Sécurité mobile : pourquoi le « zéro trust » devient la règle

Vignette
Face à l’explosion des menaces de sécurité sur les terminaux mobiles, comment protéger efficacement vos données ? Les Responsables informatiques sont-ils vraiment conscients des risques et des coûts titanesques qui peuvent en résulter ? Dans le monde de la mobilité et du Cloud, une nouvelle approche de sécurité s’impose : le « zéro trust ». Explications avec David Chenevez, Directeur du compte Orange chez Mobile Iron et Stéphane Peycelon, Directeur de l’entité Digital Mobility Management (D2M) chez Orange Business.

Forte croissance des attaques sur mobiles

Les terminaux mobiles sont devenus des outils de travail indispensables : les salariés se connectent au réseau de l’entreprise depuis leur mobile personnel, ils utilisent leur 4G pour envoyer un mail et travaillent de plus en plus en mobilité. Les plates-formes mobiles sont donc dans la ligne de mire des hackers. Pour preuve, ces chiffres éloquents : dans une étude Verizon, 86% des sondés confirment que les attaques sur mobiles augmentent plus rapidement que n’importe quel autre type de menaces. (Source: Verizon Mobile Security Index 2019).

De quels types de menaces parle-t-on ? Dans le top 3, on retrouve :
1. La perte et le vol de données liés à des fuites sur les applications.
2. Le phishing (hameçonnage) qui consiste à usurper l’identité d’une entreprise ou d’un organisme pour obtenir des renseignements personnels.

3. Les attaques sur le réseau Wi-Fi, lorsque le hacker attire les utilisateurs sur son Wi-Fi pour pirater plus facilement leurs données.

Une hausse vertigineuse des piratages sur mobile

Corollaires de la digitalisation et de l’essor du mobile en entreprise, les risques liés à la sécurité et les coûts associés à ces risques ne cessent de croître. Selon une étude 2018 d’IBM et du Ponemon Institute, la détection et l’identification d’une brèche de sécurité prennent en moyenne 6 mois. Et 2 mois de plus pour réussir à la contenir ! De quoi laisser largement le temps à un hacker de fouiller dans vos données. Quant au coût d’une attaque mobile, il s’élève en moyenne à plusieurs millions de dollars (3.9$ millions). Comment ne pas réagir face à de tels chiffres ?

Une menace pas encore pleinement intégrée par les entreprises

Pour autant, les entreprises ne semblent pas encore avoir pleinement intégré ces menaces. Du moins pas à la hauteur des investissements qu’elles déploient depuis des années pour sécuriser les desktops, à grand renfort d’anti-virus, d’anti-malwares et de solutions performantes d’analyse préventive. C’est la conviction de David Chenevez chez MobileIron : « Les RSSI (Responsable de la sécurité des systèmes d'information, NDLR) sont conscients que leurs utilisateurs se servent de plus en plus de leurs smartphones pour accéder aux données de l’entreprise, mais ils n’ont pas encore été suffisamment sensibilisés sur les risques inhérents à ces changements de pratiques ».

Le Cloud impose sa loi : “never trust, always verify”

Face à l’ampleur et à l’hétérogénéité de ces menaces, comment faire évoluer la politique de sécurité de l’entreprise ? Les services Cloud étant de plus en plus plébiscités, l’approche périmétrique traditionnelle, gérée avec un data center et un pare-feu, ne tient plus la route (Lire à ce sujet l’article : « L’IT traditionnel est mort, vive l’IT mobile ! »). On adopte désormais une posture « Zéro trust ». Cette nouvelle approche part du postulat selon lequel la sécurité n’est jamais garantie (« Never Trust, always verify ») et qu’elle doit se faire au plus près de l’utilisateur, donc au niveau de son terminal.

Concrètement, le Zéro trust, comment ça marche ?

« En mode Zéro trust, explique David Chenevez, on procède à des vérifications minutieuses et continues, à la fois du device, de la plate-forme de l’utilisateur, du contexte de la connexion, de l’origine du mobile (pro, perso), des applications utilisées, du réseau, etc. Et une fois toutes ces analyses effectuées, on va pouvoir commencer à remédier aux menaces identifiées ». Les solutions de sécurité de MobileIron utilisent l’intelligence artificielle, le machine learning et l’analyse comportementale pour détecter tout type de menaces, connues ou non, puis corriger les failles.

