- Le travail mobile multiplie les points d'entrée sur le réseau d'entreprise : smartphones, tablettes, laptops en mobilité, accès VPN depuis des réseaux non maîtrisés — chaque terminal distant est un vecteur d'attaque potentiel.
- Les vecteurs d'attaque spécifiques au mobile incluent : réseaux Wi-Fi publics non chiffrés, applications mobiles légitimes avec permissions excessives, phishing adapté aux interfaces mobiles (smishing, applications frauduleuses), et attaques man-in-the-middle sur réseaux non sécurisés.
- En 2022, le groupe Lapsus$ a compromis Uber via une attaque de fatigue MFA — l'employé ciblé travaillait en mobilité, son terminal n'était pas géré par MDM, et la politique de mot de passe ne compensait pas l'absence de contrôle d'accès conditionnel.
- La réduction de la surface d'attaque mobile repose sur trois piliers : inventaire exhaustif des terminaux, application systématique de politiques via MDM, et accès conditionnel basé sur la posture sécurité du terminal.
- Zero Trust remplace le modèle périmétrique : chaque terminal distant est traité comme non fiable par défaut, quel que soit le réseau source.
Le travail mobile n'est plus une exception gérée par dérogation — c'est le mode de travail dominant dans la majorité des organisations. Commerciaux itinérants, direction générale, télétravail généralisé, équipes terrain : la grande majorité des collaborateurs accède aux systèmes d'information depuis des terminaux mobiles, dans des environnements réseau non maîtrisés par la DSI. Cette réalité opérationnelle a fondamentalement modifié la surface d'attaque des organisations, en y ajoutant des points d'entrée distribués, hétérogènes et partiellement visibles.
La sécurité périmétrique traditionnelle — fondée sur la distinction réseau interne de confiance / réseau externe non fiable — ne tient plus lorsque les terminaux des utilisateurs sont en permanence à l'extérieur du périmètre. Un laptop non chiffré dans un aéroport, un smartphone professionnel connecté à un Wi-Fi public, un accès VPN depuis un réseau domestique partagé avec des équipements non maîtrisés : chacun de ces scénarios expose l'organisation à des risques que les approches de sécurité périmétrique ne peuvent pas adresser.
Les vecteurs d'attaque spécifiques aux environnements mobiles
Les terminaux mobiles sont exposés à des vecteurs d'attaque que les postes de travail en réseau interne ne rencontrent généralement pas. Les réseaux Wi-Fi publics — aéroports, hôtels, espaces de coworking — sont des environnements non chiffrés permettant des attaques man-in-the-middle sur les flux non chiffrés. Les applications mobiles légitimes demandent des permissions excessives donnant accès aux contacts, à la géolocalisation, aux fichiers, et parfois aux messages — autant de données professionnelles potentiellement accessibles par des applications tierces. Le phishing adapté aux interfaces mobiles — smishing (SMS), faux portails de connexion optimisés pour smartphone, applications frauduleuses distribuées hors des stores officiels — exploite les contraintes d'affichage des interfaces mobiles qui rendent la vérification des URLs et des expéditeurs plus difficile que sur desktop.
Les angles morts de la sécurité mobile dans les organisations
Plusieurs angles morts structurels persistent dans la gestion de la sécurité mobile. L'absence d'inventaire exhaustif des terminaux mobiles ayant accès aux ressources d'entreprise est la première : sans visibilité sur l'ensemble des terminaux autorisés, il est impossible d'appliquer des politiques de sécurité cohérentes. Le manque de couverture MDM (Mobile Device Management) des terminaux personnels utilisés à des fins professionnelles laisse une fraction significative du parc hors de toute politique de sécurité centralisée. L'absence de politique d'accès conditionnel — autorisant l'accès aux ressources uniquement aux terminaux respectant un niveau de conformité minimum — permet à des terminaux non chiffrés, non à jour, ou jailbreakés d'accéder à des données sensibles. Enfin, l'absence de capacité de wipe à distance sur les terminaux perdus ou volés expose aux risques d'accès non autorisé aux données stockées localement.
