Le développement d'applications mobiles est un processus dynamique qui implique de multiples parties prenantes, des délais serrés, des budgets souvent limités et divers cadres de travail, tant pour le codage que pour la conformité. L'une de ces contraintes concerne les règles réglementaires et les nouvelles lois relatives à la sécurité des applications. Le monde de la réglementation des logiciels pour les applications mobiles est comme un jeu avec des lignes directrices en constante évolution. Voici quelques lois nouvelles ou à venir que nous avons pensé vous faire connaître - plongeons-y.
1. Loi sur les marchés numériques (DMA)
La loi sur les marchés numériques (DMA) loi sur les marchés numériques (DMA) qui entrera en vigueur en mars 2024, vise à lutter contre les pratiques monopolistiques des grandes entreprises technologiques et à introduire davantage de concurrence en autorisant les places de marché d'applications tierces. Cette législation aura un impact significatif sur la sécurité des applications mobiles, car les utilisateurs de l'UE auront la possibilité de télécharger des applications à partir de sources autres que les principaux magasins d'applications tels que Google Play et l'App Store d'Apple. L'ouverture de ces nouveaux canaux de distribution pourrait potentiellement accroître les vulnérabilités, car ces plateformes pourraient ne pas avoir les mêmes mesures de sécurité rigoureuses que les magasins établis, ce qui augmenterait le risque de distribution de logiciels malveillants et de failles de sécurité.
Les développeurs doivent-ils prendre des mesures proactives pour s'aligner sur la DMA ? "Absolument", affirme Tom Powledge, responsable de la cybersécurité chez Verimatrix. "Ajouter la sécurité des applications et tester la sécurité de ces applications avant de les déployer sont des premières étapes intelligentes. Il ne s'agit pas seulement d'un avantage, mais d'une nécessité."
Apple et Google s'adaptent en améliorant leurs protocoles de sécurité. Apple renforce la sécurité par la notarisation des applications iOS, les descriptions d'installation, l'autorisation des développeurs et des protections avancées contre les logiciels malveillants afin de maintenir l'intégrité de la plateforme tout en se conformant à la DMA. Google se concentre sur la transparence et la sécurité avec des initiatives telles que les étiquettes de sécurité des données, les examens de sécurité indépendants par l'intermédiaire de l'ADA, et les étiquettes complètes de nutrition de la vie privée pour informer les utilisateurs et protéger leurs données à mesure que le marché des applications se développe.
Les développeurs doivent eux aussi adopter des tests rigoureux et des mesures de sécurité robustes. Ces mesures, combinées aux améliorations mises en œuvre par Apple et Google, contribueront à garantir la sécurité des applications, quel que soit l'endroit où elles sont téléchargées.
2. Mandat d'attestation de l'OMB pour la LPCC
Le mandat d'attestation de l'Office de gestion et du budget (OMB) de la CISA mandat d'attestation de l'Office of Management and Budget (OMB) de la CISA apporte un nouveau niveau de conformité pour les fournisseurs de logiciels des agences fédérales américaines. Ce mandat impose des normes strictes en matière de cybersécurité afin de protéger les acquisitions de logiciels par le gouvernement.
Pour les développeurs, le mandat implique l'adoption d'une surveillance continue et de tests automatisés afin de maintenir la conformité au fil du temps. Des techniques telles que app shielding fournissent une couche défensive cruciale pour les collaborations gouvernementales, en protégeant les applications contre divers exploits.
"La sécurité vérifiable est en train de devenir un critère de base pour les contrats de logiciels fédéraux", déclare Tom. "Ce mandat exigera des fournisseurs de logiciels qu'ils s'assurent que les agences fédérales respectent les normes de cybersécurité spécifiées. Le risque de non-conformité comprend non seulement des pénalités financières, mais aussi l'exclusion de futurs contrats gouvernementaux, ce qui pourrait être préjudiciable. La bonne nouvelle, c'est que les mandats de ce type sont généralement introduits progressivement, avec des échéances fixées à l'avance."
