Analyse des risques et de la sécurité sur les appareils mobiles - troisième édition - MobileIron.com
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Analyse des risques et de la sécurité sur les appareils mobiles troisième édition 1
En bref
Bienvenue dans la troisième édition de l’analyse des risques et de la sécurité sur les appareils
mobiles. Cette analyse semestrielle permet aux experts de la sécurité informatique de se tenir
au fait des menaces mobiles et des risques émergents auxquels leur organisation doit faire face.
Au sommaire de cette édition :
Données locales Données sectorielles Statistiques
pour l’Australie, la Belgique, des services financiers, d’adoption du Programme
la France, l’Allemagne, le Japon, de l’administration et de la santé d’inscription des appareils (DEP) et
les Pays-Bas, l’Espagne, le du Programme d’achat en volume
Royaume-Uni et les États-Unis (VPP) d’Apple
Top popularité Top liste noire
des applications d’entreprise des applications mobiles
Plusieurs domaines ont connu une évolution ou une
amélioration mineure au cours des six derniers mois :
Seulement Moins de
29 %
des entreprises ont appliqué des
55 %
ont systématiquement appliqué
5%
ont déployé une solution de
règles obsolètes des règles de sécurité protection contre les logiciels
malveillants sur mobile
Afin d’aider les organisations informatiques à intégrer l’atténuation des risques dans leurs
procédures de sécurité mobile, nous avons élaboré une « Liste de contrôle des priorités en matière
d’hygiène de sécurité ».
2Paysage des menaces mobiles
Nouvelles menaces et tendances
Presque immédiatement après la publication de la seconde édition de ce rapport, des vulnérabilités
flagrantes et de nouvelles familles de logiciels malveillants ont fait leur apparition. Selon
les estimations, le logiciel malveillant Godless, identifié fin juin 2016, aurait réussi à infecter
850 000 appareils1. Découvert en février 2016, HummingBad a fait l’objet d’analyses approfondies
en juillet. On a alors découvert que son créateur n’était autre que YingMob, le groupe à l’origine
du logiciel malveillant YiSpecter ciblant iOS et qui a fait la une l’an passé. HummingBad a réussi
à infecter près de 85 millions d’appareils2. Apparemment, le but de ces deux familles de logiciels
malveillants était de générer des revenus publicitaires frauduleux. Mais le plus frappant – et le plus
sinistre – de l’affaire est que ces logiciels contiennent
des programmes qui tentent de « rooter » les appareils
« Un nouveau logiciel
à distance à l’insu des utilisateurs, donnant ainsi aux
pirates le contrôle total de l’appareil infecté.
Plus tard dans l’été, une série de quatre failles baptisée
« QuadRooter » a été identifiée dans le firmware pour
les chipsets de bande de base Qualcomm. On estime
que ces failles ont affecté 900 000 000 d’appareils, mais
malveillant tente
la fonctionnalité Verify Apps de Google Play et Android3
les a largement atténuées. de « rooter » les
À ce jour, les failles et le logiciel malveillant les
plus dangereux et les plus virulents sous iOS restent
respectivement Trident et Pegasus. Trident désigne une
appareils à distance. »
série de trois failles qui fonctionnent ensemble4. Comme
Godless et HummingBad, les failles Trident ont permis aux pirates de « jailbreaker » les appareils
à distance, puis d’y installer le logiciel espion Pegasus, qui était capable d’intercepter la quasi-totalité
des communications émises et reçues.
Plus tard en automne, un programme malveillant exploitant une faille de longue date du noyau
Linux, connue sous le nom de « Dirty COW » (CVE-2016-5195), a commencé à circuler, s’inscrivant
à la suite d’une longue série de vulnérabilités des logiciels Open Source affectant applications et
appareils mobiles5.
Enfin, l’agent Adups a compromis des téléphones du fabricant BLU en transmettant notamment
des journaux d’appels, des messages SMS et des données de localisation à des serveurs en Chine.
Adups se présentait comme un outil de provisionnement du firmware Android, mais a été inscrit
sur liste noire suite aux tests de compatibilité CTS (Compatibility Test Suite) d’Android.
1
Source : Trend Micro, http://blog.trendmicro.com/trendlabs-security-intelligence/godless-mobile-malware-uses-multiple-exploits-root-devices/
2
Source : Check Point Software Technologies, http://blog.checkpoint.com/2016/07/01/from-hummingbad-to-worse-new-in-depth-details-and-analysis-of-the-hummingbad-
andriod-malware-campaign/
3
Source : Check Point Software Technologies, http://blog.checkpoint.com/2016/08/07/quadrooter/
4
Source : Lookout et Citizen Lab, https://blog.lookout.com/blog/2016/08/25/trident-pegasus/
5
Source : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5195
3Situation de la sécurité mobile en entreprise
Application de RÈGLES
Si les organisations informatiques investissent temps et ressources dans la Recommandation :
configuration de règles de sécurité mobile, elles ne les appliquent pas toujours.
