Protection des applications mobiles : La pression sur les RSSI et les risques d'extension excessive
Partager
Commentaires
Protection des applications mobiles : La pression sur les RSSI et les risques d'extension excessive
26 novembre 2024
Table des matières
Les responsables de la sécurité de l'information (CISO) ne sont plus de simples gardiens du réseau de l'entreprise et ne se limitent plus à ce rôle depuis un certain temps.
Les RSSI sont souvent chargés de tout, de la manœuvre à travers des réglementations de conformité complexes à la collaboration avec la haute direction, en passant par le maintien des opérations de sécurité dans des environnements très dynamiques. Cette liste croissante de tâches leur laisse peu de temps pour se concentrer sur un domaine de plus en plus vulnérable aux cybermenaces : la protection des applications mobiles.
Un mélange exigeant de responsabilités
Le rôle du Le rôle du RSSI est particulièrement exigeant. D'une part, il doit participer aux discussions au sein du conseil d'administration ; il doit présenter les stratégies de sécurité de manière à ce qu'elles trouvent un écho auprès des dirigeants, des équipes de vente et des responsables des opérations. Cela signifie qu'ils doivent connaître non seulement la cybersécurité, mais aussi les directives réglementaires, les risques financiers et les plans de communication. Les RSSI doivent régulièrement expliquer les risques potentiels et suggérer des mesures préventives dans un langage clair et simple pour des publics non techniques.
Cependant, ces responsabilités au sein du conseil d'administration ne représentent qu'une partie du tableau. Les RSSI doivent également être des experts techniques capables d'évaluer, de mettre en œuvre et de gérer des outils informatiques complexes. Ce ne sont pas simplement des stratèges, ce sont des praticiens dotés d'une expertise pratique en matière de détection des menaces, de cryptage des données et de systèmes de contrôle d'accès. Au fur et à mesure que la technologie progresse, les prouesses techniques des RSSI se multiplient.
Examen de l'application mobile et de la combinaison de contrôle de la gestion exécutive
Dans cet environnement tendu, la protection des applications mobiles est souvent sous-estimée, voire largement ignorée. Les applications mobiles sont au premier plan de l'interaction avec les consommateurs - elles gèrent tout, des transactions financières au stockage des données personnelles. Cependant, la protection des applications mobiles est souvent négligée alors que les RSSI se dépêchent de répondre à d'autres demandes.
Dans de nombreux cas, les applications mobiles échappent à la surveillance du RSSI. Parfois, elles sont placées sous la responsabilité des départements marketing ou produits, dont les membres n'accordent pas forcément la priorité à des mesures de protection rigoureuses. Sans une attention suffisante, les applications mobiles sont vulnérables aux failles que les pirates peuvent exploiter. De nombreux RSSI comprennent la nécessité de protéger les applications mobiles, mais ne disposent pas de la bande passante nécessaire pour s'assurer que cette protection est suffisamment mise en œuvre.
Les mandats gouvernementaux ajoutent encore à la complexité. Les RSSI d'aujourd'hui doivent se tenir informés d'un large éventail de réglementations.
Le non-respect des directives, telles que le règlement général sur la protection des données (RGPD) dans l'UE ou les exigences en matière de cybersécurité fixées par la Securities and Exchange Commission (SEC) des États-Unis, peut avoir de graves conséquences juridiques. Les conséquences potentielles peuvent inclure de graves pressions pour les RSSI, telles que la responsabilité personnelle dans les cas où une protection insuffisante a conduit à des violations de données.
Il y a beaucoup de choses à assimiler et à traiter
L'accent mis récemment par la réglementation sur la divulgation a poussé de nombreux RSSI à consacrer plus de temps à la préparation de rapports de conformité détaillés qu'à l'amélioration active des infrastructures de sécurité. Cette évolution a conduit à ce que certains décrivent comme la "sécurité des cases à cocher", où le respect des normes réglementaires devient plus important que la satisfaction des besoins réels en matière de sécurité.
Cela peut signifier que les vulnérabilités des applications mobiles ne sont pas résolues parce que les organismes de réglementation n'ont pas encore explicitement mis l'accent sur les protocoles de protection des applications mobiles.
