Tenez-vous informé

Recevoir notre actu

Cybersécurité

Nouveaux contrôles de la CNIL visant la sécurité des applications mobiles

Picture of Christèle Arnoult
By Christèle Arnoult on avril, 4 2023

Pradeo a observé lors des derniers mois, en France et à l’international, une large prise de conscience des risques d’atteinte à la confidentialité liés à l’usage des applications mobiles. En ce sens, la CNIL annonçait il y a quelques jours un plan de contrôle de grande ampleur visant à renforcer le sécurité des applications mobiles. Pradeo vous livre ses recommandations pour se conformer aux attentes des autorités.

Elle l’avait déjà annoncé dans une communication publiée en novembre 2022, la CNIL a déployé des moyens supplémentaires afin de renforcer la protection des données qui sont traitées par les applications mobiles. Le 15 mars dernier, l’autorité est allée plus loin en annonçant un plan de contrôle de grande ampleur visant à vérifier le traitement de ces données dans l’environnement mobile et en l’inscrivant parmi ses thématiques prioritaires de contrôle en 2023.

Comme chacun sait, le mobile est à la fois un point d’accès et un espace où sont manipulées des informations sensibles, personnelles et professionnelles, souvent sans délimitation distincte des usages. Ainsi, s’assurer que ces données ne soient ni exposées, ni corrompues et tracer en toute transparence l’usage qui en est fait est essentiel.

Suite à l’annonce, les éditeurs d’applications mobiles doivent rapidement évaluer leur conformité aux attentes de la CNIL et remédier les manquements constatés. Pradeo propose une boite à outils de sécurité applicative conçue pour répondre à leurs besoins.

 

Contrôles accrus et sanctions pécuniaires

La diversité des acteurs qui interviennent au cours du cycle de vie d’une application mobile implique une grande variété et un volume important d’informations partagées. Cet écosystème est notamment composé d’une part des éditeurs et leurs développeurs, fournisseurs, prestataires et d’autre part, des utilisateurs finaux pouvant faire partie d’organisations de tous secteurs.

Cette situation fait des applications une cible de choix pour les pirates. Ainsi, lorsqu’une application mobile manipule à outrance les données personnelles de ses utilisateurs à l’insu de son éditeur, qu'elle est vulnérable aux attaques extérieures, ou qu'elle peut facilement être contrefaite, c’est la confidentialité des tous ses utilisateurs et leurs éventuelles organisations qui est en danger.

La CNIL, en adéquation avec les exigences du RGPD, attend des éditeurs d’applications mobiles qu’ils protègent les informations manipulées dans le cadre de l’utilisation de leurs applications à hauteur du degré de sensibilité desdites informations. Toutes les données personnelles sont considérées de la plus haute criticité.

Dans ce contexte, l’autorité va mener des contrôles accrus visant à identifier les données auxquelles les applications mobiles et les différentes typologies d’acteurs impliquées ont accès ainsi que les conditions dans lesquelles les transferts sont opérés. Des sanctions pécuniaires sont prévues en cas de manquement.

 

Vers un rapprochement RSSI et DPO

Comme l’implique la nouvelle directive NIS2 qui a pour ambition de renforcer la cybersécurité du marché européen, deux métiers vont être dans l’obligation de consolider leur collaboration autour de sujets désormais fortement complémentaires : légalité et sécurité.

Avec l’intensification du cadre légal s’appliquant à la manipulation et à la traçabilité des données personnelles, le rôle des délégués à la protection des données (DPO) s’étend maintenant au-delà du RGPD pour venir s’inscrire directement dans les enjeux liés à la cybersécurité.

« Le positionnement des DPO est très intéressant : vous êtes à la croisée du technique et du juridique. » Emmanuel Naëgelen, Adjoint au Directeur Général de l’ANSSI

Les DPO vont devoir s’impliquer davantage dans les processus de sécurisation des environnements informatiques et mobiles. Ainsi, ils devront travailler en étroite collaboration sur les sujets cyber avec les RSSI qui mettent en place les moyens techniques pour sécuriser les organisations et lutter à la fois contre les pirates et la fuite de données.

 

Comment préparer vos applications mobiles à un contrôle de la CNIL

 

Maintenant plus que jamais, la publication d’applications mobiles ne doit jamais se faire sans une validation préalable de leur sécurité. Mais bien que les annonces de la CNIL sont claires, passer à l’action peut demander une certaine réflexion.

Pour assister les RSSI et les DPO, Pradeo leur propose une boite à outils permettant de maitriser la confidentialité et la sécurité des applications mobiles tout au long de leur cycle de vie, du développement aux opérations. Elle s’appuie sur une technologie primée et une expérience de plus de 10 ans dans la thématique.

 
1. Faire état de la sécurité actuelle

L’outil automatisé d’audit de conformité des applications mobiles de Pradeo permet :

  • D’obtenir en quelques clics une analyse de conformité intégrant les lois de protection des données et des critères personnalisables
  • De voir en un coup d’œil si l’application manipule des données personnelles
  • De détecter avec précision les manipulations de données réalisées par une application et ses librairies, en spécifiant s’il s’agit d’une utilisation en local, d’un envoi à l’extérieur de l’appareil, d’une modification ou d’une suppression. Cette information est complétée par le lieu de stockage ou d’envoi des données les cas échéants.
  • D’identifier les librairies qui ont des comportements cachés et des vulnérabilités
  • De mettre le doigt sur les risques à remédier avant publication d’une application
  • De justifier d'un travail de sécurisation des applications en montrant un résultat d'audit conforme

2. Remédier les failles et se protéger face aux attaques extérieures

Les outils AppSec complémentaires de Pradeo permettent aux responsables de la sécurité des applications :

  • D’identifier et de remédier en continu les vulnérabilités des applications dès leur conception
  • De renforcer le code des applications pour prévenir le vol ou l’usurpation (clonage)
  • De surveiller les applications mobiles lors de leur utilisation pour détecter et répondre aux menaces extérieures rencontrées
  • De détecter les applications contrefaites tentant de se connecter au serveur des organisations en prétendant être légitimes

Discutez avec des experts en sécurité mobile

Nous contacter