Au cours du dernier trimestre 2016, près de la moitié des entreprises n’ont pas appliqué Veiller à l’application des règles est aussi
de règles pour leurs appareils, un chiffre stable par rapport au 2e trimestre. L’Allemagne important que de les créer. Les organisations
a enregistré le pourcentage le plus élevé d’entreprises appliquant des règles doivent disposer d’une méthodologie qui
de sécurité (66 %), le plus faible pourcentage revenant au Royaume-Uni (42 %). leur permette de mettre en conformité les
Les secteurs réglementés affichent quant à eux un pourcentage (de 64 % à 66 %) appareils non conformes ou d’empêcher
nettement supérieur à la moyenne globale de 55 %. L’Espagne a enregistré la plus ces derniers d’accéder aux ressources.
forte hausse, passant de 40 % à 48 %. Par exemple, si un appareil viole une règle
de code d’accès, l’équipe informatique
peut empêcher l’utilisateur d’accéder aux
applications et données de l’entreprise sur
cet appareil jusqu’à ce qu’il remplisse les
critères de code d’accès.
Pourcentage d’entreprises appliquant des règles
%
%
%
66
66
66
%
%
64
64
%
63
%
%
62
61
%
60
%
%
59
%
58
58
%
57
%
%
55
55
%
%
%
53
53
52
%
50
%
48
%
42
%
40
%
39
RA absence de données au T2
absence de données au T2
NT absence de données au T2
LÉGENDE
no data from q2
T2, 2e édition
T4, édition actuelle
L
N.
É
AS
CE
LIE
E
CE
ON
NE
I
IS
NE
-UN
BA
IQU
-UN
MI
AN
AN
-B
G
JAP
AG
O
SA
PA
ME
AD
LG
GL
YS
FIN
FR
LEM
TS
ST
ES
BE
U
PA
ÉTA
AU
YA
AL
RO
4Règles obsolètes
« Près de 30 % des entreprises
appliquent au moins une règle obsolète »
Près de 30 % des entreprises appliquent au moins une règle obsolète – une tendance relativement
stable depuis le rapport précédent. Les règles deviennent obsolètes lorsque l’administrateur
de l’informatique mobile modifie une règle sur la console sans que le changement ne soit propagé
sur tous les appareils mobiles gérés. En principe, une telle situation est due au comportement des
utilisateurs. Par exemple, si les utilisateurs possèdent un appareil dont ils se servent rarement,
ou s’ils se voient remettre un nouvel appareil pour remplacer l’ancien, cela peut entraîner des cas de
connexion peu fréquente ou de « disparition progressive », empêchant les appareils concernés de
recevoir des mises à jour. La plupart des régions ont vu leur pourcentage d’entreprises appliquant
des règles obsolètes augmenter, à l’exception de l’Allemagne, du Japon et des Pays-Bas, où ce
chiffre a baissé. L’Espagne et le Japon sont les deux pays à présenter le plus faible pourcentage
d’entreprises appliquant des règles obsolètes (22 %), tandis que la Belgique enregistre le plus fort
pourcentage, à savoir 36 % au T4, contre 23 % au T2. Les trois secteurs d’activité ont enregistré
des pourcentages de règles obsolètes supérieurs à la majorité des régions.
Recommandation :
Puisque les appareils qui utilisent des règles obsolètes ne sont pas conformes à la norme de
configuration actuelle, l’équipe informatique doit configurer la plateforme de gestion de sorte
à transmettre automatiquement aux utilisateurs la marche à suivre pour mettre à jour ou actualiser
rapidement les configurations et règles obsolètes. Selon les critères de sécurité définis, le service
informatique peut envisager de restreindre l’accès d’un appareil aux ressources de l’entreprise
jusqu’à ce que le problème soit identifié et résolu.
Pourcentage d’entreprises appliquant
au moins une règle obsolète LÉGENDE
T2, 2e édition
T4, édition actuelle
%
39
*Absence de données au
%
T2 pour l’Australie, la finance
%
37
37
%
et la santé.
36
%
%
34
34
%
33
%
29
%
28
%
27
%
%
%
26
26
26
%
%
%
25
25
25
%
24
%
23
%
%
%
22
22
22
%
21
%
20
absence de données au T2
absence de données au T2
NT absence de données au T2
L
N.
É
AS
CE
LIE
E
CE
ON
E
I
IS
NE
-UN
A
IQU
GN
-UN
MI
OB
AN
AN
-B
JAP
AG
RA
SA
PA
ME
AD
LG
GL
YS
FIN
FR
LEM
TS
ST
ES
BE
U
PA
ÉTA
AU
YA
AL
RO
5Pertes d’appareils
Le pourcentage global d’entreprises ayant enregistré la perte d’au moins un appareil Recommandation :
est passé de 40 % à 44 %. Imputable en partie au développement de la mobilité
d’entreprise et au nombre croissant d’appareils mobiles gérés par les entreprises Les entreprises seront toujours confrontées
à l’échelle mondiale, cette augmentation a de graves conséquences. En cas de perte à la perte ou au vol d’appareils, mais
ou de vol d’un appareil, les dommages pour l’entreprise vont bien au-delà du simple elles peuvent se protéger contre la perte
coût du matériel. Si des données internes, telles que des données personnelles de données. Les organisations doivent
d’employés ou de clients, des chiffres de l’entreprise ou toute autre information mettre en place une solution de gestion de
confidentielle, tombent entre de mauvaises mains, les conséquences juridiques la mobilité d’entreprise (EMM, Enterprise
et financières, et les répercussions sur la réputation de l’entreprise peuvent être Mobility Management) qui permette
extrêmement dommageables. À l’exception des Pays-Bas et de la France, toutes à l’équipe informatique d’effacer à distance
les régions ont enregistré une hausse du pourcentage d’entreprises ayant signalé la les données et applications d’entreprise
perte d’au moins un appareil. L’Espagne a connu la plus forte augmentation, passant sur les appareils volés ou perdus. Le fait de
de 24 % à 33 %. Plus de la moitié des secteurs comprennent au moins une entreprise pouvoir suivre à distance un appareil perdu
ayant perdu un appareil ; les services financiers affichent quant à eux le plus fort et d’en interdire l’accès aux utilisateurs non
pourcentage (58 %). autorisés est également un atout essentiel
pour garantir que les données ne tombent
jamais entre de mauvaises mains, même
si l’appareil l’est.
