1 3Analyse des risques et de la sécurité sur les appareils mobilestroisième édition

2

En brefBienvenue dans la troisième édition de l’analyse des risques et de la sécurité sur les appareils mobiles. Cette analyse semestrielle permet aux experts de la sécurité informatique de se tenir au fait des menaces mobiles et des risques émergents auxquels leur organisation doit faire face.

Au sommaire de cette édition :

Plusieurs domaines ont connu une évolution ou une amélioration mineure au cours des six derniers mois :

pour l’Australie, la Belgique, la France, l’Allemagne, le Japon, les Pays-Bas, l’Espagne, le Royaume-Uni et les États-Unis

des services financiers, de l’administration et de la santé

d’adoption du Programme d’inscription des appareils (DEP) et du Programme d’achat en volume (VPP) d’Apple

Données locales

des applications d’entrepriseTop popularité

des applications mobilesTop liste noire

Données sectorielles Statistiques

Afin d’aider les organisations informatiques à intégrer l’atténuation des risques dans leurs procédures de sécurité mobile, nous avons élaboré une « Liste de contrôle des priorités en matière d’hygiène de sécurité ».

2

ont systématiquement appliqué des règles de sécurité

ont déployé une solution de protection contre les logiciels malveillants sur mobile

des entreprises ont appliqué des règles obsolètes

29 % 55 % 5 %Seulement Moins de

3

Paysage des menaces mobiles

Nouvelles menaces et tendancesPresque immédiatement après la publication de la seconde édition de ce rapport, des vulnérabilités flagrantes et de nouvelles familles de logiciels malveillants ont fait leur apparition. Selon les estimations, le logiciel malveillant Godless, identifié fin juin 2016, aurait réussi à infecter 850 000 appareils1. Découvert en février 2016, HummingBad a fait l’objet d’analyses approfondies en juillet. On a alors découvert que son créateur n’était autre que YingMob, le groupe à l’origine du logiciel malveillant YiSpecter ciblant iOS et qui a fait la une l’an passé. HummingBad a réussi à infecter près de 85 millions d’appareils2. Apparemment, le but de ces deux familles de logiciels malveillants était de générer des revenus publicitaires frauduleux. Mais le plus frappant – et le plus sinistre – de l’affaire est que ces logiciels contiennent des programmes qui tentent de « rooter » les appareils à distance à l’insu des utilisateurs, donnant ainsi aux pirates le contrôle total de l’appareil infecté.

Plus tard dans l’été, une série de quatre failles baptisée « QuadRooter » a été identifiée dans le firmware pour les chipsets de bande de base Qualcomm. On estime que ces failles ont affecté 900 000 000 d’appareils, mais la fonctionnalité Verify Apps de Google Play et Android3 les a largement atténuées.

À ce jour, les failles et le logiciel malveillant les plus dangereux et les plus virulents sous iOS restent respectivement Trident et Pegasus. Trident désigne une série de trois failles qui fonctionnent ensemble4. Comme Godless et HummingBad, les failles Trident ont permis aux pirates de « jailbreaker » les appareils à distance, puis d’y installer le logiciel espion Pegasus, qui était capable d’intercepter la quasi-totalité des communications émises et reçues.

Plus tard en automne, un programme malveillant exploitant une faille de longue date du noyau Linux, connue sous le nom de « Dirty COW » (CVE-2016-5195), a commencé à circuler, s’inscrivant à la suite d’une longue série de vulnérabilités des logiciels Open Source affectant applications et appareils mobiles5.

Enfin, l’agent Adups a compromis des téléphones du fabricant BLU en transmettant notamment des journaux d’appels, des messages SMS et des données de localisation à des serveurs en Chine. Adups se présentait comme un outil de provisionnement du firmware Android, mais a été inscrit sur liste noire suite aux tests de compatibilité CTS (Compatibility Test Suite) d’Android.

1 Source : Trend Micro, http://blog.trendmicro.com/trendlabs-security-intelligence/godless-mobile-malware-uses-multiple-exploits-root-devices/2 Source : Check Point Software Technologies, http://blog.checkpoint.com/2016/07/01/from-hummingbad-to-worse-new-in-depth-details-and-analysis-of-the-hummingbad-andriod-malware-campaign/3 Source : Check Point Software Technologies, http://blog.checkpoint.com/2016/08/07/quadrooter/4 Source : Lookout et Citizen Lab, https://blog.lookout.com/blog/2016/08/25/trident-pegasus/5 Source : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5195

«  Un nouveau logiciel malveillant tente de « rooter » les appareils à distance. »

4

Situation de la sécurité mobile en entreprise

Application de RÈGLESSi les organisations informatiques investissent temps et ressources dans la configuration de règles de sécurité mobile, elles ne les appliquent pas toujours. Au cours du dernier trimestre 2016, près de la moitié des entreprises n’ont pas appliqué de règles pour leurs appareils, un chiffre stable par rapport au 2e trimestre. L’Allemagne a enregistré le pourcentage le plus élevé d’entreprises appliquant des règles de sécurité (66 %), le plus faible pourcentage revenant au Royaume-Uni (42 %). Les secteurs réglementés affichent quant à eux un pourcentage (de 64 % à 66 %) nettement supérieur à la moyenne globale de 55 %. L’Espagne a enregistré la plus forte hausse, passant de 40 % à 48 %.

