L’adoption des applications mobiles n’est plus à débattre. Alors que la majorité des organisations en tire profit pour améliorer l’expérience de ses utilisateurs, c’est l’ensemble de l’écosystème mobile qui évolue en conséquence. Les cybercriminels y voient un moyen de générer des revenus illicites. Les autorités y voient un risque important concernant la confidentialité des données. Et les utilisateurs ont confiance en la capacité des entreprises à protéger leurs informations personnelles.
Les mesures visant à sécuriser les applications mobiles peuvent parfois s’avérer complexes. Trop de restrictions peuvent frustrer et dégrader l’expérience utilisateur, mais ne pas intégrer de protection adaptée entraîne la surexposition des données. La technologie de sécurité mobile in-app de Pradeo (Runtime Application Self-Protection, RASP) a été élaborée afin de rigoureusement protéger les données et transactions des applications mobiles, sans impacter leur performance.
Sécurité mobile in-app : Protéger l’exécution des applications en temps réel
La solution RASP de Pradeo est un SDK prêt à l’emploi à intégrer aux applications mobiles. Elle s’appuie sur la capacité de détection ultra-précise du moteur Pradeo Security pour tirer des conclusions sur l’intégrité de l’environnement qui l’entoure. Une fois ajouté au code d’une application, le SDK lui procure une vision complète des menaces environnantes et lui offre la possibilité d’adapter son exécution en fonction.
Prenons un cas d’usage courant. Robert est client d’une grande banque et utilise l’appli mobile que celle-ci lui propose, tout comme 43% des détenteurs de smartphone qui ont un compte bancaire (source : Réserve fédérale des Etats-Unis). En plus de son appli bancaire, Robert a installé quelques jeux sur son téléphone. L’un de ces jeux héberge un malware qui exfiltre ce qui est tapé sur le clavier du smartphone (keylogger). Quand Robert ouvre son appli pour consulter son solde ou effectuer un transfert d’argent, deux scénarios sont possibles : Dans le premier, les identifiants de connexion de Robert sont volés par le malware. Dans le second, l’application bancaire alerte Robert qu’un malware est présent sur son téléphone et qu’il doit le désinstaller avant de continuer. Dans le deuxième cas, la banque est un client de Pradeo et utilise la solution de sécurité mobile in-app Pradeo Security.
Une solution imposée par la loi dans les secteurs à risque
La finance, la santé, l’énergie, l’e-commerce, le gouvernement, etc. sont des domaines sensibles où des contraintes de sécurité strictes sont imposées par les politiques internes et les réglementations.
Lorsque l’on se concentre sur les services financiers, on constate que la forte adoption des applications et paiements mobiles a entraîné une augmentation importante de la fraude. Aujourd’hui, le service Fraud & Risk Intelligence de RSA dénombre que 71% des fraudes sont effectuées sur mobile. En conséquence, les autorités complètent les lois existantes et en publient de nouvelles pour spécifiquement réguler les activités financières réalisées sur cette surface.
En Europe, la deuxième Directive sur les Services de Paiement (DSP2) a été adoptée par l’autorité bancaire européenne début 2018. Cette nouvelle directive vise à harmoniser la protection des paiements électroniques et des données bancaires des utilisateurs tout en promouvant l’innovation et une meilleure expérience utilisateur. Les articles 4, 7, 8 et 9 du DSP2 exigent des banques, prestataires de services de paiement (PSP) et autres entreprises qui gèrent des données financières en Europe, de sécuriser leurs services mobiles en instaurant une authentification forte et en sécurisant leur environnement d’exécution.
Aux États-Unis, le Federal Financial Institutions Examination Council (FFIEC) a récemment ajouté une annexe nommée « Services financiers mobiles » à son livret sur les systèmes de paiement. L’alinéa 5.B de cette annexe recommande aux organisations d’éliminer les risques de sécurité des applications mobiles en implémentant une authentification rigoureuse, en intégrant des fonctionnalités anti-malware et en traquant les variations de sécurité et les comportements suspects.
Ces deux réglementations, ainsi que d’autres non-évoquées dans cet article, recommandent l’utilisation d’une solution de protection in-app pour garantir la sécurité des données sensibles traitées par les applis mobiles.
Solution de sécurité mobile in-app Pradeo Security : Avantages clés
Défense avancée : Toute application mobile est exposée à l’environnement qui l’entoure. Quand un malware est hébergé sur un smartphone, il peut collecter des données manipulées en local, et quand une attaque de type Man-In-The-Middle est perpétrée, toutes les données envoyées sur le réseau sont interceptées. Une authentification sécurisée va de pair avec une détection précise des menaces sur le terminal pour assurer l’intégrité de l’environnement d’exécution. Le SDK de Pradeo Security analyse et conclut sur l’intégrité des terminaux (en analysant les applis, le réseau et l’OS) avant d’autoriser le lancement de l’application qu’il protège, garantissant ainsi que son exécution n’entraînera aucune fuite ou vol de données.
Analyse précise des menaces : Les cybermenaces évoluent rapidement. De plus en plus d'organisations utilisent des solutions SIEM pour agréger et analyser les événements de sécurité qui se produisent au sein de leur environnement numérique. La solution Pradeo Security livre en temps réel des données de sécurité mobiles aux bases de données SIEM offrant ainsi une visibilité précise sur les menaces qui opèrent sur mobile.
Sécurité automatisée en temps réel : Le statut des terminaux mobiles change constamment. Un environnement sain peut subitement devenir risqué s'il est relié à un réseau WiFi non sécurisé ou exposé à un malware, et vice versa. Une fois intégré au code source d'une application mobile, le SDK RASP Pradeo Security contrôle en permanence le niveau de sécurité des terminaux afin de fournir une protection en temps réel. Tout cela est fait automatiquement, en fonction des paramètres définis dans la plateforme Pradeo.
Politique de sécurité personnalisable : Chaque secteur a des besoins de sécurité spécifiques. Un environnement d’exécution considéré sûr pour un jeu ne signifie pas pour autant qu’il est sans danger pour une application bancaire. Pradeo Security offre une gamme de politique de sécurité prédéfinies et entièrement personnalisables, pour s’adapter précisément à tous les besoins.
Expérience utilisateur optimale : Les utilisateurs attendent aujourd'hui des entreprises qu'elles leur fournissent une expérience optimale, tout en assurant la protection de leurs données. Pradeo Security effectue des contrôles de sécurité transparents qui n’ont aucune incidence sur la consommation de la batterie ou le fonctionnement du système.
Pour plus de détails sur cette solution, contactez alicja.bialas@pradeo.com
Vous pourriez être intéressé par:
- Cas d’usage : Cette banque protége son application mobile contre la fraude avec Pradeo Security
- Fiche produit : Protection In-app
- Livre blanc - Applications bancaires : Législation, menaces et prévention de la fraude