Pourcentage d’entreprises ayant enregistré la perte d’au moins un appareil LÉGENDE
T2, 2e édition
40 % T4, édition actuelle
GL
OB
44 % * Absence de données au T2 pour
AL
l’Australie, la finance et la santé.
AU
absence de données au T2
ST
RA
51 %
LIE
46 %
BE
LG
IQU
47 %
E
38 %
FR
AN
38 %
CE
AL
50 %
LEM
AG
52 %
NE
32 %
JAP
33 %
ON
PA
41 %
YS
-B
41 %
AS
24 %
ES
PA
G
33 %
NE
RO
YA
30 %
U
ME
-UN
36 %
I
ÉTA
46 %
TS
-UN
47 %
IS
48 %
AD
MI
52 %
N.
absence de données au T2
FIN
AN
58 %
CE
absence de données au T2
SA
NT
53 %
É
6Application des mises à jour de système
d’exploitation
Les fournisseurs d’OS savent que les pirates ont dans leur ligne de mire les appareils et applications
mobiles. Face à l’évolution rapide de ces menaces, les fournisseurs se concentrent davantage sur le
développement de correctifs de sécurité fournis sous forme de mises à jour d’OS, afin de protéger
les utilisateurs et les données des dernières attaques. Bien entendu, pour être efficaces, ces mises
à jour doivent être installées. Si les chiffres restent bas, la tendance est encourageante pour 2016.
Dans la plupart des régions et secteurs, on a noté une augmentation du pourcentage d'entreprises
qui appliquent les mises à jour d'OS. Les secteurs qui accordent une grande importance à la sécurité,
tels que les services financiers (12 %), l’administration (11 %) et la santé (12 %), sont plus assidus dans
l’application des mises à jour d’OS que la moyenne globale (9 %). Les entreprises néerlandaises et
belges (14 % dans ces deux pays) affichent les meilleures performances en termes d’application de
mises à jour d’OS. Le Japon (3 %) est dernier du classement.
Recommandation :
L’application des mises à jour d’OS constitue l’un des moyens les plus simples et les plus rentables
d’empêcher les attaques d’exploiter les failles des anciens systèmes d’exploitation. Les correctifs
de sécurité remédient à ces vulnérabilités spécifiques. Par conséquent, la mise à jour des systèmes
d’exploitation est l’une des meilleures protections contre les menaces mobiles. Pour un minimum
d’effort et d’investissement, les correctifs offrent un avantage de sécurité considérable. Pour
les appareils sous iOS, la fonctionnalité de supervision du programme DEP d’Apple simplifie le
processus. Si un appareil exécute iOS 9 ou une version ultérieure et est supervisé à distance via le
programme DEP d’Apple, une plateforme EMM peut initier les téléchargements et les mises à jour
des dernières versions du système d’exploitation. Il n’y a donc aucune raison de ne pas maintenir
à jour les systèmes d’exploitation. La règle des 80/20 s’applique ici : les organisations peuvent tirer
80 % de bénéfice avec seulement 20 % d’effort.
Pourcentage d’entreprises appliquant les mises à jour d’OS
LÉGENDE
T2, 2e édition
T4, édition actuelle
*Absence de données au T2 pour
l’Australie, la finance et la santé.
%
15
%
%
14
14
%
%
%
12
12
12
%
11
%
%
LIE absence de données8 au T2
absence de données au T2
absence de données au T2
9%
10
10
9%
9%
9%
%
8%
7%
6%
6%
5%
5%
4%
3%
2%
L
É
AS
CE
E
CE
ON
NE
I
IS
N.
NE
-UN
A
NT
IQU
-UN
MI
OB
AN
AN
-B
G
JAP
AG
RA
SA
PA
ME
AD
LG
GL
YS
FIN
FR
LEM
TS
ST
ES
BE
U
PA
ÉTA
AU
YA
AL
RO
7Compromission des appareils
Les employés cherchent toujours à utiliser les applications et les contenus mobiles de leur
choix dans leur travail, même si cela implique parfois de contourner des contrôles de sécurité.
