Pradeo a observé lors des derniers mois, en France et à l’international, une large prise de conscience des risques d’atteinte à la confidentialité liés à l’usage des applications mobiles. En ce sens, la CNIL annonçait il y a quelques jours un plan de contrôle de grande ampleur visant à renforcer le sécurité des applications mobiles. Pradeo vous livre ses recommandations pour se conformer aux attentes des autorités.
Elle l’avait déjà annoncé dans une communication publiée en novembre 2022, la CNIL a déployé des moyens supplémentaires afin de renforcer la protection des données qui sont traitées par les applications mobiles. Le 15 mars dernier, l’autorité est allée plus loin en annonçant un plan de contrôle de grande ampleur visant à vérifier le traitement de ces données dans l’environnement mobile et en l’inscrivant parmi ses thématiques prioritaires de contrôle en 2023.
Comme chacun sait, le mobile est à la fois un point d’accès et un espace où sont manipulées des informations sensibles, personnelles et professionnelles, souvent sans délimitation distincte des usages. Ainsi, s’assurer que ces données ne soient ni exposées, ni corrompues et tracer en toute transparence l’usage qui en est fait est essentiel.
Suite à l’annonce, les éditeurs d’applications mobiles doivent rapidement évaluer leur conformité aux attentes de la CNIL et remédier les manquements constatés. Pradeo propose une boite à outils de sécurité applicative conçue pour répondre à leurs besoins.
La diversité des acteurs qui interviennent au cours du cycle de vie d’une application mobile implique une grande variété et un volume important d’informations partagées. Cet écosystème est notamment composé d’une part des éditeurs et leurs développeurs, fournisseurs, prestataires et d’autre part, des utilisateurs finaux pouvant faire partie d’organisations de tous secteurs.
Cette situation fait des applications une cible de choix pour les pirates. Ainsi, lorsqu’une application mobile manipule à outrance les données personnelles de ses utilisateurs à l’insu de son éditeur, qu'elle est vulnérable aux attaques extérieures, ou qu'elle peut facilement être contrefaite, c’est la confidentialité des tous ses utilisateurs et leurs éventuelles organisations qui est en danger.
La CNIL, en adéquation avec les exigences du RGPD, attend des éditeurs d’applications mobiles qu’ils protègent les informations manipulées dans le cadre de l’utilisation de leurs applications à hauteur du degré de sensibilité desdites informations. Toutes les données personnelles sont considérées de la plus haute criticité.
Dans ce contexte, l’autorité va mener des contrôles accrus visant à identifier les données auxquelles les applications mobiles et les différentes typologies d’acteurs impliquées ont accès ainsi que les conditions dans lesquelles les transferts sont opérés. Des sanctions pécuniaires sont prévues en cas de manquement.
Comme l’implique la nouvelle directive NIS2 qui a pour ambition de renforcer la cybersécurité du marché européen, deux métiers vont être dans l’obligation de consolider leur collaboration autour de sujets désormais fortement complémentaires : légalité et sécurité.
Avec l’intensification du cadre légal s’appliquant à la manipulation et à la traçabilité des données personnelles, le rôle des délégués à la protection des données (DPO) s’étend maintenant au-delà du RGPD pour venir s’inscrire directement dans les enjeux liés à la cybersécurité.
« Le positionnement des DPO est très intéressant : vous êtes à la croisée du technique et du juridique. » Emmanuel Naëgelen, Adjoint au Directeur Général de l’ANSSI
Les DPO vont devoir s’impliquer davantage dans les processus de sécurisation des environnements informatiques et mobiles. Ainsi, ils devront travailler en étroite collaboration sur les sujets cyber avec les RSSI qui mettent en place les moyens techniques pour sécuriser les organisations et lutter à la fois contre les pirates et la fuite de données.
Maintenant plus que jamais, la publication d’applications mobiles ne doit jamais se faire sans une validation préalable de leur sécurité. Mais bien que les annonces de la CNIL sont claires, passer à l’action peut demander une certaine réflexion.
Pour assister les RSSI et les DPO, Pradeo leur propose une boite à outils permettant de maitriser la confidentialité et la sécurité des applications mobiles tout au long de leur cycle de vie, du développement aux opérations. Elle s’appuie sur une technologie primée et une expérience de plus de 10 ans dans la thématique.
L’outil automatisé d’audit de conformité des applications mobiles de Pradeo permet :
Les outils AppSec complémentaires de Pradeo permettent aux responsables de la sécurité des applications :