Recommandation :

Veiller à l’application des règles est aussi important que de les créer. Les organisations doivent disposer d’une méthodologie qui leur permette de mettre en conformité les appareils non conformes ou d’empêcher ces derniers d’accéder aux ressources. Par exemple, si un appareil viole une règle de code d’accès, l’équipe informatique peut empêcher l’utilisateur d’accéder aux applications et données de l’entreprise sur cet appareil jusqu’à ce qu’il remplisse les critères de code d’accès.

Pourcentage d’entreprises appliquant des règles

GLOBAL

AUSTRALIE

BELGIQUE

FRANCE

ALLEMAGNEJAPON

PAYS-BAS

ESPAGNE

ROYAUME-UNI

ÉTATS-UNISADMIN.

FINANCESANTÉ

55 %

59 %58 %

52 %

66 %

50 %

60 %

48 %

42 %

57 %

63 %66 %

64 %

53 %

62 %

55 %

66 %

53 %

64 %

40 %

39 %

58 %61 %

abse

nce d

e don

nées

au

T2

abse

nce d

e don

nées

au

T2

no d

ata

from

q2

T2, 2e édition

T4, édition actuelle

LÉGENDE

abse

nce d

e don

nées

au

T2

5

Règles obsolètesPrès de 30 % des entreprises appliquent au moins une règle obsolète – une tendance relativement stable depuis le rapport précédent. Les règles deviennent obsolètes lorsque l’administrateur de l’informatique mobile modifie une règle sur la console sans que le changement ne soit propagé sur tous les appareils mobiles gérés. En principe, une telle situation est due au comportement des utilisateurs. Par exemple, si les utilisateurs possèdent un appareil dont ils se servent rarement, ou s’ils se voient remettre un nouvel appareil pour remplacer l’ancien, cela peut entraîner des cas de connexion peu fréquente ou de « disparition progressive », empêchant les appareils concernés de recevoir des mises à jour. La plupart des régions ont vu leur pourcentage d’entreprises appliquant des règles obsolètes augmenter, à l’exception de l’Allemagne, du Japon et des Pays-Bas, où ce chiffre a baissé. L’Espagne et le Japon sont les deux pays à présenter le plus faible pourcentage d’entreprises appliquant des règles obsolètes (22 %), tandis que la Belgique enregistre le plus fort pourcentage, à savoir 36 % au T4, contre 23 % au T2. Les trois secteurs d’activité ont enregistré des pourcentages de règles obsolètes supérieurs à la majorité des régions.

Recommandation :

Puisque les appareils qui utilisent des règles obsolètes ne sont pas conformes à la norme de configuration actuelle, l’équipe informatique doit configurer la plateforme de gestion de sorte à transmettre automatiquement aux utilisateurs la marche à suivre pour mettre à jour ou actualiser rapidement les configurations et règles obsolètes. Selon les critères de sécurité définis, le service informatique peut envisager de restreindre l’accès d’un appareil aux ressources de l’entreprise jusqu’à ce que le problème soit identifié et résolu.

Pourcentage d’entreprises appliquant au moins une règle obsolète

« Prè

s de 3

0 % d

es en

trep

rise

s ap

pliq

uent

au m

oins

une r

ègle

obso

lète

 »

T2, 2e édition

T4, édition actuelle

LÉGENDE

*Absence de données au T2 pour l’Australie, la finance et la santé.

34 %

GLOBAL

AUSTRALIE

BELGIQUE

FRANCE

ALLEMAGNEJAPON

PAYS-BAS

ESPAGNE

ROYAUME-UNI

ÉTATS-UNISADMIN.

FINANCESANTÉ

29 %

27 %

24 %

23 %

36 %

25 %

22 %

26 %

25 %

20 % 21 %

33 %

25 %

22 %

26 %

22 %

26 %

34 %

37 %39 %

37 %

abse

nce d

e don

nées

au

T2

abse

nce d

e don

nées

au

T2

abse

nce d

e don

nées

au

T2

28 %

6

Pertes d’appareilsLe pourcentage global d’entreprises ayant enregistré la perte d’au moins un appareil est passé de 40 % à 44 %. Imputable en partie au développement de la mobilité d’entreprise et au nombre croissant d’appareils mobiles gérés par les entreprises à l’échelle mondiale, cette augmentation a de graves conséquences. En cas de perte ou de vol d’un appareil, les dommages pour l’entreprise vont bien au-delà du simple coût du matériel. Si des données internes, telles que des données personnelles d’employés ou de clients, des chiffres de l’entreprise ou toute autre information confidentielle, tombent entre de mauvaises mains, les conséquences juridiques et financières, et les répercussions sur la réputation de l’entreprise peuvent être extrêmement dommageables. À l’exception des Pays-Bas et de la France, toutes les régions ont enregistré une hausse du pourcentage d’entreprises ayant signalé la perte d’au moins un appareil. L’Espagne a connu la plus forte augmentation, passant de 24 % à 33 %. Plus de la moitié des secteurs comprennent au moins une entreprise ayant perdu un appareil ; les services financiers affichent quant à eux le plus fort pourcentage (58 %).