Sous Android, l’utilisateur a toujours eu accès à des outils permettant de rooter l’appareil, alors que,
sous iOS, il doit installer un logiciel de « jailbreak » pour déjouer certains contrôles de l’appareil.
Bien que Pangu, l’éditeur d’utilitaires de jailbreak parmi les plus populaires, ait proposé des mises
à jour peu après la sortie d’iOS 9, Apple a rapidement lancé un correctif, et il a fallu attendre la
version bêta d’iOS 10 pour accéder à de nouvelles mises à jour de Pangu. Malgré cette « carence »,
le pourcentage d’appareils jailbreakés a continué d’augmenter. Le pourcentage d’entreprises
ayant signalé au moins un appareil compromis est passé de 9 % à 11 %, à l’échelle mondiale. Le secteur
des services financiers (13 %) et celui de la santé (17 %) ont enregistré un taux de compromissions
supérieur à l’administration (9 %). Avec seulement 4 % d’entreprises concernées, le Japon est
le moins touché.
Recommandation :
Après l’application de correctifs, la conformité des appareils constitue la précaution de sécurité la
plus importante pour les organisations informatiques. Avec une solution de gestion de la mobilité en
entreprise (EMM, Enterprise Mobility Management) adaptée, le service informatique peut empêcher les
appareils compromis ou non conformes d’accéder aux ressources de l’entreprise tant que le problème
n’est pas résolu. Il est indispensable de se prémunir contre les compromissions afin de protéger les
données de l’entreprise, car les appareils rootés ou jailbreakés sont très vulnérables aux attaques.
Pourcentage d’entreprises ayant enregistré au moins
un appareil compromis LÉGENDE
T2, 2e édition
Chiffres actuels
%
17
%
* Absence de données au T2 pour
16
%
l’Australie, la finance et la santé.
15
%
%
%
13
13
13
%
%
12
12
%
%
%
11
11
11
%
%
10
10
absence de données au T2
RA absence de données au T2
absence de données au T2
9%
9%
8%
8%
7%
6%
6%
4%
4%
4%
AL
É
AS
CE
LIE
E
CE
ON
NE
I
IS
N.
NE
-UN
NT
IQU
-UN
MI
OB
AN
AN
-B
G
JAP
AG
SA
PA
ME
AD
LG
GL
YS
FIN
FR
LEM
TS
ST
ES
BE
U
PA
ÉTA
AU
YA
AL
RO
8Hygiène de sécurité Les logiciels malveillants mobiles ne se limitent plus à une exfiltration de données et peuvent désormais prendre le contrôle total de l’appareil. De nombreuses fonctionnalités de sécurité inhérentes équipent les appareils mobiles, comme le « sandboxing » (ou « bac à sable »), mais certains types d’attaques parviennent à les contourner. Ces logiciels malveillants privent littéralement l’utilisateur de tout contrôle au profit de l’auteur de l’attaque. Malgré l’augmentation des attaques à grande échelle de logiciels malveillants mobiles, l’adoption de solutions de protection contre ce type de programmes reste stable, avec un taux d’adoption global de moins de 5 %. Si certains types d’attaques de logiciels malveillants sur mobile se propagent difficilement à grande échelle (à l’heure actuelle), les services informatiques doivent maintenir une bonne hygiène de sécurité pour protéger les applications et données de l’entreprise de la prochaine vague d’attaques. Parmi les pratiques d’hygiène de sécurité les plus efficaces, certaines sont simples à déployer et très rentables, et devraient à ce titre faire partie de la trousse à outils de chaque service informatique. 9
Liste de contrôle des priorités
en matière d’hygiène de sécurité
1. Contrôler les comportements utilisateur
à risque
Les comportements à risque sont en augmentation parmi les employés. À l’échelle mondiale,
11 % des entreprises ont enregistré un accès à leurs données internes par au moins un appareil
compromis au 4e trimestre, contre 9 % au 2e. En outre, 44 % des entreprises ont signalé des pertes
d’appareils, contre 40 % au 2e trimestre. Afin de protéger les ressources de l’entreprise de tout
accès non autorisé, les organisations informatiques doivent améliorer l’application des règles et la
conformité des appareils. Toutefois, dans le cadre de l’application de règles de sécurité, l’équipe
informatique peut créer des étapes supplémentaires que certains utilisateurs voudront contourner
par des actions non autorisées, telles que le « rooting » ou le « jailbreaking » de leur appareil.
Une gestion drastique des appareils n’est pas la meilleure approche en matière de sécurité mobile.
Cependant, pour garantir une certaine protection aux services de l’entreprise, il est nécessaire
de vérifier régulièrement la sécurité des appareils et des applications.