Face à l'accumulation des responsabilités, de nombreux RSSI peuvent se sentir surchargés. Des études ont montré que la durée moyenne d'un RSSI est d'environ d'environ 18 à 24 mois. Cette durée est beaucoup plus courte que celle d'autres postes de direction.
La pression exercée pour suivre l'évolution des menaces tout en répondant aux exigences des équipes dirigeantes et des tiers crée ce qui pourrait même être perçu comme un environnement trop exigeant. Nombreux sont ceux qui recherchent activement de nouvelles fonctions, parfois en dehors des rôles traditionnels de la sécurité d'entreprise.
Le taux élevé de rotation des RSSI a de profondes répercussions sur la protection des applications mobiles. Il peut laisser des trous dans la stratégie de cybersécurité d'une organisation. Lors de ces transitions, les initiatives de protection des applications mobiles sont souvent les premières à être négligées. Les nouveaux RSSI peuvent donner la priorité à la stabilisation des cadres actuels plutôt qu'à l'investissement dans la protection des applications mobiles, auquel cas le cycle potentiel de négligence se poursuit.
Attention au blindage des applications mobiles avant qu'il ne soit trop tard
La protection des applications mobiles nécessite des outils et du personnel spécialisés, mais de nombreuses organisations ont du mal à allouer les fonds nécessaires. Alors que la protection des applications mobiles reste au bas de l'échelle, les budgets de cybersécurité donnent souvent la priorité à la sécurité des réseaux, à la protection des points d'accès et aux outils de conformité.
Cette lacune peut avoir des conséquences coûteuses. Une seule faiblesse dans une application mobile peut compromettre des données sensibles, ce qui peut entraîner des pertes financières et une atteinte à la réputation qui dépassent de loin l'investissement initial nécessaire pour assurer une protection adéquate.
L'un des défis auxquels les entreprises sont confrontées est la nécessité d'une surveillance en temps réel et d'une détection des menaces dans les applications mobiles. Cependant, de nombreuses entreprises ne procèdent qu'à des évaluations occasionnelles de la sécurité en raison de budgets limités. Ces contrôles aléatoires laissent les applications mobiles vulnérables aux menaces qui échappent aux défenses traditionnelles.
Compte tenu de ces facteurs, la protection des applications mobiles devrait être une priorité au sein des organisations. La protection des applications mobiles ne consiste pas seulement à sauvegarder les données des consommateurs, mais aussi à préserver la confiance. Lorsque les utilisateurs téléchargent une application, ils supposent qu'elle est sûre et que leurs informations seront protégées. Une seule violation peut non seulement nuire à la réputation d'une organisation, mais aussi entraîner une perte de confiance des consommateurs, un aspect qu'il est souvent difficile de rétablir.
Une approche proactive nécessite des mises à jour régulières et des tests complets. Pour les RSSI, cela signifie intégrer systématiquement la protection des applications mobiles dans le cadre plus large de la sécurité et allouer suffisamment de ressources pour surveiller les performances des applications et remédier aux vulnérabilités. Pour que la protection des applications mobiles reçoive l'attention qu'elle mérite, les organisations devront peut-être reconsidérer la structure du rôle du RSSI.
Comme les exigences réglementaires et techniques continuent d'augmenter, il pourrait être bénéfique de diviser les fonctions du RSSI en deux rôles, l'un axé sur la supervision stratégique et l'autre sur la mise en œuvre technique. Cette division pourrait permettre aux RSSI de se concentrer plus spécifiquement sur des domaines à haut risque tels que la protection des applications mobiles, sans compromettre leur capacité à prendre des décisions stratégiques.
Rester informé et sécurisé
Obtenez les dernières informations sur les cybermenaces émergentes et les mesures de sécurité in-app pour protéger votre institution financière. Gardez une longueur d'avance sur les pirates informatiques en vous inscrivant dès maintenant à notre lettre d'information !
