L’univers de la cybersécurité évolue à grand pas. Les pirates sophistiquent constamment leurs techniques d’attaque, pendant que les experts en sécurité améliorent continuellement leurs technologies pour continuer à parer efficacement les menaces. La sécurité mobile est devenue un sujet central pour les équipes de sécurité du fait que la quasi-totalité de leurs collaborateurs utilisent désormais des terminaux mobiles à des fins professionnelles. Selon notre équipe, voici ce que l’année nous réserve.
La mobilité a fait disparaître le périmètre physique de l’entreprise. En étant de plus en plus manipulées sur les terminaux personnels non managés des clients, collaborateurs, partenaires, etc. les données professionnelles sont exposées outre-mesure.
Cette exposition mène les pirates à voler des données d’entreprise au travers des terminaux mobiles personnels. En conséquence, les équipes de sécurité vont désormais rechercher des solutions qui assurent la protection de leurs données lorsqu’elles sont utilisées sur des terminaux à priori hors de leur contrôle.
Bien que les autorités aient mis en place de nouvelles réglementations pour protéger les données personnelles, leur mise en application prends plus de temps que prévu. Beaucoup d’entreprises ont des difficultés à identifier tous les flux de données et ignorent souvent l’exfiltration dont ils sont victimes.
Aujourd’hui, le prix des données personnelles, telles que les données bancaires, numéros de sécurité sociale, identifiants, etc. atteint des sommets, encourageant les personnes mal intentionnées à les voler. Nous confions aux applications mobiles des données personnelles, faisant d’elles des cibles de choix. Les applications mobiles qui exfiltrent les données sans être intrinsèquement malveillantes sont considérées comme des « riskwares » et jusqu’à présent, les stores d’applications n’ont pas la capacité de les détecter. Par conséquent, les fuites de données personnelles vont augmenter.
Nous connaissons tous les campagnes d’hameçonnage (phishing) qui proviennent d’adresses emails incohérentes et demandent de payer une facture ou d’ouvrir un fichier étrangement nommé. Et bien cela va évoluer. Le phishing a maintenant une approche plus sophistiquée pour optimiser ses chances de réussite.
En 2020, nous pouvons attendre une hausse du « spear phishing », une sous-catégorie de cette technique qui vise une personne, une organisation ou entreprise en particulier. Les tentatives de phishing utiliseront des contenus plus crédibles, usurperont des adresses électroniques de confiance et continueront à utiliser des vecteurs mobiles tels que les applications de messagerie pour duper leurs cibles.
La Directive sur les Services de Paiement 2 (DSP2) dont la mise en application par la Commission Européenne était initialement prévue en 2019 a été décalée à 2022 pour laisser plus de temps de préparation aux entreprises. Alors que de nombreuses banques avaient déjà pris des mesures pour s’y conformer, les autorités ont décidé de la reporter car d'autres secteurs prenaient plus de temps que prévu pour mettre en œuvre les mesures de sécurité demandées.
De ce fait, toutes les organisations fournissant des services financiers (e-commerce, banques, agrégateurs...) vont implémenter de nouvelles fonctionnalités de cybersécurité au sein de leurs services web et mobiles dans les 2 prochaines années.
Les « Advanced Persistent Threats » (APT) ou Menaces Persistante Avancée peuvent prendre des mois voire des années pour être menées à bien. Ces attaques ciblent précisément une organisation et utilisent divers moyens pour accéder à son système d’information sans être détecté. Les pirates dressent généralement une carte des données afin de déterminer où les informations de valeur sont les plus vulnérables.
Les terminaux et applications mobiles sont une cible de choix, car ils disposent de données personnelles et professionnelles sensibles tout en étant encore souvent peu protégés. En 2020, les auteurs d’attaques APT vont inscrire la mobilité d’entreprise dans leur plan.
La suite de sécurité mobile de Pradeo permet aux entreprises de suivre l'évolution constante de leur environnement numérique :