Recommandation :

Les entreprises seront toujours confrontées à la perte ou au vol d’appareils, mais elles peuvent se protéger contre la perte de données. Les organisations doivent mettre en place une solution de gestion de la mobilité d’entreprise (EMM, Enterprise Mobility Management) qui permette à l’équipe informatique d’effacer à distance les données et applications d’entreprise sur les appareils volés ou perdus. Le fait de pouvoir suivre à distance un appareil perdu et d’en interdire l’accès aux utilisateurs non autorisés est également un atout essentiel pour garantir que les données ne tombent jamais entre de mauvaises mains, même si l’appareil l’est.

Pourcentage d’entreprises ayant enregistré la perte d’au moins un appareil

44 %

51 %

47 %

38 %

52 %

33 %

41 %

33 %

40 %

46 %

38 %

50 %

32 %

24 %

30 %

46 %

48 %

36 %

52 %

58 %

53 %

T2, 2e édition

T4, édition actuelle

LÉGENDE

* Absence de données au T2 pour l’Australie, la finance et la santé.

GLOBALAUSTRALIE

BELGIQUE

FRANCEALLEMAGNE

JAPON

PAYS-BAS

ESPAGNEROYAUME-UNI

ÉTATS-UNIS

ADMIN.

FINANCE

SANTÉ

absence de données au T2

absence de données au T2

absence de données au T2

47 %

41 %

7

Application des mises à jour de système d’exploitationLes fournisseurs d’OS savent que les pirates ont dans leur ligne de mire les appareils et applications mobiles. Face à l’évolution rapide de ces menaces, les fournisseurs se concentrent davantage sur le développement de correctifs de sécurité fournis sous forme de mises à jour d’OS, afin de protéger les utilisateurs et les données des dernières attaques. Bien entendu, pour être efficaces, ces mises à jour doivent être installées. Si les chiffres restent bas, la tendance est encourageante pour 2016. Dans la plupart des régions et secteurs, on a noté une augmentation du pourcentage d'entreprises qui appliquent les mises à jour d'OS. Les secteurs qui accordent une grande importance à la sécurité, tels que les services financiers (12 %), l’administration (11 %) et la santé (12 %), sont plus assidus dans l’application des mises à jour d’OS que la moyenne globale (9 %). Les entreprises néerlandaises et belges (14 % dans ces deux pays) affichent les meilleures performances en termes d’application de mises à jour d’OS. Le Japon (3 %) est dernier du classement.

Recommandation :

L’application des mises à jour d’OS constitue l’un des moyens les plus simples et les plus rentables d’empêcher les attaques d’exploiter les failles des anciens systèmes d’exploitation. Les correctifs de sécurité remédient à ces vulnérabilités spécifiques. Par conséquent, la mise à jour des systèmes d’exploitation est l’une des meilleures protections contre les menaces mobiles. Pour un minimum d’effort et d’investissement, les correctifs offrent un avantage de sécurité considérable. Pour les appareils sous iOS, la fonctionnalité de supervision du programme DEP d’Apple simplifie le processus. Si un appareil exécute iOS 9 ou une version ultérieure et est supervisé à distance via le programme DEP d’Apple, une plateforme EMM peut initier les téléchargements et les mises à jour des dernières versions du système d’exploitation. Il n’y a donc aucune raison de ne pas maintenir à jour les systèmes d’exploitation. La règle des 80/20 s’applique ici : les organisations peuvent tirer 80 % de bénéfice avec seulement 20 % d’effort.

Pourcentage d’entreprises appliquant les mises à jour d’OS

T2, 2e édition

T4, édition actuelle

LÉGENDE

*Absence de données au T2 pour l’Australie, la finance et la santé.

GLOBAL

AUSTRALIE

BELGIQUE

FRANCE

ALLEMAGNEJAPON

PAYS-BAS

ESPAGNE

ROYAUME-UNI

ÉTATS-UNISADMIN.

