Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu

2,466
views

Published on

Aujourd’hui, 65% des employés accèdent au réseau de leur entreprise avec des terminaux mobiles. Faites le point sur les principaux risques liés à la mobilité et les bonnes pratiques à mettre en place.

Aujourd’hui, 65% des employés accèdent au réseau de leur entreprise avec des terminaux mobiles. Faites le point sur les principaux risques liés à la mobilité et les bonnes pratiques à mettre en place.

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,466
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
9
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Ne perdez pas vos données : sixvecteurs de pertes de données mobiles,à votre insuResponsables informatiques, directeurs de la sécurité informatique,vice-présidents responsables des opérations informatiques,architectes mobiles, responsables des programmes mobiles. Cedocument examine brièvement les six principales menaces auxquellesvotre personnel itinérant est exposé et propose des solutionsvéritablement utiles que vous pouvez mettre en œuvre pour obtenir leniveau de sécurité dont votre entreprise a besoin.LIVREBLANC:NEPERDEZPASVOSDONNÉES:SIXVECTEURSDEPERTESDEDONNÉESMOBILES........................................
  • 2. SommaireIntroduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11. Perte et vol dappareil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12. Fuite de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13. Attaques de logiciels malveillants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24. Appareils et mots de passe partagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25. Débridage et passage en mode "root" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36. Espionnage des connexions Wi-Fi et autres connexions sans fil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu
  • 3. IntroductionSi votre lieu de travail est mobile, votre entreprise risque-t-elle de se laisser emporter ?Les appareils mobiles que vos employés aiment utiliser à titre personnel sont désormais également devenus les outils professionnelsdont ils se servent pour votre compte. Une étude que nous avons réalisée récemment est révélatrice : 65 % des entreprises dont nousavons interrogé les responsables permettent à leurs employés daccéder à leur réseau avec leurs propres appareils, 80 % desapplications dont ces employés se servent ne sont pas sur site mais dans le cloud et 52 % des employés utilisent régulièrement, non pasun, mais au moins trois appareils.Bien sûr, ces appareils mobiles (smartphones, ordinateurs portables et tablettes) ouvrent de nouvelles opportunités en matière deproductivité portable. Mais de par leur nature mobile, ils entraînent également lapparition de nouvelles vulnérabilités : de nouvellescauses de perte de données, de protection et de confiance dans la sécurité du réseau de votre entreprise.Heureusement, la productivité et la protection ne sont pas inconciliables à condition que vous preniez pleinement conscience desrisques et de ce que vous pouvez faire pour les réduire. Ce document examine brièvement les six principales menaces auxquelles votrepersonnel itinérant est exposé et propose pour ces dangers du monde réel des solutions véritablement utiles que vous pouvez mettre enœuvre pour obtenir le niveau de sécurité dont votre entreprise a besoin.1. Perte et vol dappareilLe risque le plus évident est souvent traité avec la réponse la plus évidente : prévoir le remplacement des appareils perdus. Mais denombreux appareils utilisés à des fins professionnelles appartiennent aux employés eux-mêmes : cest le phénomène BYOD (utilisationdu matériel personnel). Le plus important, cest ce qui est stocké dans lappareil, et non lappareil lui-même, qui compte réellement.Chaque appareil perdu est susceptible de devenir un portail permettant daccéder aux applications et données de votre entreprise.Vous pensez que nous exagérons ? En 2012, nous avons mis nos préoccupations à lépreuve dun test. Dans le cadre dun projet que nousavons appelé "Operation Honey Stick" (Opération bâton de miel), nous avons "perdu" dix smartphones dans chacune des cinq grandesvilles suivantes : Los Angeles, San Francisco, Washington et New York aux Etats-Unis ainsi que Ottawa au Canada. Chaque téléphone, quicontenait de fausses données et applications dentreprise, a été abandonné dans une zone très fréquentée.Il convient de porter au crédit de lespèce humaine que des tentatives de restitution ont été faites pour la moitié des 50 téléphones. Maisquant aux autres