Le défi de la sécurité des applications mobiles

0
131

Aujourd’hui, les applications mobiles iOS ou Android fleurissent et envahissent notre vie quotidienne, et ce, dans absolument tous les domaines, plus ou moins sensibles pour notre cybersécurité et notre vie privée. Mais quant est-il de leur niveau de sécurité ?

C’est un fait incontestable, beaucoup de développeurs d’application mobile ne connaissent pas assez (ou passent volontairement outre) l’aspect sécuritaire et les risques encourus liés à ce type de défaut de conception. Or, ces derniers sont très grands ! En effet, la plupart des apps contiennent des informations sensibles et communiquent avec des serveurs via des API dédiées pour récupérer et envoyer les données. Elles peuvent donc être de véritables portes d’entrée pour les cybercriminels en cas de soucis de conception… ce qui est un sérieux problème, surtout à l’heure où l’usage des solutions mobiles dans les entreprises s’accélère, avec le télétravail en prime.

Il faut rappeler qu’un piratage entraîne de nombreuses conséquences telles que le vol de données confidentielles ou leur altération, indisponibilité des systèmes, vol de propriété intellectuelle, et que cela peut avoir des répercussions graves sur l’ensemble d’une société : perte de crédibilité et badbuzz pour l’image globale, ainsi qu’une perte financière qui en découlera rapidement. Sans compter les risque juridiques liés à un vol de données personnelles !

Bien entendu, le Bring Your Own Device (BYOD) pratiqué par de plus en plus de sociétés augmente les risques liés au phénomène, surtout si aucun protocole de sécurité n’est clairement défini et imposé par le DSI. Il n’y a pas un mois où une alerte concernant un application malveillante ne voit pas le jour ! Or, lorsque les utilisateurs se feront infecter leur smartphone ou tablette par un malware, c’est tout le processus qui peut être impacté, jusqu’aux systèmes de la société. Schématisons les risques possibles liés à un piratage : accès physique au terminal type smartphone ou tablette, infection du terminal par un malware ou encore, cyberattaque visant spécifiquement l’échange de données entre le terminal (l’app) et le système d’information de l’entreprise. Il est notamment fortement conseillé de forcer l’usage du chiffrement complet des terminaux professionnels !

Les bonnes pratiques dans le cadre d’une création app passent aussi par le déploiement de procédures de verrouillage (code PIN, ou accès biométrique) en plus du chiffrement natif. Cela fait parti intégrante du Mobile Device Management (MDM) pour combattre les fuites de données liées aux applications mobiles. Bien entendu, elles devront être développées avec soin et l’aspect sécuritaire aura dû être étudié de près. Et cela commence dès la création de son architecture ! Typiquement, une application mobile sécurisée en entreprise devra éviter toute prise directe avec le réseau d’information interne, le plus souvent en passant par un “backend mobile”, une sorte de middleware faisant office de firewall en cas d’attaque sur l’app côté client (un accès VPN sera souvent requis à ce niveau). L’API est alors sécurisée et il est possible de mettre en place une politique de surveillance active qui alertera et enregistrera les évènements en cas de détection de cyberattaque.

Actuellement, une telle architecture basée sur le Mobile Backend n’a pas de forte incidence sur le développement d’une app, surtout si cela se fait dans le Cloud (le développement des applications a été facilité par l’explosion du modèle SaaS ou « software as a service »). Une fois terminée, une app et son environnement pourra très bien faire l’objet d’une procédure de pentest pour tester sa sécurité et sa résistance aux cyberattaques.

De fait, il ne faut pas hésiter à déployer un certain standard d’exigence lors du développement d’une application mobile afin d’éviter les risques majeurs liés à la cybersécurité.

 

Note : article publi-rédactionnel