AVIS D’EXPERT – Suite à la découverte, sur le Google Play Store, de deux applications de gestion des fichiers programmées pour récupérer des données utilisateur et les télécharger sur des serveurs basés en Chine, Melissa Bischoping, Directrice, Endpoint Security Research chez Tanium, nous partage quelques bonnes pratiques en matière de gestion des appareils mobiles et des accès aux données en entreprise.
Une politique « Bring Your Own Device » conduit souvent à des difficultés sur la gestion des appareils mobiles dans les grandes entreprises. Par exemple, vous ne pouvez pas contrôler les applications qu’un employé peut installer ou le niveau d’accès qu’il accorde à ces applications. Il est important d’évaluer les risques et les avantages de permettre l’accès mobile aux données de l’entreprise à partir d’appareils personnels car il est courant de trouver des applications malveillantes ou non sécurisées sur le Play Store. Cela, combiné au au fait qu’il existe une très grande variété d’appareils et de versions d’Android, rend très difficile la gestion centralisée et le contrôle des politiques de sécurité sur ces appareils, même s’ils sont la propriété de l’entreprise. Un élément du rapport attire mon attention et mérite d’être souligné : les applications prétendent ne pas collecter de données alors qu’en réalité elles le font pour la plupart d’entre elles. Les utilisateurs sont souvent encouragés à faire confiance aux rapports sur la confidentialité et la sécurité des données disponibles sur la page de l’application dans le Play Store, et ce type de tromperie détériore la confiance des utilisateurs envers l’ensemble des applications et pas seulement celles analysées dans le rapport de Pradeo.
Désinstaller « proprement » les applications
Il y a plus de 3,5 millions d’applications dans le Play Store, il serait donc extrêmement difficile d’effectuer une analyse approfondie de conformité sur chaque application par rapport à ce qui est déclaré en matière de confidentialité et de sécurité. Cela dit, ce type d’inexactitude démontre la nécessité d’un contrôle et d’une validation plus stricts sur les applications disponibles sur les magasins d’applications. Pour les utilisateurs des applications – supprimez évidemment ces applications si ce n’est pas déjà fait et notez que vous devrez peut-être les supprimer spécifiquement à partir des paramètres du téléphone, pas seulement en cliquant sur l’icône de l’écran d’accueil. La plupart des téléphones sont livrés avec des applications intégrées pour la gestion des fichiers, donc des applications tierces comme celles-ci introduisent des risques inutiles. Restez vigilant quant aux indicateurs suspects de ces applications, tels qu’un grand nombre d’utilisateurs mais peu d’avis. Si vous gérez une entreprise avec des appareils Android, envisagez une politique qui interdit l’installation d’applications autres que celles explicitement autorisées et approuvées par votre organisation. Si une gestion granulaire des applications sur les appareils n’est pas possible, envisagez de reconsidérer les types d’appareils et d’utilisateurs qui ont accès aux données de l’entreprise depuis des appareils mobiles (y compris leurs e-mails). Mieux encore, fournissez des appareils gérés par l’entreprise à vos collaborateurs qui ont besoin d’accéder à leurs comptes professionnels lors de leurs déplacements.
Melissa Bischoping, Directrice, Endpoint Security Research chez Tanium
