LIVRE BLANC

PROTECTION DE
FLOTTE MOBILE
Endpoint Detection & Response
VS Mobile Threat Defense

1
INTRODUCTION

La numérisation des services et la généralisation du télétravail ont augmenté le nombre d’utilisateurs qui
accèdent à des ressources en ligne à partir de leur terminal mobile. Dans cette configuration, chaque terminal
représente un point d’entrée pour les pirates, les espions et les cyberactivistes. Pour assurer la confidentialité
des informations, il est critique de déployer une stratégie de cybersécurité qui couvre de manière fiable les
terminaux mobiles et leurs multiples facettes (iOS, Android Enterprise...).

Aujourd’hui, le marché de la cybersécurité voit une multitude de solutions étendre leur offre existante au
mobile, afin de sécuriser simultanément tous les terminaux des organisations. Mais comme le système
d’exploitation des mobiles traitent les données et les protocoles de manière très différente des PC, les
cybermenaces qui visent ces deux systèmes sont elles aussi bien distinctes.

L’Endpoint Detection & Response (EDR) est l’évolution des antivirus traditionnels. Un EDR met en quarantaine
les fichiers, détecte les indicateurs de compromission et fournit une analyse approfondie afin d’assurer le
démantèlement des attaques. La force de l’EDR réside dans ses capacités d’investigation et dans la visibilité
multiplateforme qu’il offre. Mais lorsqu’il s’agit de neutraliser les menaces mobiles, l’analyse avancée ne
suffit pas. Inévitablement, lorsqu’un EDR est utilisé pour protéger tous les terminaux de manière indistincte,
cela crée une lacune de sécurité au niveau des mobiles.

Représentant 77 % du trafic numérique1, les terminaux mobiles constituent un élément essentiel des
stratégies de cybersécurité. Mais le paysage des menaces mobiles est vaste, volatile et par conséquent
difficilement abordé par des offres tout-en-un non spécialisées. Pour combler cette lacune, les analystes de
Gartner recommandent l’expertise spécifique du Mobile Threat Defense (MTD). Lorsqu’un EDR est implanté
dans un écosystème informatique, le MTD étend avec efficacité la couverture de sécurité à la flotte mobile,
permettant ainsi une stratégie Zero Trust fiable.

1- ComScore, Global state of mobile

1
INDEX

La surface d’attaque mobile.................................................................................3

Divergences entre les menaces ciblant les PC VS les mobiles.............................4

Usages professionnels VS Usages personnels
Logiciels VS Applications mobiles
Advanced Persitent Threats VS Attaques non ciblées

Limites de l’EDR pour protéger les terminaux mobiles........................................6

Temps de détection longs, réponses manuelles
Automatisation insuffisante, pas de blocage des menaces
Aucune intégration avec les solutions UEMs
Manque d’expertise pour analyser les applications mobiles
Et qu’en est-il d’Android Enterprise ?

Fonctions de sécurité assurées par le Mobile Threat Defense.............................8

Analyse comportementale dédiée à l’identification des menaces mobiles
Réponses de sécurité automatisables
Agent sur le terminal, pour neutraliser les menaces en temps réel
Intégrations avancées avec les UEMs

Le concept de Unified Endpoint Security...........................................................10

Le Mobile Threat Defense pour une sécurité mobile fiable
Pradeo Security Mobile Threat Defense

2
LA SURFACE D’ATTAQUE MOBILE

Si l’ajout d’une couche de sécurité à un PC est considéré comme nécessaire par tous, certaines personnes
n’ont pas le même sentiment à l’égard des terminaux mobiles. Pourtant, penser que les smartphones et
les tablettes sont intrinsèquement sûrs est entièrement faux. Les terminaux mobiles constituent une vaste
surface d’attaque que les cybercriminels ciblent et exploitent par le biais de divers vecteurs : Phishing,
malware, application intrusive, faille dans la configuration du système d’exploitation...

Aujourd’hui, nous considérons les terminaux mobiles comme une extension de nous-mêmes et leur utilisation
est devenue très personnelle. Ainsi, même lorsqu’il s’agit de terminaux d’entreprise, les employés peuvent
les utiliser à titre personnel, pour envoyer des SMS, accéder à leurs emails, utiliser des outils, jouer à des jeux
pendant la pause déjeuner, etc.

3
DIVERGENCES ENTRE LES MENACES
CIBLANT LES PC VS LES MOBILES

Les terminaux mobiles sont utilisés, exploités et compromis de manière totalement différente des PC de
bureau et ordinateurs portables. Ces différences soulignent la nécessité d’une expertise distincte pour
protéger chacun d’entre eux.