chiffres, ils sont révélateurs dune image bien plus sombre de la nature humaine. Sur 89 % des appareils, destentatives ont été faites pour accéder aux applications ou données personnelles, ce qui suggère que même ceux qui avaient initialementde bonnes intentions ont eu du mal à résister à la tentation. Les tentatives daccès aux applications ou données professionnellesconcernaient pour leur part 83 % des appareils. Un fichier "sauvegarde des mots de passe" a été ouvert sur 57 % des téléphones et uneapplication "administration à distance" simulant laccès au réseau de lentreprise utilisée sur 49 % dentre eux.Moralité : plutôt que de se concentrer sur les appareils perdus, les entreprises doivent protéger les données sensibles susceptibles dêtreperdues. La gestion de base des appareils doit être complétée par des politiques assurant la protection des applications et des données.A un premier niveau, cela signifie davoir la possibilité de localiser rapidement les appareils perdus et de procéder à des suppressions dedonnées à distance. Pour bénéficier dune protection plus approfondie, les entreprises doivent sécuriser les applications et chiffrer lesdonnées professionnelles utilisées sur des appareils mobiles.2. Fuite de donnéesBeaucoup a été dit sur les menaces liées à des "employés malveillants" qui recherchent délibérément des informations professionnellesconfidentielles afin de les partager. Mais la plus grande menace émane peut-être bien des employés bienveillants et bien intentionnésNe perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu1
  • 4. qui utilisent des services basés sur le cloud tels que la messagerie électronique et les outils de collaboration en ligne tout simplementpour être plus productifs. Sur le chemin en constante évolution vers une plus grande facilité dutilisation (mouvement également appelé"consumérisation"), les employés apprécient dutiliser des applications conçues dans une optique de convivialité plutôt queconformément aux impératifs de sécurité des entreprises.Mais une fois dans le cloud, les données de votre entreprise peuvent très bien échapper à votre contrôle. Les programmes de partage defichiers et de modification de documents les plus répandus que vos employés aiment utiliser sont généralement dépourvus desprotocoles daccès et dautorisation dont les entreprises ont besoin pour protéger leurs données. Sans la mise en œuvre de contrôlesdélibérés, les données peuvent "quitter" la sphère de lentreprise et se retrouver dans un environnement bien moins sécurisé où ellessont exposées à des risques.Une protection des applications et des données appropriée doit être la concrétisation dune approche à deux niveaux de la sécurité : 1)mise en œuvre dune liste noire dapplications interdisant laccès aux applications non approuvées et 2) déploiement de contrôlesinterdisant la copie, le collage et/ou le partage de données professionnelles via des applications en ligne.Les fonctionnalités de protection des applications et des données appropriées sont les suivantes :• Authentification propre à lapplication• Chiffrement des données• Blocage du copier/coller• Désactivation du partage de documents• Blocage de laccès aux appareils modifiés (en mode "root" ou "débridés")3. Attaques de logiciels malveillantsLes chiffres indiquent toujours sans équivoque que les attaques de logiciels malveillants affectant les ordinateurs sont bien plusnombreuses que celles touchant les appareils mobiles. Mais le taux de croissance des attaques ciblant les appareils mobiles estbeaucoup plus élevé. Tandis que les professionnels de linformatique traditionnelle naccordent pas beaucoup dattention aux logicielsmalveillants qui sen prennent aux appareils mobiles, les cybercriminels voient dans ce domaine leur prochaine grande opportunité decroissance.Cela concerne aussi bien le vol didentité, lexposition dinformations et la perte de données provoquées par des attaques de logicielsmalveillants mettant en œuvre des chevaux de Troie, des moniteurs et dautres "auto-stoppeurs" malveillants. En la matière, lesapplications falsifiées constituent peut-être la menace la plus importante : camouflées derrière le nom dun jeu ou dune applicationpopulaire et rendues attirantes par la proposition dun téléchargement gratuit, elles introduisent dans lappareil du code malveillantpouvant retirer de largent sur des comptes bancaires ou récupérer des données sur des réseaux dentreprises.Les logiciels de "sécurité" gratuits ne sont pas assez puissants pour contrer des logiciels malveillants en constante mutation et les