"La conformité est un parcours, pas une case à cocher", affirme Simon Emery, responsable des alliances avec les partenaires chez Verimatrix. "La mise en œuvre d'une surveillance continue des applications et des appareils non gérés, ainsi que de tests automatisés, peut garantir une conformité continue. Le bouclier applicatif agit comme une couche défensive pour protéger contre l'exploitation, ce qui est crucial pour maintenir la confiance et l'intégrité dans les collaborations gouvernementales."
3. Loi européenne sur la cyber-résilience (CRA)
La loi sur la cyber-résilience (CRA) Loi sur la cyber-résilience (CRA) est la tentative de l'Union européenne de normaliser des normes de sécurité élevées pour tous les produits numériques, y compris les applications. Avec des sanctions pouvant aller jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial en cas de non-conformité, l'enjeu est de taille.
Les développeurs d'applications peuvent s'y conformer en adoptant une approche "sécurité d'abord", de la phase de conception au déploiement. Intégrer le durcissement des applications dans votre processus CI/CD est une étape que de nombreuses équipes de développement d'applications ont déjà adoptée. Des audits de sécurité réguliers et des tests proactifs de gestion des vulnérabilités, en particulier s'ils portent sur les vulnérabilités figurant dans le Top 10 des vulnérabilités mobiles de l'OWASP de l'OWASP, peuvent aider les développeurs à respecter les normes de l'ARC, en garantissant que leurs produits sont sûrs et sécurisés à chaque étape.
"L'ARC n'est pas une simple réglementation, c'est un engagement public en faveur de la confiance dans le numérique", explique Tom. "Fondamentalement, elle protège à la fois les consommateurs et l'intégrité du marché numérique. Il s'agit d'une démarche proactive visant à normaliser les pratiques de sécurité et à renforcer la responsabilité dans l'ensemble de l'industrie technologique en Europe. Avec le temps, cette démarche se répandra probablement dans le monde entier."
"Sécurisé dès la conception et sécurisé dans la pratique", c'est ce que j'aime à dire", déclare Simon. "Les développeurs qui adoptent une approche de la sécurité basée sur le cycle de vie - du blindage rigoureux des applications aux audits de sécurité réguliers, de la conception initiale au déploiement - se retrouveront du bon côté de la loi sans avoir à faire beaucoup d'efforts."
Récapitulatif
Oui, DevSecRegs est en train de devenir une réalité, et les trois réglementations ci-dessus ne sont que la partie émergée d'un iceberg réglementaire en pleine expansion. Il est essentiel de comprendre les réglementations relatives à la sécurité des applications mobiles et de s'y préparer. Il ne s'agit pas seulement d'éviter les sanctions, mais aussi de protéger votre entreprise et de gagner la confiance de vos utilisateurs. Comme ces réglementations ne cessent d'évoluer et que de nouvelles règles sont créées/déployées, la meilleure approche pour les développeurs est de rester informés et de prendre des mesures proactives.
Verimatrix XTD permet d'accélérer le processus de mise en conformité en offrant des fonctions de protection de haut niveau telles que l'obscurcissement du code, l'anti-tamperinget la protection de l'exécution. Ces fonctions sont essentielles pour protéger les applications contre les menaces telles que les logiciels malveillants, les attaques de la chaîne d'approvisionnementet la falsification. Les techniques avancées et la détection des menaces par l'IA jouent également un rôle clé.
Pour maintenir un niveau de sécurité élevé, les applications mobiles doivent faire l'objet d'une vérification continue des vulnérabilités et de la conformité, avant et après leur lancement. Il est important de disposer d'équipes distinctes : l'une chargée de renforcer la sécurité de l'application et l'autre de procéder aux tests. Cette séparation garantit l'impartialité et la rigueur du processus.
