Dans de nombreuses TPE et PME, le mobile est à la fois à usage professionnel et personnel. Parallèlement, le piratage des smartphones a pris des proportions considérables depuis plusieurs années. Dans ce contexte, quels risques y a-t-il pour les données de l'entreprise ? Comment gérer les mobiles des collaborateurs pour rester en sécurité ? Quelles menaces récurrentes ?
Depuis longtemps, les deux systèmes d'exploitation les plus attaqués dans le monde sont Windows pour les ordinateurs, et Android pour les smartphones. De fait, les utilisateurs d'Android sont bien plus nombreux que ceux d'Apple, également en France, et comme on le sait, la popularité d'un système l'expose beaucoup plus aux menaces. C'est ce que l'on pourrait appeler la rançon du succès.
La France, un pays de TPE
D'après de nombreuses études et statistiques, notamment par l'INSEE, le pourcentage des TPE/PME dans le tissu économique français représente… 99,9%. Parmi ces entreprises, on compte 3 millions de TPE dont plus de la moitié n'a pas de salarié.
Ce sont donc des millions de chefs d'entreprises et des gigas de données qui se trouvent exposés à des risques de sécurité numérique. Or, de très nombreux utilisateurs dans ces petites entreprises utilisent un seul smartphone pour leur usage personnel et professionnel.
Par ailleurs, les PME ou TPE qui ont plusieurs collaborateurs investissent rarement dans des téléphones pros pour leurs salariés.
Du côté de la recherche virale, nous savons que les menaces et les malwares ciblant Android ont considérablement augmenté en dix ans. Aujourd'hui, notre Laboratoire Viral détecte environ 40 000 menaces ciblant Android par jour. Ces menaces représentant à peu près 20% de la totalité des menaces traitées.
Des attaques de plus en plus sophistiquées
Aux débuts d'Android, Google avait fait le choix de laisser son catalogue, Google Play, relativement ouvert, c'est-à-dire qu'il était très facile d'y publier une application. Cette ouverture a servi les desseins des cybercriminels qui avaient trouvé là un moyen gratuit et touchant de très nombreux utilisateurs de publier des applications vérolées. Google a beaucoup amélioré la sécurité de son catalogue, qui est d'ailleurs le plus sûr aujourd'hui, mais il n'en reste pas moins que chaque jour, des applications infectées passent les barrières de sécurité du catalogue.
Et ceci peut s'expliquer en partie par le fait que les applications malveillantes sont devenues de plus en plus sophistiquées et « malines ». Certaines ne sont là « que » pour permettre le téléchargement d'autres applis malveillantes, certaines ne se déclenchent que sur une action de l'utilisateur, la grande majorité sont dissimulées sous des applications inoffensives qui répondent à leurs fonctionnalités lorsqu'elles sont téléchargées sur un appareil. Mais le panel des menaces est large. Les malwares ont vite appris comment pirater les applications de e-banking, les messageries sur smartphone, les navigateurs web, comment utiliser les vulnérabilités du système d'exploitation lui-même, voire infecter directement les firmwares des appareils.
Dans ce contexte, il est facile de comprendre qu'une utilisation à la fois personnelle et professionnelle d'un smartphone pose de réels problèmes de sécurité. Consultation de la messagerie, transferts de fichiers professionnels, consultation du compte en banque de la société. Aujourd'hui, nous pouvons faire quasiment tout ce que nous faisons sur notre ordinateur sur un téléphone, et tous les appareils sont connectés entre eux.
En dehors des très nombreuses applications que nous appelons « publicitaires », c'est-à-dire qui affichent des pop-up intempestifs ou servent à augmenter le ranking de sites web (ce qui rapporte de l'argent aux pirates) et qui ne sont pas toujours à proprement parler dangereuses pour les données (mais peuvent rendre l'utilisation du téléphone quasiment impossible), il existe des malwares vraiment dangereux pour les données.
Comment gérer la sécurité sur les Smartphones dans le cadre professionnel ?
Comme toujours en matière de sécurité numérique, il est impossible de se protéger contre toutes les menaces. L'ingénierie sociale, qui consiste à inciter l'utilisateur à effectuer lui-même une action qui conduira à l'infection de son appareil, fonctionne toujours très bien et les méthodes de piratage sont légion.
La première barrière contre les malwares reste l'antivirus. Installer un antivirus sur un smartphone Android est indispensable, notamment dans le cadre d'une double utilisation pro/perso. Ces outils sont eux aussi sophistiqués et permettent une analyse en temps réel des applis téléchargées, la possibilité de mettre des filtres pour la consultation des sites web etc.
Mais la meilleure façon de se protéger est sans doute finalement de posséder deux téléphones, un pour la vie personnelle et un pour le professionnel, protégé par un antivirus et sur lequel on n'effectue que des actions liées au professionnel. Pas de jeux, pas de téléchargement de vidéos, pas de réseaux sociaux etc.
Si personne n'est à l'abri de voir sa messagerie professionnelle piratée sur son téléphone, le fait d'avoir le moins d'applications possibles limite les risques.
Et enfin, comme toujours, il faut rester vigilant et attentif. Ne pas télécharger d'applications sur des sites douteux, ne pas transférer de données professionnelles confidentielles ou de haute importance via la messagerie du téléphone, ne pas conserver de fichiers sur son smartphone, éviter l'utilisation de Wifi public sur son mobile pro.
Les petites entreprises qui ont des salariés devraient sans doute investir dans une flotte de téléphones professionnels sécurisés, car comme nous le disons toujours, un piratage peut entraîner des pertes considérables par rapport à l'investissement que représente quelques téléphones.