Comment réduire les risques posés par les applications mobiles vulnérables

Comment réduire les risques posés par les applications mobiles vulnérables

En juin 2019, une étude sur les vulnérabilités des applications mobiles a présenté des résultats incroyables et inquiétants. Plus particulièrement, des vulnérabilités à haut risque ont été découvertes dans 43% des applications mobiles pour Android et 38% pour iOS, selon Positive Technologies. Maintenant, considérons ceci: en termes de part de marché, selon IDC, Android possède près de 87% et iOS environ 13%.

En résumé, qu’est-ce que cela signifie pour la sécurité mobile?

Cela signifie que beaucoup d’entre nous marchent avec des appareils qui sont probablement très exposés. Le problème de la sécurité mobile ne présente pas seulement un risque élevé pour les utilisateurs individuels et les organisations, il est également répandu, ce qui complique encore plus la gestion des appareils mobiles (MDM).

Équilibrer les besoins commerciaux et sécuritaires

Identifier la solution de sécurité mobile qui vous convient le mieux signifie trouver le juste équilibre entre la rapidité des activités et la nécessité de la sécurité. Aujourd’hui, ces deux questions ne pourraient être plus éloignées l’une de l’autre.

Si je suis un professionnel du commerce, je veux chaque outil, chaque donnée et chaque gizmo possibles sur mon appareil mobile afin de pouvoir le consulter rapidement, analyser et traiter les données et, franchement, faire la vente. C’est mon chauffeur. Tout ce qui me ralentit m’empêche de diriger mes affaires. Je ne souhaite vraiment pas exposer l’entreprise à des dommages, mais je dois faire mon travail et je ne peux pas être ralentie par la sécurité.

D’autre part, si je suis un professionnel de la sécurité, si on veut limiter tous les outils qui ne sont pas jugés nécessaires (et tester ceux qui le sont), limiter les données pouvant être visualisées et veiller à ce que ces gadgets ne créent pas de désordre. Honnêtement, on ne veut pas ralentir la vente, mais on ne veut pas non plus laisser un trou aussi criant dans notre posture de sécurité que nous perdions la compagnie au prix de la conclusion d’un accord.

Comme vous pouvez le constater, ces deux intérêts ne pourraient pas être plus séparés. La situation  rappelle le vieil adage: «Ne perdez pas de vue la forêt pour les arbres».

Les utilisateurs et le personnel de sécurité doivent être conscients du fait qu’ils opèrent dans la même forêt, et ce n’est pas que l’une cultive la forêt et que l’autre la protège. Les deux sont plutôt responsables de la culture et de la protection. C’est une responsabilité partagée.

Alors, comment pouvons-nous arriver à une solution de sécurité mobile qui fait grandir la forêt?

Évaluez votre environnement d’abord

Avec autant de solutions techniques, la clé pour bien faire les choses commence par poser les bonnes questions. Cela signifie que vous devez évaluer correctement votre environnement informatique. Dans le meilleur des cas, ce n’est pas une tâche facile, mais en plus de définir votre tolérance au risque et de comprendre vos processus métier, ces trois domaines nécessitent une compréhension approfondie et sobre si vous voulez que votre processus de sécurité soit correct.

Ne vous y trompez pas et vous pourriez vous retrouver à la faillite dans un proche avenir. Optez pour la sécurité, et vous risquez d’être incapable de mener des affaires. Pensez aux affaires, et vous risquez de vous retrouver en affaires, car un acteur malveillant vient de voler toute votre propriété intellectuelle, vos analyses de concurrents et vos stratégies d’enchères.

Alors, comment devriez-vous évaluer votre environnement pour un monde mobile? IBM Security a élaboré un livre blanc sur les meilleures pratiques, qui constitue un excellent point de départ pour décider de la configuration de votre chemin de sécurité mobile.

Le BYOD vaut-il le risque supplémentaire?

on veut se concentrer sur les meilleures pratiques nos. 7 et 8, car ce sont celles qui accordent une attention particulière aux applications mobiles. Personnellement, nous ne sommes pas de grand fan de BYOD (bring-your-own-device); il présente un confort incroyable pour un si grand nombre d’utilisateurs, mais les risques pour la sécurité de l’entreprise qui en résultent deviennent un peu trop lourds à mon goût. Par conséquent, si je fais partie de la suite C, je commence vraiment à reconsidérer ces pratiques.

Voici pourquoi: on est  pas trop préoccupé par les solutions techniques. Ils deviennent en fait assez bons. Vous pouvez utiliser des applications sandbox. Certains kiosques de service autorisent uniquement les applications mobiles approuvées et les outils de gestion des points finaux ne font que s’améliorer avec l’intégration de l’intelligence artificielle (IA). Mes préoccupations sont ailleurs – comportement humain et problèmes juridiques potentiels – mais tout d’abord, un bref commentaire sur les lacunes technologiques.

Un bon code coûte cher. C’est un problème important car, comme l’indique le rapport de Positive Technologies, «Les risques ne résultent pas nécessairement d’une vulnérabilité particulière du côté du client ou du serveur. Dans de nombreux cas, ils sont le produit de plusieurs lacunes apparemment mineures dans différentes parties de l’application mobile. ”

Les applications mobiles présentent également un scénario de «mort par mille coupures», ce qui est une autre raison pour laquelle je pense que les pratiques BYOD doivent être réévaluées.

Décidez du risque que vous êtes prêt à accepter

Retour sur le comportement humain et les problèmes juridiques potentiels. Tout comme le phishing, où un simple clic peut vous exposer à une multitude de méchancetés, il en va de même pour une mauvaise application mobile. Par conséquent, si vous suivez les pratiques BYOD, reportez-vous à l’étape 7 du livre blanc sur la sécurité IBM et assurez-vous que votre solution MDM verrouille ce qui doit être verrouillé.

Si vous suivez le guide des meilleures pratiques, les points 7 et 8 parlent de contrôle du périphérique et de ses capacités d’emplacement. C’est là qu’on voit des problèmes juridiques, tels que des problèmes de confidentialité, à l’horizon. Bien sûr, les employés peuvent accepter certaines conditions, mais si on utilise un appareil personnel, pourquoi ne peut-on pas télécharger l’application mobile de son choix? Qui se soucie si l’application peut avoir des défauts? L’appareil est à nous, après tout, n’est-ce pas?

Tout dépend de la détermination du niveau de risque que vous êtes prêt à accepter. Nous y reviendrons toujours avec la connaissance de votre environnement et la compréhension de vos processus métiers.

Par conséquent, avec autant d’applications mobiles risquées, un moyen de réduire ce risque peut être de commencer à examiner vos pratiques BYOD et de déterminer si elles sont pertinentes pour votre entreprise. La commodité ne vaut peut-être pas la peine.