Qu'est-ce que la sécurité mobile ?

L’avenir des ordinateurs et de la communication réside dans les appareils mobiles, tels que les ordinateurs portables, les tablettes et les smartphones, dotés de fonctionnalités d’ordinateur de bureau. Leur taille, leurs systèmes d’exploitation, leurs applications et leur puissance de traitement en font des outils idéaux que vous pouvez utiliser depuis n’importe quel endroit disposant d’une connexion Internet. Avec l’expansion des appareils renforcés, de l’Internet des objets (IdO) et des systèmes d’exploitation tels que Chrome OS, macOS et Windows 10, le matériel est de plus en plus avancé. Chaque élément matériel amélioré avec ces logiciels et leurs capacités se transforme en un appareil mobile.

Du fait de leur prix plus abordable et de leur portabilité, les appareils mobiles sont devenus la solution privilégiée des entreprises et des utilisateurs par rapport aux ordinateurs de bureau. Avec l’omniprésence de l’accès à l’internet sans fil, tous les types d’appareils mobiles deviennent plus vulnérables aux attaques et aux violations de données.

L’authentification et l’autorisation sur les appareils mobiles sont pratiques, mais augmentent les risques en supprimant les contraintes du périmètre sécurisé de l’entreprise. Par exemple, les écrans tactiles, les gyroscopes, les accéléromètres, les GPS, les microphones, les appareils photo avec des millions de pixels et les ports améliorent les fonctionnalités d’un smartphone, permettant aux utilisateurs de connecter d’autres appareils. Ces nouvelles fonctionnalités modifient la façon dont les utilisateurs sont authentifiés et dont l’autorisation est fournie localement à l’appareil, ainsi qu’aux applications et services d’un réseau. Par conséquent, les nouvelles capacités augmentent également le nombre de points de terminaison qui doivent être protégés contre les menaces de cybersécurité.

Aujourd’hui, les cybercriminels peuvent pirater des voitures, des moniteurs pour bébés, des caméras de sécurité et des dispositifs médicaux implantés. D’ici 2025, il pourrait y avoir plus de 75 milliards d’« objets » connectés à Internet, y compris les caméras, les thermostats, les serrures de porte, les télévisions intelligentes, les moniteurs de santé, les appareils d’éclairage et bien d’autres dispositifs.

S’il est essentiel d’établir et d’appliquer une politique de sécurité à l’échelle de l’entreprise, cette politique ne suffit pas à elle seule pour faire face au volume et à la diversité des menaces mobiles d’aujourd'hui. Verizon a mené une étude auprès des principales entreprises de sécurité mobile, notamment IBM®, Lookout et Wandera, et a interrogé 670 professionnels en charge de la sécurité. L’étude a révélé qu’une personne sondée sur trois avait signalé une compromission impliquant un mobile. 47 % estiment que la résolution a été « difficile et coûteuse », et 64 % disent avoir subi des temps d’arrêt. Le besoin de sécurité mobile augmente également chez les consommateurs, car les paiements de factures en ligne par smartphone devraient atteindre environ 6 milliards de dollars USD dans le monde d’ici 2028, selon une étude de l’IBM Institute for Business Value. Les pirates informatiques ciblent également cette activité financière.

Les entreprises qui adoptent des politiques BYOD (Bring Your Own Device) s’exposent également à des risques de sécurité plus élevés. Elles permettent à des appareils potentiellement non sécurisés d’accéder aux serveurs de l’entreprise et aux bases de données sensibles, ce qui les rend vulnérables aux attaques. Les cybercriminels et les fraudeurs peuvent exploiter ces vulnérabilités et causer des préjudices ou des dommages à l’utilisateur et à l’entreprise. Ils recherchent des secrets commerciaux, des informations d’initié et un accès non autorisé à un réseau sécurisé afin de trouver tout ce qui pourrait s’avérer profitable.

L’hameçonnage, la principale menace en matière de sécurité mobile, est une tentative d’escroquerie visant à voler les identifiants des utilisateurs ou des données sensibles, telles que les numéros de carte bancaire. Les fraudeurs envoient aux utilisateurs des e-mails ou des messages SMS conçus pour faire croire qu’ils proviennent d’une source légitime en utilisant de faux liens hypertextes.

Les logiciels malveillants mobiles sont des logiciels non détectés, tels qu’une application malveillante ou un logiciel espion, créés pour endommager, perturber ou obtenir un accès illégitime à un client, à un ordinateur, à un serveur ou à un réseau informatique. Les ransomwares, une forme de logiciel malveillant, menacent de détruire ou de retenir les données ou les fichiers d’une victime à moins qu’une rançon ne soit payée pour déchiffrer les fichiers et restaurer l’accès.

Le cryptojacking (ou cryptopiratage), une forme de logiciel malveillant, utilise la puissance de calcul d'une entreprise ou d'un individu à son insu pour miner des cryptomonnaies comme le Bitcoin ou l'Ethereum, diminuant ainsi les capacités de traitement et l'efficacité d'un appareil.

Les points d’accès Wi-Fi non sécurisés sans réseau privé virtuel (VPN) rendent les appareils mobiles plus vulnérables aux cyberattaques. Les cybercriminels peuvent intercepter le trafic et voler des informations privées à l’aide de méthodes telles que les attaques de type « homme du milieu » (MitM). Les cybercriminels peuvent également inciter les utilisateurs à se connecter à des points d’accès frauduleux, ce qui facilite l’extraction de données d’entreprise ou de données personnelles.

Les cybercriminels ont déjà exploité les vulnérabilités des anciens systèmes d’exploitation, qui exposaient les appareils obsolètes aux attaques. Maintenir les logiciels à jour est indispensable pour garder une longueur d’avance sur ces menaces. Les mises à jour des fabricants comprennent souvent des correctifs de sécurité critiques pour éliminer les vulnérabilités activement exploitables.

Les applications mobiles ont le pouvoir de compromettre la confidentialité des données par des autorisations excessives. Les autorisations des applications déterminent la fonctionnalité d'une application et l'accès à l'appareil de l'utilisateur et à des fonctions telles que le microphone et l'appareil photo. Certaines applications sont plus risquées que d'autres. Certaines peuvent être compromises et des données sensibles peuvent être transmises à des tiers non fiables.

Les exigences fondamentales en matière de sécurité restent les mêmes pour les appareils mobiles que pour les ordinateurs non mobiles. En général, il s’agit de maintenir et de protéger la confidentialité, l’intégrité, l’identité et la non-répudiation.

Toutefois, les tendances actuelles en matière de sécurité mobile créent de nouveaux défis et opportunités qui nécessitent une redéfinition de la sécurité pour les appareils informatiques personnels. Par exemple, les capacités et les attentes varient selon le facteur de forme de l’appareil (sa forme et sa taille), les progrès des technologies de sécurité, l’évolution rapide des tactiques de menace et l’interaction avec l’appareil, comme le toucher, l’audio et la vidéo.

Les services informatiques et les équipes en charge de la sécurité doivent reconsidérer la manière de satisfaire aux exigences de sécurité compte tenu des fonctionnalités des appareils, du contexte des menaces mobiles et de l’évolution des attentes des utilisateurs. En d’autres termes, ces professionnels doivent sécuriser de multiples vulnérabilités dans l’environnement dynamique et en pleine expansion des appareils mobiles. Un environnement mobile sécurisé offre une protection dans six domaines principaux : gestion de la mobilité d’entreprise, sécurité des e-mails, protection des points de terminaison, VPN, passerelles sécurisées et courtier de sécurité d’accès au cloud.