Jon Samsel, SVP Global Marketing chez Verimatrix, s'est récemment entretenu avec Keir Storrie, Senior Android and iOS Cybersecurity Pre-Sales Engineer chez Verimatrix. Ils ont discuté de l'évolution de la protection des applications mobiles, des règles de conformité, etc.

Protéger les applications Android et iOS

Jon : Keir, merci de m'avoir rejoint aujourd'hui. La sécurisation des applications mobiles semble être un sujet brûlant ces jours-ci - qu'est-ce qui explique l'augmentation des conversations ?

Keir : Il y a plusieurs choses :

  1. Nouvelles règles : Les industries telles que la fintech, le commerce électronique et la fabrication ont beaucoup de nouvelles réglementations de conformité à suivre - certaines rendent même la sécurité des applications obligatoire.
  2. Réussir les pentests : De plus en plus d'entreprises ont besoin que leurs applications Android et iOS passent des audits de sécurité et des tests de pénétration pour rester conformes.
  3. Protection des données : Les applications traitent plus de données personnelles et financières que jamais, il est donc essentiel de les protéger.
  4. Risques pour la réputation : Une faille de sécurité peut réellement nuire à la marque d'une entreprise et à la confiance des clients.
  5. Menaces croissantes : Les criminels trouvent constamment de nouveaux moyens d'exploiter les vulnérabilités, et les applications mobiles sont souvent des cibles faciles.

Jon : Comment les exigences de conformité influencent-elles la sécurité des applications dans les différents secteurs ?

Keir : La protection des applications est touchée partout dans le monde, dans de multiples secteurs, tels que :

  • Fintech et banque : Les applications mobiles qui gèrent les paiements et autres transactions financières doivent se conformer à des règles telles que DORA et PCI-DSS.
  • Automobile : Les véhicules autonomes et connectés sont souvent alimentés par des applications, et les normes de sûreté et de sécurité entourant ces applications peuvent avoir des conséquences mortelles si elles sont exploitées.
  • Aérospatiale et aviation : Les applications mobiles de ce secteur gèrent un large éventail de tâches essentielles, notamment la navigation, la surveillance météorologique, les opérations de vol, la gestion des équipages, les services aux passagers, etc.

Jon : Qu'en est-il des tests de pénétration ? Pourquoi semblent-ils gagner en importance ?

Keir : Le pentesting, qui consiste à simuler une cyberattaque pour trouver des faiblesses, est crucial parce que.. :

  • Il permet de repérer les vulnérabilités avant que les vrais attaquants ne le fassent.
  • Il s'agit d'un élément essentiel du processus d'approbation de l'audit de sécurité de l'application processus d'approbation de l'audit de sécurité des applications.
  • Il s'agit d'une couche de sécurité supplémentaire, essentielle à l'établissement de la confiance.

Jon : Quelles sont les données sensibles traitées par les applications ?

Keir : Jamais autant d'informations sensibles n'ont transité par les applications.

  • Données de localisation
  • Données du dossier du patient
  • Informations personnelles identifiables (IPI)
  • Propriété intellectuelle des entreprises
  • Transferts de fonds et transactions financières

Les applications sont des cibles précieuses pour les acteurs malveillants, d'où l'importance de les sécuriser.

Réglementations nouvelles et existantes

Jon : Parlons de l'évolution de l'environnement réglementaire. Qu'y a-t-il de nouveau, ou du moins qu'est-ce qui préoccupe les développeurs d'applications ces jours-ci ?

Keir : Il s'agit d'une liste complexe et croissante de règles et de réglementations à parcourir.