2. Exiger la mise à jour systématique des OS
Bien que les tendances en matière d’hygiène de sécurité d’entreprise soient restées généralement
stables entre le 2e et le 4e trimestre 2016, les organisations informatiques ont fait de nombreux
efforts au niveau de l’application des mises à jour d’OS afin de garantir le déploiement des correctifs
de sécurité critiques sur les appareils mobiles de l’entreprise. Veiller à l’application des mises à jour
d’OS est un moyen simple et très rentable de garantir la protection des appareils contre les menaces
de sécurité permanentes. Les mises à jour correctives constituent l’une des pratiques d’hygiène de
sécurité les plus simples et les plus essentielles. Pourtant, seulement 9 % des entreprises à travers
le monde ont appliqué ce type de mises à jour au 4e trimestre. Ce pourcentage très faible peut
être dû au fait que de nombreuses entreprises n’ont pas encore opérationnalisé cette pratique
de sécurité standard dans leurs déploiements mobiles. Les organisations doivent exiger que la
version des systèmes d’exploitation [de leurs appareils] ne soit pas antérieure à l’avant-dernière
version, versions mineures et correctifs compris. Par exemple, si la dernière version d’Apple iOS
est 10.2, aucun appareil exécutant une version antérieure à la version 10.1.1 ne doit pouvoir accéder
aux ressources de l’entreprise. Le déploiement et la planification des mises à jour d’Android ne
fonctionnent pas exactement de la même façon ; par conséquent, la méthode de gestion des versions
d’Android peut différer. En règle générale, les versions existantes d’Android continuent de bénéficier
de mises à jour de sécurité sur une durée d’au moins trois ans à partir de leur date de sortie initiale,
tandis que de nouvelles versions majeures sont proposées tous les ans. Au moment de la rédaction
de ce rapport, Android 4.4.x, Android 5.x et Android 6.0 figurent parmi les versions les plus utilisées ;
la version 7.0 d’Android est également bien distribuée6. Android est aussi passé à un cycle mensuel
de publication de correctifs de sécurité. Malgré des écarts plus importants entre les versions et les
correctifs d’OS, la même logique N-1 de base s’applique : pour chaque version d’Android dans un
environnement donné, les appareils doivent utiliser la dernière version majeure/mineure disponible
et ne pas avoir plus d’un mois de retard sur le niveau de correctif de sécurité. Par exemple, les appareils
doivent exécuter la version 4.4.4, 5.1.1, 6.0.1 ou 7.1.1 et présenter un niveau de correctif de sécurité qui
ne soit pas antérieur au 01/12/2016 ou au 05/12/2016. Notons que Google ne fournit pas actuellement
de mises à jour de sécurité pour les versions d’Android antérieures à la version 4.4.4 ; par conséquent,
il peut être nécessaire de prendre des mesures supplémentaires afin de garantir l’intégrité des
appareils et un niveau de protection suffisant pour les données qu’ils contiennent.
6
Source : https://developer.android.com/about/dashboards/index.html
103. Interdire l’accès aux appareils compromis Les systèmes d’exploitation compromis ont longtemps été la cible privilégiée des attaques mobiles. En effet, d’importantes fonctions de sécurité y étant court-circuitées, ils deviennent des proies faciles. Aujourd’hui, nous assistons à l’émergence d’une nouvelle tendance, avec des logiciels malveillants mobiles qui intègrent des programmes capables de compromettre le système d’exploitation à l’insu de l’utilisateur. Alors que cette tendance se confirme, le risque généré par ces vulnérabilités passe de cas isolés résultant de l’action de l’utilisateur à des attaques à grande échelle initiées par des groupes plus organisés. Pour la période en cours, le pourcentage global d’entreprises ayant enregistré une tentative d’accès aux données internes par au moins un appareil compromis est passé de 9 % à 11 %. Les organisations doivent être à l’affût des appareils compromis et leur bloquer l’accès à toutes les ressources internes. 4. Empêcher les modifications d’application et de configuration non autorisées Bon nombre de menaces de sécurité mobiles sont apparues avec l’ingénierie sociale et d’autres techniques conçues pour amener les utilisateurs à installer des configurations et/ou des logiciels nuisibles. Ces menaces proviennent souvent de sources non autorisées, telles que des sites Web ou des boutiques d’applications tierces. Les organisations doivent contrôler toutes les configurations et applications téléchargées en « sideloading ». Sous iOS, elles devront ainsi surveiller les profils de configuration et de provisionnement « non gérés » ; sous Android, il suffira de désactiver l’option « Sources inconnues » et de contrôler les autorisations associées aux applications (p. ex. en mettant sur liste noire des applications demandant l’autorisation d’administrateur de l’appareil) pour réduire le risque de modifications non autorisées au niveau des configurations et des applications. Toutefois, comme le montrent les dernières recherches, si la plupart des organisations consacrent du temps à la création de règles, près de la moitié des entreprises interrogées n’ont mis en place aucune mesure, telle que le blocage de l’accès au réseau. Cela peut s’expliquer par le fait que, dans bon nombre de scénarios à faible risque, il suffit d’avertir l’employé ou l’administrateur informatique et de lui demander une intervention manuelle. Cependant, les interventions manuelles n’ont pas un effet immédiat et n’obligent pas l’employé à appliquer de mesure corrective. Par conséquent, nous recommandons d’automatiser l’application des règles. Afin de se prémunir contre les futures attaques mobiles, les organisations devront systématiquement mettre à jour leurs règles. 11
Adoption des programmes VPP et DEP
Pour la première fois dans ce rapport, nous avons évalué le taux d’adoption global du Programme
d’inscription des appareils (DEP) et du Programme d’achat en volume (VPP) d’Apple.
