Zimperium démystifie 5 idées reçues sur la sécurité mobile
octobre 2024 par Zimperium
Les appareils et les applications mobiles sont devenus les canaux digitaux les plus critiques à protéger dans l’entreprise : 71 % des employés utilisent des smartphones pour leurs tâches professionnelles et 82 % des sites de phishing ciblent désormais les appareils mobiles des entreprises[1]. Plus que jamais, la sécurité mobile est un enjeu majeur pour les entreprises.
Pour aider les RSSI, DSI et dirigeants à protéger leur entreprise et prendre les bonnes décisions en matière de sécurité mobile, Zimperium, la plateforme de sécurité mobile de référence pour les appareils et les applications, livre les 5 principales idées reçues à démystifier.
Idée reçue N°1 : Tous les appareils Android et iOS sont intrinsèquement sûrs
Bien qu’Android et iOS soient dotés de fonctions de sécurité intégrées, ils ne sont pas à l’abri des menaces. La sécurité des appareils mobiles dépend fortement des mises à jour régulières, du comportement des utilisateurs, de la supplychain et d’autres facteurs échappant au contrôle des fabricants d’appareils. Même les systèmes d’exploitation les plus sûrs peuvent, en effet, être compromis par des vulnérabilités non corrigées ou des applications malveillantes.
Les appareils mobiles ne sont pas intrinsèquement fiables et leur niveau de risque évolue quotidiennement. Bien que les solutions traditionnelles de sécurité mobile aient progressé, elles n’ont pas été en mesure de suivre le niveau de risque dynamique de l’appareil. Une solution MTD (Mobile Threat Defense) peut aider les entreprises à évaluer leurs appareils en temps réel, à contenir les menaces sur l’appareil, à désactiver l’accès par le biais d’un EMM et à déclencher des workflows d’atténuation en aval via des systèmes SIEM/SOAR.
Idée reçue N°2 : Les app stores sont garants de la protection contre les malwares et protègent les applications mobiles.
Bien que les App Stores détectent les applications malveillantes, ils ne peuvent pas garantir la sécurité d’une application ni empêcher d’autres applications de présenter des comportements malveillants. La plupart des codes malveillants sont téléchargés et activés uniquement après le démarrage de l’application sur l’appareil, contournant ainsi les politiques de ces plateformes. De plus, ces App stores ne surveillent généralement pas si des données sont exfiltrées ou si le partage de données non autorisé avec des pays tels que la Russie et la Chine ont lieu, ce qui présente un niveau de risque supplémentaire pour les développeurs d’applications et les utilisateurs.
Les développeurs d’applications mobiles doivent donc prendre en charge la sécurité de leurs applications en intégrant des mesures de sécurité robustes tout au long du cycle de vie de l’application. Ils doivent aider à identifier les vulnérabilités pendant le développement et s’assurer qu’ils peuvent les protéger sur les App stores.
Idée reçue N°3 : La sécurité sur les serveurs suffit à sécuriser les données sur les appareils mobiles
Les applications mobiles traitent, stockent et accèdent à des données sensibles directement sur l’appareil, ce qui les rend vulnérables aux fuites de data. S’appuyer uniquement sur des solutions de sécurité côté serveur, comme l’inspection du trafic réseau et la vérification de l’identité, ne suffit pas à sécuriser les applications mobiles et leurs données. Les appareils mobiles et les émulateurs peuvent facilement usurper le trafic pour contourner ces défenses. Et avec les techniques avancées actuelles, la plupart des applications ne peuvent pas déterminer si elles fonctionnent normalement ou si elles sont jailbreakées, rootées ou s’il s’agit même d’émulateurs. Cela crée un angle mort majeur pour les systèmes EDR (Endpoint Detection and Response) traditionnels, en particulier lorsque des attaques avancées telles que l’exfiltration de données, le mishing ou le détournement d’OTP se produisent depuis l’appareil.
Pour sécuriser efficacement les appareils et les applications mobiles, les entreprises doivent mettre en œuvre des solutions de sécurité spécifiques aux appareils mobiles qui vont au-delà des protections côté serveur. Cela inclut des mesures de sécurité sur l’appareil telles que le renforcement des applications, la défense contre les menaces mobiles (MTD) et l’autoprotection des applications en cours d’exécution (RASP). Ces technologies détectent et atténuent les menaces directement sur l’appareil, en empêchant l’usurpation de trafic, la falsification et l’accès non autorisé. En combinant la sécurité côté serveur et la sécurité sur l’appareil, les entreprises peuvent créer une défense plus complète contre les menaces mobiles sophistiquées.
Idée reçue N°4 : MDM et MAM sont synonymes de sécurité mobile
Les MDM et MAM permettent principalement de provisionner et de gérer les appareils et les applications avec une sécurité de base, mais ils n’offrent pas de protection contre les attaques mobiles avancées. Une fois qu’un appareil est compromis, la plupart de ces mécanismes peuvent être contournés.
Il est important pour les entreprises d’adopter une stratégie complète de sécurité des endpoints afin d’être en mesure de protéger leurs données, de respecter les normes de conformité et d’obtenir une adoption totale de la part des utilisateurs, garantissant la protection contre les risques liés à la mobilité.
Idée reçue N°5 : La protection des messageries professionnelles suffit à prévenir le smishing, le phishing et autres risques.
L’hameçonnage mobile (mishing) va bien au-delà de la messagerie professionnelle et cible les utilisateurs par SMS (smishing), appels vocaux (vishing), QR code (Quishing) et autres sites malveillants. De plus, le phishing, qui ne s’exécute que lorsqu’il est activé sur un appareil mobile, est de plus en plus fréquent. Les stratégies Zéro Trust pour les appareils mobiles doivent prendre en compte tous ces vecteurs pour protéger véritablement l’entreprise.
Des solutions de sécurité qui s’étendent au-delà des applications professionnelles sur un appareil peuvent aider les entreprises à se protéger contre tous les types de mishing.
Les entreprises qui vont au-delà des réalités qui se cachent derrière ces idées reçues sont capables de prendre des mesures éclairées et proactives pour sécuriser les appareils mobiles. Rester vigilant et informé est primordial ; la sécurité mobile est un processus continu qui nécessite une attention et une adaptation permanentes.