FINANCESANTÉ

9 %

8 %

15 %

5 %

10 %

2 %

6 %5 %

9 % 9 %

3 %

6 %

9 %8 %

14 %

7 %

12 %14 %

4 %

11 % 12 % 12 %

abse

nce d

e don

nées

au

T2

abse

nce d

e don

nées

au

T2

abse

nce d

e don

nées

au

T210 %

8

Compromission des appareilsLes employés cherchent toujours à utiliser les applications et les contenus mobiles de leur choix dans leur travail, même si cela implique parfois de contourner des contrôles de sécurité. Sous Android, l’utilisateur a toujours eu accès à des outils permettant de rooter l’appareil, alors que, sous iOS, il doit installer un logiciel de « jailbreak » pour déjouer certains contrôles de l’appareil. Bien que Pangu, l’éditeur d’utilitaires de jailbreak parmi les plus populaires, ait proposé des mises à jour peu après la sortie d’iOS 9, Apple a rapidement lancé un correctif, et il a fallu attendre la version bêta d’iOS 10 pour accéder à de nouvelles mises à jour de Pangu. Malgré cette « carence », le pourcentage d’appareils jailbreakés a continué d’augmenter. Le pourcentage d’entreprises ayant signalé au moins un appareil compromis est passé de 9 % à 11 %, à l’échelle mondiale. Le secteur des services financiers (13 %) et celui de la santé (17 %) ont enregistré un taux de compromissions supérieur à l’administration (9 %). Avec seulement 4 % d’entreprises concernées, le Japon est le moins touché.

Recommandation :

Après l’application de correctifs, la conformité des appareils constitue la précaution de sécurité la plus importante pour les organisations informatiques. Avec une solution de gestion de la mobilité en entreprise (EMM, Enterprise Mobility Management) adaptée, le service informatique peut empêcher les appareils compromis ou non conformes d’accéder aux ressources de l’entreprise tant que le problème n’est pas résolu. Il est indispensable de se prémunir contre les compromissions afin de protéger les données de l’entreprise, car les appareils rootés ou jailbreakés sont très vulnérables aux attaques.

Pourcentage d’entreprises ayant enregistré au moins un appareil compromis

T2, 2e édition

Chiffres actuels

LÉGENDE

* Absence de données au T2 pour l’Australie, la finance et la santé.

11 %

9 %

12 %12 %

6 %

4 %

8 %

16 %

13 %

7 %

4 %

15 %

10 %10 %

4 %

11 %

8 %

6 %

13 %

9 %

13 %

17 %

GLOBAL

AUSTRALIE

BELGIQUE

FRANCE

ALLEMAGNEJAPON

PAYS-BAS

ESPAGNE

ROYAUME-UNI

ÉTATS-UNISADMIN.

FINANCESANTÉ

abse

nce d

e don

nées

au

T2

abse

nce d

e don

nées

au

T2

abse

nce d

e don

nées

au

T2

11 %

9

Hygiène de sécuritéLes logiciels malveillants mobiles ne se limitent plus à une exfiltration de données et peuvent désormais prendre le contrôle total de l’appareil. De nombreuses fonctionnalités de sécurité inhérentes équipent les appareils mobiles, comme le « sandboxing » (ou « bac à sable »), mais certains types d’attaques parviennent à les contourner. Ces logiciels malveillants privent littéralement l’utilisateur de tout contrôle au profit de l’auteur de l’attaque.

Malgré l’augmentation des attaques à grande échelle de logiciels malveillants mobiles, l’adoption de solutions de protection contre ce type de programmes reste stable, avec un taux d’adoption global de moins de 5 %.

Si certains types d’attaques de logiciels malveillants sur mobile se propagent difficilement à grande échelle (à l’heure actuelle), les services informatiques doivent maintenir une bonne hygiène de sécurité pour protéger les applications et données de l’entreprise de la prochaine vague d’attaques. Parmi les pratiques d’hygiène de sécurité les plus efficaces, certaines sont simples à déployer et très rentables, et devraient à ce titre faire partie de la trousse à outils de chaque service informatique.

10

Liste de contrôle des priorités en matière d’hygiène de sécurité

1. Contrôler les comportements utilisateur à risqueLes comportements à risque sont en augmentation parmi les employés. À l’échelle mondiale, 11 % des entreprises ont enregistré un accès à leurs données internes par au moins un appareil compromis au 4e trimestre, contre 9 % au 2e. En outre, 44 % des entreprises ont signalé des pertes d’appareils, contre 40 % au 2e trimestre. Afin de protéger les ressources de l’entreprise de tout accès non autorisé, les organisations informatiques doivent améliorer l’application des règles et la conformité des appareils. Toutefois, dans le cadre de l’application de règles de sécurité, l’équipe informatique peut créer des étapes supplémentaires que certains utilisateurs voudront contourner par des actions non autorisées, telles que le « rooting » ou le « jailbreaking » de leur appareil. Une gestion drastique des appareils n’est pas la meilleure approche en matière de sécurité mobile. Cependant, pour garantir une certaine protection aux services de l’entreprise, il est nécessaire de vérifier régulièrement la sécurité des appareils et des applications.