BYOD SMARTPHONE
Bring Your Own Device
COPE
Company Owned Personnaly Enabled
COBO
Company Owned Business Only ORDINATEUR

Usages professionnels VS Usages personnels

Presque toutes les organisations fournissent des ordinateurs à leurs employés. Les PC d’entreprise sont
généralement administrés par le service informatique qui les fournit, qui peut ainsi contrôler les mises à jour
des systèmes et des logiciels, prendre le relais en cas d’assistance, etc. Ces terminaux sont accompagnés de
directives strictes, autorisant parfois une utilisation personnelle dans certaines limites, et doivent souvent
être associés à un VPN d’entreprise pour le travail à distance. Par conséquent, les employés utilisent rarement
ces ordinateurs lorsqu’ils ne sont pas en service et évitent généralement d’installer des jeux ou de visiter des
sites web non-sécurisés, par exemple.

Pour les terminaux mobiles, c’est une toute autre histoire. Tout d’abord, un rapport de l’Office européen
des statistiques montre qu’en avril 2020, seuls 28 % des employés disposaient de terminaux mobiles
professionnels2. Par conséquent, une très grande partie des connexions au système d’information de
l’entreprise est effectuée à partir de terminaux personnels (BYOD) qui sont rarement administrés. En outre,
qui que soit le propriétaire du smartphone ou le fait qu’il soit administré ou non, les usages mobiles sont par
nature plus insouciants et libres, ce qui entraîne une plus grande exposition aux menaces.

4
DIVERGENCES ENTRE LES MENACES
CIBLANT LES PC VS LES MOBILES

Logiciels VS Applications mobiles

Une flotte de 50.000 mobiles d’entreprise constitue un pool de 150.000 applications distinctes installées3,
alors qu’une flotte de 50.000 ordinateurs ne représente qu’une centaine de logiciels. Les utilisateurs
téléchargent naturellement beaucoup plus d’applications mobiles que de programmes informatiques, car
les applications mobiles sont accessibles, le plus souvent gratuites, rapides à installer et fournissent de petits
services spécifiques facilitant les tâches quotidiennes.

Ce comportement des utilisateurs, aussi anodin qu’il puisse paraître, augmente considérablement les risques
d’exfiltration et de vol de données sur mobile. En effet, les applications mobiles sont rapidement clonées ou
développées et peuvent être publiées sur Google Play et Apple Store par n’importe qui, atteignant ainsi un
large public. Elles peuvent contenir un logiciel malveillant, et donc être intrinsèquement malveillantes, ou
être tout à fait saines mais exfiltrer les données qu’elles manipulent ou être vulnérables aux attaques. Dans
tous les cas, elles ont le pouvoir de nuire fortement à la confidentialité des données.

Les mobiles sont plus souvent visés par des attaques «one-shot», moins complexes et
à plus grande échelle que les Advanced Persistent Threats, mais plus rapides.

Advanced Persistent Threats VS Attaques ponctuelles

Une menace persistante avancée (Advanced Persistent Threat, APT) est un terme utilisé pour décrire une
campagne d’attaque dans laquelle un pirate, ou une équipe de pirates, accède illicitement et de manière
durable à un système afin d’extraire des données hautement sensibles. Les grandes entreprises et les
gouvernements sont généralement ciblés par ces assauts et ils sont habituellement sélectionnés avec soin.
Les attaques APT sont exécutées manuellement et utilisent plusieurs backdoors pour infiltrer un réseau dans
son intégralité.

Une APT peut utiliser un terminal mobile comme point d’entrée. Mais il n’en reste pas moins qu’elle opère
principalement sur les ordinateurs, les bases de données et les réseaux. Par conséquent, pour être détecté,
il faut de solides capacités analytiques enrichies d’événements de sécurité provenant de l’ensemble de
l’environnement informatique. Les terminaux mobiles, quant à eux, sont plus fréquemment ciblés par des
attaques de type «hit and run», moins complexes et à plus grande échelle que les APT, mais beaucoup plus
rapides.

Les appareils mobiles sont en constante mouvance et utilisés à longueur de journée : connexion à un réseau
non sécurisé, installation d’une nouvelle application, tentative de phishing par SMS... Ainsi, leur niveau de
sécurité varie d’une minute à l’autre et ne peut être contrôlé que par des méchanismes autonomes.

3 – Pradeo’s unpublished research

4 - Flexera Software’s ‘Country Reports’ – UK
5
LIMITES DE L’EDR POUR PROTÉGER
LES TERMINAUX MOBILES

Temps de détection longs, réponses manuelles

L’efficacité d’une solution de sécurité mobile dépend du temps qu’il lui faut pour conclure sur la niveau de
danger des événements qu’elle détecte et pour répondre aux menaces avérées.

