Académique Documents
Professionnel Documents
Culture Documents
PROTECTION DE
FLOTTE MOBILE
Endpoint Detection & Response
VS Mobile Threat Defense
1
INTRODUCTION
La numérisation des services et la généralisation du télétravail ont augmenté le nombre d’utilisateurs qui
accèdent à des ressources en ligne à partir de leur terminal mobile. Dans cette configuration, chaque terminal
représente un point d’entrée pour les pirates, les espions et les cyberactivistes. Pour assurer la confidentialité
des informations, il est critique de déployer une stratégie de cybersécurité qui couvre de manière fiable les
terminaux mobiles et leurs multiples facettes (iOS, Android Enterprise...).
Aujourd’hui, le marché de la cybersécurité voit une multitude de solutions étendre leur offre existante au
mobile, afin de sécuriser simultanément tous les terminaux des organisations. Mais comme le système
d’exploitation des mobiles traitent les données et les protocoles de manière très différente des PC, les
cybermenaces qui visent ces deux systèmes sont elles aussi bien distinctes.
L’Endpoint Detection & Response (EDR) est l’évolution des antivirus traditionnels. Un EDR met en quarantaine
les fichiers, détecte les indicateurs de compromission et fournit une analyse approfondie afin d’assurer le
démantèlement des attaques. La force de l’EDR réside dans ses capacités d’investigation et dans la visibilité
multiplateforme qu’il offre. Mais lorsqu’il s’agit de neutraliser les menaces mobiles, l’analyse avancée ne
suffit pas. Inévitablement, lorsqu’un EDR est utilisé pour protéger tous les terminaux de manière indistincte,
cela crée une lacune de sécurité au niveau des mobiles.
Représentant 77 % du trafic numérique1, les terminaux mobiles constituent un élément essentiel des
stratégies de cybersécurité. Mais le paysage des menaces mobiles est vaste, volatile et par conséquent
difficilement abordé par des offres tout-en-un non spécialisées. Pour combler cette lacune, les analystes de
Gartner recommandent l’expertise spécifique du Mobile Threat Defense (MTD). Lorsqu’un EDR est implanté
dans un écosystème informatique, le MTD étend avec efficacité la couverture de sécurité à la flotte mobile,
permettant ainsi une stratégie Zero Trust fiable.
1
INDEX
2
LA SURFACE D’ATTAQUE MOBILE
Si l’ajout d’une couche de sécurité à un PC est considéré comme nécessaire par tous, certaines personnes
n’ont pas le même sentiment à l’égard des terminaux mobiles. Pourtant, penser que les smartphones et
les tablettes sont intrinsèquement sûrs est entièrement faux. Les terminaux mobiles constituent une vaste
surface d’attaque que les cybercriminels ciblent et exploitent par le biais de divers vecteurs : Phishing,
malware, application intrusive, faille dans la configuration du système d’exploitation...
Aujourd’hui, nous considérons les terminaux mobiles comme une extension de nous-mêmes et leur utilisation
est devenue très personnelle. Ainsi, même lorsqu’il s’agit de terminaux d’entreprise, les employés peuvent
les utiliser à titre personnel, pour envoyer des SMS, accéder à leurs emails, utiliser des outils, jouer à des jeux
pendant la pause déjeuner, etc.
3
DIVERGENCES ENTRE LES MENACES
CIBLANT LES PC VS LES MOBILES
Les terminaux mobiles sont utilisés, exploités et compromis de manière totalement différente des PC de
bureau et ordinateurs portables. Ces différences soulignent la nécessité d’une expertise distincte pour
protéger chacun d’entre eux.
BYOD SMARTPHONE
Bring Your Own Device
COPE
Company Owned Personnaly Enabled
COBO
Company Owned Business Only ORDINATEUR
Presque toutes les organisations fournissent des ordinateurs à leurs employés. Les PC d’entreprise sont
généralement administrés par le service informatique qui les fournit, qui peut ainsi contrôler les mises à jour
des systèmes et des logiciels, prendre le relais en cas d’assistance, etc. Ces terminaux sont accompagnés de
directives strictes, autorisant parfois une utilisation personnelle dans certaines limites, et doivent souvent
être associés à un VPN d’entreprise pour le travail à distance. Par conséquent, les employés utilisent rarement
ces ordinateurs lorsqu’ils ne sont pas en service et évitent généralement d’installer des jeux ou de visiter des
sites web non-sécurisés, par exemple.
