crédit Photo @watcharakun-Shutterstock
Permettre aux employés d’utiliser leurs terminaux personnels, smartphones et tablettes, à des fins professionnelles dans le cadre de la politique du BYOD (Bring Your Own Device) peut apporter un avantage productif à l’entreprise. Mais aussi des risques de sécurité.
Selon Gartner, jusqu’en 2015, plus de 75 % des applications mobiles téléchargées depuis les Stores échoueront aux tests basiques de sécurité. Sachant qu’elles peuvent accéder aux actifs de l’entreprise ou effectuer des fonctions commerciales, ces applications exposent à des risques d’attaque et violent les règles de sécurité de l’entreprise, indique le cabinet d’études. Par exemple, un lecteur de musique qui, en parallèle, va siphonner les contacts du smartphone ou sa géolocalisation, pour les transférer sur un serveur externe à l’entreprise à son insu.
« Aujourd’hui, plus de 90% des entreprises utilisent des applications commerciales tierces dans le cadre de leurs stratégie mobile BYOD, et c’est sur ce point que les efforts en matière de tests de sécurité devraient se concentrer, estime Dionisio Zumerle, analyste en chef, au sein du Gartner. Les App Stores sont remplies d’applications pertinentes, la plupart du temps. Cependant, les entreprises et individus ne devraient pas les utiliser sans accorder d’attention à la sécurité. Ils devraient télécharger et utiliser seulement celles qui ont passé avec succès les tests des fournisseurs spécialisés. »
En la matière, les deux modèles de tests SAST (static application security testing) et DAST (dynamic application security testing), qui ont fait leurs preuves dans l’univers du fixe, doivent adopter leurs méthodologies aux problématiques des applications mobiles. Un effort qui leur ouvrirait un véritable marché en puissance. Selon Gartner, les terminaux mobiles font aujourd’hui l’objet de trois tentatives d’attaques quand les ordinateurs fixes en essuient une seule. Et, d’ici 2017, 75% des failles de sécurités mobiles seront issues d’une erreur de configuration applicative plutôt que d’attaques sophistiquées sur les mobiles.
A commencer par l’abus d’utilisation de services cloud personnels (BYOC) à la Dropbox, Google Drive, Apple iCloud ou autre Microsoft OneDrive, et les risques de fuites de données professionnelles qui y sont stockées sans que l’entreprise n’en soit toujours alertée. « Même quand les tests de sécurité sont pris en comptes, ils sont généralement effectués occasionnellement par les développeurs qui s’intéressent plus aux fonctionnalités des applications que de leur sécurité », ajoute Dionisio Zumerle. C’est pourquoi, le Gartner recommande aux organisations de se concentrer sur la sécurité mobile en s’appuyant sur des solutions exploitables et efficaces comme le wrapping (ou sandboxing, isolation dans une machine virtuelle), les kits de développement ou le hardening (réduction de la surface de vulnérabilité d’un OS ou un serveur en renforçant sa sécurité). A bon entendeur…
Lire également
Plus de 50% des apps populaires sur Android réutilisent du code faillible
Sécurité : neuf applications mobiles sur dix sont vulnérables
10 conseils pour sécuriser les terminaux mobiles d’entreprise
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.