De plus en plus utilisés pour les activités professionnelles, les terminaux mobiles peuvent être l’objet de cyberattaques. L’entreprise doit mettre en place des mesures pour se protéger de ce risque.
Les terminaux mobiles, téléphones en tête, jouent un rôle croissant dans les activités professionnelles. Les dirigeants apprécient de gérer leur entreprise en mobilité, et les salariés sont parfois en télétravail. « Avec l’essor très important du cloud, les services et données de l’entreprise sont de plus en plus accessibles, quel que soit le terminal, rappelle Alban Allain, directeur conseil et audit informatique chez Efficience, membre de France Défi. Cela amène beaucoup de flexibilité au niveau du travail, mais le revers est que l’on peut se retrouver avec beaucoup d’information incontrôlée, notamment si les utilisateurs se connectent aux systèmes de l’entreprise depuis des terminaux mobiles non protégés. »
Scinder les usages
Les cybercriminels préfèrent désormais viser les portables, qui contiennent informations sensibles et mots de passe. Souvent moins bien protégés que les ordinateurs, ils constituent un point d’entrée facile, selon France numérique. Or une cyberattaque génère des risques opérationnels, juridiques et financiers.
Environ un salarié de TPE et PME sur deux utilise son téléphone personnel pour le travail, selon cybermalveillance.gouv.fr. « Il faudrait idéalement scinder les usages en distinguant téléphone professionnel et téléphone personnel. Il existe aussi des systèmes de sécurité qui scinde un téléphone en deux avec un emplacement privé et un professionnel », indique Alban Allain.
Sensibiliser les salariés
« Il ne faut pas oublier que dans 95 % des cas, la faille de sécurité, c’est l’utilisateur », rappelle-t-il. La sensibilisation des salariés aux bons réflexes d’usages est donc primordiale (ne pas cliquer sur des liens suspects, éviter les wifi publics, télécharger uniquement des applications de magasins officiels…). Il existe des guides des bonnes pratiques. Il importe aussi d’établir un diagnostic du niveau d’exposition aux risques de la PME (quels sont ses données, terminaux, menaces les plus probables…). Piratage de compte et phishing (se faire passer pour une entité légitime comme un faux conseiller bancaire) sont des attaques les plus fréquentes.
Des antivirus pour mobiles commencent à exister, mais ils sont pour l’instant déployés majoritairement par les sociétés les plus matures en termes de cybersécurité.
Bien gérer authentification et mots de passe
« L’entreprise a intérêt à déployer des systèmes de sécurité, comme l’authentification à double facteur », indique Alban Allain. Il importe aussi d’utiliser code d’accès, verrouillage automatique ou encore chiffrement des données, en cas de vol. « Il faut favoriser l’utilisation de gestionnaires de mots de passe, qui sont des coffres-forts, et ne pas enregistrer les mots de passe dans les navigateurs, ajoute-t-il. Il est aussi possible d’intégrer les terminaux dans des systèmes de gestion de flotte mobile de l’entreprise. Cela permet notamment de vérifier les mises à jour à distance, car un système qui n’est pas à jour représente une faille de sécurité importante. »
Le recours à des antivirus est en revanche plutôt rare. « Les DSI ont encore le sentiment que les mobiles sont peu soumis aux virus qui touchent Windows. Des antivirus pour mobiles commencent à exister, mais ils sont pour l’instant déployés majoritairement par les sociétés les plus matures en termes de cybersécurité », précise Alban Allain.
