La sécurisation des terminaux mobiles : un enjeu essentiel de la protection de l’entreprise

Les terminaux mobiles : talon d’Achille de la cybersécurité des entreprises

La protection des terminaux mobiles (téléphones et tablettes) : un enjeu crucial pour les TPE

Avec l’essor du télétravail et l’évolution des usages numériques, les terminaux mobiles se sont imposés comme des outils indispensables jouant un rôle central dans les activités professionnelles. Ils sont aujourd’hui utilisés comme de véritables ordinateurs, accédant à des données sensibles et gérant des processus critiques. Cependant, cette évolution s'accompagne de risques importants : les terminaux mobiles, bien souvent moins bien protégés que les postes fixes sont une cible de choix pour les cybercriminels.

Aujourd’hui, les cybercriminels préfèrent cibler les smartphones plutôt que les ordinateurs, car ces appareils concentrent de nombreuses informations personnelles et professionnelles, ainsi que les mots de passe pour accéder aux données de l’entreprise, voire aussi aux réseaux des partenaires de l’entreprise.

En 2023, près de 34 millions de cyberattaques ciblant des appareils mobiles ont été recensées dans le monde, dont 307 023 en France selon Thales. Un chiffre en hausse de 52 % par rapport à l’année précédente. Face à cette menace croissante, les entreprises doivent renforcer la sécurité de leurs terminaux mobiles professionnels.

Des terminaux mobiles insuffisamment sécurisés

Selon un sondage de l’éditeur de logiciels de cybersécurité Bitdefender publié en avril 2024, réalisé auprès du grand pulic, 38 % des répondants font confiance au fabricant du téléphone pour gérer le problème de la cybersécurité. Or, par défaut, les terminaux ne sont pas protégés, et, sans solution de protection contre les menaces mobiles, ils constituent un point d’entrée facile à exploiter pour les attaquants.

Les TPE PME, à l’instar des particuliers, sont donc généralement particulièrement vulnérables. Faute de moyens financiers et humains, elles ne disposent que rarement d’une stratégie de cybersécurité solide. Cela les rend attractives pour les pirates, qui trouvent dans les smartphones non protégés un accès facile aux données de l'entreprise. Et ces vulnérabilités sont aussi exploitées pour atteindre les partenaires de l'entreprise ciblée (clients ou fournisseurs). 

Cette absence de protection des terminaux fait peser sur les entreprises des risques opérationnels ainsi que des risques juridiques et financiers non négligeables. Une attaque cyber expose la responsabilité de l’entreprise ainsi que celle de son dirigeant, sur qui porte des obligations en matière de protection des données. 

Découvrez comment renforcer la sécurité des terminaux mobiles utilisés par vos salariés, afin d’améliorer la protection de votre entreprise et de ses données. 

Quelles sont les principales menaces cyber pour les entreprises ?

Selon Cybermalveillance.gouv.fr, le  piratage de compte est en 2023 la première cause des recherches d’assistance des entreprises et associations (+26 % par rapport à 2022).

Les violations de données, elles restent à un niveau stable en proportion, bien qu’en augmentation substantielle en volume (+38 %).

Les principales menaces cyber qui ciblent les appareils mobiles sont variées :

