Les usages des mobiles et autres tablettes numériques sont de plus en plus généralisés dans les entreprises. En théorie, la sécurité des terminaux est assurée par Google ou Apple, l’affaire Pegasus a récemment montré que nul mobile n’est à l’abri d’une faille “0 Day”.
Le marché de la protection des mobiles est encore relativement modeste, de l’ordre de 3 milliards de dollars en 2019, il atteindra 7,2 milliards à l’horizon 2024 selon MarketsandMarkets, essentiellement tiré par l’essor des EDR mobiles. Pour l’heure, le marché de la protection des mobiles est foncièrement différent de celui des ordinateurs personnels et des serveurs. D’une part, la menace est de nature différente : alors que sur les PC la menace des ransomwares est la plus aigüe, sur smartphone, c’est la peur de l’exfiltration de données qui l’emporte. D’autre part, les constructeurs assurent un premier niveau de protection au niveau de leur OS et assurent l’audit des applications disponibles sur les App Stores. En outre, Google et Apple limitent fortement les capacités des logiciels installés sur leurs terminaux. Laurent Oudot, fondateur de l’éditeur d’EDR Tehtris souligne pourquoi il ne propose pas d’EDR mobile : « Par définition, un agent EDR est très actif sur le poste : il est connecté à un serveur auquel il remonte énormément de données de télémétrie et auprès duquel il va recevoir des ordres. Apple et Google refusent la présence d’applications sur leurs terminaux qui transfèrent en continu des informations car cela grèverait l’autonomie des batteries et mobiliserait trop de ressources de calcul. En outre, Google et Apple ont une stratégie de containment, c’est-à-dire qu’une application, même s’il s’agit d’une application de sécurité, doit être limitée à son espace dédié. Or un outil de sécurité à besoin d’accéder à diverses ressources du terminal et les contraintes fixées sont très fortes. » En raison de ces contraintes techniques particulièrement fortes, un éditeur ne peut proposer un antivirus trop invasif ou un véritable agent EDR sur mobile.
Le MTD, l’agent de sécurité du mobile
Face à ces limitations, les éditeurs proposent ce que l’on appelle les agents MTD (Mobile Threat Defense). Ces agents intègrent principalement des capacités de détection à base de signatures et d’heuristiques, de prévention d’exploitation de failles données, de vérification des applications installées et un moteur comportemental. « Les MTD intègrent les contraintes posées par les fabricants de mobiles, mais nous essayons d’aller dans les couches les plus basses possible d’iOS et d’iPadOS » confie Laurent Oudot. « Nous avons dû soumettre notre application à Apple à plusieurs reprises jusqu’à ce qu’elle soit acceptée. Par exemple, l’agent n’a pas accès aux données privées des utilisateurs et ne peut analyser les documents stockés sur le terminal, par contre il dispose de moyens de détecter des attaques de bas niveau. » Dans de telles conditions, pour Laurent Oudot aucun éditeur ne peut affirmer avoir un réel EDR mobile. Néanmoins, son agent MTD peut remonter des données de télémétrie de manière régulière tout en respectant les limites posées par les constructeurs de mobiles. « Cette approche nous permet d’avoir une visibilité sur toute la flotte mobile et de remonter un incident de sécurité sur tel iPhone qui s’est mis à générer des requêtes anormales et ainsi effectuer un contrôle plus poussé sur ce mobile. »
L’XDR, le pivot d’une protection endpoint multi-terminaux
Les éditeurs de solutions de protection endpoint doivent désormais proposer un agent MTD à leur catalogue. Bitdefender se prépare à lancer une solution de ce type en 2022. Stéphane Brovadan, responsable avant-ventes France, Suisse et Afrique de l’éditeur précise : « Nous ne proposons pas encore d’offre MTD sur le marché entreprise. Bitdefender Mobile Security est une solution essentiellement destinée au marché grand public qui s’appuie sur un moteur comportemental et des heuristiques qui peuvent détecter les variantes de ces malwares. » A la différence d’une solution MTD, cette solution ne génère pas d’incidents à destination d’un XDR, or la stratégie de l’éditeur est bien d’alimenter à terme son offre GravityZone Ultra : « L’intégration entre MTD et XDR permettra à l’analyste SOC de détecter des échanges suspects et inspecter les interactions entre les logiciels du smartphone ainsi que les communications du smartphone vers des URL externes » ajoute l’expert.
Ce rôle de l’XDR dans la protection des postes mobiles est aussi défendu par un autre éditeur européen, Sophos. Celui-ci propose déjà Sophos Mobile Security, une offre gratuite pour le grand public ainsi que InterceptX for mobile, une offre UEM pour les entreprises. « Déployer un EDR sur le mobile n’est pas un objectif en soi » estime Benjamin Mercusot, Ingénieur avant-vente chez Sophos. « Nous promouvons une approche XDR qui prend en compte l’activité des terminaux, des firewalls mais nous devons encore considérer l’opportunité d’intégrer les mobiles à cette vision. L’objectif de l’XDR est de pouvoir détecter une menace sur l’ensemble du parc, or il y a de plus en plus de terminaux mobiles. » Dans cette course à la protection des terminaux mobiles, McAfee a fait le choix de s’allier à un pure player de la sécurité mobile, Zimperium, afin de disposer rapidement d’un MTR performant à son catalogue. Tous les éditeurs se préparent au moment où les RSSI vont devoir véritablement se soucier de la sécurité des mobiles non plus seulement sous l’angle gestion de parc, mais de la protection des accès au système d’information.
Fabien Rech,
Vice-Président Europe du Sud, Benelux et Israël chez McAfee
« Notre stratégie est de proposer une solution intégrée et ne pas imposer à l’analyste de manipuler de multiples consoles en cas d’incident de sécurité. On sait que dans les systèmes d’information modernes tout est connecté : une faille à tel ou tel endroit permet à l’attaquant de rebondir vers un autre emplacement, par exemple passer d’un poste client ou du mobile à l’environnement Cloud de l’entreprise pour infecter d’autres ressources. L’XDR est la meilleure approche afin de sécuriser un maximum d’éléments du système d’information.
Les attaques les plus sophistiquées exploitent des failles « 0 Day » d’un OS ou d’une application et c’est la raison pour laquelle l’approche XDR est aussi importante et non pas seulement l’EDR. Cette chaîne de protection peut déclencher l’alerte si une 0 Day est exploitée sur une machine Windows même si le endpoint ne l’a pas détectée. »
Laurent Oudot,
General Partner et fondateur de TEHTRIS
« La demande actuelle des entreprises porte essentiellement sur la lutte contre les menaces imminentes que sont les demandes de rançons, de sabotage et d’exfiltration de données depuis leur réseau interne. Les entreprises n’ont pas encore suffisamment sécurisé leur SI interne et ne songent pas encore au mobile. C’est une erreur d’attendre car dans certaines entreprises les utilisateurs accèdent à de la donnée depuis leurs smartphones, leurs tablettes. Les RSSI vont devoir s’emparer du sujet rapidement. »
« Le marché de la protection endpoint va clairement vers une infrastructure qui sera capable de gérer tous les types de terminaux et c’est pour cela que je crois que les MTD, les EDR et les EPP (antivirus Next-Generation) sont en train de converger pour aller vers ce que l’on appelle l’UES (Unified Endpoint Security). Le marché est en train de se structurer sur ce modèle aux Etats-Unis et c’est sans doute le sens de l’histoire que d’uniformiser les solutions sur l’ensemble du parc des terminaux d’une entreprise et unifier la vue sur ces terminaux pour les administrateurs et les responsables sécurité. »
