Alors que les applications mobiles sont devenues le moyen préféré des entreprises et des clients pour interagir, communiquer et effectuer des transactions, l'adoption de la protection des applications mobiles n'a pas encore eu lieu. l'adoption de la protection des applications mobiles reste étonnamment faible dans le monde entier. Quel que soit le secteur d'activité ou le pays, la plupart des applications ne sont pas protégées contre les attaques, ce qui laisse croire aux clients qu'ils téléchargent des applications sûres et fréquemment testées, alors que ce n'est pas le cas. Cette situation n'est pas seulement effrayante, elle est irresponsable et totalement évitable.
Les données internes de Verimatrix, combinées aux résultats de l'enquête et des tables rondes menées par notre partenaire de recherche, ISMG, ont mis en évidence plusieurs défis critiques auxquels les organisations sont confrontées dans la sécurisation de leurs applications, ainsi que des actions potentielles qui peuvent être déployées pour améliorer leur position en matière de sécurité des applications.
Examinons quelques-unes de ces informations, en explorant certains problèmes clés et en discutant de ce qui peut être fait pour améliorer la sécurité des applications mobiles et, ce faisant, pour protéger des millions de consommateurs mal intentionnés.
Ce que nous avons découvert
1. Augmentation de l'utilisation des applications et des signaux d'attaque
La popularité du mobile a élargi la surface d'attaque pour les entreprises qui publient des applications. Rien qu'en 2024, nous avons constaté une augmentation spectaculaire des kits d'attaque de marque disponibles sur le dark web, ciblant spécifiquement certaines des plus grandes marques mondiales.
Ces kits, qui sont facilement accessibles et abordables même pour des pirates peu qualifiés, représentent une menace énorme pour les entreprises qui dépendent fortement des applications mobiles pour mener leurs activités. Les outils d'IA de Verimatrix ont constaté une augmentation constante des signaux de vulnérabilité des applications, tels que les CVE connus et même de nouvelles attaques inédites.
La popularité et l'utilisation accrue des applications mobiles, l'accès facile à des outils d'attaque puissants et l'augmentation des signaux de menace soulignent la nécessité pour les entreprises d'adopter une approche plus proactive de la cybersécurité.
Lors de la table ronde du GISdes experts en cybersécurité des secteurs de la santé et de la banque ont souligné que le volume croissant de cybermenaces au niveau des terminaux mobiles devient un sujet de préoccupation de plus en plus important. Les discussions ont mis l'accent sur l'importance de comprendre et d'atténuer les risques associés aux applications mobiles, en particulier celles qui fonctionnent sur des appareils grand public non gérés. Pourtant, malgré cette prise de conscience, de nombreuses organisations tardent à mettre en œuvre des mesures de sécurité complètes pour les applications.
2. Absence de détection des menaces et de réaction pour les applications
Malgré la recrudescence des menaces, seule une petite partie des entreprises utilise des outils de sécurité applicative avancés. outils avancés de sécurité des applicationstels que la surveillance de leurs écosystèmes d'applications connectées. Ces solutions sont essentielles pour identifier rapidement les nouvelles menaces et atténuer les vulnérabilités avant qu'elles ne soient exploitées.
Toutefois, l'enquête a révélé un écart important dans le déploiement de ces mesures de sécurité à plusieurs niveaux. Plus surprenant encore, de nombreux participants ne savaient pas s'ils effectuaient régulièrement des tests de pénétration sur leurs applications - une exigence essentielle dans les secteurs réglementés tels que les services financiers et les soins de santé.
Pourquoi ces lacunes ? De nombreux RSSI et développeurs d'applications avec lesquels nous nous sommes entretenus ont fait part de leurs difficultés à intégrer les pratiques de sécurité des applications dans leur cycle de développement logiciel actuel. La plupart d'entre eux ont reconnu la nécessité d'intégrer la sécurité à chaque étape du développement des applications, de la conception initiale au déploiement, mais peu l'ont fait.
En ce qui concerne l'IA générative dans le développement de logiciels, des outils tels que GitHub Copilot ont été cités comme des moyens d'accélérer le processus de développement d'applications, mais ils pourraient également introduire de nouveaux défis en matière de sécurité. De l'avis général, le recours à l'IA générative pour la génération de code, en particulier chez les développeurs moins expérimentés, pourrait entraîner des vulnérabilités non détectées, notamment dans les bibliothèques open source.