1. Hameçonnage (phishing) était la seconde des causes d'assistance auprès de Cybermalveillance.gouv.fr en 2023 (21 %). Ces attaques se font passer pour des entités légitimes afin de tromper les utilisateurs pour qu'ils divulguent des informations sensibles, comme des mots de passe ou des numéros de carte de crédit. 
2. Rançongiciels (ransomware) constituaient la 3ème des causes d'assistance auprès de Cybermalveillance.gouv.fr en 2023 (17 %). Ce type de logiciel malveillant chiffre les données de l'utilisateur et exige une rançon pour les déchiffrer. Bien que moins courant sur les appareils mobiles que sur les ordinateurs, le ransomware mobile existent. 
3. Attaques par SMS (smishing) : les attaques par SMS visent à tromper les utilisateurs en leur envoyant des messages texte contenant des liens malveillants ou des demandes de renseignements personnels.
4. Logiciels malveillants (malwares) : ces logiciels infectent les appareils mobiles via des applications malveillantes, des liens suspects ou des pièces jointes dans les emails. Ils peuvent voler des données, surveiller les activités de l'utilisateur ou même prendre le contrôle de l'appareil.
5. Réseaux Wi-Fi non sécurisés : la connexion à des réseaux Wi-Fi publics non sécurisés peut exposer les appareils mobiles à des attaques de type "man-in-the-middle", où les attaquants interceptent les communications entre l'appareil et le réseau.
6. Vol ou perte de l'appareil : la perte ou le vol d'un appareil mobile peut entraîner l'accès non autorisé à des données sensibles si l'appareil n'est pas protégé par un mot de passe ou un autre mécanisme de sécurité.
7. Vulnérabilités des systèmes d'exploitation : les failles dans les systèmes d'exploitation mobiles peuvent être exploitées par des attaquants pour accéder à des données sensibles ou prendre le contrôle de l'appareil.
8. Fuites de données : les applications légitimes peuvent parfois avoir des failles de sécurité qui permettent aux attaquants d'accéder à des données sensibles stockées sur l'appareil.
9. Surveillance et espionnage : des logiciels espions peuvent être installés sur les appareils mobiles, à l'insu de leur propriétaire, pour surveiller les activités de l'utilisateur, enregistrer les conversations et voler des données.

Face à ce vaste spectre de menaces, il est donc essentiel de mettre en place des mesures de protection adaptées.

Comment protéger les smartphones de son entreprise ? 

Sensibilisez vos collaborateurs à la cybersécurité

90 % des cyberattaques trouvent leur origine dans une erreur humaine ! Avant d'investir dans des solutions de sécurisation de vos appareils mobiles il est indispensable de sensibiliser tous les salariés de l'entreprise aux risques cyber.  

Quelques soient les solutions de cybersécurité adoptées, la sécurisation de l’entreprise passe nécessairement par la sensibilisation et la formation des salariés à une bonne hygiène numérique. Il s'agit de les aider à adopter les bons réflexes : 

• ne pas cliquer sur un lien suspect ; 
• utiliser des mots de passe faibles ou partagés ;
• mettre à jour systématiquement les systèmes des téléphones et les applications, pour corriger les failles identifiées ; 
• éviter de se connecter sur un Wi-Fi public ; 
• ne pas télécharger d’applications en dehors des magasins d’applications officiels, 
• utiliser les fonctionnalités de verrouillage de l’écran du téléphone, etc. 

Pour en savoir plus consultez notre dossier dédié ! 

Appliquer des mesures de base pour sécuriser les terminaux mobiles de l'entreprise

La sécurisation de vos téléphones mobiles et tablettes passe aussi par un certain nombre de bonnes pratiques à adopter. Découvrez les 10 conseils de cybermalveillance.gouv.fr pour protéger vos terminaux mobiles : 

1. Mettez en place des codes d’accès, code de déverrouillage ou du code PIN (en évitant d'utiliser des codes trop simples comme 1234), et activez le verrouillage automatique de votre appareil. 
2. Utilisez la fonction de chiffrement des données de votre appareil afin qu'en cas de perte ou de vol, personne ne puisse accéder à vos informations. 
3. Appliquez régulièrement les mises à jour du système d’exploitation (Android, iOS) ou des applications installées sur votre appareil, pour corriger les éventuelles failles de sécurité. 
4. Faites des sauvegardes régulières des données de votre appareil mobile : répertoire de contacts, messages, photos, etc. 
5. Utilisez une solution de sécurité contre les virus et autres attaques (voir la partie suivante)
6. N’installez des applications que depuis les sites ou magasins officiels et consultez le nombre de téléchargements et les avis des autres utilisateurs avant d’installer une nouvelle application. 
7. Contrôler les autorisations de vos applications. Certaines applications demandent parfois des droits très importants sur vos informations qui peuvent être problématiques au regard de vos données personnelles. 
8. Ne laissez pas votre appareil sans surveillance. Une personne malintentionnée pourrait profiter de votre manque de vigilance pour accéder à vos informations ou piéger votre appareil. 
9. Évitez les réseaux publics Wifi publics ou inconnus qui peuvent être exploités par des cybercriminels pour intercepter vos données (comptes d’accès, mots de passe, données de carte bancaire…) et désactivez toutes les connexions sans fil quand vous ne vous en servez pas (Wi-Fi, Bluetooth, NFC…). Utilisez un VPN pour protéger vos connexions (voir la partie suivante)
10. Ne stockez pas d’informations confidentielles (mots de passe, codes bancaires, etc.) sur des espaces non protégés de votre téléphone (répertoire de contacts, messagerie, fichier non chiffré, et.). Pour protéger vos informations secrètes, utilisez une solution de chiffrement avec un mot de passe solide. 