  1. DORA : La loi sur la résilience opérationnelle numérique en Europe, qui entrera en vigueur en janvier 2025, vise à renforcer la résilience du secteur financier, ce qui a un impact sur les applications, les API et le web.
  2. CISA Mandat d'attestation de l'OMB: Conçu pour mettre en œuvre des normes de cybersécurité pour les fournisseurs de logiciels des agences fédérales américaines.
  3. DMA: La loi sur les marchés numériques de l'UE réglemente les grandes plateformes numériques afin d'assurer une concurrence loyale, notamment en prévoyant l'intégration de places de marché d'applications tierces.
  4. L'ARC: La loi européenne sur la cyber-résilience fixe des normes de sécurité élevées pour les produits numériques, y compris les applications mobiles.
  5. GDPR: Le GDPR a un impact sur les applications qui traitent les données des citoyens de l'UE.
  6. PSD2: Les applications impliquées dans les transactions financières dans l'UE sont impactées par cette loi.

Jon : Ces réglementations ont-elles un impact sur la vie quotidienne des développeurs d'applications ?

Keir : C'est ce que me disent les développeurs. Voici quelques exemples de l'impact sur les gens :

  • Les coûts augmentent : L'ajout de la sécurité, la réalisation de tests de pénétration et la garantie de la conformité peuvent augmenter le temps et l'argent consacrés au développement.
  • Des ressources plus spécialisées en cybernétique sont nécessaires : Les développeurs doivent désormais travailler davantage avec des experts en droit, en conformité et en sécurité issus d'autres services, voire avec des experts externes.
  • Entretien permanent : Intégrer la conformité dans le DevSecOps nécessite un engagement permanent.
  • Personnalisation par pays : Des versions légèrement différentes de l'application peuvent être nécessaires pour se conformer aux lois locales dans différentes régions, et la plupart des développeurs ne sont pas équipés pour gérer et mettre à l'échelle ce type d'adaptation.

Jon : Y a-t-il des avantages que vous voyez ?

Keir : Bien sûr. Les réglementations qui ont un impact sur les applications, les API et le web peuvent être une bonne chose.

  • Ils peuvent uniformiser les règles du jeu grâce à des normes unifiées.
  • Les applications mobiles conformes aux normes de sécurité peuvent être perçues comme plus sûres par les utilisateurs.
  • Ils promeuvent les meilleures pratiques en matière de DevSecOps qui nous aident tous.

Amélioration de la sécurité

Jon : Passons à la question des risques auxquels les entreprises sont confrontées.

Keir : Voici quelques exemples qui me viennent à l'esprit :

  • Si vous ignorez les règles de conformité, vous risquez de vous voir infliger une amende.
  • Vous vous exposez également à des failles de sécurité, qui peuvent entraîner d'énormes pertes pour l'entreprise.
  • Les cyberattaques peuvent ralentir ou interrompre les activités de votre entreprise, entraînant une perte de clients et de revenus.

Jon : Pouvez-vous nous donner quelques exemples d'attaques d'applications, d'API ou de sites Web qui ont fait la une de l'actualité ?

Keir : En voici trois :

  • Des pirates ont accédé aux données de plus de 50 000 utilisateurs mobiles de Revolut.
  • Le logiciel malveillant Zombinder a infecté plus de 100 000 appareils Android via des boutiques d'applications tierces.
  • Robinhood a été attaqué, exposant les données de millions d'utilisateurs de l'application, ce qui a provoqué la colère des clients et une surveillance réglementaire accrue.

Jon : Comment les développeurs, en particulier les développeurs d'applications, d'API et de sites web, peuvent-ils réduire les cyberrisques ?

Keir : C'est un combat permanent. Voici quelques conseils :

  • Renforcez la sécurité de votre application, de votre API et de votre site Web grâce à des solutions à plusieurs niveaux.
  • Auditer et tester régulièrement.
  • Soyez plus intelligent en ce qui concerne réglementations et la meilleure façon de s'y conformer.
  • Ne vous reposez pas sur vos lauriers en matière de sécurité ; restez à l'affût des dernières méthodes d'attaque.
  • Mettre en place un mécanisme de surveillance et de réaction aux menaces.

