Les entreprises d’aujourd’hui utilisent des applications mobiles comme outils pour distribuer des données pertinentes et essentielles à leur personnel, leurs partenaires et leurs clients. Mais avec l’évolution rapide de la technologie mobile, assurer la sécurité de ces applications est devenu un enjeu crucial que toutes les grandes organisations doivent comprendre et adresser. Après tout, la perte ou le vol d’un appareil contenant des informations sensibles peut mener à une violation de données, à des non-conformités et à des divulgations publiques coûteuses et embarrassantes.
En effet, la productivité offerte par les appareils mobiles s’accompagne d’un risque accru sur la sécurité, car les applications de ces appareils représentent une porte d’entrée potentielle supplémentaire pour infiltrer illégalement les réseaux d’entreprise — permettant aux fraudeurs et pirates de propager du code malveillant.
Les applications mobiles peuvent représenter un risque pour la sécurité des réseaux d’entreprise, permettant aux cybercriminels de propager du code malveillant. Ce blogue explore les façons de protéger le stockage et le transfert des données à travers plusieurs applications mobiles.
Avant de plonger dans les détails des divers risques encourus et des meilleures façons de s’en prémunir, parlons brièvement de statistiques. Nos lecteurs pourraient croire que les applications les plus populaires des boutiques App Store et Google Play Store ne sont pas vulnérables à ces risques — malheureusement, ils auraient tort. La société de sécurité mobile NowSecure a testé les applications sur ces boutiques et révélé qu’un impressionnant 85 % des applications enfreignent au moins un des dix principaux risques. Parmi ces applications, 50 % présentent des pratiques de stockage de données non sécurisées et une proportion presque égale utilise des communications non sécurisées.
Comme le montrent les statistiques, la sécurité est manifestement un problème persistant ; dans cette optique, nous avons élaboré une liste des meilleures pratiques de sécurité des applications mobiles à l’intention des développeurs.
Chiffrer les données à tous les niveaux
Bien qu’il soit impératif d’assurer la sécurité au niveau de l’appareil, il est généralement recommandé de ne pas s’y fier exclusivement. Pour une protection optimale, il est essentiel que les données d’entreprise sur mobile soient chiffrées à tous les niveaux, y compris au niveau du système de fichiers, de l’application, de l’accès à la base de données et de l’appareil. Pour plus de détails, veuillez consulter les lignes directrices du National Insititute of Standards and Technology (NIST).
Utiliser un chiffrement fort
Il est important que toute information soit sécurisée de bout en bout. Qu’il s’agisse de données au repos sur l’appareil ou en transit entre l’appareil et des serveurs derrière un pare-feu, les données de chaque application doivent être rigoureusement chiffrées.
Isoler l’information des applications
Toutes les informations d’application accessibles via les appareils mobiles doivent être totalement isolées des données de l’utilisateur. Isoler les données des applications mobiles requiert la création d’une couche de protection autour des applications déployées par l’entreprise et une séparation sécurisée des données d’entreprise des informations personnelles des employés et des applications grand public. En général, cette séparation des applications et des données d’entreprise augmente la satisfaction et la productivité des employés tout en assurant la conformité.
Faire appliquer des politiques de sécurité au niveau utilisateur pour les applications
Les développeurs d’applications doivent veiller à ce que les politiques de sécurité au niveau utilisateur soient définies et appliquées par les administrateurs de la sécurité informatique. Permettre l’effacement à distance des données d’application après plusieurs échecs de saisie de mot de passe, désactiver l’utilisation de suites de chiffres séquentiels dans les mots de passe et exiger des caractères spéciaux dans les mots de passe contribuent tous à restreindre l’accès aux applications et aux données d’entreprise.
Assurer un accès sécurisé au réseau
Pour garantir une sécurité réseau robuste, il convient de minimiser l’ouverture de ports entrants et l’exploration du réseau. La solution d’application mobile sécurisée ne devrait servir que des paquets chiffrés, authentifiant les applications et n’accordant l’accès qu’aux utilisateurs provisionnés à des serveurs ou services spécifiques, évitant ainsi les attaques de type rogue.
Sécuriser la plateforme
La plateforme doit être strictement contrôlée, notamment en détectant les téléphones débridés (« jailbreakés ») et en restreignant l’accès à d’autres services si nécessaire.
Authentification
Un mécanisme d’authentification robuste est primordial pour garantir que les utilisateurs saisissent un mot de passe sécurisé avant de pouvoir lancer l’application. Une authentification multifacteur sur les services web sécurisés de type XML, combinant identifiant et mot de passe avec un identifiant/sms fiable, est recommandée. Une autre recommandation consiste à vérifier la localisation de l’utilisateur à l’aide du GPS lors de l’authentification.
Autorisation
N’autoriser que les utilisateurs autorisés à accéder uniquement aux fonctions métier dont ils ont besoin. Une fois l’utilisateur authentifié, l’application peut vérifier auprès des services serveurs s’il dispose des droits requis (ex. : utilisateur mobile activé ou non). Le client affiche un menu de navigation sécurisé selon les permissions et droits d’accès de l’utilisateur. Ces droits sont vérifiés à chaque requête, avant d’initier les fonctions métier.
Confidentialité des données
Les données sensibles devraient uniquement être conservées en mémoire (et non sur le disque dur) le temps nécessaire, et non sur le système de fichiers via l’application. Assurez-vous qu’aucune information confidentielle ne fuite dans les journaux et messages d’erreur. Le gestionnaire de cache de l’application doit effacer les données lorsque l’application tourne en tâche de fond.
Chiffrement des connexions
Tout le trafic réseau doit être chiffré et il est vivement recommandé d’utiliser le protocole HTTPS pour la connexion aux applications dorsales. Une liste blanche additionnelle d’adresses IP et de noms de domaines devrait être tenue à jour côté client afin d’empêcher l’application de se connecter à d’autres domaines non spécifiés sur la liste blanche.
Vérification de la sécurité de l’OS
Détecter si l’application fonctionne sur un appareil jailbreaké/rooté/infecté par un logiciel malveillant. Un contrôle de sécurité fournit une cote sur les mises à jour de sécurité de l’OS et la détection de logiciels malveillants ; selon cette cote, l’application peut être amenée à se fermer. Alternativement, la cote peut être transmise aux systèmes serveurs sur un canal sécurisé pour enquête et prise de mesures appropriées.
Références :