3. Des budgets de sécurité et des ressources en personnel limités
L'un des principaux obstacles à la mise en œuvre de mesures de sécurité robustes pour les applications est la limitation des budgets et des ressources. Certaines organisations ont du mal à allouer suffisamment de fonds et de personnel qualifié en cybersécurité pour protéger correctement les applications mobiles.
L'enquête et la table ronde de l'ISMG ont mis en évidence le fait que ces contraintes financières sont souvent utilisées comme une excuse pratique pour ne pas mettre en œuvre la protection des applications. Cependant, le coût du non-déploiement de la sécurité peut être bien plus élevé, en particulier si les données PII des consommateurs sont compromises. Les dommages potentiels à la marque et les pertes financières peuvent être considérables, sans parler des amendes réglementaires et de la désaffection des clients.
4. Défis en matière de visibilité des applications
L'un des défis majeurs en matière de sécurité des applications est la question de la visibilité, en particulier pour les organisations qui ne développent pas leurs applications mobiles en interne.
Notre enquête a révélé qu'environ 50 % seulement des entreprises développent leurs applications en interne, les autres faisant appel à des fournisseurs tiers. Cette dépendance à l'égard de développeurs externes peut entraîner d'importantes lacunes en matière de protection, car les organisations peuvent manquer de visibilité sur les pratiques de sécurité de leurs fournisseurs si ces derniers ont été chargés de sécuriser les applications.
Les participants à la table ronde de l'ISMG ont discuté des défis liés à la gestion des risques liés aux tiers et à la sécurisation des écosystèmes de développement et de publication d'applications. Le manque d'informations sur le développement d'applications externalisées peut rendre les entreprises vulnérables à des angles morts en matière de sécurité.
Cette situation est particulièrement préoccupante compte tenu de la complexité croissante des écosystèmes d'applications, où les systèmes interconnectés et les bibliothèques de la chaîne d'approvisionnement de tiers sont des éléments essentiels. bibliothèques de chaînes d'approvisionnement tierces peuvent introduire des vulnérabilités invisibles.
De plus, les applications mobiles développées en interne ne relevaient pas toujours de la compétence des équipes de sécurité interne - certaines relevaient en fait du marketing ou du produit. Lorsque la sécurité des applications relevait de la responsabilité des équipes de sécurité internes, elle était souvent éclipsée par d'autres besoins de sécurité "plus urgents", tels que WAF, MDR et XDR.
5. Menaces liées à l'IA et contre-mesures équivalentes
Alors que l'intelligence artificielle continue de gagner en popularité et en utilisation, les cybercriminels explorent sans doute de nouveaux moyens d'accélérer les méthodes et l'ampleur de leurs incursions furtives. Ces techniques assistées par l'IA pourraient poser de nouveaux niveaux de cyberrisques difficiles à anticiper et contre lesquels il est difficile de se défendre, ce qui les rend particulièrement préoccupants pour les applications mobiles.
Les experts en sécurité que nous avons interrogés ont fait part de leurs craintes de voir l'IA utilisée pour exploiter les faiblesses du code des applications, contourner les protocoles de sécurité conventionnels et même imiter le comportement d'utilisateurs légitimes pour échapper à la détection. Les défenses basées sur l'IA ont été citées comme essentielles pour combattre les menaces liées à l'IA, de même que la surveillance continue et la détection des menaces.
6. Absence de priorité au niveau de la direction
L'une de nos conclusions les plus surprenantes et les plus inquiétantes est le manque de priorité accordée à la sécurité des applications mobiles au niveau de la direction. Dans de nombreuses organisations, d'autres questions de sécurité sont prioritaires, ce qui fait que la sécurité des applications n'est pas suffisamment financée et gérée.
Il s'agit là d'un oubli dangereux, surtout si l'on considère que pour de nombreuses marques, les applications mobiles constituent un élément essentiel de leur stratégie commerciale. La sécurité des applications pourrait devoir être élevée au rang de priorité stratégique au sein des organisations centrées sur les applications.