Jon : En quoi les audits réguliers de cybersécurité et les pentests sont-ils réellement utiles ?

Keir : Les audits de sécurité impliquent généralement un examen approfondi des mesures de sécurité d'une application, principalement mené par des tiers. Ils examinent la qualité du code, le traitement des données, l'authentification et même le cryptage. Le pentesting implique des hackers éthiques qui tentent d'attaquer la sécurité de l'application, révélant ainsi des vulnérabilités inconnues. Ces deux types de tests doivent être effectués régulièrement.

Les 10 principales vulnérabilités des applications mobiles selon l'OWASP

Jon : On demande souvent aux développeurs de s'assurer que la sécurité de l'application tient compte des OWASP Top 10 des vulnérabilités mobilesComment Verimatrix XTD peut-il aider ?

Keir : Verimatrix XTD permet aux développeurs de s'attaquer aux 10 principales vulnérabilités de l'OWASP grâce à des fonctionnalités telles que :

  • Obfuscation du code pour se prémunir contre la rétro-ingénierie, en réponse à la "conception non sécurisée" de l'OWASP.
  • RASP pour détecter et arrêter les attaques en temps réel, en aidant à l'"injection" et à la "mauvaise configuration de la sécurité".
  • Anti-tamper pour garantir l'intégrité des applications, des API et du web, en s'attaquant aux "défaillances de l'intégrité des logiciels et des données".
  • Surveillance continue pour détecter les modèles et les signaux de menaces potentielles, en prenant en charge les "défaillances de l'enregistrement et de la surveillance de la sécurité".

Jon : Parlez-moi des certifications ISO - en quoi sont-elles pertinentes dans le cadre de cette discussion ?

Keir : À ma connaissance, Verimatrix est l'une des rares entreprises de sécurité des applications mobiles à être certifiée ISO. En 2024, nous avons renouvelé nos certifications ISO 9001 et ISO 27001-2022Ces certifications ont pour but de garantir la gestion de la qualité et les meilleures pratiques en matière de sécurité de l'information. Ces certificats sont extrêmement importants dans des secteurs d'activité tels que la banque, la fintech, l'assurance, le juridique, la fabrication, le commerce électronique et l'automobile.

Lorsqu'un fournisseur est certifié ISO, cela signifie qu'il a démontré sa capacité à fournir des services :

  • Des produits et des services cohérents et fiables, d'un niveau supérieur à la plupart des autres.
  • Des processus de sécurité renforcés sont intégrés dans le tissu de leurs opérations.
  • Une forte protection des données est intégrée dans tous les produits et services qu'ils fournissent.

Jon : Pouvez-vous nous donner un exemple de la façon dont Verimatrix s'est surpassé pour un client en lui donnant des conseils d'expert en matière de réglementation ou de certification ?

Keir : Il y a plusieurs mois, nous avons aidé une banque du top 5 qui possédait une application mobile très populaire et qui se débattait avec la PSD2 . Verimatrix XTD a été utilisé pour envelopper leur application d'une protection à plusieurs niveaux et pour surveiller leur écosystème connecté afin de détecter les menaces. XTD a non seulement amélioré l'authentification, mais a également contribué à renforcer la sécurité des transactions. Cela les a aidés à répondre aux exigences de la PSD2 et à améliorer considérablement leur posture de sécurité globale. Il s'agit d'une grande victoire.

Jon : Avez-vous un dernier conseil à donner aux développeurs qui doivent faire face à la pléthore de nouvelles règles et lois qui ont un impact sur les applications, les API ou le web ?

Keir : Oui :

  • Intégrez la sécurité dès le premier jour - ne l'ajoutez pas plus tard.
  • Restez à l'affût des nouvelles réglementations ; ignorez-les à vos risques et périls.
  • Essayer Verimatrix XTDc'est peut-être la solution de conformité en matière de sécurité dont vous avez besoin.

Jon : Ce fut un plaisir de parler avec vous, Keir !