Gestion unifiée des terminaux : ce que les responsables de la sécurité et des technologies de l'information apprécient le plus
29 mars 2023
·Blog
·Alex Willis
%3Aquality(100)&w=3840&q=75)
Les appareils mobiles constituent le maillon faible de votre infrastructure de sécurité. C'est la conclusion à laquelle sont parvenus 68 % des responsables de la cybersécurité, d'après notre récent rapport intitulé « The Definitive Guide to Enterprise Mobile Security » (Guide définitif de la sécurité mobile en entreprise).
Heureusement, il y a des raisons d'être optimiste. De plus en plus de dirigeants prennent des mesures pour remédier à ce problème en intégrant les terminaux mobiles dans leur stratégie globale de cybersécurité, une étape essentielle car c'est là que se trouvent de plus en plus souvent les données précieuses. Pour y parvenir, les DSI et les RSSI se tournent vers une gestion unifiée des terminaux (UEM) axée sur la sécurité, tout en maintenant un minimum de friction entre les équipes chargées de la cybersécurité, de l'informatique et des appareils mobiles. Au fil des années passées à aider à sécuriser un large éventail d'organisations, les clients de BlackBerry nous ont appris ce qu'ils apprécient le plus dans une UEM . Dans cet article, je partage ce que nous avons appris.
UEM
Pour vous aider à trouver UEM la mieux adaptée aux besoins de votre organisation, voici une liste de contrôle rapide à prendre en compte lors de votre achat.
1. La sécurité mobile avancée doit devenir la « norme »
UEM être capable de signaler les appareils jailbreakés, de détecter les réseaux Wi-Fi non sécurisés et d'être équipé en standard de fonctionnalités de défense contre les menaces mobiles (MTD) basées sur l'IA. Ces fonctionnalités basées sur l'intelligence artificielle doivent être capables de bloquer les infections par des logiciels malveillants, de prévenir les attaques de phishing par URL et de vérifier l'intégrité des applications. De plus, le UEM doit être capable d'effectuer ces activités hors ligne sans intervention humaine.
2. Conteneurisation
De nombreux fournisseurs proposent la conteneurisation des applications, mais les responsables de la sécurité doivent être conscients de deux problèmes qui peuvent compromettre les efforts de sécurité d'une organisation. Tout d'abord, toutes les solutions de conteneurisation n'offrent pas un chiffrement tiers au niveau de l'application indépendant du système d'exploitation (OS) d'un appareil mobile. Elles choisissent plutôt de s'appuyer sur le chiffrement au niveau de l'appareil du système d'exploitation pour protéger les données des applications (voir figure 1). Il y a lieu de s'inquiéter car, dans de nombreux cas, le chiffrement du système d'exploitation n'est activé que lorsque l'appareil est verrouillé. Ainsi, si un utilisateur a un logiciel malveillant sur son smartphone, celui-ci pourrait voler des données pendant qu'il utilise son appareil.
La deuxième préoccupation concerne les vulnérabilités cryptographiques détectées dans le système d'exploitation d'un appareil mobile, ce qui est monnaie courante. Selon la vulnérabilité, le niveau de priorité attribué au problème par le fournisseur du système d'exploitation peut être très différent de celui souhaité par d'autres organisations. Le problème peut être résolu en quelques jours ou en plusieurs années. Pendant ce temps, les employés dont les téléphones utilisent ce système d'exploitation sont des cibles plus vulnérables aux activités malveillantes telles que le vol d'informations, le vol d'identifiants et le détournement de session. Pour atteindre un niveau de sécurité plus élevé et constant sur tous les appareils, il est essentiel de ne pas dépendre du système d'exploitation.
Figure 1 – Paramètre de stratégie Microsoft Intune concernant le chiffrement des données de l'organisation. (Source : Microsoft Learn)
Heureusement, UEM avancées résolvent ce problème, car elles disposent de leurs propres capacités de chiffrement des données, indépendantes du système d'exploitation. Cette indépendance garantit que toutes les données professionnelles enregistrées sont toujours chiffrées. L'indépendance vis-à-vis du système d'exploitation contribue également à protéger les données professionnelles sensibles contre les attaques exploitant les vulnérabilités fréquemment découvertes sur les systèmes d'exploitation des appareils mobiles. Les rapports de cvedetails.com pour 2022 montrent qu'il y a en moyenne une nouvelle vulnérabilité par jour suriOS® et environ deux par jour sur Android™.
