Retour sur le réseau de bureau : Quels sont les risques pour les utilisateurs mobiles ?

Une pandémie de cybersécurité

L’afflux de nouveaux appareils rejoignant les réseaux d’entreprise pour la première fois entraînera des problèmes de sécurité majeurs pour les entreprises, explique Jake Moore, spécialiste de la sécurité chez ESET. « Il va simplement y avoir un déluge de logiciels malveillants et de bogues transférés sur ces plates-formes autrefois sécurisées », prévient-il.

Pour contrer ces menaces, les entreprises doivent sécuriser leurs données et leurs réseaux d’entreprise. Mais, selon Moore, cela nécessite plusieurs couches de sécurité et la coopération de tous au sein de l’organisation. Cela ne devrait pas être laissé aux équipes de cybersécurité de s’en occuper.

« Avant d’autoriser des appareils non appartenant à l’entreprise sur le réseau, les données doivent être sécurisées et, si possible, séparées des réseaux invités, des zones sensibles isolées et un accès donné uniquement à ceux qui en ont besoin », dit-il. « Si un appareil tiers pénètre dans le réseau, il est fortement conseillé de s’assurer qu’une solution antivirus robuste et approuvée par l’entreprise est sur l’appareil et que des analyses sont effectuées avant de rejoindre le réseau. »

Étant donné que de nombreux employés utilisent aujourd’hui des appareils mobiles, il existe un risque que des données professionnelles sensibles tombent entre de mauvaises mains lorsqu’elles sont prises à l’extérieur du bureau. Moore explique que les entreprises peuvent s’assurer que les données stockées sur les appareils mobiles sont sécurisées lorsqu’elles sont hors site grâce à l’utilisation du cryptage complet du disque. « Cela doit être appliqué comme obligatoire pour tout appareil qui quitte le bâtiment », dit-il.

Pendant la pandémie, de nombreux smartphones peuvent avoir été compromis avec de graves vulnérabilités de cybersécurité et constitueront probablement une menace pour les réseaux d’entreprise à mesure que les bureaux rouvriront. « L’utilisation de la gestion des applications mobiles peut aider les administrateurs réseau à savoir exactement ce qui fonctionne sur leur réseau et à tirer parti de la possibilité de contrôler les appareils mobiles à distance », ajoute Moore.

Principes fondamentaux du BYOD

Les entreprises modernes devraient déjà être conscientes des défis de cybersécurité des employés qui utilisent leurs propres appareils mobiles sur les réseaux d’entreprise, car ces problèmes existaient bien avant la pandémie, selon Sean Wright, responsable de la sécurité des applications chez Immersive Labs. « Ce risque devrait déjà être couvert par une politique de sécurité et appliqué par des solutions de gestion des appareils appropriées », dit-il.

Mais Wright pense que le retour des employés au travail de bureau mettra probablement cela à l’épreuve dans une certaine mesure, avec plus de personnes entraînant un plus grand nombre de points de risque. Il dit que l’un des meilleurs moyens de résoudre ce problème est de définir des autorisations utilisateur strictes.

Les entreprises qui permettent aux employés d’utiliser leurs propres appareils mobiles sur les réseaux d’entreprise doivent souligner l’importance de mettre en œuvre des correctifs de sécurité. « Le facteur vraiment important ici est l’application de correctifs », explique Wright. « Les appareils grand public pouvant être de plus en plus vulnérables, les appareils qui se connectent à votre réseau doivent être à jour. »

Une autre considération vitale pour les entreprises ayant des initiatives BYOD (Bring Your Own Device) est de s’assurer que les appareils mobiles personnels fonctionnent sur un réseau isolé, explique Wright, ajoutant: « La première chose qu’un attaquant cherchera à faire est de se déplacer latéralement. Cela les privera de cette opportunité. »

Andrew Hewitt, analyste principal chez Forrester, estime que l’utilisation d’appareils mobiles sur les réseaux Wi-Fi d’entreprise peut être dangereuse pour les organisations sans une combinaison de conformité des appareils, de certifications à jour et de capacités de gestion des identités et des accès (IAM). « Cependant, avec une base solide de gestion unifiée des terminaux et d’IAM, il est peu probable que ce soit un problème majeur », dit-il.

Il exhorte également les entreprises et les professionnels à se méfier des attaques de phishing par SMS, qui ont augmenté de manière exponentielle pendant la pandémie. « Vous pourriez imaginer un pirate informatique envoyer ce qui semble être une notification d’urgence à partir d’un immeuble de bureaux alors qu’en réalité il s’agit d’une tentative d’hameçonnage », explique Hewitt.

Un afflux de malwares

De nombreuses entreprises ont permis à leurs employés de travailler sur des appareils mobiles personnels au cours des 18 derniers mois. Mais comme les appareils grand public sont généralement moins sécurisés que les appareils d’entreprise, ils auraient pu capter toutes sortes de logiciels malveillants pendant cette période et constituer par la suite un danger pour les réseaux de sécurité d’entreprise à mesure que les bureaux rouvrent.

Martin Riley, directeur des services de sécurité gérés chez Bridewell Consulting, a déclaré: « Lorsque les employés retournent au bureau, il existe un risque qu’ils ramènent des appareils compromis ou moins sécurisés sur le réseau, que ce soit par l’introduction d’applications malveillantes ou d’appareils infectés par des logiciels malveillants.

