Sécurité des smartphones : Sophos livre son b.a.-ba

Installé sur près de 80% des smartphones vendus en 2013, Android domine le marché mobile… et suscite d’autant plus de convoitise chez les cyber-criminels.

En un an, le nombre de logiciels malveillants ciblant l’OS de Google aurait augmenté de 600%, selon le laboratoire de Sophos. Une tendance appelée à s’accentuer alors que le nombre d’appareils mobiles en service est pressenti pour doubler en 2014, atteignant plusieurs centaines de millions de tablettes et plus de 2 milliards de smartphones. Une situation problématique pour les entreprises dont les salariés utilisent de plus en plus, de manière autorisée ou non, les outils nomades pour travailler.

Dans un contexte économique difficile marqué par des restrictions budgétaires, de nombreuses sociétés n’ont pas adopté aucune mesure de protection particulière. C’est tout du moins ce que suggèrent plusieurs études, dont celle menée aux Etats-Unis par le cabinet Infonetics Research : près de la moitié des dirigeants interrogés reconnaissent se rabattre sur les constructeurs pour déployer – via des mises à jour – des fonctions de sécurité sur leurs terminaux.

Mieux vaut pourtant ne pas trop attendre et agir en amont, en faisant preuve de bon sens et de pédagogie. Il convient notamment d’informer les utilisateurs des risques qu’encourt leur smartphone et de la nécessit de bien contrôler l’installation de chaque application. Sur le terrain, il est important de se méfier des points d’accès Wi-Fi publics (y compris ceux des aéroports), susceptibles d’être écoutés. Pour accéder à distance aux ressources d’entreprise, l’usage de technologies VPN chiffrées est vivement recommandé.

Les administrateurs s’attacheront à prendre le problème à la racine en établissant des règles de sécurité et en invitant les employés à les suivre dans le cadre d’une politique de BYOD (« Bring Your Own Device », c’est-à-dire l’utilisation du terminal personnel à des fins professionnelles).
Ce cadre réglementaire sera intégré dans la politique de sécurité générale et appliquée à la lettre : les appareils non conformes ne pourront pas se connecter au réseau.

Dans le même temps, ils resserreront idéalement l’étau sur le « root » et le « jailbreak », ces pratiques qui consistent à « casser » le système pour donner les droits d’administration à l’utilisateur, mais qui abattent les remparts sécuritaires. Plus globalement, maintenir l’OS à jour est crucial, afin qu’un maximum de failles soient comblées. La politique de support de la plate-forme Android dépendant souvent du constructeur de l’appareil et/ou de l’opérateur qui fournit le terminal, l’entreprise n’a pas toutes les clés en main.

Elle peut en revanche crypter l’ensemble du terminal à l’aide d’un mot de passe fort qui aidera à protéger l’accès aux données en cas de perte de l’appareil. Solliciter un code pour activer la carte SIM est un plus. Sur le volet des applications, les gestionnaires privilégieront des sources fiables comme Google Play,l’App Store ou des logithèques privées pour distribuer les solutions métiers internes. Même logique pour le stockage et le partage de fichiers. Sophos recommande la mise en place d’un cloud interne pour accéder de manière sécurisée aux documents de n’importe où avec n’importe quel terminal.

Dernier point, encourager l’adoption de logiciels anti-malware sur les smartphones Android, les seuls à en disposer pour l’heure.
Si les logiciels malveillants dédiés à iOS, Blackberry ou les plates-formes Java n’en existent pas moins, celles-ci ne constituent pas la priorité des cybercriminels qui, répétons-le, s’attaquent avant tout à la large base d’utilisateurs installée du marché.

—— A voir aussi ——
Quiz ITespresso.fr : incollable sur Android ?

Crédit photo : Maksim Kabakou – Shutterstock.com