2. Exiger la mise à jour systématique des OSBien que les tendances en matière d’hygiène de sécurité d’entreprise soient restées généralement stables entre le 2e et le 4e trimestre 2016, les organisations informatiques ont fait de nombreux efforts au niveau de l’application des mises à jour d’OS afin de garantir le déploiement des correctifs de sécurité critiques sur les appareils mobiles de l’entreprise. Veiller à l’application des mises à jour d’OS est un moyen simple et très rentable de garantir la protection des appareils contre les menaces de sécurité permanentes. Les mises à jour correctives constituent l’une des pratiques d’hygiène de sécurité les plus simples et les plus essentielles. Pourtant, seulement 9 % des entreprises à travers le monde ont appliqué ce type de mises à jour au 4e trimestre. Ce pourcentage très faible peut être dû au fait que de nombreuses entreprises n’ont pas encore opérationnalisé cette pratique de sécurité standard dans leurs déploiements mobiles. Les organisations doivent exiger que la version des systèmes d’exploitation [de leurs appareils] ne soit pas antérieure à l’avant-dernière version, versions mineures et correctifs compris. Par exemple, si la dernière version d’Apple iOS est 10.2, aucun appareil exécutant une version antérieure à la version 10.1.1 ne doit pouvoir accéder aux ressources de l’entreprise. Le déploiement et la planification des mises à jour d’Android ne fonctionnent pas exactement de la même façon ; par conséquent, la méthode de gestion des versions d’Android peut différer. En règle générale, les versions existantes d’Android continuent de bénéficier de mises à jour de sécurité sur une durée d’au moins trois ans à partir de leur date de sortie initiale, tandis que de nouvelles versions majeures sont proposées tous les ans. Au moment de la rédaction de ce rapport, Android 4.4.x, Android 5.x et Android 6.0 figurent parmi les versions les plus utilisées ; la version 7.0 d’Android est également bien distribuée6. Android est aussi passé à un cycle mensuel de publication de correctifs de sécurité. Malgré des écarts plus importants entre les versions et les correctifs d’OS, la même logique N-1 de base s’applique : pour chaque version d’Android dans un environnement donné, les appareils doivent utiliser la dernière version majeure/mineure disponible et ne pas avoir plus d’un mois de retard sur le niveau de correctif de sécurité. Par exemple, les appareils doivent exécuter la version 4.4.4, 5.1.1, 6.0.1 ou  7.1.1 et présenter un niveau de correctif de sécurité qui ne soit pas antérieur au 01/12/2016 ou au 05/12/2016. Notons que Google ne fournit pas actuellement de mises à jour de sécurité pour les versions d’Android antérieures à la version 4.4.4 ; par conséquent, il peut être nécessaire de prendre des mesures supplémentaires afin de garantir l’intégrité des appareils et un niveau de protection suffisant pour les données qu’ils contiennent.

6 Source : https://developer.android.com/about/dashboards/index.html

11

3. Interdire l’accès aux appareils compromis Les systèmes d’exploitation compromis ont longtemps été la cible privilégiée des attaques mobiles. En effet, d’importantes fonctions de sécurité y étant court-circuitées, ils deviennent des proies faciles. Aujourd’hui, nous assistons à l’émergence d’une nouvelle tendance, avec des logiciels malveillants mobiles qui intègrent des programmes capables de compromettre le système d’exploitation à l’insu de l’utilisateur. Alors que cette tendance se confirme, le risque généré par ces vulnérabilités passe de cas isolés résultant de l’action de l’utilisateur à des attaques à grande échelle initiées par des groupes plus organisés. Pour la période en cours, le pourcentage global d’entreprises ayant enregistré une tentative d’accès aux données internes par au moins un appareil compromis est passé de 9 % à 11 %. Les organisations doivent être à l’affût des appareils compromis et leur bloquer l’accès à toutes les ressources internes.

4. Empêcher les modifications d’application et de configuration non autorisées Bon nombre de menaces de sécurité mobiles sont apparues avec l’ingénierie sociale et d’autres techniques conçues pour amener les utilisateurs à installer des configurations et/ou des logiciels nuisibles. Ces menaces proviennent souvent de sources non autorisées, telles que des sites Web ou des boutiques d’applications tierces. Les organisations doivent contrôler toutes les configurations et applications téléchargées en « sideloading ». Sous iOS, elles devront ainsi surveiller les profils de configuration et de provisionnement « non gérés » ; sous Android, il suffira de désactiver l’option « Sources inconnues » et de contrôler les autorisations associées aux applications (p. ex. en mettant sur liste noire des applications demandant l’autorisation d’administrateur de l’appareil) pour réduire le risque de modifications non autorisées au niveau des configurations et des applications. Toutefois, comme le montrent les dernières recherches, si la plupart des organisations consacrent du temps à la création de règles, près de la moitié des entreprises interrogées n’ont mis en place aucune mesure, telle que le blocage de l’accès au réseau. Cela peut s’expliquer par le fait que, dans bon nombre de scénarios à faible risque, il suffit d’avertir l’employé ou l’administrateur informatique et de lui demander une intervention manuelle. Cependant, les interventions manuelles n’ont pas un effet immédiat et n’obligent pas l’employé à appliquer de mesure corrective. Par conséquent, nous recommandons d’automatiser l’application des règles. Afin de se prémunir contre les futures attaques mobiles, les organisations devront systématiquement mettre à jour leurs règles.

12

Adoption des programmes VPP et DEPPour la première fois dans ce rapport, nous avons évalué le taux d’adoption global du Programme d’inscription des appareils (DEP) et du Programme d’achat en volume (VPP) d’Apple.

