Technologie, entreprise ou utilisateur: à qui appartient la sécurité mobile?

Technologie, entreprise ou utilisateur: à qui appartient la sécurité mobile?

Il n’est pas scandaleux de suggérer que vous lisiez peut-être ceci sur un appareil mobile. Il n’est pas non plus scandaleux de penser que la plupart des gens utilisent ces dernières années un appareil mobile. Donc, pour ceux qui ne suivent pas, à ce stade, la sécurité mobile est vraiment juste la sécurité. Il n’y a plus vraiment de différence.

Cela entraîne davantage de vulnérabilités critiques dans la production, un risque accru pour l’entreprise et des coûts de réparation exponentiellement supérieurs à ceux liés à la mise en œuvre de la sécurité dès la conception lors des premières étapes du cycle de développement du logiciel (SDLC). La modélisation des menaces est un moyen simple et économique d’implémenter la sécurité lors de la phase de conception du SDLC, avant même que tout code ne soit écrit.

Qu’est-ce que la modélisation des menaces?

C’est ce qui rend la gestion des appareils mobiles si difficile aujourd’hui: les appareils sont puissants, ils stockent et transfèrent des données extrêmement précieuses, et ils sont si nombreux. Il n’y a pas si longtemps, c’était un ordinateur de bureau pour un ménage de quatre personnes. Maintenant, il s’agit de quatre appareils par personne – et cela peut même être un euphémisme pour certains.

Vous ne possédez plus votre pipeline

Rappelez-vous quand vous avez possédé l’infrastructure que vous avez utilisée? Il y avait alors un état d’esprit différent. Vous y avez investi, vous l’avez possédé et vous l’avez maintenu. De nos jours, tout est une question de services, c’est-à-dire qu’une grande partie de ce qui se passe se passe en dehors de votre propre écosystème. Vous devez non seulement vous préoccuper de votre propre réseau, mais également de ce réseau Wi-Fi aléatoire auquel vous êtes connecté.

Alors, comment sommes-nous arrivés ici? Simple: Nous recherchions liberté et commodité. La sécurité ne nous préoccupait pas vraiment. Vous ne pouvez en réalité avoir que deux des trois, et compte tenu des préoccupations croissantes en matière de sécurité, nous devons repenser et redistribuer nos priorités.

Pour gérer au mieux la sécurité mobile au sein de votre entreprise, vous devez également maintenir un autre équilibre: responsabilités en matière de technologie, d’entreprise et d’utilisateur. Avec le déploiement d’un nombre croissant d’appareils mobiles en raison du déploiement de la 5G, gagner ce jeu de gestion des appareils signifie établir les bases appropriées avant de commencer à partager les responsabilités.

Traiter le problème du point de vue de la gestion des risques

Selon «Mobile Security Index 2019» de Verizon, 33% des personnes interrogées ont admis avoir subi au moins un compromis en raison de leur appareil mobile, la majorité d’entre elles affirmant que l’impact était majeur. De plus, 67% ont moins confiance en leur sécurité mobile que d’autres ressources informatiques. De toute évidence, le marché suscite des inquiétudes et un manque de confiance.

La notion de risque est au cœur de toute question de sécurité. Par conséquent, si vous ne traitez pas ce problème du point de vue de la gestion des risques, vous manquez le bateau. Cet article ne sera pas abordé dans la manière de gérer les risques; il y a beaucoup d’informations à ce sujet. Cet article décrit ce que vous devez savoir pour bien répartir les responsabilités entre les trois groupes susmentionnés. Gardez simplement à l’esprit ces choix de risque lorsqu’on passe en revue les considérations:

  • Acceptation des risques
  • Transfert de risque
  • Évitement des risques
  • Atténuation des risques
  • Report de risque
  • Exploitation des risques
Définissez vos processus métier et vos besoins

Supposons un instant que vous avez effectué tout votre travail standard de gestion des risques. Cela signifie-t-il quelque chose sans une définition correcte de vos processus et de vos besoins? Pas vraiment. Vous voyez, si vous définissez vos processus métier et vos besoins, vous pouvez déterminer l’impact de certaines vulnérabilités sur votre entreprise. Plus important encore, vous pouvez choisir le risque que vous souhaitez faire.

