Les systèmes MDM ne suffisent pas à protéger les mobiles contre les cyberattaques
Bastien Bobe, Security Sales Engineer Europe du Sud, Lookout
Car elles détiennent d’importantes liquidités et des données extrêmement sensibles, les institutions financières sont une cible idéale pour des cyber criminels. D’après IBM, le secteur des services financiers a été la cible numéro un des cyber attaques en 2020, surpassant tous les autres secteurs. Ce qui explique pourquoi ces organisations continuent d’investir lourdement dans des compétences et des solutions technologiques pour s’assurer qu’elles peuvent contrer tout type de cyber attaques.
Mais parfois les défis deviennent plus complexes quand les environnements changent. C’est exactement ce qui s’est produit durant la pandémie. Des modes de travail hybrides deviendront réalité dans un avenir proche. De fait, certaines des plus grandes banques mondiales ont indiqué qu’elles imposeront à au moins une partie de leurs effectifs de retourner à leur bureau cet été.
Certains employés retourneront au bureau à plein temps, d’autres par étapes, et d’autres encore resteront complètement en télétravail. Ce qui veut dire que beaucoup d’entre eux continueront de traiter les données financières sensibles de leurs clients sans bénéficier de la protection du périmètre de sécurité installé à leur bureau.
Pour mieux comprendre les conséquences en matière de sécurité de ce basculement vers le digital que connait le secteur financiers, j’ai examiné les conclusions du dernier Financial Services Threat Report de Lookout.
Or, malgré une augmentation de 50% de l’adoption des systèmes de gestion de parc de mobiles (Mobile Device Management ou MDM), l’exposition moyenne aux attaques de phishing s’est accrue de 125%, et l’exposition aux risques liés aux malwares et aux applications mobiles a été multiplié par plus de 5.
Gestion des mobiles ne veut pas dire sécurité
Le fait que le secteur des services financiers ait augmenté de 50% son taux d’utilisation des systèmes MDM est certes encourageant, mais ce progrès délivre un faux sentiment de sécurité.
Ces systèmes permettent simplement aux organisations de transmettre des règles de base en matière de gestion des applications et des accès aux terminaux mobiles de leurs employés. Mais comme le montre la multiplication des attaques de phishing et des applications malveillantes, ces systèmes ne protègent pas les terminaux contre ces risques et ne remplacent pas la mise en oeuvre de mesures de sécurité. Ceci est d’autant plus vrai alors qu’un grand nombre d’employés continuent de travailler à distance et utilisent leurs terminaux mobiles personnels pour rester productifs en tous lieux. Dans cet environnement, l’entreprise ne contrôle plus les terminaux, le réseau ou même les logiciels.
Le mode de vie ‘digital-first’ fait le lit des attaques de phishing
Notre lieu de travail qui a changé, mais notre mode de vie a lui aussi évolué. Aujourd’hui plus que jamais, nous communiquons avec nos collègues et gérons nos informations personnelles via des terminaux mobiles, et la frontière est désormais de plus en plus floue entre l’utilisation d’un mobile à des fins professionnelles et pour des raisons personnelles. Les cyber criminels le savent, et ils nous ciblent sur les terminaux que nous utilisons le plus et en lesquels nous avons pleine confiance.
Les risques et menaces liés aux applications mobiles sont à la hausse
L’autre enseignement majeur est lié aux applications mobiles. Les établissements financiers ont en effet connu une multiplication par 5 de leur taux d’exposition moyen aux applications malveillantes et à risque. Deux éléments expliquent cette hausse spectaculaire: l’augmentation de l’importance des vulnérabilités et la montée du ‘Malware as a Service’ (MaaS).
Il ne fait guère de doute que les vulnérabilités au sein des applications mobiles sont de plus en plus recherchées et exploitées. L’énorme augmentation du taux d’exposition est en partie due aux failles intégrées dans les kits de développement logiciel (SDKs). Avec la multiplication de ces kits à sa disposition, il n’est pas rare pour un développeur de construire une application mobile à partir de zéro. Ce qui veut dire que des vulnérabilités ou des pratiques à risque de manipulation de données au sein d’un même SDK peuvent être intégrées par inadvertance dans des douzaines ou même des centaines d’applications mobiles.
Le second problème lié aux applications mobiles est dû à la montée du MaaS, qui permet de configurer et de personnaliser facilement un malware. Le Malware as a Service est en effet une option moins coûteuse qui permet à des acteurs de menaces de lancer facilement une campagne qui peut être configurée pour cibler des organisations spécifiques et leurs clients.
Un scénario parfait d’attaque
Compte tenu des nouveaux modes de travail hybrides et de notre dépendance accrue aux terminaux mobiles, les risques liés aux malwares et aux attaques de phishing sur mobile continueront d’augmenter. En associant cela à la simplicité et au faible coût associé à la mise en oeuvre d’une campagne ciblée de malwares, nous sommes en présence d’un scénario parfait d’attaque.
Les systèmes MDM n’apportent pas une visibilité en temps réel sur les menaces auxquelles les organisations doivent faire face. Ils ne protégent pas non plus les données, spécialement alors qu’elles doivent désormais circuler en dehors du périmètre de sécurité de l’entreprise. De nouvelles mesures de sécurité doivent être mises en oeuvre pour contrer la diversité croissante des attaques via les mobiles, telles que les ransomwares et les intrusions.