Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité mobile : comprendre et améliorer le cycle de vie des appareils mobiles en entreprise grâce aux recommandations du NIST

mai 2024 par Monique Becenti, Director of Product Marketing chez Zimperium

Les appareils mobiles sont désormais indispensables aux entreprises, ils leur apportent une flexibilité, une productivité et une connectivité hors pair et permettent aux collaborateurs et dirigeants d’accéder aux informations critiques où qu’ils se trouvent. Cependant, il est nécessaire d’assurer la sécurité de ces appareils pour que les entreprises puissent maintenir leur continuité opérationnelle et se protéger contre les menaces potentielles qui pourraient compromettre les données et leur activité.

Le National Institute of Standards and Technology (NIST) a énoncé, dans sa publication NIST SP 800-124 Revision 2, des recommandations pour sécuriser les appareils mobiles en entreprise. Face à la quantité des facteurs à prendre en compte lors de l’intégration d’appareils mobiles au sein d’une entreprise, le NIST définit les étapes de leur déploiement et de leur gestion tout au long de leur cycle de vie. Cette approche stratégique, qui permet de relever efficacement les défis en matière de sécurité, se décline en 5 recommandations :

Identifier les exigences en matière de mobilité
La première étape consiste à définir les besoins et les exigences en matière de sécurité pour la flotte d’appareils mobiles. Les entreprises doivent procéder à un inventaire des appareils mobiles existants, puis identifier le mode de déploiement qui correspond le mieux à leurs besoins en termes de fonctionnalités actuelles et futures, de confidentialité et également de sécurité. Il est crucial d’intégrer à la réflexion et au mode de déploiement tous les dispositifs mobiles possibles, tels que les appareils fournis par l’entreprise, le BYOD (bring-your-own-device) ou le COPE (corporate-owned personally enabled). En comprenant l’impact des appareils mobiles, les entreprises peuvent affiner leur processus de sélection, en le réduisant à quelques appareils qui répondent efficacement aux exigences spécifiques de leur activité.

Effectuer une évaluation des risques
L’évaluation des risques à différents niveaux - organisation, mission ou système d’information - est un élément fondamental des pratiques de cybersécurité. Ces évaluations jouent un rôle crucial dans l’identification, l’estimation et la hiérarchisation des risques susceptibles d’affecter les opérations, les actifs et le personnel. Il est important d’inclure les appareils et les applications mobiles ainsi que les systèmes responsables de la gestion de l’écosystème mobile. Les entreprises peuvent identifier et atténuer efficacement les risques potentiels en s’appuyant sur des méthodologies et des cadres maintenant une posture de cybersécurité solide, tels que le NIST SP800-30R1 (Guide for Conducting Risk Assessments), le cadre MITRE Mobile ATT&CK ou le NIST SP 800-154, (Guide to Data-Centric System Threat Modeling).

Mettre en œuvre la stratégie de mobilité de l’entreprise
Le choix et l’installation de la technologie mobile selon les besoins de sécurité et les objectifs de l’entreprise orienteront les options de déploiement, les appareils et les systèmes EMM (Enterprise Mobility Management). Qu’elles optent pour des solutions on premise ou dans le cloud, les entreprises doivent intégrer des solutions EMM dans leur stratégie de gestion. Définir des politiques, des configurations d’appareils et des dispositions conformes aux normes de sécurité est essentiel pour une stratégie de sécurité mobile solide.

Exploiter et entretenir l’infrastructure informatique et les réseaux mobiles
Les entreprises doivent s’engager dans la collecte continue de données afin d’évaluer et d’améliorer en permanence les mesures de sécurité. Des audits réguliers de l’infrastructure informatique et des réseaux mobiles de l’entreprise sont essentiels pour établir des bases de sécurité. La mise en œuvre de processus automatisés permet de rationaliser ces efforts. Les audits informatiques jouent un rôle crucial dans l’évaluation régulière de l’efficacité des contrôles de sécurité, l’identification des problèmes potentiels et les modifications nécessaires pour renforcer le système contre les menaces futures.
Les auditeurs s’appuient sur des données pour ces évaluations, les logs des appareils mobiles constituent, en effet, une source d’informations précieuse pour évaluer l’efficacité des contrôles dans l’environnement informatique mobile.

Éliminer et/ou réutiliser des appareils
Les appareils mobiles stockent souvent des informations sensibles (mots de passe, numéros de compte, e-mails, données critiques, ...). Il est donc nécessaire d’éliminer correctement les appareils pour éviter les violations de données et protéger ces informations sensibles. Les entreprises doivent élaborer des politiques de sécurité et de confidentialité pour les appareils mobiles et l’utilisation des applications, en identifiant toutes les applications installées, les fonctions utilisées et les données auxquelles ces applications ouvrent accès.

En suivant les principes décrits dans le NIST Enterprise Mobile Device Deployment Lifecycle, les entreprises peuvent renforcer leurs défenses contre les menaces mobiles et assurer la sécurité de leurs déploiements mobiles. Par ailleurs, opter pour des solutions complètes de sécurité mobile, permet aux entreprises d’intégrer les directives NIST dans leur organisation.


Voir les articles précédents

    

Voir les articles suivants