Ce type de solution intelligente a l’avantage d’assurer à la fois la gestion de flotte de tous les terminaux (fixes / mobiles, iOS / Android), mais aussi la gestion des menaces mobiles. Avec un taux d’adoption immédiat de la part des utilisateurs, qui n’ont pas besoin de télécharger une application particulière, la brique de gestion de menaces étant préinstallée dans la solution UEM (Unified End-Point Management) de MobileIron.

Sans experts, point de salut !

La sécurité des flottes mobiles étant une problématique de plus en plus centrale pour les entreprises, Orange Business s’est allié à des partenaires éditeurs, comme MobileIron. Pour Stéphane Peycelon, Directeur de l’entité D2M (Digital Mobility Management) chez Orange Business : « C’est la relation historique forte entre Orange Business et MobileIron ainsi que l’expertise de nos ingénieurs (D2M est certifié Iron Partner) qui nous permet de leur proposer des solutions performantes et évolutives répondant aux besoins de nos clients ». L’alliance des deux experts fonctionne, et les projets se multiplient.

Pour construire une offre intégrant le meilleur de la gestion de flotte et de la sécurité, D2M s’appuie sur Orange Cyberdefense, l’entité spécialiste de la cyber sécurité et partenaire de confiance, pour apporter toute l’expertise et l’accompagnement sur la configuration de sécurité optimale. Ainsi, l’offre Mobile Secure apporte une réponse globale et une protection proactive pour faire face à l’émergence des nouvelles menaces mobiles.

« Récemment, nous avons déployé pour une grande entreprise de l’aéronautique une solution sur mesure qui a permis un contrôle optimal et une haute sécurisation du stockage des données, point primordial dans le secteur hautement sécurisé de la Défense !». Autre exemple : « Un de nos clients, une association, cherchait une solution pour assurer une meilleure gestion et un meilleur contrôle des terminaux de sa flotte tout en atteignant un niveau de sécurité optimal par rapport aux données contenues sur ces terminaux. Nous avons gagné le contrat en proposant la solution Mobile Secure avec l’intégration et la configuration des solutions associées à une expertise dédiée et des ressources opérationnelles sur site et à distance ».

“L’expérience utilisateur doit rester au centre“

Le haut niveau d’expertise requis face aux menaces de sécurité ne doit cependant pas faire oublier l’utilisateur et sa capacité à s’approprier ces outils. « Si la sécurité mobile est décisive aujourd’hui, elle ne doit pas se faire au détriment de l’expérience utilisateur, au risque d’être contournée » explique David Chenevez. Une approche graduelle est donc nécessaire (notifier avant de bloquer par exemple), pour ne pas brusquer les utilisateurs et faire en sorte qu’ils s’approprient progressivement les nouvelles normes de sécurité de l’entreprise. La réussite de la politique de sécurité globale de l’entreprise est à ce prix !

Vignette

A propos de Stéphane Peycelon

Stéphane PEYCELON est Directeur et fondateur de l’entité D2M (Digital Mobility Management) d’Orange Business, un acteur de référence de la gestion moderne du poste de travail mobile en France. D2M accompagne les clients dans le management et le maintien en condition opérationnelle de leurs terminaux mobiles.

Diplômé d’une école de commerce, Stéphane a occupé diverses fonctions chez Orange, en tant que responsable commercial en filiale puis Directeur Sales Support Large Companies au sein de la BU Mobile. Son expérience de la mobilité en entreprises combine l’expertise d’un intégrateur au savoir-faire d’un opérateur international.

Retrouvez-le sur LinkedIn

Vignette
 
A propos de David Chenevez

David CHENEVEZ a été nommé Directeur du compte Orange pour la France et l’International afin d’accompagner la forte croissance de MobileIron et de renforcer le partenariat stratégique avec Orange.

Fort d’une quinzaine d’années d’expérience dans le monde de l’IT et titulaire d’un diplôme d’ingénieur en informatique, il a occupé précédemment le poste de responsable technique du compte Orange dans l’équipe Opérateur de MobileIron, et différentes positions commerciales et technico-commerciales chez Aruba Networks (an HPE company), Riverbed Technology, IBM…

Retrouvez-le sur LinkedIn