Avec un EDR, le temps moyen pour identifier une violation de données est de 197 jours5, et le temps moyen
pour contenir une violation de données est de 69 jours5. La longueur du processus de détection est impactée
par le volume d’alertes qui nécessite une investigation humaine, alors que les équipes de sécurité sont déjà
surchargées. Sur mobile, les événements de sécurité sont décuplés par le comportement des utilisateurs, ce
qui les rend beaucoup plus nombreux que sur un ordinateur, trop nombreux pour être vérifiés et remédiés
manuellement.

Avec un EDR, le temps moyen pour identifier une violation de donnée est de 197
jours5, et le temps moyen pour la contenir est de 69 jours5.

Automatisation insuffisante, pas de blocage des menaces

Un EDR offre diverses mechanismes de sécurité. Tout d’abord, il permet de détecter les menaces connues
avant qu’elles ne passent à l’action en croisant ses résultats avec les bases de données virales. Ensuite, un EDR
recherche les indicateurs de compromission (IOC) sur les terminaux et réalise des analyses approfondies qui
débouchent sur des alertes de sécurité. Grâce aux détails fournis, les équipes de sécurité poursuivent leurs
investigations et mettent en place des mesures correctives après l’attaque.

L’objectif de l’EDR est la traque et l’analyse des attaques / menaces. Il offre une visibilité en temps réel,
mais des options limitées pour contenir ou éradiquer les menaces inconnues ou les applications intrusives
par exemple, avant qu’elles ne causent des dommages. Les terminaux mobiles étant ciblés par des attaques
ponctuelles, les capacités de l’EDR ne permettent pas de les traiter efficacement.

Couverture de sécurité EDR vs MTD pendant les différentes phases d’une attaque mobile

6
LIMITES DE L’EDR POUR PROTÉGER
LES TERMINAUX MOBILES

Aucune intégration avec les solutions UEMs

Alors qu’ils couvrent depuis peu les terminaux mobiles, la plupart des EDR ne sont pas intégrés aux solutions
de gestion unifiée des terminaux (UEM), anciennement connues sous le nom de Mobile Device Management.
Ce manque de collaboration avec les acteurs clés de la mobilité d’entreprise complexifie considérablement
l’unification de la gestion et de la protection. Concrètement, sans intégration UEM, le déploiement d’un agent
EDR sur une flotte mobile nécessite de nombreuses actions de la part des utilisateurs finaux (contrairement
au déploiement zéro-touch), et la solution se prive de l’opportunité d’appliquer des mesures de sécurité
basées sur le statut de conformité des terminaux (comme l’accès conditionnel aux ressources de l’entreprise),
offertes par les plateformes UEM.

Manque d’expertise pour analyser les applications mobiles

Les utilisateurs mobiles passent en moyenne 3 heures par jour sur leurs applications6, et elles sont la source
de 76% des attaques mobiles7. Une application peut être comparée à un iceberg, car la plupart de ses actions
sont effectuées silencieusement en arrière-plan. Certains de ses comportements sont justifiés et nécessaires
pour exécuter un service prévu, et d’autres sont superflus. La frontière entre les deux est mince, ce qui
rend difficile de déterminer si une application peut être utilisée en toute sécurité ou non. Sans capacité
d’analyse des applications, sans expérience ni connaissance sur lesquelles s’appuyer, beaucoup d’EDR ne
détectent que les programmes malveillants connus (malwares), tout en laissant passer tous les nouveaux
logiciels malveillants et les applications vulnérables.

Qu’en est-il d’Android Enterprise ?

Android Enterprise est un tournant pour les équipes informatiques qui gèrent les terminaux mobiles.
Avec l’arrivée d’Android 11, un nombre croissant de smartphones disposent désormais de conteneurs.
Android Enterprise est généralement déployé en mode BYOD ou COPE, pour créer des profils personnels et
professionnels séparés. À l’intérieur de chaque profil, les applications mobiles s’exécutent indépendamment.
Les utilisations sont limitées dans le profil professionnel, tandis que le profil personnel ne fait l’objet d’aucune
gestion. En dehors de ces deux profils, les ressources telles que les SMS, les préférences réseau et les
configurations du système d’exploitation sont partagées.

Le conteneur de travail n’a aucun contrôle ni visibilité sur le contexte de sécurité des ressources partagées
et personnelles. Du point de vue de la sécurité, les conteneurs ne font tout simplement pas obstacle à de
nombreuses techniques d’attaque éprouvées, et ne suffisent pas à empêcher la fuite des données.