Par exemple, un processus métier particulier nécessite-t-il absolument une application présentant des failles de sécurité connues et devant être installée sur tous les périphériques? Eh bien, si tel est le cas, vous pouvez vous retrouver dans une situation où vous devez choisir l’acceptation du risque.

Cette cartographie initiale est extrêmement importante, car si vous la perdez, vous ne bâtissez que sur de mauvaises bases, ce qui accroît la fragilité. Peu importe ce que vous ferez plus tard si vous partez sur un terrain instable.

Configurer et définir les bonnes autorisations

À ce stade, vous devriez être à un stade où vous savez ce que vous voulez et quels sont les choix de risque que vous allez faire. C’est là qu’intervient le plus important – le stade où vous apportez les modifications techniques qui alignent tous vos processus et besoins commerciaux sur vos choix en matière de risques.

Besoin de certains ports ouverts? Bien, assurez-vous qu’ils sont ouverts et fermez tous les autres. Vous n’avez pas besoin d’une application? Créez une règle qui en interdit l’installation sur tout périphérique. Vous avez des préoccupations concernant certains produits matériels? Mettez-les sur une liste d’interdiction, les empêchant d’entrer dans le processus d’approvisionnement.

À ce stade, vous devriez également poser les questions suivantes:

  • Avons-nous un problème d’échelle possible?
  • Avons-nous des problèmes de calcul ou de bande passante à l’horizon?
  • Avons-nous besoin de solutions de gestion d’informations et d’événements de sécurité (SIEM) et / ou d’orchestration de sécurité, d’automatisation et de réponse (SOAR)?
  • Savons-nous quels appareils nous allons autoriser sur le réseau?
  • À quelles considérations de politique devrions-nous penser?À quoi voulons-nous que la détection des points finaux et la prévention de la perte de données ressemblent?

Vous remarquerez que jusqu’à présent, cela ressemble certainement à beaucoup de travail en entreprise. Et bien ça l’est. L’entreprise doit vraiment s’assurer que les fondations sont correctement configurées si elle souhaite maîtriser la sécurité mobile et la gestion des périphériques.

Responsabilité partagée

Vient maintenant la tâche difficile: déterminer qui est responsable de quoi. Une métaphore pourrait être utile ici. Imaginez une maison de trois pièces bien construite. Les constructeurs ont tout fait correctement dans les phases de construction. Certifications, licences, meilleurs matériaux – vous l’appelez. Maintenant, imaginez que cette maison a trois occupants, un pour chaque pièce. Ils vivent tous ensemble harmonieusement, peuvent entrer librement dans les chambres les unes des autres, avec quelques attentes de confidentialité bien sûr.

Ca semble bien jusqu’ici, n’est-ce pas? Eh bien, il y a une exigence: chaque occupant est responsable de l’entretien de sa chambre, car si une pièce n’est pas bien entretenue, elle peut la gâcher pour les autres. Ils sont tous connectés et quels impacts l’un a sur les autres.

Bienvenue dans le monde de la sécurité mobile et de la gestion des périphériques. C’est exactement le scénario auquel vous faites face, et cela deviendra de plus en plus difficile à gérer car nous verrons de plus en plus de périphériques et de données. L’essentiel est que les trois aspects – technologie, entreprise et utilisateur – doivent être responsables de leur propre part du gâteau de la sécurité mobile.

La sécurité mobile n’est pas facile

Il existe de nombreuses ressources pour vous aider à identifier les problèmes de sécurité mobile. Le Top 10 mobile du projet OWASP (Open Web Application Security) est un excellent point de départ pour des problèmes techniques. Malheureusement, je pense que nous sommes encore loin de la certification de type UL pour les appareils mobiles et Internet des objets (IoT). Le marché n’est pas prêt pour ce ralentissement.

La clé pour décider qui est responsable de quoi dans le domaine de la sécurité mobile commence vraiment par une bonne évaluation de la gestion des risques et une bonne cartographie. Ces évaluations et, en particulier, les choix de risques ne sont pas faciles, mais souvenez-vous de l’ancienne règle: rien ne vaut la peine d’être fait. Protéger vos données critiques est toujours utile.