Conformité à la checklist de cybersécurité mobile de la CISA

La Cybersecurity and Infrastructure Security Agency (CISA) met à disposition une checklist pour aider les particuliers et les organisations à renforcer la sécurité de leurs terminaux mobiles.
Cette checklist couvre des domaines essentiels tels que la configuration des appareils, les connexions réseau, les mises à jour logicielles, la sécurité des applications, la protection des données, la gestion des terminaux mobiles (MDM), le phishing et l’ingénierie sociale.

Les principes de la CISA appliqués à la sécurité mobile et applicative

Sécurité des applications

Les entreprises doivent privilégier les boutiques d’applications officielles et contrôlées, plus sûres que les sources non officielles. 
Les applications professionnelles doivent être isolées des applications personnelles, en particulier sur les terminaux appartenant aux employés. 
Les organisations doivent également mettre en place une stratégie de validation pour les applications développées en interne.

Gestion sécurisée des terminaux

La CISA recommande de toujours maintenir les systèmes d’exploitation à jour. 
Tous les terminaux connectés aux serveurs de l’entreprise doivent être fiables, équipés des derniers correctifs de sécurité, configurés selon les standards de l’entreprise, non jailbreakés ou rootés, et faire l’objet d’une surveillance continue.

Communications réseau sécurisées

 Chaque connexion réseau à un terminal mobile représente un vecteur potentiel d’attaque.
Pour éviter toute exploitation, les connexions telles que Bluetooth, Wi-Fi, GPS et NFC doivent être désactivées lorsqu’elles ne sont pas utilisées, ou protégées par une solution de Mobile Threat Defense (MTD).
L’utilisation de protocoles et d’applications de communication sécurisés est également recommandée.

Protection des terminaux

Les terminaux doivent être surveillés par une solution MTD afin de détecter les comportements suspects et les mauvaises configurations. 
Cette protection continue est essentielle pour assurer la sécurité de toute flotte mobile.

Comment se conformer

Pour répondre aux exigences de la checklist de la CISA, les organisations doivent déployer une solution de Mobile Threat Defense telle que celle de Pradeo, capable de surveiller le comportement et la configuration des terminaux, et de les protéger contre les malwares, le phishing et les exploitations par le réseau. Pour les terminaux utilisés à la fois à titre personnel et professionnel, combiner un MDM avec une solution MTD permet de séparer en toute sécurité les applications professionnelles des applications personnelles. 

Pour les terminaux strictement personnels mais utilisés ponctuellement à des fins professionnelles, un store privé est recommandé. Cet espace applicatif sécurisé et en marque blanche regroupe toutes les applications, ressources et données de l’entreprise dans un environnement protégé. Enfin, les organisations qui développent leurs propres applications mobiles doivent mettre en place une stratégie de validation. La solution de Application Security Testing (AST) de Pradeo permet d’analyser et de protéger facilement et de façon centralisée l’ensemble des applications développées en interne. 

Retour en haut