Augmenter la sécurité des terminaux mobiles en 5 points
Le facteur humain est à l'origine de la plupart des failles et elles peuvent avoir des conséquences désastreuses : fuite de données confidentielles, actes de malveillance, cyberattaques… Voici quelques règles simples pour sensibiliser vos collaborateurs à un usage « responsable » de leur appareil mobile dans l’environnement professionnel.
1. Protéger l’accès au mobile avec un mot de passe
Cela parait évident, mais aujourd’hui encore, dans le monde de l’entreprise comme dans la vie personnelle, les mots de passe ne sont pas toujours un réflexe. Qui plus est, un mot de passe vraiment sécurisé. Ainsi, pour ne pas faciliter le travail des hackers, demandez à vos collaborateurs de choisir un mot de passe sécurisé suffisamment complexe et à usage unique. Pas question d’utiliser le célèbre et d’autant plus dangereux « 123456 », mot de passe le plus utilisé en 2018 d’après l’étude annuelle de SplashData. Les autres « passwords » ou encore « qwerty » sont également à bannir. Sans authentification sécurisée, des individus mal intentionnés peuvent s'engouffrer dans la brèche pour accéder aux données de la société.
2. Toujours vérifier les sources des connexions et des téléchargements
Dans un monde toujours plus mobile et connecté, on est souvent amené à se connecter depuis une gare, un hôtel, un aéroport… En cas de déplacement professionnel, alertez vos équipes sur les risques qu’implique le fait de se connecter à des réseaux Wi-Fi ouverts. Comme aucune authentification n'est requise sur ce type de réseau, ils peuvent représenter une menace d'intrusion, de diffusion de programmes malveillants ou d’interception de communications. Les emails provenant d'expéditeurs inconnus ou à l’objet suspect doivent également retenir l’attention – informez vos collaborateurs, même si cela vous parait évident. Ils ne doivent pas cliquer sur un lien douteux ou télécharger une pièce jointe depuis ce type de message.
3. Rester vigilant lors de l’installation des applications
Les utilisateurs doivent prendre l’habitude de ne pas télécharger d'applications en dehors des stores officiels. Si ce réflexe constitue une première protection contre les malwares, il ne suffira pas en cas d’infection d’une application par un cheval de Troie – à l’instar des 104 applications de l’Android Play Store qui ont été touchées par un malware en début d’année… et ont été téléchargées 3,2 millions de fois avant que le problème ne soit résolu !
Quelques indices peuvent vous mettre la puce à l’oreille, lorsque vous utilisez une application en particulier : la batterie tient moins longtemps, les performances de l’appareil sont en baisse, la consommation de data internet monte en flèche… autant de changements qui peuvent trahir la présence d'un malware dans le terminal mobile.
4. Limiter les partages de données
Dans le cadre d'une double utilisation du smartphone, à la fois professionnelle et personnelle, les utilisateurs ne doivent jamais transférer un email depuis leur compte professionnel vers une adresse personnelle, ou inversement. Leur boîte mail personnelle ne dispose pas en effet du même niveau de sécurisation que les comptes de l’entreprise et les informations de l’entreprise pourraient être mises en danger. D’autre part, en transférant un mail personnel vers une adresse mail professionnelle, on court le risque de transférer au passage une pièce jointe infectée ou un lien vers une page de téléchargement d’un malware !
Dites-leur également de ne pas synchroniser leur agenda avec un autre outil que celui fourni par l’entreprise, car il pourrait être infecté. Enfin, faites passer le message que tout branchement d’un appareil mobile sur un ordinateur (pour le recharger par exemple) est potentiellement risqué – l’ordinateur peut contenir des virus, sans même que son utilisateur le sache – et est donc à proscrire.
5. Enfin, respecter les règles de sécurité de base
Le mode debug peut être utile lorsque l'on a affaire à un bug sérieux ou à de très forts ralentissements sur un site, il permet en effet d’afficher les lignes de code où se trouvent des erreurs et de les corriger pas à pas à l’aide de breakpoints. Mais son activation est toutefois risquée. Seuls les utilisateurs avertis doivent être autorisés à y recourir.
Avertissez-les également de ne pas rooter ou jailbreaker leur appareil – le premier permet d’obtenir le contrôle total de l’OS en accédant à des fonctionnalités limitées ou désactivées par le constructeur ou l’opérateur mobile tandis que le second, aussi appelé débridage, permet d’éliminer toutes les restrictions et sécurités de l’OS. Ces pratiques représentent un danger potentiel.
Ces quelques réflexes en appellent au bon sens et à l’attention de chacun. Pour vous assurer qu’ils ont bien compris, n’hésitez pas à organiser des formations, individuelles ou en petits groupes, et à répéter les sessions à différentes reprises. Sensibiliser vos collaborateurs aux questions de sécurité avec pédagogie est le meilleur moyen de protéger votre organisation contre des attaques. En cas de problème, ou s’ils ont le moindre doute, invitez-les à contacter immédiatement le service informatique.