Smartphones, ce cheval de Troie dans la poche de vos collaborateurs

Smartphones, ce cheval de Troie dans la poche de vos collaborateurs

Vous avez veillé à verrouiller vos postes de travail, cloisonner vos accès, sécuriser vos serveurs. Et vous avez bien fait. Mais dans la poche de vos commerciaux, de vos dirigeants ou de vos techniciens terrain, une menace continue de planer : le smartphone. Toujours allumé, connecté jour et nuit, il n’est ni plus ni moins qu’une passerelle silencieuse pour des attaques de plus en plus fréquentes.

Un smartphone professionnel, ce n’est plus un téléphone. C’est une extension critique du SI, un mini-ordinateur qui concentre  tout : la messagerie, les outils collaboratifs, l’accès aux fichiers, parfois même les applications métiers connectées en temps réel aux données de production ou aux CRM.

Et pourtant, le mobile reste traité comme un périphérique de confort, distribué sans politique claire, parfois acheté hors DSI, géré comme une voiture de fonction, avec cette vieille idée qu’« un téléphone, ce n’est pas si grave ». Sauf qu’un téléphone perdu ou compromis, c’est un accès direct aux mails, aux contacts, aux applications d’authentification, parfois même aux VPN de l’entreprise.

24h/24, 7j/7 : l’exposition permanente

Un smartphone n’est jamais éteint. Il se connecte à des réseaux WiFi publics en déplacement, se synchronise en Bluetooth avec des véhicules ou des écouteurs, reçoit des liens sur des applications tierces, tout en restant connecté aux ressources de l’entreprise. C’est cette exposition continue qui en fait une cible idéale.
Les ransomwares et les phishing ne frappent pas uniquement via les postes fixes. Le collaborateur qui consulte ses mails sur mobile dans le train ou en télétravail peut cliquer sur un lien frauduleux, installer une application vérolée ou ignorer une mise à jour critique, transformant le téléphone en cheval de Troie silencieux. Et un smartphone compromis un vendredi à 23h, c’est un attaquant qui peut travailler tout le week-end… avant que quiconque ne s’en rende compte.

Les leviers concrets pour les DSI

Afin de ne pas exposer le SI à une attaque sournoise, lente et coûteuse, il est capital d’intégrer la gestion des smartphones dans le plan de cybersécurité de l’entreprise. Le smartphone doit devenir un endpoint maîtrisé, sécurisé et intégré, au service de la mobilité… et sans compromis sur la sécurité.

• Cartographier les usages pour mieux cibler la sécurité : avant de déployer des mesures techniques, il est essentiel de comprendre qui utilise quoi et comment. Quels services critiques sont accessibles via mobile ? Quelles données circulent hors du réseau sécurisé ? Qui a réellement besoin d’un accès mobile et avec quel niveau de droits ? Cette cartographie évite les mesures disproportionnées et permet d’adapter la politique de sécurité aux besoins réels.
• Appliquer au mobile les mêmes exigences que pour les postes de travail : un smartphone pro doit bénéficier du même niveau de protection : chiffrement des données locales, authentification forte, blocage après tentatives multiples, limitation des applications installées, mise à jour régulière des correctifs de sécurité. Tant que le mobile reste en dehors du périmètre SI sécurisé, il reste une porte d’entrée vulnérable.
• Déployer un MDM pour piloter et sécuriser le parc : le MDM (Mobile Device Management) permet de configurer automatiquement les accès sécurisés, d’appliquer des politiques homogènes, de localiser ou d’effacer à distance un mobile perdu, de séparer données personnelles et pro et de garantir la conformité RGPD. Sans MDM, les actions restent ponctuelles et incomplètes ; avec MDM, le DSI reprend la maîtrise d’un parc devenu indispensable au business.
• Auditer régulièrement le parc mobile : les usages évoluent, les menaces aussi. Réaliser des audits réguliers permet d’identifier les terminaux obsolètes, de vérifier les configurations, de mesurer le respect des politiques en place. Il ne s’agit pas de sanctionner, mais d’aligner les pratiques du terrain avec les exigences de sécurité.
• Accompagner le changement pour éviter le contournement : sécuriser sans accompagner, c’est encourager le shadow IT. Les utilisateurs contournent les règles qu’ils jugent inutiles ou trop restrictives. La pédagogie est donc clé : expliquer les risques concrets en cas de perte ou d’attaque, sensibiliser aux bons réflexes d’installation d’applications et d’utilisation des réseaux WiFi publics, intégrer le mobile dans la culture de sécurité de l’entreprise.

En matière de cybersécurité, le smartphone est trop critique pour rester un angle mort. Tant qu’il n’est pas intégré dans la politique de sécurité globale, il reste un vecteur de risque majeur : un accès permanent, hors périmètre, sur des réseaux non maîtrisés, avec des usages professionnels et personnels imbriqués. L’enjeu n’est pas de restreindre la mobilité, mais de sécuriser ce nœud réseau qui accompagne vos équipes à chaque déplacement. Une mobilité maîtrisée n’est pas une contrainte ; c’est la condition d’une continuité d’activité sécurisée.

Tribune coécrite par Christophe Damase et Cédric Lherm, experts chez Dstny France Entreprises

Cédric Lherm, Responsable de la Sécurité des Systèmes d’Information chez Dstny FR Entreprises

Fort de + de 20 ans d’expérience dans la cybersécurité, les systèmes et les infrastructures réseaux,diplômé de l’IUT d’Annecy et d’Ingénieurs 2000, il débute sa carrière comme ingénieur système et réseau avant de cofonder Iris Télécom et Réseaux. Il rejoint le Groupe Telindus France pour contribuer à la sécurité des points d’accès Internet pour l’UNEDIC (Pôle emploi). Lead Implementer ISO 27001, il pilote depuis 2017 au sein de Dstny la mise en œuvre de cette norme internationale de protection de l’information critique et stratégique ainsi que la mise en œuvre de la certification HDS – Hébergement de Données de Santé. Il est reconnu pour son expertise dans la protection des systèmes d’information, la gestion des risques et la mise en place de stratégies de sécurité alignées aux enjeux métiers.

Christophe Damase, Chef de produit chez Dstny FR Entreprises 
Fort de plus de 10 ans d’expérience dans l’infrastructure IT et la cybersécurité, il supervise les offres de cybersécurité et le développement de ses solutions télécoms. Il est à l’origine de l’événement Cyberlab, qui vise à sensibiliser clients et partenaires aux enjeux de la sécurité numérique. Avant Dstny, il a cofondé MSLine, et occupé pendant cinq ans le poste de Responsable technique. Véritable passionné de cybersécurité, il met son expertise au service des entreprises pour les aider à renforcer leur posture face aux menaces numériques actuelles.

 

 

Smartphones, ce cheval de Troie/Smartphones, ce cheval de Troie/