Les fournisseurs d’EDR ne traitent pas ce problème de sécurité, car leur agent mobile ne peut pas fournir un
état de sécurité du profil personnel sans rompre la confidentialité des utilisateurs.

5. “2018 Cost of a Data Breach Study,” Ponemon Institute, 2018

6. “Global mobile security market leadership report”, IDC, 2019
7. “Mobile security report”, Pradeo, 2020

7
FONCTIONS DE SECURITE ASSUREES
PAR LE MOBILE THREAT DEFENSE

Dans toutes les stratégies de cybersécurité, l’efficacité de la protection est

intrinsèquement liée aux capacités de détection. Déjouer les menaces mobiles
nécessite une expertise dédiée et une solution sur mesure.

Analyse comportementale, formée pour détecter et identifier les menaces

Pour cibler les terminaux mobiles, les pirates font preuve d’une créativité sans faille. Alors que les menaces
informatiques sont pour la plupart connues et identifiables par leur signature virale, les menaces mobiles, en
revanche, se renouvellent constamment. Par exemple, le malware bancaire anciennement appelé Cerberus et
désormais identifié comme Alien change sans cesse de forme pour se cacher dans des applications mobiles.
Cependant, le fait qu’il agisse comme un overlay et un keylogger qui envoie les frappes clavier à un serveur
distant demeure.

Pour détecter de manière fiable Alien et les autres programmes malveillants ou intrusifs, les solutions de
sécurité doivent combiner deux capacités : analyser les comportements et croiser les résultats avec le contexte,
pour minimiser les faux-positifs. Il en va de même pour les comportements d’exfiltration de données présents
dans les applications, qui transgressent souvent la politique de sécurité de l’entreprise.

Réponses de sécurité automatisables

Les équipes de sécurité ne fonctionnent pas toutes de la même manière. Si certaines grandes équipes
consacrent beaucoup de temps à l’étude des menaces, d’autres le font dans une moindre mesure, mais elles
ont toujours en commun la volonté de prévenir efficacement la perte et le vol d’information.

Comme les menaces mobiles agissent rapidement, une remédiation manuelle ne peut les contenir. Les
services de sécurité mobile doivent être automatisables pour détecter et remédier les menaces en temps
réel, avant qu’elles ne compromettent les terminaux. L’écosystème mobile est composé de multiples
configurations (Android Entreprise, VIP/utilisateurs sensibles, BYOD...) pour lesquelles la sécurité est traitée
différemment. Ainsi, les fonctions automatisables de remédiation aux menaces doivent offrir une variété
d’options telles que le blocage des applications, la déconnexion aux réseaux, la notification aux utilisateurs,
le conditionnement de l’accès aux données de l’entreprise, etc. pour répondre à tous les scénarios possibles.

8
FONCTIONS DE SECURITE ASSUREES
PAR LE MOBILE THREAT DEFENSE

Intégrations avancées avec les UEMs

Certaines menaces mobiles profitent d’une courte opportunité pour récolter des données sensibles. C’est
le cas des attaques réseau, telles que le Man-In-The-Middle ou des attaques du système d’exploitation qui
agissent sur des vulnérabilités momentanées du système. Une solution de sécurité dépourvue d’agent
mobile n’offrira qu’une couverture limitée.

En effet, les menaces susmentionnées ne peuvent être détectées qu’à l’aide d’un agent de sécurité sur le
terminal qui analyse en permanence l’environnement à la recherche de comportements malveillants. En
outre, cette présence sur le terminal mobile est essentielle pour bloquer immédiatement toute attaque, ce
qui permet de prévenir efficacement la fuite de données.

En ce qui concerne Android Enterprise, une appli de sécurité mobile doit avoir une visibilité à travers les
conteneurs pour protéger les profils professionnels des menaces provenant des environnements personnels,
sans porter atteinte à la vie privée des utilisateurs.

Advanced integrations with UEMs, enhancing their functionalities

Les flottes de terminaux mobiles sont généralement administrées via des solutions UEM (Unified Endpoint
Management). Un premier niveau d’intégration offert par les solutions de Mobile Threat Defense (MTD)
consiste à fluidifier la gestion de la sécurité des terminaux, en récupérant dynamiquement la structure des
flottes mobiles dans l’UEM (groupes...) et en appliquant la politique de sécurité adéquate.