Retrouvez tous le conseils de cybermaleillance.gouv.fr : 

• Protéger ses appareils mobiles

Découvrez tous les conseils de Cybermalveillance.gouv.fr et la Cnil pour sécuriser vos appareils mobiles : 

• Protéger ses appareils mobiles
• Comment sécuriser au maximum l’accès à votre smartphone ? 

Établissez un diagnostic pour faire le point sur votre niveau d'exposition

Faites le point sur les risques cyber qui pèsent sur votre activité. Les questions à se poser incluent :

• Quelles sont les données manipulées / traitées ? : informations clients, fournisseurs, comptabilité, salariés, etc.
• Quels appareils professionnels ou personnels sont utilisés et via quelles connexions accèdent-ils à ces données ?
• Quelles sont les menaces les plus probables (phishing, ransomware, perte ou vol de terminaux, etc.) contre lesquelles vous devez les protéger ?
• Quelles seraient les conséquences d'une fuite, d'une altération ou d'une destruction de ces données

Une meilleure compréhension de ces enjeux permet d’identifier les risques en vue de mettre en place des actions pour sécuriser votre TPE PME. 

Et au-delà des risques opérationnels, les entreprises doivent se conformer à des exigences réglementaires strictes. Le RGPD impose notamment des mesures de protection des données personnelles qu'elles traitent pour garantir leur confidentialité, leur intégrité et leur disponibilité. Toute violation peut entraîner des sanctions financières lourdes, ainsi qu’un préjudice pour l’image de l’entreprise. 

Les TPE doivent s’assurer que leurs processus et outils respectent leurs obligations en matière de gestion des données personnelles. 

Pour vous aider, consultez notre article : 

• Guide de la sécurité des données personnelles de la Cnil : la référence pour les professionnels

Adopter des solutions de protection des terminaux mobiles

Au-delà des actions essentielles pour sécuriser ses terminaux mobiles, adopter des solutions de sécurisation dédiées permet de réduire significativement les risques cyber. Relativement abordables pour la majorité des TPE PME, ces solutions généralement commercialisées sous forme de services sont simples à mettre en œuvre. 

Logiciels antivirus et solutions de protection avancées

L'antivirus classique

L’utilisation d’un antivirus est une des principales mesures à appliquer pour assurer votre cybersécurité, estime cybermalveillance.gouv.fr. Ces logiciels conçus pour identifier, neutraliser et éliminer des logiciels malveillants (dont les virus informatiques ne sont qu'une catégorie) :

• Les antivirus gratuits offrent une protection qui tend à se rapprocher sur leurs fonctionnalités de base. Ils sont aussi généralement moins gourmands en puissance machine et sont souvent plus faciles à utiliser, car ils disposent de moins de fonctionnalités que les antivirus payants. 
   
• Les antivirus payants coûtent quelques dizaines d’euros par an et offrent, quant à eux, généralement plus de fonctionnalités de sécurité comme la détection de sites malveillants d’hameçonnage, la possibilité de sécuriser votre connexion à Internet avec un VPN, la fourniture d’un coffre-fort numérique pour protéger vos informations sensibles, un gestionnaire de mots de passe et même une assistance aux utilisateurs. 

Pour en savoir plus consultez la fiche pratique de cybermalveillance.gouv.fr :

• Les antivirus

L’antivirus nouvelle génération (EPP) 

Le recours à une plate-forme de protection des terminaux (EPP pour endpoint protection platform) permet de sécuriser tous les appareils  de l'entreprise (fixes et mobiles). Contrairement aux antivirus classiques, qui se contentent de détecter et de supprimer les logiciels malveillants connus, les solutions EPP qui permettent la surveillance et la collecte continues des données d'activité intègrent des fonctionnalités avancées de protection :

• la détection des activités suspectes à partir de l’analyse comportementale des acteurs ;
• la détection proactive des nouvelles formes de malware en recourant à l’intelligence artificielle et l’apprentissage automatique ; 
• la protection en temps réel, permettant de bloquer immédiatement les fichiers malveillants avant qu’ils ne compromettent le système.

