Inutile de souligner que les applications sont au cœur même des usages mobiles. Hormis dans des cas très spécifiques, les collaborateurs mobiles ont besoin de flexibilité dans l'utilisation de leurs applications et doivent être libres de télécharger, en plus de l'ensemble des applications d'entreprise fournies, toute autre application dont ils pourraient avoir besoin. En outre, il ne peut en être autrement avec les configurations BYOD (Bring Your Own Device) qui se démocratisent de plus en plus.
L'efficacité de la politique de sécurité mobile repose alors sur les capacités de la solution d’analyse et de contrôle des applications à détecter correctement les activités suspectes et à protéger les informations de l'entreprise en appliquant les mesures de sécurité adéquates.
Dans la masse d'informations fournies dans les rapports de sécurité des applications mobiles, il est crucial de distinguer les véritables données de sécurité des infos inutiles. La quantité n'est pas un gage de qualité et un écueil courant est de ne pas regarder en détail la profondeur et la pertinence des informations fournies, et donc la capacité de la solution à tirer une conclusion efficace sur la criticité des applications.
Si la liste détaillée des permissions, bibliothèques et communications est le bon point de départ d’une analyse, cette évaluation doit être complétée par une étude comportementale plus approfondie afin de fournir une compréhension claire des menaces inhérentes à l’application.
En effet, l'examen des permissions ou des bibliothèques décrit les activités que l'application est autorisée ou capable de réaliser, mais dans quelle mesure ? Par exemple, donner accès aux contacts pour une application sociale est logique, mais envoyer la liste des contacts du terminal est une toute autre histoire.
Après avoir identifié les connexions effectuées par l'application (sont-elles sécurisées et fiables ? S’agit-il d’une connexion attendue au regard de la nature de l’application ?) la question centrale est de savoir quelles données sont échangées par le biais de cette connexion.
Par conséquent, au-delà du référencement des permissions, des bibliothèques et des communications, l’objectif principal est d'identifier ce que l'application fait avec les données et si ces activités sont conformes à la politique de sécurité de l'entreprise et, plus largement, si elles sont conformes avec la législation.
La réglementation en matière de protection des données précise que les entreprises sont responsables du traitement des données effectué par leur système d'informations et les terminaux mobiles en font partie intégrante.
Enfin, les logiciels malveillants (malwares) connus et inconnus ainsi que les menaces avancées ou persistantes doivent être clairement identifiées. Le paysage des menaces mobiles est en constante évolution, avec des attaques de plus en plus évoluées et discrètes. La détection des signatures virales et des malwares standards est nécessaire, mais sans intérêt si seul. Un mécanisme de détection efficace doit capter les signaux faibles pour révéler les activités malveillantes.
Le contrôle des applications est une composante clé de la sécurité mobile et constitue un outil de décision à part entière. Il est impossible de transiger sur sa précision au risque de nombreux faux-positifs et négatifs induisant de la frustration chez les utilisateurs finaux, un manque de visibilité pour les responsables de sécurité et le non-respect de la réglementation.
Le tableau ci-dessous vise à guider les entreprises dans l'évaluation de la valeur apportée par un rapport d'analyse d'application. Si vous êtes en train de choisir une solution, une comparaison étape par étape des rapports d'un même ensemble d'applications devrait permettre de dégager les divergences et capacités majeures entre les solutions.
Contenu du rapport |
Source |
Utilité à des fins de sécurité |
Exemple |
Malwares connus |
Base de données |
Décisionnel |
Signatures virales |
Malwares inconnus |
Analyse comportementale |
Décisionnel |
Keylogger, screenlogger, overlay… |
Liste des permissions demandées |
Données publiques |
Informative |
Accès à la géolocalisation, aux contacts |
Dérives d’une permission |
Analyse comportementale |
Décisionnel |
Interception d’un OTP, fuite de données… |
Liste des bibliothèques |
Données publiques |
Informative |
Marketing, connexion, de développement… |
Bibliothèques exfiltrant les données |
Analyse comportementale |
Décisionnel |
Bibliothèque de marketing récupérant les informations des utilisateurs |
Vulnérabilités de code et des bibliothèques |
Base de données |
Décisionnel |
|
Manipulation des données |
Analyse comportementale |
Décisionnel |
Envoi du journal d’appels du terminal... |
Traitement des données mettant en danger la réglementation sur la protection des données |
Analyse comportementale |
Décisionnel |
Données de l'utilisateur (informations sur l'utilisateur et ses contacts, vidéo, fichiers...) |
Liste des communications |
Données publiques |
Informative |
|
Analyse des communications |
Analyse comportementale |
Décisionnel |
Connexion fiable et sécurisée, hameçonnage (phishing)... |
Communications combinées à l'envoi de données |
Analyse comportementale |
Décisionnel |
Des données exfiltrées vers des destinations inattendues |
En résumé, si vous envisagez de déployer de l’analyse et du contrôle d’applications dans le cadre d’une solution de protection de flotte mobile (Mobile Threat Defense) ou au travers d’une solution autonome, vous pouvez vous fier à ce tableau pour évaluer la véritable valeur que vous obtiendrez de cette solution. Assurez-vous que vous investissez dans un outil présentant une vraie valeur ajoutée et pas simplement dans une solution fantaisiste qui regroupe, à un prix abusif, des éléments d'information publiques.