Intégrer la sécurité dans le processus de développement des applications, par exemple en adoptant une approche approche DevSecOpspourrait garantir que la cybersécurité n'est pas une réflexion après coup.
Un autre moyen de s'assurer que les applications reçoivent l'attention de la hiérarchie est de responsabiliser le personnel. La sécurité des applications mobiles étant souvent négligée en raison d'un manque d'appropriation, les entreprises peuvent souhaiter établir des lignes de responsabilité et d'appropriation claires.
7. Équilibrer la sécurité et la facilité d'utilisation
Un thème clé qui est ressorti de la table ronde du GISM est le défi que représente la mise en œuvre de mesures de sécurité rigoureuses sans compromettre l'expérience du client. Cela est particulièrement important dans le contexte des applications mobiles, où une mauvaise expérience utilisateur, telle qu'un temps de chargement lent, peut avoir un impact négatif sur la perception de la marque par le client.
Un mauvais bouche-à-oreille peut être évité lorsque les utilisateurs sont satisfaits de la facilité d'utilisation de l'application et de son fonctionnement au fil du temps.
La recherche d'un juste milieu permettant de mettre en œuvre les protections de l'application sans en évaluer la convivialité a été citée comme un équilibre idéal. Par exemple, l'authentification multifactorielle peut renforcer la sécurité, mais elle doit être conviviale et ne doit pas introduire de frictions inutiles.
Un autre exemple est la facilité de déploiement. Les applications devant être mises à jour régulièrement, les solutions "zero-code" peuvent être idéales pour les développeurs d'applications, car de nouvelles enveloppes de protection peuvent être intégrées à chaque nouvelle version de l'application par le biais d'un processus processus CI/CD axé sur la sécurité.
8. Déconnexion entre la perception et les tests indépendants
Un aspect révélateur de nos enquêtes et de nos conversations avec les acteurs de la sécurité est le décalage entre la perception qu'ont les organisations de la sécurité de leurs propres applications et la réalité révélée par les tests indépendants.
Alors que la plupart des personnes interrogées considèrent que leurs propres applications sont moyennement ou hautement sécurisées, seul un faible pourcentage d'entre elles estime que les autres applications en circulation sont sécurisées. Des études indépendantes suggèrent que plus de 90 % des applications publiées ne sont pas protégées, ce qui indique un écart important entre la perception et la réalité.
Ce décalage peut être le signe d'un problème plus large d'excès de confiance et d'autosatisfaction en matière de sécurité des applications. De nombreuses entreprises centrées sur les applications pensent que parce qu'elles n'ont pas encore subi d'attaque majeure contre leurs applications, elles sont à l'abri du danger.
Cependant, comme nos discussions l'ont révélé, une application déballée ne signifie pas qu'elle est sûre et sans danger. La meilleure sécurité est proactive, plutôt que réactive, et les organisations doivent régulièrement tester et valider leurs mesures de cybersécurité pour s'assurer qu'elles sont efficaces.
Ce qu'il faut pour passer à l'action
La faible adoption de la protection des applications mobiles dans tous les secteurs d'activité et toutes les zones géographiques est une source d'inquiétude, d'autant plus que les cybermenaces continuent d'évoluer et de s'intensifier rapidement. Les informations recueillies par Verimatrix et ISMG soulignent la nécessité pour les entreprises d'adopter une approche plus proactive de la sécurité des applications mobiles avant qu'il ne soit trop tard.
Conseils de sécurité pour les applications :
- Obtenez une évaluation gratuite de la sécurité des applications mobiles pour identifier les vulnérabilités.
- Protégez vos applications grâce à la sécurité multicouche d'un fournisseur certifié ISO.
- Testez régulièrement votre application mobile pour garder une longueur d'avance sur les malfaiteurs.
- Investir dans la surveillance des applications avec des capacités de détection et de réponse.
- Affectez une personne dédiée à la gestion de la sécurité des applications mobiles et à la mise à jour des cadres.
Pour aller de l'avant, il faut agir au lieu de se contenter d'observer à distance et de ne rien faire. L'amélioration de votre posture de protection des applications ne nécessite pas une approche de sécurité complète dès le départ. Les entreprises doivent simplement commencer. Transformez un conseil en réalité. Puis en essayer un autre. Et encore un autre. Sécurité des applications !