La conteneurisation facilite également le déploiement du BYOD (Bring Your Own Device), car elle permet de créer des politiques VPN (réseau privé virtuel) pour des applications spécifiques. Cette fonctionnalité est appelée « VPN par application ». Elle permet à un conteneur de fournir un VPN par application sans avoir besoin d’une solution distincte de gestion des appareils mobiles (MDM). Dans les déploiements BYOD où l'entreprise ne peut pas déployer de solution MDM, il s'agit d'une fonctionnalité précieuse, car sans elle, l'entreprise perd la capacité de contrôler de nombreuses fonctionnalités de sécurité. Une conteneurisation adéquate résout ce problème en permettant un contrôle total des applications, de la connectivité et des données au sein du conteneur — sans solution MDM.
3. Kits de développement logiciel
UEM proposer des API axées sur la sécurité dans ses kits de développement logiciel (SDK) et exiger des fournisseurs tiers qu'ils les utilisent. Toute application développée à l'aide du SDK doit être validée par le UEM afin de garantir qu'elle utilise des API axées sur la sécurité plutôt que des API OS standard, telles que SecureSaveAs plutôt que SaveAs, par exemple.
Conclusion
L'une des plus grandes erreurs en matière de sécurité mobile consiste à supposer qu'une plateforme de gestion des appareils mobiles intégrée, que vous obtenez à peu ou pas de frais, vous apportera la sécurité mobile dont vous avez besoin et que vous souhaitez. Notre article intitulé «Sécurité mobile intégrée : est-ce suffisant ?» apporte une réponse claire : un « non » catégorique.
Cet article examine en détail comment le regroupement de vos solutions de gestion mobile, de productivité et peut-être même de sécurité des terminaux en un seul et même fournisseur peut sembler très avantageux. Mais même si vous ne payez rien, vous risquez de vous priver de fonctionnalités essentielles à votre organisation.
Nous vous recommandons plutôt d'ajouter une UEM hautement sécurisée et spécialisée, telle que BlackBerry® UEM, à votre solution MDM ou MAM (gestion des applications mobiles) existante. Cela vous permettra d'améliorer et d'optimiser votre infrastructure actuelle, et plus particulièrement, d'éliminer les failles de sécurité mobile qui pourraient exposer votre entreprise à des risques.
Gestion unifiée des terminaux : ce que les responsables de la sécurité et des technologies de l'information apprécient le plus
29 mars 2023
·Blog
·Alex Willis
%3Aquality(100)&w=3840&q=75)
Les appareils mobiles constituent le maillon faible de votre infrastructure de sécurité. C'est la conclusion à laquelle sont parvenus 68 % des responsables de la cybersécurité, d'après notre récent rapport intitulé « The Definitive Guide to Enterprise Mobile Security » (Guide définitif de la sécurité mobile en entreprise).
Heureusement, il y a des raisons d'être optimiste. De plus en plus de dirigeants prennent des mesures pour remédier à ce problème en intégrant les terminaux mobiles dans leur stratégie globale de cybersécurité, une étape essentielle car c'est là que se trouvent de plus en plus souvent les données précieuses. Pour y parvenir, les DSI et les RSSI se tournent vers une gestion unifiée des terminaux (UEM) axée sur la sécurité, tout en maintenant un minimum de friction entre les équipes chargées de la cybersécurité, de l'informatique et des appareils mobiles. Au fil des années passées à aider à sécuriser un large éventail d'organisations, les clients de BlackBerry nous ont appris ce qu'ils apprécient le plus dans une UEM . Dans cet article, je partage ce que nous avons appris.
UEM
Pour vous aider à trouver UEM la mieux adaptée aux besoins de votre organisation, voici une liste de contrôle rapide à prendre en compte lors de votre achat.
1. La sécurité mobile avancée doit devenir la « norme »
UEM être capable de signaler les appareils jailbreakés, de détecter les réseaux Wi-Fi non sécurisés et d'être équipé en standard de fonctionnalités de défense contre les menaces mobiles (MTD) basées sur l'IA. Ces fonctionnalités basées sur l'intelligence artificielle doivent être capables de bloquer les infections par des logiciels malveillants, de prévenir les attaques de phishing par URL et de vérifier l'intégrité des applications. De plus, le UEM doit être capable d'effectuer ces activités hors ligne sans intervention humaine.
