Protection des données sensibles

Protection des données sensibles

Le ransomware se propage : c’est pourquoi la sécurité des smartphones à usage professionnel est importante

Que ce soit pour gérer ses rendez-vous, pour consulter ses données et ses emails en cours de déplacement ou pour communiquer en temps réel avec ses clients et collègues, les smartphones sont indispensables dans l’entreprise. D’après l’association allemande BITKOM, un employé sur cinq disposait déjà en 2016 de son propre téléphone portable. Près de 75% des utilisateurs professionnels sont même autorisés à utiliser ce portable de manière illimitée, et donc aussi pour des mails et conversations privés. Mais l’office fédéral allemand de sécurité de l’information (BSI) nous informe que, puisque ces périphériques mobiles – si pratiques – sont bien plus que de simples téléphones, ils représentent un danger pour la sécurité informatique de l’entreprise. Véritables mini-ordinateurs portables, ils sont souvent en lien permanent avec le réseau interne de l’entreprise – et accèdent à l’ensemble des données depuis l’extérieur. Quiconque surfe en illimité, lit des e-mails et installe des applications peut facilement être contaminé par des logiciels malveillants – et peut ainsi infecter l’ensemble du réseau informatique de l’entreprise via l’intranet.

En même temps, le « chantage informatique » gagne en popularité parmi les cibercriminels : depuis peu, les hackers contaminent les réseaux d’entreprises et effacent des banques de données complètes – la seule manière de récupérer les documents importants étant alors le paiement d’une rançon. D’après un sondage du BSI, en 2016, un tiers des entreprises interrogées avait été au cours des six derniers mois la cible de fichiers malveillants envoyés en pièces jointes à des mails ou d’autres cyber-agressions – les grandes entreprises comme les petites et les moyennes.

Les criminels étendent désormais cette escroquerie sur les smartphones : des professionnels envoient chevaux de Troie en les faisant passer pour des protections antivirus, et bloquent ainsi toutes les fonctions du téléphone. Il faut alors acheter un « programme complet » pour que le téléphone fonctionne de nouveau. D’autres programmes malveillants prétendent que les autorités ont bloqué l’appareil parce qu’il renfermerait un contenu réservé aux adultes – de tels programmes malveillants sont habilement diffusés par le biais de portails proposant de la pornographie.

Arne Schönborn, président du BSI, avertit que « même les attaques non ciblée, comme avec les ransomware actuels, peuvent susciter des dommages informatiques considérables et mettre en péril le succès de l’entreprise ». Le BSI a constaté que les points faibles sont le plus souvent des protocoles Internet insuffisamment sécurisés, des applications piratées et des filtres antivirus inefficaces. Le plus simple pour éviter cela est de configurer les technologies de sorte qu’aucune application ne puisse être installée sur l’appareil – ou seulement celles qui ont été approuvées par l’administrateur système.

Il est aussi possible de bloquer complètement l’utilisation d’Internet en dehors du pare-feu de l’entreprise. La protection par mot de passe est également indispensable, pour le cas où le portable tomberait entre de mauvaises mains. En dehors de l’entreprise, il est recommandé de recourir à une authentification à double facteur, qui rend nettement plus difficile le phishing, c’est-à-dire la suppression des mots de passe ou code PIN. L’authentification double facteur consiste à ce que l’utilisateur s’identifie deux fois : sur l’appareil et par le biais d’un code PIN variable qui, par exemple, est transféré du système vers un second dispositif. En outre, les experts conseillent de classer les documents de l’entreprise pour les appareils mobiles, de manière à ce que les données vraiment sensibles ne puissent même pas être utilisées ou envoyées par smartphone.

Enfin, la formation du personnel est indispensable. En effet, le cheval de Troie «antivirus», mentionné ci-dessus, n’est pas diffusé par le biais des App Stores mais téléchargé sur le smartphone par sideloading de sources alternatives – en fait une zone à haut risque, comparable avec la navigation sur les sites pornographiques, la mise en mémoire de mots de passe ou la désactivation du verrouillage de clavier. Et pourtant, beaucoup d’utilisateurs n’en sont pas encore conscients. Les entreprises doivent s’assurer que les règles soient clairement formulées et connues – et qu’en cas d’infraction, des sanctions visibles soient appliquées. A cet effet, il peut être utile d’inclure la sécurité informatique dans les conventions définissant les objectifs de chaque employé concerné.

2018-06-27T17:04:08+00:00