La deuxième édition du Rapport sur la sécurité et les risques mobiles vient mettre à jour les données du quatrième trimestre 2015, et se penche sur un nouvel ensemble de menaces et de risques, parmi lesquels les défauts de conformité de la part des entreprises, les terminaux compromis, ainsi que les risques de pertes de données. Pour la première fois, ce rapport identifie également les tendances de la sécurité des entreprises à une échelle géographique régionale, et au niveau de l’intégration verticale gouvernementale.

Téléchargez ici le Rapport sur la sécurité et les risques mobiles du 2nd trimestre 2016 : https://www.mobileiron.com/fr/quarterly-security-reports/mobile-security-and-risk-review-second-edition

« Alors même que la rapidité des attaques mobiles ne cesse d’augmenter, les toutes dernières données révèlent que les entreprises ne procèdent pas encore à tous les efforts qu’elles pourraient fournir pour se protéger » a déclaré James Plouffe, concepteur en chef, MobileIron. « Ce manque de routine sécuritaire démontre de manière alarmante combien les entreprises se montrent passives, alors même que de nombreuses solutions sont facilement disponibles. »

Les attaques mobiles en hausse

Le rapport souligne l’émergence de plusieurs nouvelles attaques mobiles, qui menacent les entreprises. La plupart de ces attaques se contentent de réutiliser d’anciennes tactiques contre les services spécifiques aux mobiles, utilisant par exemple l’attaque Man-In-the-Middle (MITM) de SideStepper contre la gestion des terminaux mobiles, plutôt que d’employer de nouvelles techniques ou d’exploiter de nouvelles vulnérabilités. Pour autant, lorsque ces attaques contre les utilisateurs sont couronnées de succès, elles peuvent engendrer la perte à la fois de données personnelles et de données d’entreprise.

Les attaques mobiles suivantes ont émergé ou se sont aggravées au cours des six derniers mois :
• Android GMBot : Ce logiciel espion contrôle à distance les terminaux infectés, dans le but de piéger les victimes en les conduisant à communiquer leurs renseignements bancaires.
• Logiciel malveillant AceDeceiver iOS : Ce logiciel malveillant a pour objectif de dérober l’identifiant Apple d’une personne.
• « Vulnérabilité » SideStepper iOS : Il a été découvert que cette technique permettait d’intercepter et de manipuler le trafic entre un serveur de gestion des terminaux mobiles et un terminal géré.
• Graves problèmes concernant OpenSSL : Ces vulnérabilités peuvent potentiellement impacter un grand nombre d’applications et de services, risquant en fin de compte de mettre en péril les données en mouvement des entreprises.
• Logiciel malveillant Marcher Android : Ce logiciel malveillant a évolué jusqu’à imiter les pages Web des banques, ce qui piège les utilisateurs en les conduisant à entrer leurs informations de connexion via des sites Web de commerce électronique.

Pratiques de sécurité mobile en grande partie inchangées face aux nouvelles menaces

Les incidents de sécurité sont souvent précurseurs d’une violation, dans la mesure où ils rendent un terminal ou une application vulnérable et peuvent mettre en péril les données d’une entreprise. Ce semestre a été marqué par plusieurs tendances en matière d’incidents de conformité chez les employés et de pratiques de sécurité des entreprises, tendances qui comprennent :
• Terminaux perdus : 40 % des entreprises ont des terminaux perdus (38% en France), en hausse de 33 % par rapport au 4ème trimestre 2015.
• Politiques obsolètes : 27 % des entreprises appliquaient des politiques obsolètes (22% en France), en hausse de 20 % par rapport au 4ème trimestre 2015.
• Recours à des mises à jour du système d’exploitation : 8 % des entreprises appliquaient des mises à jour du système d’exploitation, soit un pourcentage comparable au 4ème trimestre 2015. A noter que ce chiffre n’atteint que 5% en France.
• Logiciels de vérification de la réputation des applications : Moins de 5 % des entreprises recouraient à un logiciel de vérification de la réputation des applications, soit un pourcentage comparable au 4ème trimestre 2015.
Pour consulter la liste complète des tendances, rendez-vous sur : www.mobileiron.com/securityandriskreview.

Evernote et Line parmi les applications de consommateurs les plus blacklistées
Le top 10 des applications de consommateurs non gérées les plus souvent blacklistées par les entreprises a changé entre le T4 2015 et le T2 2016. La liste des nouveaux arrivants dans ce top 10 inclut Line et Evernote. Le top 10 des applications de consommateurs non gérées les plus souvent blacklistées au 2nd trimestre 2016 comprennent :

1 - Dropbox
2 - Facebook
3 - Angry Birds
4 - Skype
5 - Line
6 - Box
7 - OneDrive
8 - Google Drive
9 - Twitter
10 - Evernote

« Lorsqu’une application non gérée, potentiellement capable d’accéder à des données d’entreprise ou de contourner les mesures de sécurité des entreprises, suscite une large adoption parmi les consommateurs, les départements informatiques s’efforcent de la blacklister, dans la mesure où ils ne peuvent protéger les données d’entreprise au sein d’une application qu’ils ne gèrent pas, » a déclaré Plouffe.

iOS demeure dominant en entreprise

La part des appareils iOS a augmenté, passant de 78 % au 4ème trimestre 2015 à 81 % au 2nd trimestre 2016. La part des terminaux Android est restée stable au cours de cette période, atteignant 18 %.

À propos du Rapport sur la sécurité et les risques mobiles
La deuxième édition du Rapport sur la sécurité et les risques mobiles se base sur des données d’utilisation anonymes et cumulées, qui sont partagées par les clients et qui ont été recueillies entre le 1er avril 2016 et le 30 juin 2016.