Lancé en 2011, le programme VPP a pris de la vitesse avec l’introduction du programme DEP pour les parcs d’appareils d’entreprise. Combinés, ces deux programmes offrent en effet aux organisations les outils nécessaires pour gérer leurs appareils iOS et les applications exécutées sur ces derniers.

Près d’une entreprise sur cinq (18 %) utilise actuellement le programme VPP pour rationaliser le déploiement de ses applications professionnelles sur les appareils des utilisateurs. Ce chiffre est nettement supérieur dans les secteurs de la santé (29 %) et de l’administration (25 %). Avec un pourcentage de 32 %, l’Allemagne est le pays présentant le nombre le plus important d’organisations qui utilisent le programme VPP. Avec seulement 7 % d’entreprises inscrites au programme VPP, le Japon se classe dernier.

Par ailleurs, les organisations se tournent de plus en plus vers le programme DEP afin de pouvoir mieux contrôler leur parc d’appareils mobiles. Ce programme permet aux entreprises d’appliquer des restrictions plus strictes aux appareils gérés dont elles sont propriétaires. Elles peuvent ainsi restreindre les tablettes au mode application unique en plein écran pour empêcher les utilisateurs de télécharger des applications non autorisées. À l’heure actuelle, près de 13 % des organisations à travers le monde utilisent le programme DEP. Avec 22 % d’entreprises inscrites au programme, les Pays-Bas se retrouvent en tête du classement, tandis que la France arrive dernière avec un taux d’utilisation de seulement 5 %. Près d’un quart (22 %) des organisations de la santé utilisent le programme DEP aujourd’hui.

Pourcentage d’entreprises utilisant les programmes VPP et DEP

GLOBAL

AUSTRALIE

BELGIQUE

FRANCE

ALLEMAGNEJAPON

PAYS-BAS

ESPAGNE

ROYAUME-UNI

ÉTATS-UNISADMIN.

FINANCESANTÉ

18 %

23 %

18 %

14 %

32 %

13 %

12 %

14 %

5 %

15 %

7 % 7 %

26 %22 %

17 %10 %

16 %10 %

19 %17 %

25 %16 %

14 %13 %

29 %22 %

VPP

DEP

LÉGENDE

13

Situation des applications d’entreprise

Quatre organisations sur cinq disposent d’au moins 10 applications

Près de 80 % des entreprises disposent de plus de 10 applications d’entreprise. Les organisations situées aux Pays-Bas sont les plus nombreuses (90 %) à avoir installé en moyenne plus de 10 applications, tandis que les entreprises japonaises se retrouvent en bas du classement, avec 71 %. Les secteurs verticaux présentent également un pourcentage élevé. Ainsi, 88 % des organisations du secteur des services financiers étaient susceptibles d’avoir installé plus de 10 applications, suivies de près par les organisations gouvernementales (83 %) et de la santé (82 %).