Lancé en 2011, le programme VPP a pris de la vitesse avec l’introduction du programme DEP pour
les parcs d’appareils d’entreprise. Combinés, ces deux programmes offrent en effet aux organisations
les outils nécessaires pour gérer leurs appareils iOS et les applications exécutées sur ces derniers.
Près d’une entreprise sur cinq (18 %) utilise actuellement le programme VPP pour rationaliser
le déploiement de ses applications professionnelles sur les appareils des utilisateurs. Ce chiffre
est nettement supérieur dans les secteurs de la santé (29 %) et de l’administration (25 %).
Avec un pourcentage de 32 %, l’Allemagne est le pays présentant le nombre le plus important
d’organisations qui utilisent le programme VPP. Avec seulement 7 % d’entreprises inscrites
au programme VPP, le Japon se classe dernier.
Par ailleurs, les organisations se tournent de plus en plus vers le programme DEP afin de pouvoir
mieux contrôler leur parc d’appareils mobiles. Ce programme permet aux entreprises d’appliquer
des restrictions plus strictes aux appareils gérés dont elles sont propriétaires. Elles peuvent ainsi
restreindre les tablettes au mode application unique en plein écran pour empêcher les utilisateurs
de télécharger des applications non autorisées. À l’heure actuelle, près de 13 % des organisations
à travers le monde utilisent le programme DEP. Avec 22 % d’entreprises inscrites au programme,
les Pays-Bas se retrouvent en tête du classement, tandis que la France arrive dernière avec un taux
d’utilisation de seulement 5 %. Près d’un quart (22 %) des organisations de la santé utilisent le
programme DEP aujourd’hui.
Pourcentage d’entreprises utilisant
les programmes VPP et DEP LÉGENDE
VPP
DEP
%
32
%
29
%
26
%
25
%
23
%
%
22
22
%
19
%
%
18
18
%
%
17
17
%
%
16
16
%
15
%
%
%
14
14
14
%
%
13
13
%
12
%
%
10
10
7%
7%
5%
L
É
AS
CE
LIE
E
CE
ON
NE
I
IS
N.
NE
-UN
BA
NT
IQU
-UN
MI
AN
AN
-B
G
JAP
AG
RA
O
SA
PA
ME
AD
LG
GL
YS
FIN
FR
LEM
TS
ST
ES
BE
U
PA
ÉTA
AU
YA
AL
RO
12Situation des applications
d’entreprise
Quatre organisations sur cinq disposent d’au moins
10 applications
Près de 80 % des entreprises disposent de plus de 10 applications d’entreprise.
Les organisations situées aux Pays-Bas sont les plus nombreuses (90 %) à avoir installé
en moyenne plus de 10 applications, tandis que les entreprises japonaises se retrouvent
en bas du classement, avec 71 %. Les secteurs verticaux présentent également un
pourcentage élevé. Ainsi, 88 % des organisations du secteur des services financiers étaient
susceptibles d’avoir installé plus de 10 applications, suivies de près par les organisations
gouvernementales (83 %) et de la santé (82 %).
Pourcentage d’entreprises ayant installé plus de 10 applications
GL
OB
79 %
AL
AU
ST
RA
83 %
LIE
BE
LG
85 %
IQU
E
FR
AN
82 %
CE
AL
LEM
AG
88 %
NE
JAP
71 %
ON -BAS
PA
YS
90 %
E S PAG
78 %
NE
RO
YA
UM
E-U
77 %
NI
ÉTA
TS
-UN ADM
74 %
IS
83 %
I N.
FIN
AN
88 %
CE
SA
82 %
NT
É
LÉGENDE
T4, édition actuelle
13Applications les plus installées
GLOBAL AUSTRALIE FRANCE ALLEMAGNE JAPON BELGIQUE PAYS-BAS
1 Webex AnyConnect File Manager Keynote Google Maps Touchdown Chrome
2 AnyConnect LinkedIn WIT Mobile Numbers Webex Pulse Secure WhatsApp
3 Concur Edge Canet Pages Chrome Webex Word
4 Adobe Acrobat VIP Access Ma Banque Adobe Acrobat Salesforce Pages Adobe Acrobat
QuickSupport for
5 Pulse Secure Entertain Annuaire Excel Smart Catalog Evernote Samsung
6 Keynote Telstra 24x7 Ma Carte DB Navigator Web Directory Word YouTube
7 Numbers Chrome Google Maps Word box Excel Excel
8 Pages Google Maps Les Infos Companion Jabber Salesforce LinkedIn
9 Google Maps Citrix Receiver Adobe Acrobat Webex Word File Manager Google Maps
10 Word Concur Smart TPE PowerPoint PowerPoint MyProximus Evernote
ESPAGNE ROYAUME-UNI ÉTATS-UNIS ADMIN. FINANCE SANTÉ
1 Numbers Chrome Webex Adobe Acrobat Webex Webex
2 Keynote Google Maps Concur Pages Ma Banque Concur
3 iMovie Adobe Acrobat AnyConnect AnyConnect Canet Pulse Secure
RSA SecurID
4 Alertas Word Adobe Acrobat Numbers Software Token
AnyConnect
5 WhatsApp Excel Pulse Secure Keynote Adobe Acrobat Keynote
6 Pulse Secure Keynote Jabber Pulse Secure Pulse Secure Excel
7 Citrix Receiver Gmail box Google Maps Google Maps Word
Kaspersky
8
Endpoint Security
YouTube Keynote YouTube Citrix Receiver PowerPoint
RSA SecurID
9 MicroStrategy Nervecentre Numbers Software Token
AnyConnect box
10 YouTube Pages Pages Evernote Word Numbers
14Top des applications en liste noire
Le top des applications en liste noire peut être considéré comme un classement mettant à l’honneur
les applications grand public très populaires qui ont su attirer l’attention des équipes chargées de
la sécurité informatique. Partout dans le monde, des organisations bloquent des applications telles
que WhatsApp, Netflix et Outlook, qui s’ajoutent aux habituels Angry Birds et Twitter, en raison
de leur utilisation généralisée et des risques perçus qu’elles peuvent générer. D’autres applications
comme Evernote, OneDrive, Box et LINE ont chuté dans le classement, notamment en raison de leur
utilisation croissante en entreprise.
