Objet de travail, de communication et d’authentification, le smartphone est devenu un maillon essentiel du quotidien professionnel. Il l’est aussi, paradoxalement, de plus en plus souvent… le maillon faible de la cybersécurité des entreprises.
Entre usage personnel et professionnel, mises à jour négligées, Wi-Fi public et applications tierces, les téléphones portables sont désormais une porte d’entrée stratégique pour les cyberattaques. Et les chiffres parlent d’eux-mêmes : plus de 60 % des connexions aux réseaux d’entreprise proviennent de terminaux mobiles ou d’OS non traditionnels.
Comment en est-on arrivé là ? Et surtout, comment réduire ce risque sans entraver la mobilité des collaborateurs ?
Pourquoi le smartphone est devenu la nouvelle cible des cyberattaques
Les attaquants ont changé de terrain de jeu. Le mobile est aujourd’hui la première étape de nombreuses chaînes d’intrusion. Ce glissement s’explique autant par les usages que par la nature même de ces appareils.
Un usage massif et critique
Dans la majorité des organisations, les téléphones sont utilisés pour se connecter à la messagerie professionnelle, accéder au CRM, au cloud ou aux outils collaboratifs.
Ces usages, désormais vitaux pour la continuité d’activité, rendent chaque smartphone aussi sensible qu’un poste de travail. Lorsque le terminal est compromis, c’est toute la productivité de l’entreprise qui est menacée : un téléphone infecté peut servir de passerelle vers les systèmes internes, ou exfiltrer des données critiques sans être détecté.
Des politiques BYOD et COPE qui diluent le contrôle
L’essor du télétravail et des pratiques “Bring Your Own Device” a bouleversé la maîtrise du parc mobile.
Presque six entreprises sur dix autorisent l’accès aux emails professionnels depuis des appareils personnels, et un tiers envisage de le faire.
Résultat : des terminaux personnels connectés à des réseaux domestiques, parfois non sécurisés, sur lesquels l’entreprise n’a aucune visibilité. Ce mélange des usages ouvre la porte à des attaques de type Man-in-the-Middle (MiTM), notamment via les connexions Wi-Fi publiques ou non chiffrées.
Un écosystème d’applications difficile à contrôler
Chaque smartphone abrite des dizaines d’applications – certaines professionnelles, d’autres personnelles. Or, une part non négligeable d’entre elles communique avec des serveurs situés dans des pays considérés comme à risque.
L’usage de kits de développement (SDK) externes et de dépendances mal documentées complique la traçabilité du code et augmente le risque d’introduire des failles invisibles dans la chaîne applicative.
Un parc hétérogène et vieillissant
Un quart des smartphones professionnels ne peuvent plus être mis à jour, et plus de la moitié fonctionnent à un instant T sur une version obsolète d’Android ou d’iOS.
Chaque mois de retard dans les correctifs accroît la probabilité d’exploitation d’une vulnérabilité connue. Pour les attaquants, c’est une aubaine : un seul appareil non patché suffit parfois à franchir le périmètre de sécurité d’une entreprise.
Les vecteurs d’intrusion les plus fréquents
Les cybercriminels redoublent d’ingéniosité pour exploiter les failles humaines et techniques liées au mobile. Ces dernières années, certaines méthodes se sont imposées comme de véritables classiques du piratage mobile.
Le mishing et le smishing : l’ingénierie sociale par SMS
Les campagnes de phishing adaptées au mobile – le mishing – représentent aujourd’hui près d’un tiers des menaces observées.
Le smishing, variante exploitant les SMS, reste la plus répandue : plus de deux tiers des attaques mobiles passent par ce canal.
Le principe est simple : un message soi-disant urgent (livraison, banque, compte professionnel) contient un lien malveillant vers une page imitant un service légitime. En un clic, les identifiants sont volés.
Les applications à risque et le sideloading
Installer une application en dehors du store officiel – pratique connue sous le nom de sideloading – est un autre vecteur d’infection fréquent.
Près d’un quart des smartphones d’entreprise en contiendraient au moins une. Ces applications, souvent reconditionnées, embarquent du code espion ou des modules capables d’exfiltrer des données professionnelles.
Les connexions Wi-Fi non sécurisées
Malgré les politiques de sécurité, beaucoup d’utilisateurs continuent de se connecter à des réseaux publics, dans les transports ou les cafés.
Ces environnements non maîtrisés permettent à un attaquant de capter les sessions, détourner les tokens d’authentification ou intercepter des informations sensibles.
Les attaques “zero-click” et l’espionnage silencieux
Certaines campagnes d’espionnage exploitent des failles logicielles permettant de compromettre un téléphone sans aucune action de l’utilisateur.
Une simple réception de message ou d’appel suffit à injecter du code malveillant. Ces opérations, souvent attribuées à des acteurs étatiques, visent l’accès initial à des réseaux sensibles ou la collecte de renseignements.
La compromission du second facteur d’authentification
Ironie du sort : les smartphones, utilisés pour renforcer la sécurité (authentification à deux facteurs), deviennent eux-mêmes la cible.