Pourcentage d’entreprises ayant installé plus de 10 applications

T4, édition actuelle

LÉGENDE

GLOBALAUSTRALIEBELGIQUE

FRANCEALLEMAGNE

JAPONPAYS-BASESPAGNEROYAUME-UNIÉTATS-UNIS

ADMIN.FINANCE

SANTÉ

79 %

83 %

85 %

82 %

88 %

71 %

90 %

78 %

77 %

74 %

83 %

88 %

82 %

14

Applications les plus installées

GLOBAL AUSTRALIE FRANCE ALLEMAGNE JAPON BELGIQUE PAYS-BAS

1 Webex AnyConnect File Manager Keynote Google Maps Touchdown Chrome

2 AnyConnect LinkedIn WIT Mobile Numbers Webex Pulse Secure WhatsApp

3 Concur Edge Canet Pages Chrome Webex Word

4 Adobe Acrobat VIP Access Ma Banque Adobe Acrobat Salesforce Pages Adobe Acrobat

5 Pulse Secure Entertain Annuaire Excel Smart Catalog Evernote QuickSupport for Samsung

6 Keynote Telstra 24x7 Ma Carte DB Navigator Web Directory Word YouTube

7 Numbers Chrome Google Maps Word box Excel Excel

8 Pages Google Maps Les Infos Companion Jabber Salesforce LinkedIn

9 Google Maps Citrix Receiver Adobe Acrobat Webex Word File Manager Google Maps

10 Word Concur Smart TPE PowerPoint PowerPoint MyProximus Evernote

ESPAGNE ROYAUME-UNI ÉTATS-UNIS ADMIN. FINANCE SANTÉ

1 Numbers Chrome Webex Adobe Acrobat Webex Webex

2 Keynote Google Maps Concur Pages Ma Banque Concur

3 iMovie Adobe Acrobat AnyConnect AnyConnect Canet Pulse Secure

4 Alertas Word Adobe Acrobat Numbers RSA SecurID Software Token AnyConnect

5 WhatsApp Excel Pulse Secure Keynote Adobe Acrobat Keynote

6 Pulse Secure Keynote Jabber Pulse Secure Pulse Secure Excel

7 Citrix Receiver Gmail box Google Maps Google Maps Word

8 Kaspersky Endpoint Security YouTube Keynote YouTube Citrix Receiver PowerPoint

9 MicroStrategy Nervecentre Numbers RSA SecurID Software Token AnyConnect box

10 YouTube Pages Pages Evernote Word Numbers

15

Top des applications en liste noireLe top des applications en liste noire peut être considéré comme un classement mettant à l’honneur les applications grand public très populaires qui ont su attirer l’attention des équipes chargées de la sécurité informatique. Partout dans le monde, des organisations bloquent des applications telles que WhatsApp, Netflix et Outlook, qui s’ajoutent aux habituels Angry Birds et Twitter, en raison de leur utilisation généralisée et des risques perçus qu’elles peuvent générer. D’autres applications comme Evernote, OneDrive, Box et LINE ont chuté dans le classement, notamment en raison de leur utilisation croissante en entreprise.

Top des applications en liste noire

ESPAGNE ROYAUME-UNI ÉTATS-UNIS ADMIN. SANTÉ FINANCE

1 Angry Birds Dropbox Angry Birds Angry Birds Angry Birds Dropbox

2 Facebook Angry Birds Dropbox Dropbox Dropbox Angry Birds

3 Twitter Facebook Facebook Facebook Facebook Facebook

4 YouTube Twitter Netflix Outlook Netflix Outlook

5 Pokemon GO WhatsApp Pandora WhatsApp Twitter box

6 Cydia box Outlook box Outlook Twitter

7 Viber Outlook box Cydia Skype Instagram

8 Sudoku OneDrive Twitter Snapchat Google Drive SugarSync

9 PowerPoint Skype YouTube vShare App Market OneDrive Google Drive

10 LINE SugarSync OneDrive Google Drive WhatsApp YouTube

GLOBAL AUSTRALIE BELGIQUE FRANCE ALLEMAGNE JAPON PAYS-BAS

1 Angry Birds Angry Birds Facebook Facebook Dropbox Ligne Dropbox

2 Dropbox Facebook Dropbox Angry Birds Facebook Dropbox CamScanner

3 Facebook Hipster Pawslez WeChat Dropbox WhatsApp Evernote Cydia

4 WhatsApp path Angry Birds Twitter Angry Birds Skype Winzip

5 Twitter Dropbox PDF Reader Outlook OneDrive Team Viewer CamCard

6 Skype Twitter Winzip Cydia Outlook Twitter OPlayer

7 OneDrive 2Day FM Google Drive Candy Crush Google Drive OneDrive WeChat

8 Outlook Pandora CamCard YouTube Twitter Facebook Outlook

9 Netflix xCon Mercury Clash of Clans SugarSync Viber PDF Reader

10 Google Drive Google Drive Twitter Skype Skype Tunnelbear Mobile Ticket

16

Gros plan sur le secteur de l’administrationLes organisations gouvernementales de tous les pays sont souvent ralenties par des problèmes de gestion administrative et de financement. Elles ont généralement du mal à embaucher et à fidéliser leur personnel, et peinent à déployer de nouvelles technologies et à les mettre à jour en temps utile. Malgré ces obstacles, les organisations informatiques gouvernementales maintiennent dans l’ensemble de bonnes pratiques d’hygiène de sécurité. Toutefois, le manque de vigilance des utilisateurs plus complaisants de ce secteur représente un réel risque pour les données gouvernementales sur les appareils mobiles.

Pratiques d’hygiène de sécurité :

Comportements utilisateur à risque :

11 % Le taux d’application des mises à jour d’OS est passé de 9 % au T2 à

utilisent le programme VPPau T4

ont appliqué des règles obsolètes au T4, contre 34 % au T2

ont appliqué des règles au T4, contre 61 % au T2

ont enregistré un accès aux données de l’entreprise par un appareil compromis au T4, contre 8 % au T2

ont appliqué plus d’une règle de sécurité au T4, comme au T2

ont enregistré des pertes d’appareils au T4, contre 48 % au T2

ont appliqué plus d’une règle AppConnect au T4, contre 45 % au T2

utilisent le programme DEP25 %

37 % 63 %

9 %

75 %

52 %

43 %

16 %

16

17

Gros plan sur le secteur de la santéLe programme DEP impose une gestion des appareils et est donc idéal pour appliquer des règles de sécurité aux appareils appartenant aux entreprises. Les organisations de la santé ont commencé à utiliser les programmes DEP et VPP pour protéger les données hautement confidentielles des patients et répondre aux obligations réglementaires du secteur en déployant automatiquement des contrôles de sécurité proactifs. Si le fait d’utiliser les programmes DEP et VPP constitue une mesure de sécurité bénéfique, les organisations de la santé peuvent encore améliorer d’autres aspects de leur hygiène de sécurité et des comportements utilisateur à risque.