« De nombreuses organisations sont également trop confiantes dans leurs capacités actuelles de gestion et de sécurité des appareils mobiles. Cela est particulièrement vrai si l’organisation ne dispose pas d’une capacité de gestion des appareils mature et intégrée de l’utilisateur final pour soutenir les technologies de mobilité d’entreprise. »

Riley dit que le plus grand défi auquel les équipes informatiques seront probablement confrontées lorsqu’elles traiteront ces problèmes est de trouver le bon équilibre. Par exemple, l’application de nombreuses restrictions de cybersécurité sur les appareils mobiles pourrait potentiellement affecter la productivité et l’expérience utilisateur. Mais d’un autre côté, une approche détendue peut rendre les entreprises vulnérables aux menaces graves de cybersécurité.

Il est essentiel que les responsabilités en matière de sécurité ne soient pas laissées entre les seules mains des utilisateurs. Les utilisateurs ont besoin d’une formation continue

Il estime que la bonne réponse est d’appliquer un modèle de sécurité zero-trust afin qu’aucun individu ou appareil ne soit digne de confiance. « Cela signifie séparer les utilisateurs et les appareils autant que raisonnable pour votre entreprise des actifs de l’entreprise tels que les données, les applications, l’infrastructure et les réseaux et suivre le modèle Identifier, Authentifier, Autoriser et Auditer [IAAM]», dit Riley.

Avec l’émergence constante de nouvelles menaces en ligne, il incombe également aux organisations de fournir à leurs employés une formation de sensibilisation à la sécurité. Riley déclare : « Il est également essentiel que les responsabilités en matière de sécurité ne soient pas laissées entre les seules mains des utilisateurs. Les utilisateurs ont besoin d’une formation continue sur les risques, les types de menaces et les meilleures pratiques. »

Parce que les employés s’appuient de plus en plus sur les appareils mobiles et les applications à des fins professionnelles, Riley exhorte les organisations à les inclure dans le cadre des contrôles de sécurité, des initiatives de test et des technologies anti-phishing.

Il ajoute : « En garantissant l’utilisation d’une suite moderne de gestion des terminaux mobiles et des applications, les organisations peuvent appliquer des politiques d’entreprise en matière d’authentification, de gestion des données et de correction, offrant ainsi une flexibilité à l’utilisateur final tout en améliorant la gestion des risques pour l’entreprise. »

Prendre des mesures immédiates

À l’avenir, Lee Newcombe, directeur de la cybersécurité chez Capgemini, envisage que les organisations puissent connecter des « appareils sales » à des réseaux local d’entreprise avec moins de risques. Mais il dit que cela n’est actuellement pas possible en raison du modèle hérité de réseaux internes plats et relativement non protégés.

« Nous ne vivons pas encore dans le nirvana d’un monde de confiance zéro, avec une microsegmentation interne et chaque demande d’accès étant soumise à une variété de contrôles de sécurité avant d’être accordée », dit-il.

Par conséquent, les entreprises doivent prendre des précautions supplémentaires lorsque des appareils mobiles personnels sont utilisés sur des réseaux d’entreprise. Tout d’abord, Newcombe recommande aux entreprises de demander à leurs employés de s’assurer que les signatures anti-malware sont à jour et de supprimer tout logiciel non standard avant d’entrer au bureau.

Newcombe encourage également les entreprises à effectuer des vérifications de la posture des appareils à distance et lors de la connexion au réseau local si elles en ont les capacités. Une autre étape importante consiste à utiliser des solutions de surveillance de la sécurité pour identifier les activités malveillantes au sein du réseau interne. Et les entreprises ne devraient pas négliger les solutions anti-malware côté serveur en concentrant leur attention sur d’autres domaines.

Bien que de nombreuses entreprises rouvrent leurs bureaux avec l’assouplissement des restrictions de confinement, le consensus général est que les approches hybrides définiront l’avenir du travail. Et comme les employés continuent d’utiliser des appareils mobiles à la maison et au bureau, les organisations doivent renforcer leurs cyberdéfenses en conséquence.

Jitender Arora, directeur de la sécurité de l’information chez Deloitte UK, encourage les entreprises à adopter des systèmes solides de défense contre le phishing, de détection et de réponse aux terminaux, essential services de sécurité et proxys Web dans le but d’améliorer la sécurité de leurs environnements de travail hybrides.

Pour certaines personnes, retourner au bureau peut être une perspective excitante après près de deux ans de travail à distance – c’est la preuve irréprochable que les problèmes de la pandémie commencent à s’estomper et que de meilleures choses sont au coin de la rue.

Mais ce que beaucoup de gens ne réalisent pas, c’est que leurs appareils mobiles peuvent être potentiellement dangereux et, lorsqu’ils sont connectés aux réseaux de bureau, pourraient éventuellement nuire à l’infrastructure informatique de leur employeur.

Par conséquent, les travailleurs doivent s’assurer que leurs appareils sont entièrement à jour et sécurisés. Et les entreprises doivent renforcer la sécurité de leur réseau afin que les appareils mobiles non sécurisés ne fournissent pas aux cybercriminels un point d’entrée dans les systèmes de l’entreprise.