Top des applications en liste noire
GLOBAL AUSTRALIE BELGIQUE FRANCE ALLEMAGNE JAPON PAYS-BAS
1 Angry Birds Angry Birds Facebook Facebook Dropbox Ligne Dropbox
2 Dropbox Facebook Dropbox Angry Birds Facebook Dropbox CamScanner
3 Facebook Hipster Pawslez WeChat Dropbox WhatsApp Evernote Cydia
4 WhatsApp path Angry Birds Twitter Angry Birds Skype Winzip
5 Twitter Dropbox PDF Reader Outlook OneDrive Team Viewer CamCard
6 Skype Twitter Winzip Cydia Outlook Twitter OPlayer
7 OneDrive 2Day FM Google Drive Candy Crush Google Drive OneDrive WeChat
8 Outlook Pandora CamCard YouTube Twitter Facebook Outlook
9 Netflix xCon Mercury Clash of Clans SugarSync Viber PDF Reader
10 Google Drive Google Drive Twitter Skype Skype Tunnelbear Mobile Ticket
ESPAGNE ROYAUME-UNI ÉTATS-UNIS ADMIN. SANTÉ FINANCE
1 Angry Birds Dropbox Angry Birds Angry Birds Angry Birds Dropbox
2 Facebook Angry Birds Dropbox Dropbox Dropbox Angry Birds
3 Twitter Facebook Facebook Facebook Facebook Facebook
4 YouTube Twitter Netflix Outlook Netflix Outlook
5 Pokemon GO WhatsApp Pandora WhatsApp Twitter box
6 Cydia box Outlook box Outlook Twitter
7 Viber Outlook box Cydia Skype Instagram
8 Sudoku OneDrive Twitter Snapchat Google Drive SugarSync
9 PowerPoint Skype YouTube vShare App Market OneDrive Google Drive
10 LINE SugarSync OneDrive Google Drive WhatsApp YouTube
15Gros plan sur le secteur
de l’administration
Les organisations gouvernementales de tous les pays sont souvent ralenties par des problèmes
de gestion administrative et de financement. Elles ont généralement du mal à embaucher et à fidéliser
leur personnel, et peinent à déployer de nouvelles technologies et à les mettre à jour en temps
utile. Malgré ces obstacles, les organisations informatiques gouvernementales maintiennent
dans l’ensemble de bonnes pratiques d’hygiène de sécurité. Toutefois, le manque de vigilance
des utilisateurs plus complaisants de ce secteur représente un réel risque pour les données
gouvernementales sur les appareils mobiles.
Pratiques d’hygiène de sécurité :
Le taux d’application des mises
à jour d’OS est passé de 9 % au T2 à
11 %
au T4
25 %
utilisent le programme VPP
16 %
utilisent le programme DEP
63 %
ont appliqué des règles au T4,
37 %
ont appliqué des règles obsolètes
75 %
ont appliqué plus d’une règle
contre 61 % au T2 au T4, contre 34 % au T2 de sécurité au T4, comme au T2
43 %
ont appliqué plus d’une règle
AppConnect au T4, contre 45 % au T2
Comportements utilisateur à risque :
9%
ont enregistré un accès aux données
52 %
ont enregistré des pertes d’appareils
de l’entreprise par un appareil au T4, contre 48 % au T2
compromis au T4, contre 8 % au T2
16 16Gros plan sur le secteur de la santé
Le programme DEP impose une gestion des appareils et est donc idéal pour appliquer des règles
de sécurité aux appareils appartenant aux entreprises. Les organisations de la santé ont commencé
à utiliser les programmes DEP et VPP pour protéger les données hautement confidentielles des
patients et répondre aux obligations réglementaires du secteur en déployant automatiquement
des contrôles de sécurité proactifs. Si le fait d’utiliser les programmes DEP et VPP constitue une mesure
de sécurité bénéfique, les organisations de la santé peuvent encore améliorer d’autres aspects
de leur hygiène de sécurité et des comportements utilisateur à risque.