Rédigé par
Jon Samsel
Head of Cybersecurity Business and Global Marketing
Commentaires
Protection des applications mobiles : La pression sur les RSSI et les risques d'extension excessive
Table des matières
Les responsables de la sécurité de l'information (CISO) ne sont plus de simples gardiens du réseau de l'entreprise et ne se limitent plus à ce rôle depuis un certain temps.
Les RSSI sont souvent chargés de tout, de la manœuvre à travers des réglementations de conformité complexes à la collaboration avec la haute direction, en passant par le maintien des opérations de sécurité dans des environnements très dynamiques. Cette liste croissante de tâches leur laisse peu de temps pour se concentrer sur un domaine de plus en plus vulnérable aux cybermenaces : la protection des applications mobiles.
Un mélange exigeant de responsabilités
Le rôle du Le rôle du RSSI est particulièrement exigeant. D'une part, il doit participer aux discussions au sein du conseil d'administration ; il doit présenter les stratégies de sécurité de manière à ce qu'elles trouvent un écho auprès des dirigeants, des équipes de vente et des responsables des opérations. Cela signifie qu'ils doivent connaître non seulement la cybersécurité, mais aussi les directives réglementaires, les risques financiers et les plans de communication. Les RSSI doivent régulièrement expliquer les risques potentiels et suggérer des mesures préventives dans un langage clair et simple pour des publics non techniques.
Cependant, ces responsabilités au sein du conseil d'administration ne représentent qu'une partie du tableau. Les RSSI doivent également être des experts techniques capables d'évaluer, de mettre en œuvre et de gérer des outils informatiques complexes. Ce ne sont pas simplement des stratèges, ce sont des praticiens dotés d'une expertise pratique en matière de détection des menaces, de cryptage des données et de systèmes de contrôle d'accès. Au fur et à mesure que la technologie progresse, les prouesses techniques des RSSI se multiplient.
Examen de l'application mobile et de la combinaison de contrôle de la gestion exécutive
Dans cet environnement tendu, la protection des applications mobiles est souvent sous-estimée, voire largement ignorée. Les applications mobiles sont au premier plan de l'interaction avec les consommateurs - elles gèrent tout, des transactions financières au stockage des données personnelles. Cependant, la protection des applications mobiles est souvent négligée alors que les RSSI se dépêchent de répondre à d'autres demandes.
Dans de nombreux cas, les applications mobiles échappent à la surveillance du RSSI. Parfois, elles sont placées sous la responsabilité des départements marketing ou produits, dont les membres n'accordent pas forcément la priorité à des mesures de protection rigoureuses. Sans une attention suffisante, les applications mobiles sont vulnérables aux failles que les pirates peuvent exploiter. De nombreux RSSI comprennent la nécessité de protéger les applications mobiles, mais ne disposent pas de la bande passante nécessaire pour s'assurer que cette protection est suffisamment mise en œuvre.
Les mandats gouvernementaux ajoutent encore à la complexité. Les RSSI d'aujourd'hui doivent se tenir informés d'un large éventail de réglementations.
Le non-respect des directives, telles que le règlement général sur la protection des données (RGPD) dans l'UE ou les exigences en matière de cybersécurité fixées par la Securities and Exchange Commission (SEC) des États-Unis, peut avoir de graves conséquences juridiques. Les conséquences potentielles peuvent inclure de graves pressions pour les RSSI, telles que la responsabilité personnelle dans les cas où une protection insuffisante a conduit à des violations de données.
Il y a beaucoup de choses à assimiler et à traiter
L'accent mis récemment par la réglementation sur la divulgation a poussé de nombreux RSSI à consacrer plus de temps à la préparation de rapports de conformité détaillés qu'à l'amélioration active des infrastructures de sécurité. Cette évolution a conduit à ce que certains décrivent comme la "sécurité des cases à cocher", où le respect des normes réglementaires devient plus important que la satisfaction des besoins réels en matière de sécurité.
Cela peut signifier que les vulnérabilités des applications mobiles ne sont pas résolues parce que les organismes de réglementation n'ont pas encore explicitement mis l'accent sur les protocoles de protection des applications mobiles.
