Les frontières entre nos domaines numériques privés et ceux de notre employeur se sont estompées.  

Bien que quelques employeurs soient réticents à l’idée de travailler sur des smartphones personnels, dans de nombreux secteurs, il est devenu normal que les employés soient réactifs en ligne – en répondant aux appels et aux e-mails via leurs appareils mobiles. Et, même si les aspects positifs et négatifs de cela peuvent être débattus, il est indéniable que cela a créé un problème secondaire : une augmentation de la cybercriminalité ciblant les appareils mobiles au travail. 

Ici, nous examinons comment les services mobiles sont devenus un risque majeur de cybersécurité pour les entreprises, ainsi que quelques outils efficaces pour aider à résoudre ces problèmes et protéger les données privées de votre entreprise.

Utilisation des appareils mobiles pour les affaires 

Il est bien connu que les appareils mobiles sont devenus beaucoup plus courants dans l’environnement de travail au cours des dernières années. Autrefois considérés comme à éviter sur le lieu de travail, les appareils mobiles sont désormais extrêmement courants. En fait, 87 % des entreprises déclarent qu’elles s’attendent à ce que le personnel utilise des appareils personnels à des fins professionnelles.  Il y a aussi des avantages significatifs de ce point de vue, puisque 75 % des employés disent que l’utilisation de leur smartphone les rend plus productifs au travail. Il est facile de comprendre pourquoi cela peut sembler être une situation gagnant-gagnant. Les entreprises veulent qu’ils soient utilisés, et les employés veulent les utiliser. Cependant, les entreprises doivent être conscientes de l’exposition accrue aux cyberattaques que cela entraîne – un fait important qui est souvent négligé. 

Les mobiles ont besoin de mesures de protection

Les employés qui utilisent des ordinateurs au travail sont généralement protégés par une gamme de mesures de cybersécurité. Les petites entreprises et celles moins orientées vers la sécurité disposeront presque toujours de mesures telles qu’un pare-feu et un logiciel antivirus fonctionnant sur toutes les machines du système. Les entreprises plus grandes et plus avancées peuvent également avoir des logiciels de cybersécurité pour leurs systèmes informatiques, tels que SIEM et MDR. 

Cependant, ce que tous ces services ont en commun, c’est qu’ils ne fournissent pas de protection pour les appareils personnels, les smartphones ou l’utilisation mobile régulière d’Internet, ce qui doit également être pris en compte. N’oubliez pas que les smartphones qui ne sont pas considérés comme faisant partie de l’infrastructure informatique de l’entreprise peuvent toujours accéder à des informations sensibles de l’entreprise et les divulguer, mais ils ne bénéficient pas de ces puissantes mesures de cybersécurité pour les protéger. 

Ce que votre entreprise peut faire

Il se peut que votre entreprise n’ait tout simplement pas encore pris en compte le fait que davantage de travailleurs utilisent des appareils mobiles et une variété de points de terminaison. Il est important de créer une politique relative aux appareils mobiles et d’établir un code de conduite officiel afin que le personnel comprenne et soit pleinement conscient des menaces cybernétiques actuelles et des vulnérabilités de son entreprise.  Le personnel doit assumer la responsabilité de la cybersécurité de son propre téléphone mobile. Apprenez-leur à sécuriser les appareils en utilisant des mots de passe forts et un logiciel antivirus, par exemple, ainsi qu’en prenant des précautions s’ils travaillent dans des lieux publics et naviguent entre les réseaux du travail et du domicile. 

Les attaques de logiciels malveillants mobiles sont en hausse

Une fois qu’une chose devient courante, vous pouvez être sûr que les cybercriminels chercheront des moyens d’en tirer parti. Cela a certainement été le cas en ce qui concerne l’utilisation des appareils mobiles dans un environnement professionnel. 

Un rapport récent a révélé que les attaques de logiciels malveillants mobiles ont augmenté de 15 % en 2020, et étant donné que ce chiffre a augmenté pendant plusieurs années, cela représente un problème sérieux. Les logiciels malveillants – autrefois quelque chose dont nous nous inquiétions généralement uniquement sur les ordinateurs – sont devenus de plus en plus courants sur les mobiles. 

