75% des applications mobiles ne passent pas les tests de sécurité

En ne testant pas les applications mobiles utilisées par les salariés dans le cadre des politiques BYOD, les entreprises s’exposent aux risques d’attaques des pirates.

Permettre aux employés d’utiliser leurs terminaux personnels, smartphones et tablettes, à des fins professionnelles dans le cadre de la politique du BYOD (Bring Your Own Device) peut apporter un avantage productif à l’entreprise. Mais aussi des risques de sécurité.

Selon Gartner, jusqu’en 2015, plus de 75 % des applications mobiles téléchargées depuis les Stores échoueront aux tests basiques de sécurité. Sachant qu’elles peuvent accéder aux actifs de l’entreprise ou effectuer des fonctions commerciales, ces applications exposent à des risques d’attaque et violent les règles de sécurité de l’entreprise, indique le cabinet d’études. Par exemple, un lecteur de musique qui, en parallèle, va siphonner les contacts du smartphone ou sa géolocalisation, pour les transférer sur un serveur externe à l’entreprise à son insu.

Trois attaques mobiles pour une fixe

« Aujourd’hui, plus de 90% des entreprises utilisent des applications commerciales tierces dans le cadre de leurs stratégie mobile BYOD, et c’est sur ce point que les efforts en matière de tests de sécurité devraient se concentrer, estime Dionisio Zumerle, analyste en chef, au sein du Gartner. Les App Stores sont remplies d’applications pertinentes, la plupart du temps. Cependant, les entreprises et individus ne devraient pas les utiliser sans accorder d’attention à la sécurité. Ils devraient télécharger et utiliser seulement celles qui ont passé avec succès les tests des fournisseurs spécialisés. »

En la matière, les deux modèles de tests SAST (static application security testing) et DAST (dynamic application security testing), qui ont fait leurs preuves dans l’univers du fixe, doivent adopter leurs méthodologies aux problématiques des applications mobiles. Un effort qui leur ouvrirait un véritable marché en puissance. Selon Gartner, les terminaux mobiles font aujourd’hui l’objet de trois tentatives d’attaques quand les ordinateurs fixes en essuient une seule. Et, d’ici 2017, 75% des failles de sécurités mobiles seront issues d’une erreur de configuration applicative plutôt que d’attaques sophistiquées sur les mobiles.

Les risques du BYOC

A commencer par l’abus d’utilisation de services cloud personnels (BYOC) à la Dropbox, Google Drive, Apple iCloud ou autre Microsoft OneDrive, et les risques de fuites de données professionnelles qui y sont stockées sans que l’entreprise n’en soit toujours alertée. « Même quand les tests de sécurité sont pris en comptes, ils sont généralement effectués occasionnellement par les développeurs qui s’intéressent plus aux fonctionnalités des applications que de leur sécurité », ajoute Dionisio Zumerle. C’est pourquoi, le Gartner recommande aux organisations de se concentrer sur la sécurité mobile en s’appuyant sur des solutions exploitables et efficaces comme le wrapping (ou sandboxing, isolation dans une machine virtuelle), les kits de développement ou le hardening (réduction de la surface de vulnérabilité d’un OS ou un serveur en renforçant sa sécurité). A bon entendeur…


Lire également

Plus de 50% des apps populaires sur Android réutilisent du code faillible

Sécurité : neuf applications mobiles sur dix sont vulnérables

10 conseils pour sécuriser les terminaux mobiles d’entreprise