Face à l'accumulation des responsabilités, de nombreux RSSI peuvent se sentir surchargés. Des études ont montré que la durée moyenne d'un RSSI est d'environ d'environ 18 à 24 mois. Cette durée est beaucoup plus courte que celle d'autres postes de direction.
La pression exercée pour suivre l'évolution des menaces tout en répondant aux exigences des équipes dirigeantes et des tiers crée ce qui pourrait même être perçu comme un environnement trop exigeant. Nombreux sont ceux qui recherchent activement de nouvelles fonctions, parfois en dehors des rôles traditionnels de la sécurité d'entreprise.
Le taux élevé de rotation des RSSI a de profondes répercussions sur la protection des applications mobiles. Il peut laisser des trous dans la stratégie de cybersécurité d'une organisation. Lors de ces transitions, les initiatives de protection des applications mobiles sont souvent les premières à être négligées. Les nouveaux RSSI peuvent donner la priorité à la stabilisation des cadres actuels plutôt qu'à l'investissement dans la protection des applications mobiles, auquel cas le cycle potentiel de négligence se poursuit.
Attention au blindage des applications mobiles avant qu'il ne soit trop tard
La protection des applications mobiles nécessite des outils et du personnel spécialisés, mais de nombreuses organisations ont du mal à allouer les fonds nécessaires. Alors que la protection des applications mobiles reste au bas de l'échelle, les budgets de cybersécurité donnent souvent la priorité à la sécurité des réseaux, à la protection des points d'accès et aux outils de conformité.
Cette lacune peut avoir des conséquences coûteuses. Une seule faiblesse dans une application mobile peut compromettre des données sensibles, ce qui peut entraîner des pertes financières et une atteinte à la réputation qui dépassent de loin l'investissement initial nécessaire pour assurer une protection adéquate.
L'un des défis auxquels les entreprises sont confrontées est la nécessité d'une surveillance en temps réel et d'une détection des menaces dans les applications mobiles. Cependant, de nombreuses entreprises ne procèdent qu'à des évaluations occasionnelles de la sécurité en raison de budgets limités. Ces contrôles aléatoires laissent les applications mobiles vulnérables aux menaces qui échappent aux défenses traditionnelles.
Compte tenu de ces facteurs, la protection des applications mobiles devrait être une priorité au sein des organisations. La protection des applications mobiles ne consiste pas seulement à sauvegarder les données des consommateurs, mais aussi à préserver la confiance. Lorsque les utilisateurs téléchargent une application, ils supposent qu'elle est sûre et que leurs informations seront protégées. Une seule violation peut non seulement nuire à la réputation d'une organisation, mais aussi entraîner une perte de confiance des consommateurs, un aspect qu'il est souvent difficile de rétablir.
Une approche proactive nécessite des mises à jour régulières et des tests complets. Pour les RSSI, cela signifie intégrer systématiquement la protection des applications mobiles dans le cadre plus large de la sécurité et allouer suffisamment de ressources pour surveiller les performances des applications et remédier aux vulnérabilités. Pour que la protection des applications mobiles reçoive l'attention qu'elle mérite, les organisations devront peut-être reconsidérer la structure du rôle du RSSI.
Comme les exigences réglementaires et techniques continuent d'augmenter, il pourrait être bénéfique de diviser les fonctions du RSSI en deux rôles, l'un axé sur la supervision stratégique et l'autre sur la mise en œuvre technique. Cette division pourrait permettre aux RSSI de se concentrer plus spécifiquement sur des domaines à haut risque tels que la protection des applications mobiles, sans compromettre leur capacité à prendre des décisions stratégiques.
Rester informé et sécurisé
Rédigé par
Jon Samsel
Head of Cybersecurity Business and Global Marketing
Partager ces informations sur la cybersécurité
Autres informations sur la cybersécurité
Le typhon salé met en évidence les lacunes critiques de la sécurité mobile : La CISA réagit
Quand les applications attaquent : HGS Hack, F@c ! et rançons en bitcoins
BoneSpy et PlainGnome : Le duo de logiciels espions déguisés en applications de confiance
Décodage de Remo : Le cheval de Troie bancaire évolutif d'Android