Sécuriser les terminaux mobiles : un angle mort fréquent

Les smartphones et tablettes hébergent aujourd'hui une part considérable des accès professionnels : messagerie, calendrier, MFA, réseaux sociaux d'entreprise, applications métier. Ils restent pourtant largement sous-traités dans les programmes de sensibilisation. Voici les bonnes pratiques à diffuser.

Pourquoi le mobile est un sujet à part

• Les environnements personnels et professionnels sont mélangés.
• Les applications sont multiples (donc multipoints d'entrée).
• Les mises à jour OS dépendent partiellement du constructeur et de l'opérateur.
• Le vol physique est fréquent (transports, restaurants, voyages).
• Les utilisateurs ne perçoivent pas toujours leur téléphone comme un outil "sensible".

BYOD ou COPE ?

Deux modèles principaux :

• BYOD (Bring Your Own Device) : le collaborateur utilise son téléphone personnel pour le travail.
• COPE (Corporate Owned, Personally Enabled) : terminal fourni par l'entreprise, à usage mixte autorisé.

Le BYOD est moins coûteux mais plus risqué. Il suppose un encadrement strict et une sensibilisation renforcée. Le COPE offre un meilleur contrôle technique, mais coûte plus cher.

Quatre fondamentaux à diffuser

1. Verrouillage et authentification

• Code de verrouillage d'au moins 6 chiffres (ou biométrie).
• Verrouillage automatique rapide (1 minute).
• Effacement automatique après plusieurs tentatives échouées.
• Géolocalisation activée pour pouvoir retrouver le terminal en cas de perte.

2. Mises à jour

• Mises à jour OS acceptées dès leur disponibilité.
• Applications mises à jour automatiquement.
• Désinstaller les applications non utilisées.

3. Sources d'applications

• Stores officiels uniquement (App Store, Google Play, store interne).
• Pas d'installation latérale (sideloading) sauf cadre maîtrisé.
• Lecture des permissions demandées par chaque application.

4. Connexions sans fil

• Wifi public avec prudence (voir notre article sur le télétravail).
• Bluetooth désactivé quand non utilisé.
• AirDrop / Quick Share réglés sur "contacts uniquement".

Le MDM ou MAM : un complément technique

• MDM (Mobile Device Management) gère le terminal complet : utile en COPE.
• MAM (Mobile Application Management) gère uniquement le périmètre pro : plus adapté au BYOD.

Ces outils permettent :

• d'imposer une politique de sécurité minimale,
• de séparer les données pro et perso,
• d'effacer à distance le compartiment pro en cas de perte.

Mais ils ne remplacent pas la sensibilisation : un utilisateur qui accepte sans lire une demande d'autorisation peut contourner la protection technique.

Les attaques spécifiques au mobile

• Smishing : SMS frauduleux (voir Comprendre le phishing).
• QRishing : QR codes piégés (parkings, factures, affiches).
• Apps malveillantes déguisées en utilitaires (lampe torche, scanner QR).
• Wifi pirates (réseaux mimant ceux d'un lieu connu).
• Stalking par applications de tracking installées physiquement (notamment violence conjugale, espionnage).

La sauvegarde

Sauvegarder son téléphone, c'est aussi de la cybersécurité. Cela permet :

• de retrouver ses données en cas de perte ou vol,
• de ne pas céder à une demande de rançon ciblée,
• de réinstaller proprement un appareil compromis.

Le téléphone perso comme passerelle d'attaque

Un attaquant qui prend le contrôle du téléphone personnel d'un collaborateur peut :

• intercepter ses SMS (MFA par SMS),
• accéder à sa messagerie personnelle (réinitialisation de mots de passe),
• usurper son identité auprès de ses contacts professionnels.

D'où l'importance de sensibiliser à la sécurité personnelle — angle développé dans Cyber-attaques : des conséquences personnelles.

Conclusion

Le mobile reste un angle mort dans beaucoup de programmes de sensibilisation. Y remédier ne demande pas une révolution : intégrer systématiquement le contexte mobile dans les modules existants, et ajouter quelques rappels dédiés. La plateforme SensiWave propose des modules courts spécifiquement consultables sur mobile.

---