Les applications mobiles sont la principale source de risque pour les entreprises adoptant le BYOD. Les experts affirment en effet qu’ils favorisent les comportements à risque et permettent d’accéder à des fonctionnalités sensibles sur les terminaux où ils sont installés.
Les DSI et dirigeants d’entreprises n’ont pas conscience des risques liés aux applications mobiles
Les applications mobiles sont un élément indispensable des stratégies de Bring Your Own Device. Les entreprises les privilégient à cause du nombre sans cesse croissant de smartphones ou tablettes utilisés par les salariés. Ce que beaucoup de responsables informatiques ignorent toutefois, c’est que ces applications mobiles constituent le plus souvent la principale source de risque pour leurs activités. Elles disposent en effet par défaut d’une autorisation d’accès aux données internes et systèmes de l’entreprise. Ainsi, leur utilisation favorise les comportements à risque et elle est susceptible de compromettre la sécurité ainsi que les dispositions prises pour assurer la confidentialité des informations. La plupart des applications mobiles demandent d’ailleurs souvent un accès à certaines fonctionnalités lorsqu’elles sont installées sur les appareils.
Dans la plupart des cas, les applications ne demandent pas l’accès aux données internes du terminal. Il est de ce fait difficile de savoir quelles sont les informations collectées puis exfiltrées. Parmi les applications mobiles ayant suscité le plus de réactions de la part des utilisateurs, le plus connu est certainement Flashlight qui utilisait le flash de l’appareil photo pour en faire une lampe torche. L’outil ne faisait cependant pas que donner de la lumière puisqu’il enregistrait également les données d’utilisateur sur le terminal où il était installé. Le profil du propriétaire ou encore la localisation du téléphone était ainsi enregistré en temps réel et envoyé à des annonceurs.
Des applications toujours plus intrusives
Les risques liés à l’exfiltration de données confidentielles ne viennent pas toujours des pirates ou logiciels malveillants. Les applications mobiles peuvent également être un problème pour les entreprises. Il ne faut pas oublier que les OS mobiles – iOS, Android et Windows pour ne citer qu’eux – renferment des API pouvant servir à accéder aux différentes informations de l’appareil. Il peut s’agir de photos, de répertoire ou d’agenda. Certaines applications peuvent même se connecter aux comptes de réseaux sociaux de l’entreprise, à la caméra, au GPS ou à l’enregistreur audio. Il suffit ainsi qu’un terminal soit connecté pour que l’outil collecte des informations et les renvoie à un serveur externe.
Les responsables informatiques des entreprises n’ont pas toujours la possibilité d’effectuer le suivi de chaque application utilisée ou de vérifier l’usage qui en est fait. C’est donc à l’utilisateur de prendre les précautions nécessaires pour que son appareil ne contribue pas à l’espionnage industriel à son insu. Quoi qu’il en soit, les entreprises doivent également veiller à la mise en oeuvre d’une procédure d’utilisation et de déploiement de ces outils. Elles doivent analyser les applications mobiles et prévenir les abus. Au final, elles auront la possibilité de limiter les risques et éviter que certaines données sensibles ne soient dérobées à cause d’une mauvaise gestion du BYOD.