Pratiques d’hygiène de sécurité :
Parmi les SECTEURS ÉVALUÉS, les organisations de la santé sont les plus nombreuses à utiliser
le programme DEP (22 %) et le programme VPP (29 %)
29 %
utilisent le programme VPP
22 %
utilisent le programme DEP
mais seulement
64 %
appliquent des règles
12 %
appliquent les mises à jour d’OS
37 %
ont appliqué des règles obsolètes
77 %
ont appliqué plus d’une règle
41 %
ont appliqué plus d’une règle
de sécurité AppConnect
Comportements utilisateur à risque :
17 %
des organisations de la santé ont
53 %
ont signalé des pertes d’appareils
enregistré un accès aux données de
l’entreprise par au moins un appareil
compromis, soit le pourcentage le
plus élevé des secteurs verticaux
évalués
17 17Gros plan sur le secteur
des services financiers
Les entreprises du secteur des services financiers ont affiché les taux d’adoption des
programmes DEP et VPP les plus bas. Au vu des obligations réglementaires dans ce secteur,
les programmes DEP et VPP sont de vrais atouts pour le respect de la conformité. Ces
organisations peuvent également améliorer d’autres aspects de leur hygiène de sécurité
et des comportements utilisateur à risque.
Pratiques d’hygiène de sécurité :
Seulement et
14 % 13 %
Ce taux d’adoption est inférieur
à celui des secteurs de la santé
et de l’administration
utilisent le programme VPP utilisent le programme DEP
mais seulement
66 %
appliquent des règles
12 %
appliquent les mises à jour d’OS
39 %
ont appliqué des règles obsolètes
78 %
ont appliqué plus d’une règle
49 %
ont appliqué plus d’une règle
de sécurité AppConnect
Comportements utilisateur à risque :
13 %
ont enregistré un accès aux données
58 %
ont enregistré des pertes d’appareils
de l’entreprise par au moins un appareil
compromis
18 18Résumé et recommandations À la lumière de ces résultats, nous recommandons aux organisations de prendre les mesures suivantes afin d’améliorer leur sécurité mobile : 1. Contrôler les comportements utilisateur à risque La conformité des appareils est primordiale pour empêcher tout appareil non autorisé d’accéder aux ressources critiques de l’entreprise. En outre, des services tels que des applications Web, un réseau Wi-Fi d’entreprise et un VPN nécessiteront vraisemblablement la mise en œuvre de règles et de configurations supplémentaires afin d’interdire l’accès aux appareils non autorisés. 2. Exiger l’application des mises à jour d’OS Les organisations doivent exiger que la version des systèmes d’exploitation ne soit pas antérieure à l’avant-dernière version, versions mineures et correctifs compris. Par exemple, si la dernière version d’Apple iOS est 10.2, aucun appareil exécutant une version antérieure à la version 10.1.1 ne doit pouvoir accéder aux ressources de l’entreprise. Le déploiement et la planification des mises à jour d’Android ne fonctionnent pas exactement de la même façon ; par conséquent, la méthode de gestion des versions d’Android peut différer. 3. Interdire l’accès depuis les systèmes d’exploitation compromis Les organisations ne doivent pas se contenter de créer des règles de sécurité : elles doivent les appliquer et les mettre à jour systématiquement sur tous les appareils qui ont accès aux ressources de l’entreprise. Les appareils qui ne respectent pas les règles en vigueur doivent être interdits d’accès ou contraints de suivre une procédure définie pour se remettre rapidement en conformité. 4. Empêcher ou surveiller le « sideloading » d’applications ou de configurations Les organisations doivent utiliser des outils de gestion pour empêcher les utilisateurs d’installer manuellement des profils de configuration ou de provisionnement. Elles se protègeront ainsi des habitudes dangereuses, comme le fait d’appuyer sur un lien pour installer un certificat ou une application maison susceptible d’être exploité(e) par des pirates. Ces outils de gestion doivent également leur permettre de s’assurer que les utilisateurs ne contournent pas les protections d’OS empêchant le « sideloading », notamment en autorisant des sources « non approuvées » sous Android ou des profils de provisionnement inconnus sous iOS. 19
5. Tirer parti des fonctions de sécurité et de gestion offertes par les programmes dédiés aux entreprises Face à l’augmentation des cas d’utilisation en entreprise, les fournisseurs de systèmes d’exploitation pour appareils mobiles ont commencé à proposer plus d’outils afin d’améliorer l’« expérience utilisateur » dans le milieu professionnel. Le Programme d’inscription des appareils (DEP, Device Enrollment Program) d’Apple et le mode Propriétaire de l’appareil sous Google Android offrent aux organisations des fonctions supplémentaires pour sécuriser leur parc d’appareils mobiles, telles que l’inscription obligatoire à la plateforme de gestion de la mobilité en entreprise (EMM, Enterprise Mobility Management), ainsi qu’un plus grand choix de restrictions et d’options de configuration. Méthodologie Les données de ce rapport sont des données normalisées et anonymes recueillies auprès de 7 800 clients de MobileIron entre le 1er octobre et le 31 décembre 2016. Nous estimons que ce rapport constitue l’analyse la plus exhaustive de données relatives à la sécurité des appareils mobiles en entreprise pour les trois principaux systèmes d’exploitation mobiles : Android, iOS et Windows. 20
Vous pouvez aussi lire
