles d'accès et d'autorisation dont les entreprises ont besoin pour protéger leurs données. Sans la mise en œuvre de contrôles
délibérés, les données peuvent "quitter" la sphère de l'entreprise et se retrouver dans un environnement bien moins sécurisé où elles
sont exposées à des risques.
Une protection des applications et des données appropriée doit être la concrétisation d'une approche à deux niveaux de la sécurité : 1)
mise en œuvre d'une liste noire d'applications interdisant l'accès aux applications non approuvées et 2) déploiement de contrôles
interdisant la copie, le collage et/ou le partage de données professionnelles via des applications en ligne.
Les fonctionnalités de protection des applications et des données appropriées sont les suivantes :
• Authentification propre à l'application
• Chiffrement des données
• Blocage du copier/coller
• Désactivation du partage de documents
• Blocage de l'accès aux appareils modifiés (en mode "root" ou "débridés")
3. Attaques de logiciels malveillants
Les chiffres indiquent toujours sans équivoque que les attaques de logiciels malveillants affectant les ordinateurs sont bien plus
nombreuses que celles touchant les appareils mobiles. Mais le taux de croissance des attaques ciblant les appareils mobiles est
beaucoup plus élevé. Tandis que les professionnels de l'informatique traditionnelle n'accordent pas beaucoup d'attention aux logiciels
malveillants qui s'en prennent aux appareils mobiles, les cybercriminels voient dans ce domaine leur prochaine grande opportunité de
croissance.
Cela concerne aussi bien le vol d'identité, l'exposition d'informations et la perte de données provoquées par des attaques de logiciels
malveillants mettant en œuvre des chevaux de Troie, des moniteurs et d'autres "auto-stoppeurs" malveillants. En la matière, les
applications falsifiées constituent peut-être la menace la plus importante : camouflées derrière le nom d'un jeu ou d'une application
populaire et rendues attirantes par la proposition d'un téléchargement gratuit, elles introduisent dans l'appareil du code malveillant
pouvant retirer de l'argent sur des comptes bancaires ou récupérer des données sur des réseaux d'entreprises.
Les logiciels de "sécurité" gratuits ne sont pas assez puissants pour contrer des logiciels malveillants en constante mutation et les efforts
toujours renouvelés des cybercriminels pour franchir les barrières qui protègent les données des entreprises. Pour être véritablement
efficace, une solution de protection contre les menaces doit tenir compte des variations du profil de risque entre les différentes plates-
formes et agir de manière coordonnée pour protéger les ressources de l'entreprise contre les attaques externes, les applications
indésirables, la navigation non sécurisée et même l'utilisation incorrecte des batteries.
4. Appareils et mots de passe partagés
Selon des études publiées récemment, près de la moitié des employés partagent leurs appareils avec leurs amis et leur famille. Et ils sont
20 % à partager leurs mots de passe. Malheureusement, le partage occasionnel de comptes est à l'origine de la majorité des failles de
sécurité provoquées par le personnel.
Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu
2
La protection des appareils mobiles ne se limite pas au simple verrouillage de l'écran. Avant que des utilisateurs ne puissent accéder aux
données et applications de l'entreprise, il peut être prudent de les authentifier. Nous vous recommandons d'envisager la mise en œuvre
d'une approche de l'authentification à deux facteurs (la clé de la réussite en matière de gestion des accès des utilisateurs et des
applications tout comme en matière de protection des applications et des données) combinant quelque chose que l'utilisateur connaît
(comme un mot de passe) avec quelque chose dont il dispose (comme un jeton, une empreinte digitale ou une empreinte rétinienne).
5. Débridage et passage en mode "root"
Dans un monde marqué par le phénomène BYOD (utilisation du matériel personnel), un employé peut facilement introduire un appareil
modifié (débridé ou en mode "root") dans l'environnement de l'entreprise. De telles modifications peuvent permettre de contourner les
protocoles de sécurité, de désinstaller des fonctions de sécurité et d'ouvrir l'accès à des systèmes de fichiers et contrôles de données
précédemment protégés.
Les entreprises doivent mettre en œuvre des politiques de gestion des appareils appliquant des normes cohérentes pour la configuration
et la sécurité de tous les appareils, que ceux-ci appartiennent à la société ou aux employés. Les appareils modifiés doivent être identifiés
et tout accès doit leur être refusé pour protéger le réseau de l'entreprise.
6. Espionnage des connexions Wi-Fi et autres connexions sans fil
La gratuité est souvent synonyme de fraude : lorsqu'un point d'accès est ostensiblement signalé comme étant gratuit, il existe un risque
de fishing des données qu'il transmet. Bien souvent, les utilisateurs n'ont pas conscience de leur vulnérabilité et les entreprises n'ont ni
contrôle ni visibilité sur les réseaux 3G, 4G et 4G LTE.
Pour être complètes, les politiques de gestion des applications, des données et des appareils doivent protéger deux niveaux :
• Les communications, comme le courrier électronique de l'entreprise, via des connexions sécurisées SSL ou VPN
• Le chiffrement des données de l'entreprise, aussi bien lorsqu'elles sont en transit que lorsqu'elles sont stockées sur des appareils
mobiles
Pour en savoir plus sur la mobilité d'entreprise, visitez la page go.symantec.com/Mobilite.
Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu
3
A propos de Symantec
Symantec protège les informations échangées à
travers le monde et se positionne comme leader
mondial des solutions de sécurité, de sauvegarde
et de disponibilité. Nos produits et services
innovants protègent les individus et les
informations dans n'importe quel environnement,
du plus petit appareil mobile au datacenter
d'entreprise et systèmes dans le cloud. Notre
expertise internationale inégalée en matière de
protection des données, des identités et des
interactions donne confiance à nos clients dans le
monde interconnecté actuel. Pour plus
d'informations, rendez-vous sur www.symantec.fr
ou rejoignez Symantec sur go.symantec.com/
socialmedia.
Pour connaître les
coordonnées des bureaux
dans un pays spécifique,
consultez notre site Web.
Symantec (France) S.A.S.
Tour Egée - 17 avenue de l'Arche
- La Défense 6
92671 Courbevoie Cedex, France
+33 (0)1 41 38 57 00
www.symantec.fr
Copyright © 2013 Symantec Corporation. Tous droitsréservés. Symantec, le logo Symantec et le logo enforme de coche sont des marques commerciales oudes marques déposées de Symantec Corporation oude ses filiales aux États-Unis et dans d'autres pays.Les autres noms peuvent être des marquescommerciales de leurs détenteurs respectifs.3/2013 21283507
Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu
