Que vous soyez geek ou pas, la technologie fait partie de votre quotidien. Avec l’essor des smartphones hier et des tablettes aujourd’hui, les risques liés à la mobilité sont désormais un enjeu majeur de la sécurité des systèmes d’information.
Cette tendance est renforcée par l’arrivée en entreprise des terminaux personnels : il est en effet très tentant de synchroniser son smartphone, consulter son agenda sur sa tablette ou connecter sa clé USB sur son PC professionnel. Or ces équipements personnels, non maîtrisés par l’entreprise, peuvent induire un risque de compromission du SI ou de fuite d’information, parfois à l’insu de l’utilisateur.
Domaine personnel
Je sais tout de vous
Ce risque est indirectement lié à votre usage : vous laissez des tonnes d’informations sur vous et sur ce que vous faites en utilisant votre smartphone. Vous en laissez non seulement quand vous activez les options de géolocalisation, mais aussi en laissant d’autres types de données remonter vers l’opérateur, le fournisseur du système d’exploitation ou les éditeurs de logiciels.
Google peut par exemple vous localiser sans que vous donniez votre consentement pour la géolocalisation : pour cela, il utilise d’autres données telles que votre activité sur le web1. Certains petits malins sont également des spécialistes pour brouiller les pistes et forcer certains réglages par défaut en les noyant dans la masse2 (NB : il n’y a aucune contrepèterie dans cette phrase). Facebook en a fait sa spécialité.
Milieu professionnel
Quels sont les risques ?
Ces terminaux personnels sont le plus souvent non maîtrisés par l’entreprise, et deviennent de fait un nouveau facteur de risque et notamment de fuite d’informations, si l’entreprise n’a pas mis des mesures de protection adaptées à cette usage. Si les agents logiciels de protection et les antivirus sont entrés dans les mœurs pour ce qui est des ordinateurs fixes, la plupart des utilisateurs de Smartphones n’ont pas conscience de la nécessité de se protéger sur un appareil mobile.
Pourtant, comme tout dispositif informatique, les appareils mobiles sont vulnérables aux programmes malveillants (vers, virus, troyens…). De nombreux analystes pensent qu’avec l’usage accru de ces terminaux mobiles, cette menace va s’accentuer3, et le risque de compromission du SI devient alors réel si ces appareils lui sont connectés ou si des données confidentielles de l’entreprise sont accessibles. Les données personnelles ou l’usage du mobile sont également des cibles soit de ransomwares4 soit de siphonage (comme par exemple les informations de connexion aux sites bancaires).
De plus, par leur nature même, les Smartphones, tablettes, PC Portables et clés USB sont plus exposés au risque de vol, ou tout simplement de perte. Le risque de fuite d’information devient alors considérable s’il n’existe pas de dispositif de chiffrement des données, ou d’effacement et/ou blocage à distance des appareils perdus ou volés.
Et le BYOD ?
Il existe certains cas d’usage de Bring Your Own Device (ou BYOD, qui est l’utilisation par le collaborateur de son terminal mobile personnel en tant qu’outil professionnel) au sein de son entreprise. L’utilisateur dispose donc d’un appareil personnel mais qui est souvent maîtrisé par l’entreprise (pour la partie « usage professionnel »). A DEVELOPPER
Des exemples de menaces déjà existantes
Trend estime que 25% des programmes malveillants sur mobile (en 2012) ont pour objet de dérober des données personnelles ou confidentielles, allant du carnet d’adresses jusqu’aux SMS reçus (comme par exemple les codes de confirmation pour certaines transactions bancaires) ! Zeus, un troyen très dangereux et très répandu sur Windows, possède déjà des variantes pour BlackBerry5 et Android. Et les futures attaques ne manqueront pas d’exploiter les technologies embarquées sur ces matériels (GPS, caméra, NFC…) ! OBSOLETE
Quelle réponse ?
xxx
Voir aussi