En outre, les UEM offrent certaines fonctions de sécurité de base qui peuvent être exploitées une fois
alimentées par des diagnostics de sécurité (par opposition aux événements de sécurité provenant des EDR).
Microsoft Intune, par exemple, permet de conditionner l’accès aux applications Office en fonction de l’état
de sécurité des terminaux fournis par les solutions MTD. Pour améliorer l’écosystème mobile existant des
organisations, les solutions de sécurité mobiles doivent offrir des services complémentaires qui s’intègrent
en souplesse aux UEM.

9
LE CONCEPT DE UNIFIED ENDPOINT SECURITY

Le Mobile Threat Defense pour une sécurité mobile fiable

Pour faire face aux nouveaux défis en matière de sécurité des endpoints, les
responsables de la sécurité et de la gestion des risques doivent combiner
les fonctionnalités des Endpoint Protection Platforms, Endpoint Detection
& Response et Mobile Threat Defense dans une approche unifiée de la
sécurité des terminaux.”
Dionisio Zumerle, VP analyst chez Gartner

Comme l’ont souligné les analystes de Gartner dans le rapport « Innovation Insight for Unified Endpoint
Security » publié fin 2020, les solutions EPP et EDR ne sont pas à la hauteur lorsqu’il s’agit de protéger
l’environnement mobile. Leur recommandation pour une stratégie de sécurité zero-trust est de combiner les
capacités analytiques des EPP/EDR qui protègent bien les ordinateurs de l’environnement informatique, avec
le Mobile Threat Defense pour traiter la partie mobile de l’équation.

Analyse croisée

Expertise en sécurité Windows, Apple OS, Android, iOS, Expertise en sécurité

Linux Chromebooks
des ordinateurs mobile

EDR MTD
Endpoint Detection
Détection des Indicator-of- Mobile Threat Defense Analyse comportementale
& Response
Compromise Automatisation de la
Analyse des menaces Terminaux managés sécurité
UEM
Rollback post-attack Terminaux BYO Blocaque en temps-réel
des menaces

10
LE CONCEPT DE UNIFIED ENDPOINT SECURITY

Pradeo Security Mobile Threat Defense

Pradeo s’appuie sur plus de 10 ans d’expérience en

matière de sécurité mobile pour offrir Pradeo Security,
une solution de pointe dédiée à la sécurisation des
terminaux et applications mobiles. Pradeo Security
Mobile Threat Defense protège les terminaux
utilisés dans le cadre d’activités professionnelles,
qu’ils appartiennent à l’entreprise ou qu’ils soient
personnels (BYOD), afin d’éviter les vols et fuites de
données mobiles.

Application de sécurité mobile à l’empreinte minimale

L’agent mobile Pradeo Security est disponible pour Android, Android Enterprise, iOS et Chromebooks. Il
effectue des contrôles de sécurité transparents pour détecter les menaces liées aux applications, au réseau
et aux terminaux, et les remédie en temps réel, avant qu’elles ne causent de dommage.

Sécurité entièrement automatisée

Pour alléger la charge de travail des équipes de sécurité, Pradeo Security est entièrement automatisable.
Une fois la politique de sécurité choisie (prédéfinie et personnalisable), les administrateurs peuvent choisir
les mesures de sécurité à appliquer aux menaces détectées. L’agent sur le terminal permet de bloquer les
applications, de déconnecter le réseau, d’alerter les utilisateurs ou de conditionner l’accès aux données de
l’entreprise, entre autres, de manière automatique et immédiate.

Intégrations éprouvées avec les UEMs

Pradeo a des intégrations avec VMware Workspace ONE, Microsoft Intune, MobileIron, IBM Maas360 et
SOTI. Ces intégrations simplifient le déploiement et la gestion du Mobile Threat Defense sur une flotte mobile
managée existante.
Une fois configuré, Pradeo Security contrôle le niveau de sécurité des terminaux et fournit automatiquement
un statut de conformité par terminal à l’UEM. Les administrateurs peuvent surveiller entièrement la
conformité de leur flotte dans l’interface de l’UEM, et conditionner l’accès aux ressources de l’entreprise en
conséquence.

Expertise approfondie en sécurité des applications mobiles

L’expertise principale de Pradeo est l’audit de sécurité des applications mobiles. Au fil des années, le moteur
de sécurité de Pradeo a audité des millions d’applications mobiles, mis en place des milliers de règles de
sécurité et détecté des milliards de comportements indésirables et parfois dangeureux dans ces applications.
Cette expertise a permis de perfectionner la capacité de détection des menaces applicatives de Pradeo à
un niveau inégalé sur le marché, fournissant par exemple une vue détaillée sur le traitement des données
personnelles, les malwares, les activités frauduleuses, etc...
11