Gartner tire la sonnette d’alarme sur les problèmes de sécurité du BYOD

Les applications mobiles comme nouveaux « spyware » des entreprises

Les politiques du BYOD (Bring Your Own Device) tendent à se généraliser au sein des entreprises car elles sont aujourd’hui identifiées comme des leviers importants de productivité. Néanmoins, Gartner a récemment publié une étude mettant en exergue les dérives de ce nouveau phénomène notamment au niveau des problèmes de sécurité qu’il engendre. En effet, le cabinet déclare que jusqu’en 2015, plus de 75 % des applications mobiles téléchargées depuis les Stores échoueront aux tests basiques de sécurité. Cela pose un réel problème au niveau de la confidentialité des données stockées sur les terminaux personnels puisque les applications peuvent avoir accès aux actifs des sociétés par ce biais. Un simple lecteur de musique pourrait ainsi servir de passerelle pour copier les contacts d’un smartphone ou sa géolocalisation et les transférer dans un serveur externe.

« Aujourd’hui, plus de 90% des entreprises utilisent des applications commerciales tierces dans le cadre de leurs stratégie mobile BYOD, et c’est sur ce point que les efforts en matière de tests de sécurité devraient se concentrer, estime Dionisio Zumerle, analyste en chef, au sein du Gartner. Les App Stores sont remplies d’applications pertinentes, la plupart du temps. Cependant, les entreprises et individus ne devraient pas les utiliser sans accorder d’attention à la sécurité. Ils devraient télécharger et utiliser seulement celles qui ont passé avec succès les tests des fournisseurs spécialisés. »

Pour limiter la menace, deux modèles de tests existent déjà pour les téléphones fixes comme SAST (static application security testing) et DAST (dynamic application security testing). Néanmoins il leur reste à faire encore beaucoup de progrès pour adopter leurs méthodologies aux problématiques posées par les applications mobiles. Gartner affirme que les terminaux mobiles sont les cibles de trois tentatives d’attaques contre une pour les PC fixes. De même, d’ici à 2017, 75% des failles de sécurité sur mobiles viendront d’une « erreur de configuration applicative » à l’instar des attaques plus élaborées.

L’abus d’utilisation de services clouds personnels (BYOC) comme la Dropbox, GoogleDrive, Apple iCloud ou encore Microsoft OneDrive, représentent également de gros risques en matière de fuites de données professionnelles puisque l’entreprise n’a aucun moyen de contrôle dessus. « Même quand les tests de sécurité sont pris en comptes, ils sont généralement effectués occasionnellement par les développeurs qui s’intéressent plus aux fonctionnalités des applications que de leur sécurité » précisait également Dionisio Zumerle.

Gartner préconise donc aux sociétés d’axer leur politique sur la sécurité mobile « en s’appuyant sur des solutions exploitables et efficaces comme le wrapping (ou sandboxing, isolation dans une machine virtuelle), les kits de développement ou le hardening (réduction de la surface de vulnérabilité d’un OS ou un serveur en renforçant sa sécurité) ». Maintenant que l’annonce a été faite, les entreprises ont toutes les clés en main pour changer ces prévisions et s’assurer d’avoir un réseau BYOD plus sûr et verrouillé.

Sources :
© www.gartner.com
© www.silicon.fr