Pour les terminaux mobiles, c’est une toute autre histoire. Tout d’abord, un rapport de l’Office européen
des statistiques montre qu’en avril 2020, seuls 28 % des employés disposaient de terminaux mobiles
professionnels2. Par conséquent, une très grande partie des connexions au système d’information de
l’entreprise est effectuée à partir de terminaux personnels (BYOD) qui sont rarement administrés. En outre,
qui que soit le propriétaire du smartphone ou le fait qu’il soit administré ou non, les usages mobiles sont par
nature plus insouciants et libres, ce qui entraîne une plus grande exposition aux menaces.
4
DIVERGENCES ENTRE LES MENACES
CIBLANT LES PC VS LES MOBILES
Une flotte de 50.000 mobiles d’entreprise constitue un pool de 150.000 applications distinctes installées3,
alors qu’une flotte de 50.000 ordinateurs ne représente qu’une centaine de logiciels. Les utilisateurs
téléchargent naturellement beaucoup plus d’applications mobiles que de programmes informatiques, car
les applications mobiles sont accessibles, le plus souvent gratuites, rapides à installer et fournissent de petits
services spécifiques facilitant les tâches quotidiennes.
Ce comportement des utilisateurs, aussi anodin qu’il puisse paraître, augmente considérablement les risques
d’exfiltration et de vol de données sur mobile. En effet, les applications mobiles sont rapidement clonées ou
développées et peuvent être publiées sur Google Play et Apple Store par n’importe qui, atteignant ainsi un
large public. Elles peuvent contenir un logiciel malveillant, et donc être intrinsèquement malveillantes, ou
être tout à fait saines mais exfiltrer les données qu’elles manipulent ou être vulnérables aux attaques. Dans
tous les cas, elles ont le pouvoir de nuire fortement à la confidentialité des données.
Les mobiles sont plus souvent visés par des attaques «one-shot», moins complexes et
à plus grande échelle que les Advanced Persistent Threats, mais plus rapides.
Une menace persistante avancée (Advanced Persistent Threat, APT) est un terme utilisé pour décrire une
campagne d’attaque dans laquelle un pirate, ou une équipe de pirates, accède illicitement et de manière
durable à un système afin d’extraire des données hautement sensibles. Les grandes entreprises et les
gouvernements sont généralement ciblés par ces assauts et ils sont habituellement sélectionnés avec soin.
Les attaques APT sont exécutées manuellement et utilisent plusieurs backdoors pour infiltrer un réseau dans
son intégralité.
Une APT peut utiliser un terminal mobile comme point d’entrée. Mais il n’en reste pas moins qu’elle opère
principalement sur les ordinateurs, les bases de données et les réseaux. Par conséquent, pour être détecté,
il faut de solides capacités analytiques enrichies d’événements de sécurité provenant de l’ensemble de
l’environnement informatique. Les terminaux mobiles, quant à eux, sont plus fréquemment ciblés par des
attaques de type «hit and run», moins complexes et à plus grande échelle que les APT, mais beaucoup plus
rapides.
Les appareils mobiles sont en constante mouvance et utilisés à longueur de journée : connexion à un réseau
non sécurisé, installation d’une nouvelle application, tentative de phishing par SMS... Ainsi, leur niveau de
sécurité varie d’une minute à l’autre et ne peut être contrôlé que par des méchanismes autonomes.
Avec un EDR, le temps moyen pour identifier une violation de données est de 197 jours5, et le temps moyen
pour contenir une violation de données est de 69 jours5. La longueur du processus de détection est impactée
par le volume d’alertes qui nécessite une investigation humaine, alors que les équipes de sécurité sont déjà
surchargées. Sur mobile, les événements de sécurité sont décuplés par le comportement des utilisateurs, ce
qui les rend beaucoup plus nombreux que sur un ordinateur, trop nombreux pour être vérifiés et remédiés
manuellement.
Avec un EDR, le temps moyen pour identifier une violation de donnée est de 197
jours5, et le temps moyen pour la contenir est de 69 jours5.
L’objectif de l’EDR est la traque et l’analyse des attaques / menaces. Il offre une visibilité en temps réel,
mais des options limitées pour contenir ou éradiquer les menaces inconnues ou les applications intrusives
par exemple, avant qu’elles ne causent des dommages. Les terminaux mobiles étant ciblés par des attaques
ponctuelles, les capacités de l’EDR ne permettent pas de les traiter efficacement.