Un autre avantage des solutions EPP réside dans leur simplicité de gestion. Une fois déployées, elles fonctionnent en tâche de fond, nécessitant peu d’interventions manuelles. L’utilisateur est alerté en cas de détection de menace, et les mises à jour sont généralement automatiques, garantissant une protection continue.

La détection et réponse des terminaux (EDR)

Solution la plus avancée de protection, la détection et réponse des terminaux (ou EDR pour Endpoint detection and response) permet de bloquer les menaces les plus sophistiquées que les autres solutions peuvent ne pas détecter et intercepter. L'EDR offre une surveillance approfondie des activités suspectes et permet notamment :

• d'identifier le point d’entrée d’une attaque et suivre son évolution dans le système ;
• de détecter les comportements malveillants en analysant les logs et les activités inhabituelles des terminaux ;
• de réagir automatiquement aux incidents, en isolant un poste compromis ou en bloquant un processus suspect avant qu’il ne cause des dommages.

Ce type de solution qui nécessite une gestion active et une expertise technique,  exige de disposer de compétences internes ou externes de la part d'un prestataire pour exploiter pleinement son potentiel. 

La gestion des appareils mobiles (MDM)

Une solution de gestion des appareils mobiles ( ou MDM pour Mobile Device Management) permet de configurer et de contrôler les appareils mobiles, qu’ils soient fournis par l’employeur ou appartiennent aux employés. Elle offre des fonctionnalités telles que le chiffrement, le contrôle des applications installées, et la possibilité de supprimer à distance les données en cas de perte ou de vol, et permet d’avoir la visibilité sur l’ensemble des équipements qui accèdent aux données de l’entreprise. Elle contribue aussi à étanchéifier les usages professionnels et personnels. 

Une solution de MDM facilite aussi un déploiement automatisé et rapide des terminaux mobiles grâce à ses fonctions de configuration des terminaux à distance, telles que l'installation, la mise à jour des applications et la réaffectation des appareils en cas de changement de collaborateur.

En savoir plus : 

• MDM : 10 avantages pour les gestionnaires de flotte mobile !

Le réseau privé virtuel (VPN)

L’utilisation d’un réseau privé virtuel (ou VPN pour Virtual Private Network) permet de compléter la protection des terminaux mobiles. Le VPN crée un tunnel privé qui permet d’accéder à internet ou au réseau intranet de votre entreprise depuis votre ordinateur local ou votre smartphone de façon sécurisée et anonyme.

Le VPN agit comme un bouclier contre les risques de vols de données ou les potentielles intrusions de cybercriminels. Il est particulièrement utile si vous avez l'habitude de vous connecter à des réseaux Wifi publics (dans les transports en commun, les aéroports, les cafés…) avec votre pc portable ou votre smartphone. 

A noter que certaines solutions antivirus mobile proposent une fonctionnalité de VPN. 

Le conseil de l’experte

Considérez la cybersécurité comme une priorité stratégique, quel que soit votre secteur ou la taille de votre entreprise. 

Ne négligez pas la protection des appareils mobiles, devenus indispensables à votre activité professionnelle, et qui représentent une porte d’entrée non protégée vers vos données. Choisissez des solutions adaptées : MDM, antivirus mobile avec VPN, EDR, pour sécuriser vos données et respecter les réglementations.

La cybersécurité implique une prise de conscience collective et des bonnes pratiques au quotidien : sensibilisez et formez vos salariés aux risques cyber pour sécuriser durablement votre environnement professionnel.

En savoir plus

• 3 solutions pour renforcer la sécurité de vos terminaux
• Sécurité du numérique pour les entreprises : comment se protéger
• Protéger ses appareils mobiles
• Sécurité mobile : point de vue d'expert
• Le smartphone, victime idéale des cyberpirates : arnaques, vols de données, espionnage…
• Pourquoi les hackers préfèrent votre smartphone à votre PC ?

Fiche pratique réalisée par Clotilde Motella, cheffe de marché cybersécurité, SFR Business, Activateur France Num. SFR Business accompagne les TPE et PME en simplifiant la gestion de leur cybersécurité avec des solutions clés en main, telles que le MDM, les antivirus mobiles et les pares-feux, pour protéger efficacement leurs activités.