Fatigue liée aux notifications push, vol de jetons d’accès, SIM-swap ou détournement d’OTP par SMS… Autant de techniques qui permettent de contourner les protections et d’accéder aux comptes d’entreprise.
Comment un téléphone sert de tremplin vers le système d’information
Un mobile compromis ne s’arrête pas à sa compromission propre. Il peut devenir le premier maillon d’une attaque complète contre l’entreprise.
Voici le schéma typique d’une chaîne d’intrusion mobile :
- Leurre mobile : réception d’un SMS, d’un message ou d’un fichier PDF piégé.
- Vol d’identifiants : récupération de cookies de session, jetons OAuth ou passkeys mal protégées.
- Accès au réseau interne : le pirate utilise un VPN mobile ou un accès conditionnel mal configuré.
- Mouvements latéraux : exploration des services internes et exfiltration de données.
Dans le cadre MITRE ATT&CK for Mobile, cette séquence est désormais reconnue comme un scénario d’attaque typique.
Les conséquences pour l’entreprise
Le compromis d’un téléphone dépasse la simple fuite d’emails. Il peut impacter directement la continuité d’activité, la conformité réglementaire et même la réputation de l’entreprise.
| Risque identifié | Impact potentiel sur l’entreprise |
|---|---|
| Compromission du compte utilisateur | Accès à la messagerie, aux outils SaaS, et aux environnements collaboratifs |
| Pivot réseau via VPN mobile | Intrusion dans l’infrastructure interne, propagation de malwares |
| Exfiltration de données RGPD | Fuite de données personnelles, sanctions réglementaires |
| Perte de disponibilité | Blocage temporaire des applications métier, ralentissement de la production |
| Atteinte à la réputation | Méfiance des clients et partenaires, perte de crédibilité |
Les téléphones constituent souvent un chaînon négligé de la sécurité globale, mais leur compromission peut avoir des effets comparables à une attaque sur serveur ou sur poste de travail.
Les mesures prioritaires pour renforcer la sécurité mobile
La bonne nouvelle, c’est que le risque n’est pas une fatalité. Plusieurs leviers concrets permettent de limiter considérablement la surface d’attaque mobile, sans sacrifier l’agilité des équipes.
Réduire l’exposition
Le premier réflexe consiste à réduire les points d’entrée potentiels.
Cela passe par l’adoption de solutions d’authentification résistantes au phishing, comme les clés FIDO2, et par l’abandon progressif des codes envoyés par SMS pour les accès sensibles.
La mise en place d’un Mobile Device Management (MDM) ou d’un Mobile Threat Defense (MTD) offre une visibilité en temps réel sur l’état des terminaux : chiffrement, version du système, détection de menaces, isolement réseau en cas de suspicion.
Autre levier : le Zero Trust. Cette approche bloque automatiquement les connexions provenant d’appareils non conformes ou non à jour. L’accès conditionnel, combiné à un VPN par application, réduit le risque de propagation interne.
Sécuriser les connexions et les usages
Le Wi-Fi est l’un des talons d’Achille du mobile. Il convient donc de durcir son usage en imposant l’authentification 802.1X/EAP-TLS, le Private DNS et la désactivation de la connexion automatique aux réseaux publics.
La sensibilisation joue aussi un rôle clé : beaucoup d’incidents naissent d’un simple réflexe de confort, comme consulter un mail sur un Wi-Fi gratuit d’aéroport.
Autre bonne pratique : contrôler le sideloading. Interdire les installations hors des stores officiels ou de l’entreprise, analyser régulièrement les applications installées, et vérifier les permissions et destinations réseau des apps déjà en place.
Limiter le pivot vers le système d’information
Pour empêcher un mobile compromis de devenir une rampe de lancement vers le réseau interne, il faut restreindre les accès.
La segmentation réseau des flux VPN mobiles, la limitation des privilèges et la surveillance des connexions sont des mesures déterminantes.
Le SSO (Single Sign-On) doit être configuré avec des sessions courtes et des mécanismes de révocation automatique en cas d’alerte détectée par le MDM ou le MTD.
Sécuriser les applications internes
Les applications métiers développées en interne ne sont pas exemptes de risques.
Elles doivent intégrer des mécanismes de protection à l’exécution (RASP), des vérifications d’intégrité du terminal et des mesures d’obfuscation du code.
Les bibliothèques tierces doivent être auditées, un Software Bill of Materials (SBOM) maintenu, et le binaire final testé avant mise en production.
Développer une culture de sécurité mobile
Enfin, la sécurité repose aussi sur les usages.
Former les collaborateurs au phishing mobile, aux risques liés aux SMS et aux pièces jointes PDF suspectes permet d’éviter bien des incidents.
Un programme de simulation d’attaques mobiles, adapté aux outils de messagerie réellement utilisés (Teams, WhatsApp, Signal…), favorise la vigilance.
Une politique BYOD claire, définissant les exigences minimales d’OS, le chiffrement et le container professionnel, complète ce dispositif.