La compromission de British Airways a touché 500 000 clients via l'injection d'un script malveillant sur le site de réservation. L'investigation a révélé que des accès distants disposant de privilèges excessifs avaient été exploités pour accéder à l'infrastructure. Ce type de compromission par accès distant illustre comment des terminaux distants mal sécurisés — ou des identifiants d'accès distant insuffisamment protégés — deviennent des vecteurs d'entrée dans des systèmes critiques. L'amende ICO de 20 millions de livres sterling a été réduite en raison de l'impact COVID-19, mais reste significative sur le plan pénal.
Les mécanismes de protection adaptés aux terminaux mobiles
La protection des terminaux mobiles repose sur une combinaison de mesures techniques et organisationnelles. Le MDM (Mobile Device Management) ou UEM (Unified Endpoint Management) permet d'appliquer des politiques de configuration à distance : chiffrement obligatoire, complexité des codes PIN, désactivation des fonctionnalités à risque (ADB, débogage USB), déploiement et révocation d'applications, et wipe à distance en cas de perte. Le MAM (Mobile Application Management) permet de gérer séparément les applications professionnelles sur des terminaux personnels (BYOD), sans accès aux données personnelles. L'accès conditionnel — intégré dans les plateformes comme Microsoft Intune, VMware Workspace ONE, ou Jamf — vérifie la conformité du terminal avant d'autoriser l'accès aux ressources, refusant ou restreignant l'accès des terminaux non conformes.
Zero Trust comme cadre de référence pour le travail mobile
L'architecture Zero Trust est le cadre conceptuel le mieux adapté à la réalité du travail mobile généralisé. Elle substitue au principe "réseau interne = de confiance" le principe "ne jamais faire confiance, toujours vérifier" — chaque demande d'accès est évaluée indépendamment, quel que soit le réseau source. Les principes Zero Trust appliqués aux terminaux mobiles comprennent : vérification de l'identité forte (MFA résistant au phishing), vérification de la posture sécurité du terminal (chiffrement, patches, agent EDR actif), accès au principe du moindre privilège (uniquement les ressources nécessaires à la tâche), et surveillance continue des comportements d'accès pour détecter les anomalies. Cette architecture ne supprime pas le besoin de MDM et d'accès conditionnel — elle les intègre dans un cadre cohérent.
La compromission de Capital One a exposé les données de 100 millions de clients via une mauvaise configuration des droits d'accès sur AWS. L'attaquante a exploité un accès distant disposant de permissions excessives pour accéder à des buckets S3 non protégés. Ce cas illustre comment des accès distants mal configurés — une réalité fréquente dans les environnements cloud et mobiles — peuvent donner accès à des volumes massifs de données sans déclencher d'alertes immédiates. L'amende de 80 millions de dollars et les coûts de remédiation ont dépassé 300 millions de dollars.
La compromission d'EasyJet a exposé les données de 9 millions de clients, dont les détails de cartes bancaires de 2 208 personnes. L'investigation a identifié des accès non autorisés à des systèmes contenant des données sensibles sur une période étendue. Ce cas illustre la difficulté de détecter des accès distants frauduleux sur le long terme, particulièrement dans des environnements où les accès légitimes depuis des terminaux distants sont nombreux et la baseline comportementale difficile à établir.
Le groupe Lapsus$ a publié 190 Go de données internes de Samsung, dont des codes source et des algorithmes biométriques. L'investigation a révélé que des identifiants d'employés avaient été compromis et utilisés pour accéder à des référentiels internes. Ce cas illustre que les terminaux et identifiants d'accès des employés sont des cibles directes des attaquants, et que la protection des credentials d'accès distant est aussi critique que la protection des systèmes eux-mêmes.