8 conseils aux utilisateurs en entreprise pour sécuriser Android

• Imprimer

Le plus populaire des OS est aussi le plus fragile en termes de sécurité. Les experts interrogés pour notre article proposent huit conseils aux administrateurs et aux utilisateurs en entreprise.

1) Pas de « rooting » sur ce terminal Android

"S'ils veulent provoquer des dégâts importants dans le monde du mobile, les logiciels malveillants doivent agir sur les terminaux qui ont été modifiés au niveau administratif", selon Dionisio Zumerle, analyste principal au Gartner. "Les compromis les plus évidents sur les plateformes sont «le jailbreaking» sur iOS ou «le rooting» sur les appareils Android.
Ces méthodes permettent aux utilisateurs d'accéder à certaines ressources des périphériques qui leurs sont normalement inaccessibles ... elles mettent également en danger les données, c'est le 1er point de fragilité.

2) Ne pas négliger la sécurité Android et se concentrer sur les logiciels malveillants

"Peut-être qu'un des plus grands risques des logiciels malveillants sur mobiles se situe dans le fait qu'ils ne sont pas encore très abondants», souligne Domingo Guerra, président et cofondateur d'Appthority. "Cela crée un faux sentiment de sécurité dans les organisations gouvernementales et les entreprises".

Toujours selon Domingo Guerra, un certain nombre de risques Android supplémentaires sont également identifiés y compris "l'exfiltration de données d'entreprise, des pratiques de développement d'applications pauvres, la mauvaise gestion des noms et des mots de passe, une mauvaise mise en oeuvre du chiffrement, et la récolte de données et leur partage pour des buts marketing. De tels risques sont souvent négligés par les stratégies de sécurité à courte vue, focalisées sur les seuls logiciels malveillants.

3) Ne pas installer de logiciel Android issus des magasins d'applications non officiels

"Installer uniquement les applications de la boutique Google Play qui sont connus et dignes de confiance», dit Terry May, un développeur Android lié au Detroit Labs. "Ce serait également une bonne pratique pour les multiples utilisateurs qui utilisent Android et disposent d'un compte utilisateur uniquement pour l'entreprise".

4) Faire attention quand Android demande des autorisations à l'application

La lecture des demandes d'accès d'une application est un sujet critique, selon Mark Huss, consultant senior chez SystemExperts. Par exemple, une application flashlight n'a pas besoin de l'accès aux services payants, à la liste d'appel ou à toute autre information personnelle, ou service de localisation.

5) Toujours garder le logiciel Android et le firmware à jour

"Toujours vérifier la disponibilité des mises à jour pour le firmware, les patchs et télécharger si possible la dernière version, explique Gleb Sviripa, un développeur Android au KeepSolid. "La nouvelle version offre moins de chances aux pirates d'attaquer votre terminal".

6) Installer des apps de sécurité et de VPN

Il est simple de trouver une pléthore d'applications de sécurité pour Android. Regarder les applications qui analysent des logiciels malveillants et bloquent celles provenant de sources non approuvées, explique Geoff Sanders, co-fondateur et PDG de Launchkey. Le cryptage de disque doit être activé et les applications qui sont trop loin de l'accès à des données potentiellement sensibles devraient être selon lui rejetées.

Lorsque vous surfez sur Internet, les terminaux Android doivent être protégés avec le réseau privé virtuel (VPN) des logiciels tels que VPN Unlimited, explique Gleb Sviripa.

7) Les entreprises doivent établir et appliquer des politiques d'accès claires

Les entreprises ont besoin d'être claires sur les points sensibles sur lesquels les utilisateurs peuvent accéder via des terminaux mobiles et assurer les dispositifs qui ont la bonne infrastructure en place pour se protéger contre les menaces mobiles," selon Swarup Selvaraman, chef de produit senior chez Dell SonicWALL.

8) Les quatre principes de base de la sécurité Android

Selon Troy Vennon, directeur du Pulse Secure's Mobile Threat Center, la sécurité mobile de l'entreprise se résume à une suite de quatre étapes essentielles: un dispositif pour interdire « rooting » et « jailbroken », veiller à ce que les terminaux soient protégés par des mots de passe, conserver les terminaux mis à jour, obliger les utilisateurs à se connecter via un VPN.

En illustration : la sécurité concerne aussi bien les responsables de ce sujet dans l'entreprise que les utilisateurs