Failles Android : vos smartphones PME sont-ils en danger ?

Vos collaborateurs consultent leurs e-mails professionnels, accèdent aux fichiers de l'entreprise et valident des paiements depuis leur smartphone Android. C'est pratique, rapide, indispensable. Mais si ces appareils ne sont pas à jour, un pirate peut en prendre le contrôle total à distance — sans que personne ne s'en aperçoive. Le CERT-FR, l'organisme officiel français chargé de la cybersécurité, a récemment publié une alerte sur des failles critiques touchant les smartphones Google Pixel sous Android. Ces vulnérabilités permettent à un attaquant d'exécuter du code malveillant à distance, c'est-à-dire de s'introduire dans l'appareil comme s'il le tenait physiquement en main. Si vous dirigez une PME et que vos équipes utilisent des téléphones Android au quotidien, cet article vous concerne directement.

Ce que signifie concrètement une « exécution de code à distance »

Le terme peut sembler technique, mais la réalité est simple et inquiétante. Une faille Android en entreprise non corrigée peut permettre à un cybercriminel d'envoyer un fichier piégé, un message ou même une simple requête réseau qui va exploiter une faiblesse du système. Une fois à l'intérieur, il peut lire vos e-mails, accéder à vos mots de passe enregistrés, activer le micro ou la caméra, voler vos contacts clients ou encore se déplacer vers d'autres systèmes de l'entreprise connectés au même réseau Wi-Fi. Concrètement : si un de vos commerciaux utilise son téléphone non mis à jour pour accéder à votre CRM ou à votre boîte mail partagée, c'est une porte d'entrée potentielle vers l'ensemble de vos données professionnelles. La sécurité smartphone en PME n'est donc pas un sujet réservé aux grandes entreprises — c'est votre quotidien.

Comment vérifier en 2 minutes si vos appareils sont à jour

La bonne nouvelle : vérifier le niveau de mise à jour d'un téléphone Android prend moins de deux minutes. Sur n'importe quel smartphone Android, demandez à vos collaborateurs de suivre ce chemin : Paramètres → À propos du téléphone → Mise à jour du logiciel (ou Mise à jour système). L'appareil indique alors la date du dernier correctif de sécurité installé. Si cette date remonte à plus de deux mois, le téléphone n'est plus protégé contre les failles connues. Pour les Google Pixel spécifiquement, les correctifs sont publiés chaque premier lundi du mois. Un appareil qui affiche une date de patch antérieure de plus de 30 jours est potentiellement vulnérable. Si vos téléphones ne reçoivent plus de mises à jour du tout — ce qui arrive souvent sur les modèles de plus de 3 à 4 ans —, c'est un signal fort : ces appareils ne devraient plus être utilisés pour des usages professionnels. La mise à jour du téléphone professionnel n'est pas une option, c'est une mesure de sécurité de base.

Quelle politique mobile adopter pour protéger votre entreprise

Au-delà de la mise à jour immédiate, la vraie protection passe par une politique mobile claire dans votre PME. Cela ne demande pas un service informatique dédié, mais quelques règles simples à formaliser et à communiquer à vos équipes. Première règle : tout smartphone utilisé à des fins professionnelles — qu'il soit fourni par l'entreprise ou personnel (on parle alors de BYOD, c'est-à-dire « apportez votre propre appareil ») — doit obligatoirement avoir ses mises à jour activées et installées dans les 15 jours suivant leur disponibilité. Deuxième règle : établissez une liste des applications autorisées pour accéder aux ressources de l'entreprise. Un collaborateur qui installe une application douteuse sur le même téléphone qu'il utilise pour accéder à vos outils métier crée un risque supplémentaire. Troisième règle : envisagez un outil de gestion des appareils mobiles, appelé MDM (Mobile Device Management). Des solutions accessibles aux PME comme Microsoft Intune ou Scalefusion permettent de vérifier à distance que tous les téléphones de l'équipe sont à jour, et même de bloquer l'accès aux ressources internes depuis un appareil non conforme. Ce n'est plus réservé aux grandes entreprises : des offres adaptées aux PME existent à partir de quelques euros par mois et par appareil.

Ce que vous pouvez faire dès maintenant

1. Faites le tour immédiatement : envoyez un message à vos collaborateurs aujourd'hui même et demandez-leur de vérifier la date de leur dernier correctif de sécurité Android (Paramètres → À propos du téléphone → Mise à jour système). Notez les résultats. 2. Appliquez les mises à jour sans attendre : tout téléphone en retard de plus d'un mois doit être mis à jour immédiatement. Si la mise à jour n'est plus disponible pour un modèle ancien, envisagez son remplacement ou interdisez son accès aux outils professionnels. 3. Formalisez une règle simple par écrit : une page suffit. Indiquez que tout smartphone accédant aux ressources de l'entreprise doit être à jour et protégé par un code PIN ou biométrie. Partagez-la à toute l'équipe. 4. Bloquez les accès depuis les appareils obsolètes : si un collaborateur utilise un téléphone qui ne reçoit plus de mises à jour, désactivez son accès aux e-mails et outils professionnels depuis cet appareil jusqu'à ce qu'il soit remplacé. 5. Renseignez-vous sur une solution MDM : contactez votre prestataire informatique ou un spécialiste cybersécurité pour PME pour évaluer une solution de gestion des mobiles adaptée à votre taille et à votre budget. C'est souvent moins cher qu'une journée de travail perdue après une intrusion.