Couverture de sécurité EDR vs MTD pendant les différentes phases d’une attaque mobile
6
LIMITES DE L’EDR POUR PROTÉGER
LES TERMINAUX MOBILES
Le conteneur de travail n’a aucun contrôle ni visibilité sur le contexte de sécurité des ressources partagées
et personnelles. Du point de vue de la sécurité, les conteneurs ne font tout simplement pas obstacle à de
nombreuses techniques d’attaque éprouvées, et ne suffisent pas à empêcher la fuite des données.
Les fournisseurs d’EDR ne traitent pas ce problème de sécurité, car leur agent mobile ne peut pas fournir un
état de sécurité du profil personnel sans rompre la confidentialité des utilisateurs.
7
FONCTIONS DE SECURITE ASSUREES
PAR LE MOBILE THREAT DEFENSE
Pour détecter de manière fiable Alien et les autres programmes malveillants ou intrusifs, les solutions de
sécurité doivent combiner deux capacités : analyser les comportements et croiser les résultats avec le contexte,
pour minimiser les faux-positifs. Il en va de même pour les comportements d’exfiltration de données présents
dans les applications, qui transgressent souvent la politique de sécurité de l’entreprise.
Comme les menaces mobiles agissent rapidement, une remédiation manuelle ne peut les contenir. Les
services de sécurité mobile doivent être automatisables pour détecter et remédier les menaces en temps
réel, avant qu’elles ne compromettent les terminaux. L’écosystème mobile est composé de multiples
configurations (Android Entreprise, VIP/utilisateurs sensibles, BYOD...) pour lesquelles la sécurité est traitée
différemment. Ainsi, les fonctions automatisables de remédiation aux menaces doivent offrir une variété
d’options telles que le blocage des applications, la déconnexion aux réseaux, la notification aux utilisateurs,
le conditionnement de l’accès aux données de l’entreprise, etc. pour répondre à tous les scénarios possibles.
8
FONCTIONS DE SECURITE ASSUREES
PAR LE MOBILE THREAT DEFENSE
En effet, les menaces susmentionnées ne peuvent être détectées qu’à l’aide d’un agent de sécurité sur le
terminal qui analyse en permanence l’environnement à la recherche de comportements malveillants. En
outre, cette présence sur le terminal mobile est essentielle pour bloquer immédiatement toute attaque, ce
qui permet de prévenir efficacement la fuite de données.
En ce qui concerne Android Enterprise, une appli de sécurité mobile doit avoir une visibilité à travers les
conteneurs pour protéger les profils professionnels des menaces provenant des environnements personnels,
sans porter atteinte à la vie privée des utilisateurs.
En outre, les UEM offrent certaines fonctions de sécurité de base qui peuvent être exploitées une fois
alimentées par des diagnostics de sécurité (par opposition aux événements de sécurité provenant des EDR).
Microsoft Intune, par exemple, permet de conditionner l’accès aux applications Office en fonction de l’état
de sécurité des terminaux fournis par les solutions MTD. Pour améliorer l’écosystème mobile existant des
organisations, les solutions de sécurité mobiles doivent offrir des services complémentaires qui s’intègrent
en souplesse aux UEM.
9
LE CONCEPT DE UNIFIED ENDPOINT SECURITY
Pour faire face aux nouveaux défis en matière de sécurité des endpoints, les
responsables de la sécurité et de la gestion des risques doivent combiner
les fonctionnalités des Endpoint Protection Platforms, Endpoint Detection
& Response et Mobile Threat Defense dans une approche unifiée de la
sécurité des terminaux.”
Dionisio Zumerle, VP analyst chez Gartner
Comme l’ont souligné les analystes de Gartner dans le rapport « Innovation Insight for Unified Endpoint
Security » publié fin 2020, les solutions EPP et EDR ne sont pas à la hauteur lorsqu’il s’agit de protéger
l’environnement mobile. Leur recommandation pour une stratégie de sécurité zero-trust est de combiner les
capacités analytiques des EPP/EDR qui protègent bien les ordinateurs de l’environnement informatique, avec
le Mobile Threat Defense pour traiter la partie mobile de l’équation.
Analyse croisée
EDR MTD
Endpoint Detection
Détection des Indicator-of- Mobile Threat Defense Analyse comportementale
& Response
Compromise Automatisation de la
Analyse des menaces Terminaux managés sécurité
UEM
Rollback post-attack Terminaux BYO Blocaque en temps-réel
des menaces
10
LE CONCEPT DE UNIFIED ENDPOINT SECURITY