Communication mobile - cinq pièges de sécurité
Les smartphones et les tablettes offrent de nombreuses portes d'entrée aux cybercriminels. C'est pourquoi les exploitants d'infrastructures critiques doivent protéger leurs communications mobiles contre les risques de sécurité les plus divers.
Les défis en matière de sécurité informatique ne cessent d'augmenter pour les fournisseurs d'énergie, les hôpitaux ou les entreprises de transport. Les terminaux mobiles, par exemple, sont depuis longtemps des compagnons naturels dans le travail quotidien : ils sont utilisés pour transmettre des données sensibles et des contenus confidentiels, sans être intégrés dans les mêmes mesures de sécurité strictes que les ordinateurs de travail locaux.
Selon Solution virtuelle à Munich, les risques de sécurité suivants posent de grands défis aux responsables informatiques - en particulier lorsqu'il s'agit de tolérer des appareils privés à des fins professionnelles ou l'utilisation privée de téléphones portables professionnels :
- Utilisation d'applications non autorisées : Les utilisateurs ont l'habitude d'essayer une nouvelle application. Ils ne se demandent pas si celle-ci est réellement protégée contre les logiciels malveillants ou si elle respecte les directives du règlement général sur la protection des données. Le règlement européen sur la protection des données (RGPD) stipule que les données personnelles ne doivent pas atterrir dans une application sans l'accord des personnes concernées. Or, ce sont justement des services populaires comme WhatsApp qui provoquent des fuites de données involontaires : Messenger lit les carnets d'adresses des employés, y compris les contacts e-mail et les numéros de téléphone des collègues, des clients ou des partenaires, et transmet ces données à la maison mère Facebook.
- WLAN non sécurisés : À l'hôtel, dans le train, au café - les terminaux mobiles utilisent désormais plus souvent les connexions WLAN que le réseau de téléphonie mobile. Le problème, c'est que la plupart des hotspots ne sont pas cryptés. Cela permet certes aux utilisateurs d'y accéder facilement, mais laisse en même temps la porte ouverte aux pirates informatiques pour récupérer les données d'accès et lire l'ensemble du trafic de données. De plus, les hotspots peuvent être nommés librement, ce qui augmente le risque d'usurpation de réseau : Les fraudeurs peuvent utiliser un nom soi-disant connu pour attirer les utilisateurs dans leur réseau WLAN.
- Mélange de la vie privée et de la vie professionnelle : Lorsque les collaborateurs utilisent leurs appareils privés à des fins professionnelles - conformément au modèle BYOD (Bring Your Own Device) ou COPE (Corporate Owned, Personally Enabled) - ou inversement, les données sont souvent déplacées entre le domaine professionnel et le domaine privé. C'est par exemple le cas lorsque des fichiers professionnels sont stockés temporairement sur le propre compte Dropbox. Pour les entreprises, il devient toutefois difficile de respecter les directives du RGPD, les dispositions relatives aux droits d'auteur ou les obligations de conservation - en même temps, le niveau de protection diminue.
- Pas de protection par mot de passe ni de cryptage : Les terminaux mobiles peuvent être perdus, volés et ainsi tomber entre les mains de personnes non autorisées. Si le smartphone n'est pas suffisamment sécurisé, c'est-à-dire si le mot de passe est faible ou inexistant et si l'authentification basée sur un certificat fait défaut, il est relativement facile pour les criminels d'accéder aux données contenues dans l'appareil. Si l'appareil est piraté, ils ont généralement aussi accès au cloud, au partage de fichiers ou aux réseaux et donc aux informations sensibles de l'entreprise. Le cryptage n'est généralement pas non plus la norme en matière de communication mobile. Mais si les données sont stockées et transmises sans être cryptées, le risque d'accès par des personnes non autorisées de l'extérieur augmente considérablement.
- Appareils non patchés : Les mises à jour du système d'exploitation du smartphone ainsi que des applications téléchargées sont souvent gênantes pour l'utilisateur, mais elles sont indispensables. C'est le seul moyen de combler les lacunes de sécurité dues à des erreurs ou des points faibles dans les applications avant qu'un pirate ne puisse les exploiter. Dans les modèles BYOD en particulier, contrôler si le smartphone de chaque collaborateur est à jour devient toutefois une tâche presque insurmontable pour les responsables informatiques.
"À l'ère du numérique, la protection des infrastructures critiques exige également de nouvelles voies et de nouveaux moyens pour la communication mobile", explique Sascha Wellershoff, de Virtual Solution à Munich. "La réponse est une solution de conteneurisation comme SecurePIM par exemple, qui sépare strictement le domaine professionnel du domaine privé sur le terminal mobile. Si un pirate parvient effectivement à accéder au smartphone ou à la tablette, il se trouve alors quasiment devant une porte anti-effraction. Les données et les documents sont stockés de manière cryptée selon les normes les plus strictes et sont également transmis de manière cryptée de bout en bout. Parallèlement, le respect du RGPD est garanti. Une grande convivialité est également très importante : les applications d'entreprise doivent être aussi faciles à utiliser que celles auxquelles on est habitué avec ses applications personnelles - seules les solutions réellement utilisées augmentent la protection contre les cyberattaques sur les terminaux mobiles".
Source : Virtual Solution