Blog | Pradeo

Analyse et contrôle de sécurité des applications : distinguer les données d’aide à la décision des informations stériles

Rédigé par Roxane Suau | 26 juin 2020 12:50:19

Inutile de souligner que les applications sont au cœur même des usages mobiles. Hormis dans des cas très spécifiques, les collaborateurs mobiles ont besoin de flexibilité dans l'utilisation de leurs applications et doivent être libres de télécharger, en plus de l'ensemble des applications d'entreprise fournies, toute autre application dont ils pourraient avoir besoin. En outre, il ne peut en être autrement avec les configurations BYOD (Bring Your Own Device) qui se démocratisent de plus en plus.

 

L'efficacité de la politique de sécurité mobile repose alors sur les capacités de la solution d’analyse et de contrôle des applications à détecter correctement les activités suspectes et à protéger les informations de l'entreprise en appliquant les mesures de sécurité adéquates.

Dans la masse d'informations fournies dans les rapports de sécurité des applications mobiles, il est crucial de distinguer les véritables données de sécurité des infos inutiles. La quantité n'est pas un gage de qualité et un écueil courant est de ne pas regarder en détail la profondeur et la pertinence des informations fournies, et donc la capacité de la solution à tirer une conclusion efficace sur la criticité des applications.

 

Permissions, bibliothèques et communications, et alors ?

Si la liste détaillée des permissions, bibliothèques et communications est le bon point de départ d’une analyse, cette évaluation doit être complétée par une étude comportementale plus approfondie afin de fournir une compréhension claire des menaces inhérentes à l’application.

En effet, l'examen des permissions ou des bibliothèques décrit les activités que l'application est autorisée ou capable de réaliser, mais dans quelle mesure ? Par exemple, donner accès aux contacts pour une application sociale est logique, mais envoyer la liste des contacts du terminal est une toute autre histoire.

Après avoir identifié les connexions effectuées par l'application (sont-elles sécurisées et fiables ? S’agit-il d’une connexion attendue au regard de la nature de l’application ?) la question centrale est de savoir quelles données sont échangées par le biais de cette connexion.

Par conséquent, au-delà du référencement des permissions, des bibliothèques et des communications, l’objectif principal est d'identifier ce que l'application fait avec les données et si ces activités sont conformes à la politique de sécurité de l'entreprise et, plus largement, si elles sont conformes avec la législation.

La réglementation en matière de protection des données précise que les entreprises sont responsables du traitement des données effectué par leur système d'informations et les terminaux mobiles en font partie intégrante.

Enfin, les logiciels malveillants (malwares) connus et inconnus ainsi que les menaces avancées ou persistantes doivent être clairement identifiées. Le paysage des menaces mobiles est en constante évolution, avec des attaques de plus en plus évoluées et discrètes. La détection des signatures virales et des malwares standards est nécessaire, mais sans intérêt si seul. Un mécanisme de détection efficace doit capter les signaux faibles pour révéler les activités malveillantes.

 

Un véritable outil décisionnel

Le contrôle des applications est une composante clé de la sécurité mobile et constitue un outil de décision à part entière. Il est impossible de transiger sur sa précision au risque de nombreux faux-positifs et négatifs induisant de la frustration chez les utilisateurs finaux, un manque de visibilité pour les responsables de sécurité et le non-respect de la réglementation.

Le tableau ci-dessous vise à guider les entreprises dans l'évaluation de la valeur apportée par un rapport d'analyse d'application. Si vous êtes en train de choisir une solution, une comparaison étape par étape des rapports d'un même ensemble d'applications devrait permettre de dégager les divergences et capacités majeures entre les solutions.

 

Contenu du rapport

Source

Utilité à des fins de sécurité

Exemple

Malwares connus

Base de données

Décisionnel

Signatures virales

Malwares inconnus

Analyse comportementale

Décisionnel

Keylogger, screenlogger, overlay…

Liste des permissions demandées

Données publiques

Informative

Accès à la géolocalisation, aux contacts

Dérives d’une permission

Analyse comportementale

Décisionnel

Interception d’un OTP, fuite de données…

Liste des bibliothèques

Données publiques

Informative

Marketing, connexion, de développement…

Bibliothèques exfiltrant les données

Analyse comportementale

Décisionnel

Bibliothèque de marketing récupérant les informations des utilisateurs

Vulnérabilités de code et des bibliothèques

Base de données

Décisionnel

 

Manipulation des données

Analyse comportementale

Décisionnel

Envoi du journal d’appels du terminal...

Traitement des données mettant en danger la réglementation sur la protection des données

Analyse comportementale

Décisionnel

Données de l'utilisateur (informations sur l'utilisateur et ses contacts, vidéo, fichiers...)

Liste des communications

Données publiques

Informative

 

Analyse des communications

Analyse comportementale

Décisionnel

Connexion fiable et sécurisée, hameçonnage (phishing)...

Communications combinées à l'envoi de données

Analyse comportementale

Décisionnel

Des données exfiltrées vers des destinations inattendues

 

En résumé, si vous envisagez de déployer de l’analyse et du contrôle d’applications dans le cadre d’une solution de protection de flotte mobile (Mobile Threat Defense) ou au travers d’une solution autonome, vous pouvez vous fier à ce tableau pour évaluer la véritable valeur que vous obtiendrez de cette solution. Assurez-vous que vous investissez dans un outil présentant une vraie valeur ajoutée et pas simplement dans une solution fantaisiste qui regroupe, à un prix abusif, des éléments d'information publiques.