cybersecurite

Cybersécurité et applications mobiles des entreprises

Selon une étude réalisée par Vaadata, 1 entreprise sur 2 ne sécurise pas ses applications, notamment en raison d’un manque de connaissance des risques. Découvrons ensemble les enjeux de sécurité mobile et comment un backend mobile peut protéger vos données.


CYBERSÉCURITÉ & APPLICATIONS MOBILES :

LE NOUVEAU DÉFI DES ENTREPRISES

 

UNE PRISE DE CONSCIENCE ESSENTIELLE

Bien que sensibilisé sur les questions de sécurité informatique, la cybersécurité mobile a encore du mal à rentrer dans les process internes. Pourtant, pour les Dirigeants d’entreprises et leur Direction des Systèmes d’Information les enjeux sont de plus en plus présents (vols de données sensibles, mauvaise image dans les médias…), d’autant plus que les attaques sur mobiles sont de plus en plus nombreuses.

cybersecurite1

Aujourd’hui devenues un axe de communication majeur, les applications mobiles sont dotées d’architectures complexes, et ne sont plus de simples gadgets « qu’il faut avoir pour être moderne ». Ainsi, que ce soit en externe pour les clients (B2C) ou en interne pour les DRH (B2E), sans parler des équipes en situation de mobilité pour qui ce sont des outils utilisés au quotidien (B2B), les risques sont multiples.

La prise de conscience de ces risques mais aussi des solutions existantes devient dès lors primordiale pour réaliser des projets d’apps métiers sécurisés. Mais, lorsque l’on développe un projet métier d’apps d’entreprise, il faut envisager cette problématique de façon globale.

DES MENACES MULTIPLES LOURDES

Comme nous l’avons vu, sans sécurisation de vos données, vous risquez un piratage. Schématiquement on peut compter trois niveaux de problèmes de sécurité : au niveau du terminal physique smartphone ou tablette, au niveau des logiciels et données embarquées sur ce terminal et enfin au niveau des échanges d’information avec le système d’information de l’entreprise.

Par exemple, l’accès à l’intégralité des informations disponibles sur les applications mobiles de l’entreprise par une personne qui pourrait être malveillante, ou la pratique du  Bring Your Own Device (BYOD), qui doit impérativement être encadrée, sous risque d’aller à l’encontre des politiques de sécurisation des DSI. Seulement il est aujourd’hui difficile pour les sociétés d’imposer l’usage d’un smartphone d’entreprise sécurisé, comme il se faisait à l’époque des Blackberry où le Mobile Device Management était unifié et les informations cryptées de bout en bout.

Pourtant, des millions de smartphones sous Android comportent des backdoors vulnérables, sans parler des malwares qui ciblent les comptes Google comme Gooligan ou ceux présents dans les apps téléchargées en dehors du Play Store de Google…
Les iPhones d’Apple, avec leur solution globale propriétaire (terminal, OS Mobile et App Store) sont beaucoup mieux protégés, avec des politiques d’échange de données qui visent le cryptage de bout en bout avec l’Apple Tranfert Protocol (ATS), et qui n’ont pas vraiment à ce jour d’équivalent sur Android.

LE BACKEND MOBILE, LA CLÉ DE VOTRE SÉCURITÉ

Vous devez donc chercher à mettre en place une série de bonnes pratiques permettant de limiter les risques, comme par exemple : le verrouillage de l’accès par code PIN ou mieux via capteur biométrique fiable (comme les AuthenTec d’Apple depuis les iPhones 5s), le cryptage des données du smartphone, ou encore la mise en place d’accès réservés pour répondre à des besoins particuliers…
L’ensemble de ces bonnes pratiques pourront être centralisées dans un Mobile Device Management (MDM), mais est-ce vraiment suffisant pour garantir un contrôle fiable et maîtriser toutes fuites de vos données ?

L’architecture des apps

Pour assurer la sécurité d’un projet applicatif, nous pensons qu’il est indispensable de se pencher sur son architecture. On évite donc de faire accéder directement les apps au système d’information de l’entreprise en intercalant entre les deux un middleware, appelé backend mobile.

Le Mobile Backend intervient à la fois sur la sécurisation côté client, sur l’application et sur les échanges. Ainsi donc, grâce à son architecture sécurisée (regardez du côté de l’hébergement, certifié ou non, privé ou non, audits externes réalisés etc.) et ses accès réglementés , il protège vos APIs et vos données, tandis que les Logs et outils de Monitoring mis en place permettent de détecter et d’identifier rapidement des comportements malveillants.

Celui-ci sera la seule porte d’accès des applications au système d’information. Il délivrera uniquement aux apps les informations dont elles ont besoin, et générera des alertes aux équipes IT en cas d’usage inapproprié. Le backend mobile se connectera de façon vraiment sécurisée, par exemple via VPN, au système d’information des entreprises.

cybersecurite2

 

Mais une solution de Mobile Backend ne va-t-elle pas alourdir le développement des apps ?
 La réponse est non ! Baser ses développements d’apps sur une plateforme de Mobile Backend dans le cloud ne présente que des avantages : d’abord les applications seront centrées sur l’affichage des données et l’expérience utilisateur, elles contiendront du coup peu ou pas de code spécifique métier, et posséderont par conséquent le même périmètre fonctionnel quel que soit les OS mobile (iOS, Android, Windows Phone) sur lesquels elles seront déployées.
Ensuite, la logique métier (bases de données, développements logiciels, accès API par webservices…) sera codée de façon unique dans le cloud, et pourra donc être facilement mise à jour sans avoir besoin de republier les apps.
Enfin et surtout, la DSI aura l’opportunité d’industrialiser les développements mobiles entre les apps en réutilisant et en adaptant des webservices déjà réalisés pour une autre application mobile. Cela rendra la DSI beaucoup plus réactive sur les projets d’apps (d’après le Gartner, actuellement à peine 1 projet d’apps métier sur 5 aboutit faute de capacité de développement disponible…)

On peut donc considérer le Mobile Backend comme un socle agile pour développer les applications d’entreprise en toute sécurité. Cette agilité concerne également les évolutions des apps dans la durée : nouvelles fonctionnalités, nouveaux OS mobiles, nouveaux terminaux…

Et vous utilisez-vous une solution de Mobile Backend pour vous prémunir contre les menaces de votre parc mobile ?

Un commentaire a été laissé sur l'article “Cybersécurité et applications mobiles des entreprises

  1. C’est pour ces détails que les agences de développement mobile doivent conseiller leurs clients de choisir la meilleure solution. Je ne pense pas qu’un client refusera de sécuriser son application à cause du coût.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


4 + quatre =

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>