L'année 2024 s'annonce dynamique et l'horizon de la cybersécurité présente son lot de défis. Afin de vous aider à naviguer dans ce paysage en perpétuelle évolution, nous souhaitons partager avec vous la vision de Clément Saad sur les tendances et prévisions en matière de sécurité mobile pour 2024.
" En 2024, les responsables de la cybersécurité devront faire face à l'implacable libération des usages mobiles et des attaques associées, tout en se conformant aux réglementations visant à gouverner et sécuriser notre monde numérique. Ce double défi impactera incontestablement chaque secteur et entreprise. "
Clément Saad, PDG et cofondateur de Pradeo
Ouverture des app stores
La loi sur les marchés numériques (Digital Markets Act ou DMA) obligera Apple et Google à laisser les utilisateurs de mobiles télécharger des applications sur des magasins tiers, au-delà des traditionnels App Store et Google Play. La réglementation européenne, qui vise à notamment libérer la concurrence face aux GAFAM, entrera en vigueur en mars 2024. En plus d'obliger Alphabet, Meta, Apple, Amazon.com, ByteDance et Microsoft à ouvrir leurs plateformes, la loi aura également un double impact sur la sécurité mobile.
Augmentation de la surface des menaces
Bien que des menaces soient déjà présentes sur les deux principaux magasins d'applications, la liberté nouvellement acquise par les utilisateurs d'accéder à des applications à partir de sources diverses accroît le risque de téléchargements malveillants.
En effet, ces nouveaux magasins d'applications offriront aux cybercriminels de nombreux espaces pour inciter les utilisateurs à télécharger des applications malveillantes ou intrusives collectant d'énormes quantités de données personnelles et sensibles. D'un point de vue personnel et professionnel, cela renforce la nécessité d'une solution de protection mobile qui vérifie les applications ainsi que le réseau et le contexte de configuration de l'appareil de l'utilisateur, comme le fait le service Mobile Threat Defense (MTD) de Pradeo.
Risques liés aux applications contrefaites
Le deuxième impact de l'ouverture des magasins tiers est l’augmentation du risque pour les utilisateurs finaux de télécharger des clones ou des répliques malveillantes d'applications légitimes. Le trafic internet mondial provenant principalement des téléphones portables, la plupart des entreprises mais aussi les services publics, s’appuient sur les applications mobiles pour proposer leurs services. La réglementation à venir ouvre une nouvelle porte aux cybercriminels qui pourront exploiter les magasins pour diffuser leurs clones et voler les informations d'identification et les données des utilisateurs. Cette année, les responsables produits et responsables de sécurité devront veiller à renforcer la sécurité de leurs applications afin que ces dernières ne soient pas compromises. Cette problématique croissante doit être abordée avec une double stratégie :
- Premièrement, en utilisant un service anti-clone pour identifier les applications contrefaites et s'assurer que l'application utilisée est bien l'application officielle.
-
Deuxièmement, en scrutant le web à la recherche d'applications illégitimes. Pour ce faire, Pradeo prévoit de lancer un service sous la forme d’un abonnement destiné à la détection de clones et tout autre information relative à la sécurité des applications sur différentes sources (y compris le dark web).
Impact de la réglementation sur les applications mobiles
La digitalisation a amené à la mise en place d’un ensemble de réglementations et de cadres de conformité pour superviser la protection des données des utilisateurs. Les réglementations en cours et à venir, telles que NIS2, DORA, etc. renforceront le niveau d’exigence destiné à protéger les données des utilisateurs manipulées par le biais d'applications mobiles. En particulier, la NIS2 tiendra les fournisseurs d'applications mobiles responsables des failles de leurs applications et de toute attaque facilitée par ces dernières.
Plus que jamais, les professionnels de la cybersécurité devront mettre en place une chaîne de contrôle pour protéger les applications mobiles depuis la phase de conception jusqu'aux interactions avec l'utilisateur final. Pradeo propose un ensemble de services pour accompagner les fournisseurs d'applications dans la sécurisation de leurs applis tout au long du cycle de développement.
Le MASVS (Mobile Application Security Verification Standard) de l'OWASP fournit un cadre de conformité pour la sécurité des applications en mettant l'accent sur les mesures à mettre en œuvre en fonction du contexte de l'application.
L'intelligence artificielle (IA) dans la cybersécurité
La commercialisation de l'IA générative a dominé l'industrie technologique en 2023. Dès lors, aucune liste de tendances ne serait complète sans examiner la façon dont l'IA pourrait affecter les organisations.
Alors que les attaquants utilisent déjà les modèles de langage (Large Language Models ou LLM) - tels que ChatGPT - pour créer et améliorer les e-mails de phishing, en réduisant la probabilité de fautes d'orthographe et de grammaire et en leur permettant de s'étendre à d'autres langues, etc. En 2024, on assistera à une intégration plus poussée de l'IA générative dans les tactiques d'ingénierie sociale, permettant aux attaquants de se faire passer pour des décideurs et des cadres de haut niveau de manière toujours plus convaincante.
Toutefois, l'IA générative doit également être considérée comme un puissant atout de cybersécurité pour recueillir des renseignements et permettre l'émergence d'informations pertinentes. Compte tenu de la versatilité et de la richesse de l'environnement mobile, l'IA est essentielle pour contrecarrer les menaces en utilisant la technologie utilisée pour construire les attaques comme barrière.
Alors que l’année 2024 s’amorce sur un paysage de cybersécurité complexe, les organisations devront rester vigilantes et proactives dans l'adoption de mesures de sécurité avancées. Pradeo continue d'innover et d'offrir des solutions pour répondre aux menaces émergentes, assurant une défense résiliente contre les cyber-risques en constante évolution.