Les logiciels malveillants peuvent être extrêmement problématiques, notamment parce qu’ils peuvent en réalité rester très longtemps sur un appareil sans être remarqués. Cela signifie que les cybercriminels peuvent compromettre un système et voler des données pendant une période significative après que le logiciel malveillant a été implanté sur l’appareil. 

Ce que votre entreprise peut faire

Lorsqu’il s’agit de logiciels malveillants, de loin le facteur le plus courant à l’origine d’une cyberattaque est l’erreur humaine. À ce titre, les entreprises doivent proposer au personnel des sessions de formation à la cybersécurité de haute qualité. Assurez-vous que ces sessions sont régulièrement mises à jour. 

Réduire le risque du travail à domicile

Dans le cadre de la pandémie de COVID-19, le nombre de personnes travaillant à domicile a fortement augmenté. C’est une très bonne nouvelle à plusieurs égards : la productivité et le moral du personnel ont évolué positivement. Mais du point de vue de la cybersécurité, le travail à domicile constitue un certain défi. 

« Avec le travail à distance devenu la nouvelle norme, il est facile de prendre de mauvaises habitudes », explique Juliette Hudson, analyste SOC senior chez Redscan « cependant, avec des risques de cybersécurité plus élevés que jamais et des travailleurs à distance dépourvus des protections du bureau, il est important de maintenir un niveau élevé, voire plus élevé, de sensibilisation à la sécurité. »

Il est courant que les ordinateurs personnels disposent de mesures de cybersécurité raisonnables, mais cela est en réalité relativement rare pour les appareils mobiles. Cela signifie que si davantage de personnes travaillent à domicile et utilisent des appareils mobiles, elles peuvent potentiellement créer des problèmes de cybersécurité pour l’entreprise pour laquelle elles travaillent. 

Ce que votre entreprise peut faire

Surveillez le problème du shadow IT. Le shadow IT désigne les applications et logiciels utilisés sur des appareils à l’insu du service informatique. En général, l’équipe informatique vérifiera et approuvera toutes les applications et tous les logiciels utilisés par le personnel. Mais si ces applications se trouvent sur des appareils mobiles auxquels l’informatique n’a pas accès, cela peut conduire à l’utilisation involontaire de logiciels corrompus ou d’applications présentant des vulnérabilités connues. Celles-ci peuvent être exploitées par des cybercriminels. 

Les points de terminaison sont une cible majeure

Bien que les entreprises puissent être ciblées de nombreuses façons différentes, on observe une augmentation significative du ciblage spécifique des points de terminaison. Si des cybercriminels parviennent à accéder à un point de terminaison – comme un appareil mobile – ils peuvent pénétrer l’ensemble du système. 

C’est quelque chose que beaucoup d’entreprises ne consacrent toujours pas à un niveau d’effort et d’investissement adéquat. 

Ce que votre entreprise peut faire

Il est très judicieux de limiter les accès. Par le passé, il pouvait être acceptable que tous les membres du personnel aient un accès complet aux données de l’entreprise via leurs identifiants. Mais à une époque où nous devons faire preuve de plus de prudence, il est logique de limiter les droits du personnel afin qu’il n’ait accès qu’aux données dont il a besoin pour effectuer son travail.

Ainsi, si un appareil mobile est compromis, à lui seul il ne donnera pas à un cybercriminel un accès complet aux fichiers de l’entreprise. 

Les appareils mobiles ont un rôle important à jouer pour les entreprises – ils sont appréciés des employés, et il est clair qu’ils sont devenus naturellement importants dans le fonctionnement des entreprises. Mais comme ils représentent un risque de cybersécurité, il faut faire davantage pour intégrer une politique de cybersécurité plus globale qui met davantage l’accent sur la sécurisation des appareils mobiles de la même manière que les autres machines utilisant le système. 

Contributeur invité : Mike James