Pratiques d’hygiène de sécurité :Parmi les SECTEURS ÉVALUÉS, les organisations de la santé sont les plus nombreuses à utiliser le programme DEP (22 %) et le programme VPP (29 %)

Comportements utilisateur à risque :

29 % 22 % utilisent le programme VPP utilisent le programme DEP

appliquent des règles

ont appliqué des règles obsolètes ont appliqué plus d’une règle de sécurité

ont appliqué plus d’une règle AppConnect

appliquent les mises à jour d’OS64 %

37 % 77 % 41 %

12 % mais seulement

ont signalé des pertes d’appareilsdes organisations de la santé ont enregistré un accès aux données de l’entreprise par au moins un appareil compromis, soit le pourcentage le plus élevé des secteurs verticaux évalués

17 % 53 %

17

18

Gros plan sur le secteur des services financiersLes entreprises du secteur des services financiers ont affiché les taux d’adoption des programmes DEP et VPP les plus bas. Au vu des obligations réglementaires dans ce secteur, les programmes DEP et VPP sont de vrais atouts pour le respect de la conformité. Ces organisations peuvent également améliorer d’autres aspects de leur hygiène de sécurité et des comportements utilisateur à risque.

Pratiques d’hygiène de sécurité :

Comportements utilisateur à risque :

ont enregistré des pertes d’appareilsont enregistré un accès aux données de l’entreprise par au moins un appareil compromis

utilisent le programme VPP

appliquent des règles

ont appliqué des règles obsolètes ont appliqué plus d’une règle de sécurité

ont appliqué plus d’une règle AppConnect

appliquent les mises à jour d’OS

utilisent le programme DEP

13 % 58 %

14 %

66 %

39 % 78 % 49 %

12 %

13 % Seulement

mais seulement

et

18

Ce taux d’adoption est inférieur à celui des secteurs de la santé et de l’administration

19

Résumé et recommandationsÀ la lumière de ces résultats, nous recommandons aux organisations de prendre les mesures suivantes afin d’améliorer leur sécurité mobile :

1. Contrôler les comportements utilisateur à risque La conformité des appareils est primordiale pour empêcher tout appareil non autorisé d’accéder aux ressources critiques de l’entreprise. En outre, des services tels que des applications Web, un réseau Wi-Fi d’entreprise et un VPN nécessiteront vraisemblablement la mise en œuvre de règles et de configurations supplémentaires afin d’interdire l’accès aux appareils non autorisés.

2. Exiger l’application des mises à jour d’OS Les organisations doivent exiger que la version des systèmes d’exploitation ne soit pas antérieure à l’avant-dernière version, versions mineures et correctifs compris. Par exemple, si la dernière version d’Apple iOS est 10.2, aucun appareil exécutant une version antérieure à la version 10.1.1 ne doit pouvoir accéder aux ressources de l’entreprise. Le déploiement et la planification des mises à jour d’Android ne fonctionnent pas exactement de la même façon ; par conséquent, la méthode de gestion des versions d’Android peut différer.

3. Interdire l’accès depuis les systèmes d’exploitation compromis Les organisations ne doivent pas se contenter de créer des règles de sécurité : elles doivent les appliquer et les mettre à jour systématiquement sur tous les appareils qui ont accès aux ressources de l’entreprise. Les appareils qui ne respectent pas les règles en vigueur doivent être interdits d’accès ou contraints de suivre une procédure définie pour se remettre rapidement en conformité.

4. Empêcher ou surveiller le « sideloading » d’applications ou de configurations Les organisations doivent utiliser des outils de gestion pour empêcher les utilisateurs d’installer manuellement des profils de configuration ou de provisionnement. Elles se protègeront ainsi des habitudes dangereuses, comme le fait d’appuyer sur un lien pour installer un certificat ou une application maison susceptible d’être exploité(e) par des pirates. Ces outils de gestion doivent également leur permettre de s’assurer que les utilisateurs ne contournent pas les protections d’OS empêchant le « sideloading », notamment en autorisant des sources « non approuvées » sous Android ou des profils de provisionnement inconnus sous iOS.

20

5. Tirer parti des fonctions de sécurité et de gestion offertes par les programmes dédiés aux entreprises Face à l’augmentation des cas d’utilisation en entreprise, les fournisseurs de systèmes d’exploitation pour appareils mobiles ont commencé à proposer plus d’outils afin d’améliorer l’« expérience utilisateur » dans le milieu professionnel. Le Programme d’inscription des appareils (DEP, Device Enrollment Program) d’Apple et le mode Propriétaire de l’appareil sous Google Android offrent aux organisations des fonctions supplémentaires pour sécuriser leur parc d’appareils mobiles, telles que l’inscription obligatoire à la plateforme de gestion de la mobilité en entreprise (EMM, Enterprise Mobility Management), ainsi qu’un plus grand choix de restrictions et d’options de configuration.

MéthodologieLes données de ce rapport sont des données normalisées et anonymes recueillies auprès de 7 800 clients de MobileIron entre le 1er octobre et le 31 décembre 2016. Nous estimons que ce rapport constitue l’analyse la plus exhaustive de données relatives à la sécurité des appareils mobiles en entreprise pour les trois principaux systèmes d’exploitation mobiles : Android, iOS et Windows.