effortstoujours renouvelés des cybercriminels pour franchir les barrières qui protègent les données des entreprises. Pour être véritablementefficace, une solution de protection contre les menaces doit tenir compte des variations du profil de risque entre les différentes plates-formes et agir de manière coordonnée pour protéger les ressources de lentreprise contre les attaques externes, les applicationsindésirables, la navigation non sécurisée et même lutilisation incorrecte des batteries.4. Appareils et mots de passe partagésSelon des études publiées récemment, près de la moitié des employés partagent leurs appareils avec leurs amis et leur famille. Et ils sont20 % à partager leurs mots de passe. Malheureusement, le partage occasionnel de comptes est à lorigine de la majorité des failles desécurité provoquées par le personnel.Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu2
  • 5. La protection des appareils mobiles ne se limite pas au simple verrouillage de lécran. Avant que des utilisateurs ne puissent accéder auxdonnées et applications de lentreprise, il peut être prudent de les authentifier. Nous vous recommandons denvisager la mise en œuvredune approche de lauthentification à deux facteurs (la clé de la réussite en matière de gestion des accès des utilisateurs et desapplications tout comme en matière de protection des applications et des données) combinant quelque chose que lutilisateur connaît(comme un mot de passe) avec quelque chose dont il dispose (comme un jeton, une empreinte digitale ou une empreinte rétinienne).5. Débridage et passage en mode "root"Dans un monde marqué par le phénomène BYOD (utilisation du matériel personnel), un employé peut facilement introduire un appareilmodifié (débridé ou en mode "root") dans lenvironnement de lentreprise. De telles modifications peuvent permettre de contourner lesprotocoles de sécurité, de désinstaller des fonctions de sécurité et douvrir laccès à des systèmes de fichiers et contrôles de donnéesprécédemment protégés.Les entreprises doivent mettre en œuvre des politiques de gestion des appareils appliquant des normes cohérentes pour la configurationet la sécurité de tous les appareils, que ceux-ci appartiennent à la société ou aux employés. Les appareils modifiés doivent être identifiéset tout accès doit leur être refusé pour protéger le réseau de lentreprise.6. Espionnage des connexions Wi-Fi et autres connexions sans filLa gratuité est souvent synonyme de fraude : lorsquun point daccès est ostensiblement signalé comme étant gratuit, il existe un risquede fishing des données quil transmet. Bien souvent, les utilisateurs nont pas conscience de leur vulnérabilité et les entreprises nont nicontrôle ni visibilité sur les réseaux 3G, 4G et 4G LTE.Pour être complètes, les politiques de gestion des applications, des données et des appareils doivent protéger deux niveaux :• Les communications, comme le courrier électronique de lentreprise, via des connexions sécurisées SSL ou VPN• Le chiffrement des données de lentreprise, aussi bien lorsquelles sont en transit que lorsquelles sont stockées sur des appareilsmobilesPour en savoir plus sur la mobilité dentreprise, visitez la page go.symantec.com/Mobilite.Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu3
  • 6. A propos de SymantecSymantec protège les informations échangées àtravers le monde et se positionne comme leadermondial des solutions de sécurité, de sauvegardeet de disponibilité. Nos produits et servicesinnovants protègent les individus et lesinformations dans nimporte quel environnement,du plus petit appareil mobile au datacenterdentreprise et systèmes dans le cloud. Notreexpertise internationale inégalée en matière deprotection des données, des identités et desinteractions donne confiance à nos clients dans lemonde interconnecté actuel. Pour plusdinformations, rendez-vous sur www.symantec.frou rejoignez Symantec sur go.symantec.com/socialmedia.Pour connaître lescoordonnées des bureauxdans un pays spécifique,consultez notre site Web.Symantec (France) S.A.S.Tour Egée - 17 avenue de lArche- La Défense 692671 Courbevoie Cedex, France+33 (0)1 41 38 57 00www.symantec.frCopyright © 2013 Symantec Corporation. Tous droitsréservés. Symantec, le logo Symantec et le logo enforme de coche sont des marques commerciales oudes marques déposées de Symantec Corporation oude ses filiales aux États-Unis et dans dautres pays.Les autres noms peuvent être des marquescommerciales de leurs détenteurs respectifs.3/2013 21283507Ne perdez pas vos données : six vecteurs de pertes de données mobiles, à votre insu