2. Conteneurisation
De nombreux fournisseurs proposent la conteneurisation des applications, mais les responsables de la sécurité doivent être conscients de deux problèmes qui peuvent compromettre les efforts de sécurité d'une organisation. Tout d'abord, toutes les solutions de conteneurisation n'offrent pas un chiffrement tiers au niveau de l'application indépendant du système d'exploitation (OS) d'un appareil mobile. Elles choisissent plutôt de s'appuyer sur le chiffrement au niveau de l'appareil du système d'exploitation pour protéger les données des applications (voir figure 1). Il y a lieu de s'inquiéter car, dans de nombreux cas, le chiffrement du système d'exploitation n'est activé que lorsque l'appareil est verrouillé. Ainsi, si un utilisateur a un logiciel malveillant sur son smartphone, celui-ci pourrait voler des données pendant qu'il utilise son appareil.
La deuxième préoccupation concerne les vulnérabilités cryptographiques détectées dans le système d'exploitation d'un appareil mobile, ce qui est monnaie courante. Selon la vulnérabilité, le niveau de priorité attribué au problème par le fournisseur du système d'exploitation peut être très différent de celui souhaité par d'autres organisations. Le problème peut être résolu en quelques jours ou en plusieurs années. Pendant ce temps, les employés dont les téléphones utilisent ce système d'exploitation sont des cibles plus vulnérables aux activités malveillantes telles que le vol d'informations, le vol d'identifiants et le détournement de session. Pour atteindre un niveau de sécurité plus élevé et constant sur tous les appareils, il est essentiel de ne pas dépendre du système d'exploitation.
Figure 1 – Paramètre de stratégie Microsoft Intune concernant le chiffrement des données de l'organisation. (Source : Microsoft Learn)
Heureusement, UEM avancées résolvent ce problème, car elles disposent de leurs propres capacités de chiffrement des données, indépendantes du système d'exploitation. Cette indépendance garantit que toutes les données professionnelles enregistrées sont toujours chiffrées. L'indépendance vis-à-vis du système d'exploitation contribue également à protéger les données professionnelles sensibles contre les attaques exploitant les vulnérabilités fréquemment découvertes sur les systèmes d'exploitation des appareils mobiles. Les rapports de cvedetails.com pour 2022 montrent qu'il y a en moyenne une nouvelle vulnérabilité par jour suriOS® et environ deux par jour sur Android™.
La conteneurisation facilite également le déploiement du BYOD (Bring Your Own Device), car elle permet de créer des politiques VPN (réseau privé virtuel) pour des applications spécifiques. Cette fonctionnalité est appelée « VPN par application ». Elle permet à un conteneur de fournir un VPN par application sans avoir besoin d’une solution distincte de gestion des appareils mobiles (MDM). Dans les déploiements BYOD où l'entreprise ne peut pas déployer de solution MDM, il s'agit d'une fonctionnalité précieuse, car sans elle, l'entreprise perd la capacité de contrôler de nombreuses fonctionnalités de sécurité. Une conteneurisation adéquate résout ce problème en permettant un contrôle total des applications, de la connectivité et des données au sein du conteneur — sans solution MDM.
3. Kits de développement logiciel
UEM proposer des API axées sur la sécurité dans ses kits de développement logiciel (SDK) et exiger des fournisseurs tiers qu'ils les utilisent. Toute application développée à l'aide du SDK doit être validée par le UEM afin de garantir qu'elle utilise des API axées sur la sécurité plutôt que des API OS standard, telles que SecureSaveAs plutôt que SaveAs, par exemple.
Conclusion
L'une des plus grandes erreurs en matière de sécurité mobile consiste à supposer qu'une plateforme de gestion des appareils mobiles intégrée, que vous obtenez à peu ou pas de frais, vous apportera la sécurité mobile dont vous avez besoin et que vous souhaitez. Notre article intitulé «Sécurité mobile intégrée : est-ce suffisant ?» apporte une réponse claire : un « non » catégorique.
Cet article examine en détail comment le regroupement de vos solutions de gestion mobile, de productivité et peut-être même de sécurité des terminaux en un seul et même fournisseur peut sembler très avantageux. Mais même si vous ne payez rien, vous risquez de vous priver de fonctionnalités essentielles à votre organisation.
Nous vous recommandons plutôt d'ajouter une UEM hautement sécurisée et spécialisée, telle que BlackBerry® UEM, à votre solution MDM ou MAM (gestion des applications mobiles) existante. Cela vous permettra d'améliorer et d'optimiser votre infrastructure actuelle, et plus particulièrement, d'éliminer les failles de sécurité mobile qui pourraient exposer votre entreprise à des risques.