« Les vulnérabilités et attaques mobiles augmentent en nombre et en pragmatisme »
Ce constat fait par Gartner dans le rapport “Predicts 2017: Endpoint and mobile security” est le fil conducteur des deux guides publiés par le cabinet cette année, concernant le marché des solutions de protection de flotte mobile et celui de l’audit de sécurité des applications mobiles.
Si les besoins relatifs à la sécurité des applications et la protection des terminaux couvrent des cas d’usage bien différents, ils ont pour finalité de révéler, qualifier et prévenir les failles de sécurité mobiles en se reposant sur les mêmes principes technologiques.
SECURITE DES APPLICATIONS MOBILES : REVELER LA NATURE DES APPLIS
Dans le guide de la sécurité des applications, nous avons identifié deux catégories de menaces propres aux applications, la première relevant des failles inhérentes à l’application et la seconde regroupant les sources externes.
Les menaces internes peuvent être traitées par l’utilisation d’un outil d’audit de sécurité qui permettra d’identifier les vulnérabilités et comportements non-désirés puis d’obtenir des directives afin de les corriger. Retrouvez dans cet article les exigences auxquelles une solution d’audit des applis doit répondre.
Pour une entreprise, une solution d’audit de sécurité des applications remplit généralement une des missions suivantes :
- Valider les applis avant publication dans des boutiques privées : Certaines entreprises optent pour un environnement mobile fermé dans lequel leurs employés n’ont pas accès aux boutiques publiques, mais seulement à une boutique privée pour télécharger des applications. Dans ce cas de figure, l’audit de sécurité permet aux entreprises de contrôler les applications et assurer leur conformité avec la politique de sécurité.
-
Auditer la sécurité des applications dans le cadre de leur développement : Les entreprises ont besoin d’évaluer les niveaux de sécurité des applis qu’elles développent ou font développer, qu’elles soient destinées à une utilisation interne ou produites à des fins commerciales. Les attentes en matière de sécurité (besoins internes, règlementations…) associées à des cycles courts de développement poussent les entreprises à s’appuyer sur des outils automatisés qui s’intègrent à leur procédure de validation.
D’un point de vue technique, l’audit de sécurité requiert une expertise pointue en analyse des applications afin de détecter les comportements et les vulnérabilités. La précision de la technologie est essentielle pour fournir un audit de qualité, sans faux positif.
PROTECTION DE FLOTTE MOBILE : DEJOUER LES MENACES ENVIRONNEMENTALES
La sécurité des terminaux mobiles consiste en la détection et la gestion des menaces provenant de sources externes. Ces menaces se classent en 3 catégories :
- Applications intrusives et malveillantes (malwares, fuite de données, corruption…)
- Manipulation de l’OS (exploitation d’un OS vulnérable, accès privilégié caché…)
- Exploitation du réseau (connexions non voulues, attaque de type Man-In-The-Middle…)
Les solutions de protection de flotte mobile ont pour objectif de protéger les terminaux des membres d’une entreprise. De l’enrichissement des plateformes EMM à l’utilisation d’un agent sur le terminal, elles offrent de multiples options et niveaux de sécurité afin d’apporter une protection adaptée à chaque besoin.
La détection des applications intrusives et malveillantes fait appel à la même expertise qu’une solution d’audit de sécurité. Une solution de protection de flotte complète cette approche avec la gestion des menaces provenant de l’OS et du réseau afin d’offrir une protection à 360°.
PROTECTION IN-APP : LE LIEN ENTRE L’AUDIT DE SECURITE DES APPLIS ET LA PROTECTION DE FLOTTE
Alors qu’une solution d’audit de sécurité permet d’éliminer les menaces internes, une solution de protection de flotte protège les utilisateurs des menaces externes. Mais qu’en est-il de la protection des applications face aux menaces présentes sur les terminaux ?
En effet, une application exécutée sur un terminal non protégé se retrouve face à un environnement potentiellement hostile (malwares, network exploits…) et les données sensibles qu’elle manipule peuvent être mises en danger.
Une protection In-App couvre ce dernier besoin de sécurité et fournit, via un SDK à intégrer à l’application, une protection automatique permettant à l’appli d’ajuster son comportement face aux menaces, en temps réel.
La protection In-App couvre le même périmètre de sécurité qu’une solution de protection de flotte mobile, à la différence que les mesures de protection émanent de l’application elle-même.
Découvrez la suite de solutions PRADEO SECURITY