Lutter contre les attaques de phishing sur mobile : comment les administrations publiques peuvent donner l’exemple
Bastien Bobe, Security Sales Engineer Europe du Sud chez Lookout
Les similitudes entre une administration publique et une grande entreprise moderne sont nombreuses : toutes deux sont organisées en divers départements, et dépendent de la flexibilité et de l’accessibilité du cloud et des terminaux mobiles pour permettre à leur personnel de communiquer et de travailler efficacement. Ces “qualités” partagées toutefois, qui sont essentielles au bon fonctionnement de toute organisation, les rendent également plus vulnérables aux attaques de phishing. Plus il y a d’employés, de terminaux et d’échanges d’informations, plus nombreuses sont les vulnérabilités potentielles que des attaquants peuvent cibler et exploiter.
La gravité du problème ne doit pas être sous-estimée. Une récente enquête menée aux Etats Unis par le Government Business Council a révélé que pas moins de 47% des employés de l’administration fédérale ont été ciblés par une attaque de phishing dans le cadre de leurs activités quotidiennes via un terminal mobile. Pour empêcher que cette proportion ne continue d’augmenter, nous devons comprendre pourquoi les employés des administrations publiques sont ciblés en masse.
L’engouement pour les terminaux mobiles est une arme à double tranchant
Poussées par la nécessité, et par l’évolution des modes et des habitudes de travail de leurs employés, les administrations publiques se sont pliées au nouveau monde ‘cloud first, mobile first’. En rendant les données accessibles en tous lieux et à partir de n’importe quel terminal, les employés peuvent travailler avec une plus grande souplesse, à distance et au bout du compte accroître leur productivité. Cependant, les activités d’employés décentralisés sont beaucoup plus difficiles à contrôler et à sécuriser que si ceux-ci travaillaient au sein d’un seul et même réseau interne, particulièrement si la moitié d’entre eux accèdent à des données d’entreprise en se connectant à un réseau externe, comme l’a confirmé un récent sondage du Government Business Council.
Ces deux conclusions sont emblématiques du changement nécessaire dans nos méthodes de travail, car les données résident désormais dans le cloud, et les employés peuvent accéder aux informations de façon transparente à partir d’une multitude de terminaux et en tous lieux. En conséquence, les équipes chargées de la sécurité ont des difficultés à nous protéger dans ce nouvel environnement, à la fois disparate et vulnérable.
Pour les départements des administrations publiques, le principal problème à résoudre est le décalage entre les politiques de sécurité qu’elles fixent et la façon dont leurs employés les respectent. Si des employés travaillent hors du réseau interne, il peut être quasi impossible de contrôler et de gérer leurs activités sans porter atteinte à leur vie privée ou être trop intrusif. Toutefois, l’incapacité de le faire peut avoir de graves conséquences. Par exemple, si un employé travaille de chez lui et reçoit un SMS ou un email de phishing contenant un lien malveillant, il peut manquer de vigilance et cliquer dessus. En fait, les utilisateurs ont trois fois plus de chances de cliquer sur un lien de phishing à partir du petit écran d’un mobile que lorsqu’ils utilisent un ordinateur. De même, ils peuvent se connecter à un réseau WiFi public non sécurisé lorsqu’ils travaillent dans un café, et exposer leur terminal, et les données d’entreprise sensibles qu’il contient, aux agissements d’attaquants installés à quelques mètres d’eux.
A quoi doit ressembler la protection
Donc, que peuvent faire les administrations publiques pour protéger leurs employés travaillant à distance s’ils ne respectent pas les règles ?
La réponse, en théorie, est assez simple : elles doivent mettre en place une solution de défense contre les menaces mobiles qui assure que toutes les données restent sécurisées même lorsque des employés manquent de respecter les règles ou rencontrent par erreur un site web, une application mobile ou un réseau malveillant. Ceci implique de déplacer la sécurité sur les terminaux eux-mêmes et d’adopter une solution de sécurité post périmétrique qui protège contre les attaques de phishing qui ciblent les employés via n’importe quel canal, qu’il s’agisse des SMS, des applications de messagerie, des emails ou des réseaux sociaux.
Parallèlement à cela, la solution de sécurité doit être discrète et non-intrusive, de sorte que les employés puissent continuer à travailler hors de leur bureau avec confiance et souplesse, et sans qu’il soit porté atteinte à leur vie privée. En contrôlant en continu de cette façon la santé des terminaux qui accèdent à des informations sensibles, le secteur public peut se protéger contre les attaques de phishing tout en profitant des avantages du nouveau monde ‘mobile first, cloud first’, et de la disparition du modèle de sécurité périmétrique.
