Cette actualité a été mise à jour dans le cadre de notre dispositif du 1er avril. Si son contenu n'a rien de faux, sa présence dans nos colonnes et le ton employé étaient volontairement en décalage avec notre ligne éditoriale habituelle.
Vous avez confiance en votre smartphone ? Vous avez tort ! Selon une étude financée par IBM, les entreprises du « Fortune 500 » n’investissent que très peu dans la sécurité de leurs applications. Résultat, des cyberattaques qui se multiplient et des applications qui mettent en danger les données des entreprises.
5,5 %. C’est la part du budget que 400 grandes entreprises consacrent à la sécurité quand elles développent des applications mobiles. Pire, la moitié n’alloue pas un centime pour la sécurité mobile ! C’est ce que révèle une étude de l’institut Ponemon, commandée par IBM et publiée le 20 mars. Elle pointe « l’état alarmant de l’insécurité dans le domaine de la mobilité », causée par la négligence coupable des sociétés étudiées, dont 40 % font partie des 500 entreprises les plus fortunées des États-Unis (Fortune 500) !
Le peaufinage de l’expérience utilisateur nuit à la sécurité
L’étude accumule d’ailleurs les données accablantes. « 33% des entreprises ne testent jamais » les applications qu’elles fournissent à leurs clients ! « Beaucoup de ces entreprises vérifient rarement les failles de sécurité de leurs applications mobiles - voire jamais - et souvent trop tard » alerte encore le texte ! Sur celles qui testent effectivement leurs applications, seules 15 % le font assez souvent pour garantir leur sécurité. Pour IBM, les entreprises favorisent trop la vitesse de développement et l’expérience utilisateur, au détriment de la sécurité, autrement plus nécessaire.
Les développeurs d’applications ne sont pas les seuls coupables. Le constructeur de smartphones HTC, qui développe sa propre surcouche à Android (HTC Sense), s’est déjà fait épingler pour le manque total de sécurité de son système. En 2013, l’agence américaine en charge du commerce (la FTC) avait trouvé un accord avec le constructeur après avoir découvert qu’il avait introduit de nombreuses failles dans ses versions d’Android, via HTC Sense. Selon la FTC, HTC n’avait aucun responsable de la sécurité pour son système et ses applications, et l’agence avait obtenu qu’un employé prendrait ce poste. Cela ne règlait pas pour autant le problème des applications.
Un danger supplémentaire en entreprise
Avec son étude, IBM cible avant tous les entreprises. Elles doivent gérer une multitude de nouveaux appareils amenés par les employés : ordinateurs portables, smartphones et tablettes. Cette pratique, le BYOD (Bring Your Own Device), est une nouvelle source de danger pour les entreprises, surtout à cause des nombreuses applications que les employés installent sans y faire attention et qui peuvent accéder aux données sensibles.
« Les pirates profitent désormais des applications mobiles non sécurisées les plus connues, des réseaux Wi-Fi publics et autres pour s’emparer des données cruciales souvent hébergées sur les appareils mobiles BYOD ou ceux de l’entreprise » rappelle IBM, pour qui les appareils piratés deviennent une véritable porte d’entrée vers les données les plus confidentielles de l’entreprise.
Et le danger est grand ! Selon une étude de la société de sécurité Arxan, « à tout moment, un code malveillant peut infecter plus de 11,6 millions d’appareils mobiles ». Un nombre impressionnant qui, à n’en pas douter, est proche de la réalité. « Ces failles permettent aux cyber-voleurs d'accéder à des données personnelles et de l’entreprise qui sont confidentielles via les appareils mobiles de l’entreprise ou le BYOD » alerte encore l’étude. Une évidence. Une solution connue pour se prémunir de ces dangers est de sélectionner les applications installables, même dans un scénario BYOD.
67 % des entreprises laissent les employés télécharger des applications !
Google, par exemple, fournit des fonctionnalités réservées aux entreprises pour gérer les applications qui peuvent être en contact avec les données professionnelles. Cela même sur l’appareil personnel de l’employé, qu’il utilise pour son travail, grâce à des profils étanches. Comme avec un système de gestion de flotte mobile classique (M2M), l’administrateur peut décider quelles applications sont accessibles par les employés sur leur profil professionnel.
55 % des employés interrogés dans l'étude indiquent que leur entreprise n'a pas de politique sur l'usage des applications « dans le cadre professionnel ». Pire encore, 67 % des entreprises permettent aux employés d'utiliser des applications non vérifiées. C'est notamment pour tous ces cas de figure qu'IBM a lancé une nouvelle technologie de gestion des menaces mobiles (MTM) via son offre IBM MobileFirst Protect, qui vous fournira « une protection automatique et très intuitive contre les pirates en puissance » !
Cela ne sert tout de même à rien si les applications en question ne sont pas sécurisées. Parmi les systèmes mobiles, Android est clairement le nouveau Windows. Un antivirus semble donc indispensable si vous téléchargez la moindre application, y compris via le Play Store. Nous vous proposerons d’ailleurs bientôt un comparatif des antivirus mobiles, sponsorisé par Lookout.
