Il s'agit d'un sujet majeur pour les entreprises (dont les TPE PME) : la sécurité des smartphones. Si le téléphone s'est imposé comme compagnon de nos pratiques numériques, la concentration d'informations qu'il contient (contacts, images, identifiants de connexion à des services en ligne...) et les archives d'échanges via les messageries, les services de courrier électronique... Le rendent très intéressant pour les pirates à la recherche de données personnelles, financières ou autres.

Sécuriser son mobile s'avère essentiel et constitue l'une des conditions première de l'information partagée dans les organisations ; ceci alors que les collaborateurs nomades sont de plus en plus une réalité pour les entreprises (travail en situation de mobilité, télétravail). S'attaquer à un mobile, cela signifie le plus souvent, vouloir s'attaquer à toute l'entreprise.

Guide de sécurité du mobile

Afin d'aider les dirigeants d'entreprises et les collaborateurs à considérer comme prioritaire cette thématique de la protection des smartphones dans un environnement professionnel, Orange Cyberdéfense (regroupant toutes les activités de cybersécurité du groupe Orange) a mis en ligne en octobre 2019 un guide pratique librement téléchargeable : La sécurité du mobile (en PDF, 34 pages) avec une présentation et analyse des risques ainsi que les réflexes à adopter en matière de cybersécurité pour protéger les smartphones en entreprise. Un dossier didactique et préventif.

Les mobiles visés par les attaques

Si depuis 2018, plus de 48 % du temps passé sur Internet se fait sur un outil mobile, le smartphone est particulièrement touché par des attaques de type hameçonnage (phishing) favorisées par la petitesse des écrans à consulter. Cliquer sur un lien frauduleux sur mobile n'est pas rare : « les collaborateurs ont en effet 3 fois plus de chances de cliquer sur un lien de frauduleux sur un écran de téléphone que sur leur ordinateur » est-il mentionné par la firme française au sein du présent guide.

3 types de risques avec un smartphone

La transformation numérique des entreprises est également synonyme de risques qu'il convient d'identifier pour s'assurer que :

• Le possesseur du mobile est bien celui qu’il prétend être ;
• L’information soit protégée au moment où celle-ci est consultée et/ou stockée sur le mobile ;
• L’utilisateur échange des données depuis son mobile avec d’autres utilisateurs de manière sécurisée.

4 idées fausses sur la sécurité du mobile

Le guide La sécurité du mobile met en avant quelques idées fausses en matière de cybersécurité pour les dirigeants d'enteprises :

• La sécurité mobile ? Ce n'est pas une priorité ;
• Un antivirus mobile, c’est tout ce dont le collaborateur a besoin ;
• iOS est immunisé contre les menaces mobiles ;
• Les solutions de gestion de flotte mobile sont suffisantes pour assure la protection de l'activité de l'entreprise.

Quelles menaces et attaques avec un smartphone

... Avant de préciser que les menaces et vulnérabilités mobiles existent sous de nombreuses formes avec un ciblage d'attaques en 5 grandes catégories :

• Les vulnérabilités système ;
• L'accès root et les mauvais paramétrages ;
• Le phishing ;
• Les applications malveillantes ;
• Les attaques réseaux.

Le smishing : un exemple d’attaque courante sur les smartphones

Il est ensuite présenté le décryptage d'une attaque mobile par smishing (hameçonnage par SMS) en 3 étapes :

• L’utilisateur clique sur un lien reçus par SMS. La page lui fait  croire qu’une attaque est détectée ;
• Il est redirigé sur une page lui proposant de télécharger un antivirus ;
• Ce n’est pas l’antivirus mais le virus lui-même qu’il installe en pensant bien faire.

5 points pour protéger des mobiles en entreprise

Il existe 5 points clés d'une stratégie sécurité mobile pour réduire les risques d'attaques et celles-ci sont explicitées dans le guide :

• Maîtriser les bases ;
• Identifier l’essentiel ;
• Détecter et protéger ;
• Se préparer à l’attaque ;
• Anticiper les menaces.

Entreprises : Comment protéger sa flotte de smartphones en 5 points

Enfin, le dossier indique une méthodologie claire et précise pour protéger les activités mobiles du dirigeant d'entreprise et des employés :

• Sensibiliser vos collaborateurs ;
• Définir votre niveau de tolérance aux risques ;
• Appliquer des mesures de base ;
• Séparer données personnelles et professionnelles ;
• Investir en prévision d'un avenir incertain.

Sommaire du guide : La sécurité du mobile

Le mobile, ce nouveau vecteur d'attaques

Le mobile, nouvel eldorado des attaquants ?
Le "vrai/faux" de la sécurité mobile
Un arsenal d'attaques de plus en plus élaborées
Les appareils mobiles, le maillon faible des entreprises ?

Se protéger et conserver une longueur d'avance

Les points clés d'une stratégie de sécurité mobile
Comment se défendre contre les cybermenaces ?
Les bonnes pratiques pour protéger vos activités mobiles