Les logiciels malveillants mobiles et autres activités malveillantes continuent de nuire aux utilisateurs mobiles lorsqu'ils tentent d'effectuer des achats, des opérations bancaires, de vérifier leur santé et bien plus encore, le tout depuis leur téléphone. Bien que l’utilisateur final ait pour rôle d’éviter d’être la proie d’une attaque, il incombe en fin de compte aux fournisseurs d’applications (l’équipe produit, l’équipe d’exploitation et les équipes de sécurité de la confidentialité) de garantir la sécurité de l’environnement mobile. Les données sensibles circulant via ces applications mobiles doivent également être tenues à l’écart des regards indiscrets et non autorisés.
Bien que les entreprises aient augmenté leurs investissements dans la protection des application cloud, réseau et Web, nombre d’entre elles traitent toujours les applications mobiles de la même manière qu’elles traitent les terminaux traditionnels tels que les ordinateurs de bureau et les ordinateurs portables, qu’ils soient détenus par l’entreprise ou BYOD.
Cependant, l’environnement mobile peut introduire des défis uniques, exposant ces systèmes à des compromis. Par exemple, les attaquants auront souvent recours aux méthodes suivantes pour pirater un appareil, voler des données, obtenir un accès privilégié et utiliser l’ application à mauvais escient :
Une fois qu'un mauvais acteur contrôle une application mobile, il lui est possible de prendre un saut depuis l' application côté mobile pour lancer une attaque sur les applications côté serveur à l'aide d'attaques automatisées. Ici, ils pourraient effectuer diverses attaques de robots malveillants telles que le credential stuffing, la prise de contrôle de compte, le scraping, etc.
L’objectif principal de tout programme de sécurité est de protéger l’environnement contre toute compromission, mais cet état final est souvent motivé en premier lieu par la nécessité de respecter les normes de conformité, telles que les suivantes :
C'est pourquoi les experts de Google Cloud et de F5 se sont réunis pour organiser un webinaire afin de discuter de ces défis et de proposer une voie à suivre aux ingénieurs cloud, aux développeurs d'applications, aux équipes d'exploitation et aux professionnels de la sécurité pour travailler ensemble afin de garantir que la sécurité des applications mobiles soit suffisamment gérée dans leurs programmes DevSecOps.
L’essentiel ici est de choisir la bonne infrastructure capable de répondre aux exigences des applications mobiles modernes et adaptatives d’aujourd’hui, tout en étendant de manière transparente la sécurité et la confidentialité aux utilisateurs finaux, le tout sans impacter l’expérience utilisateur. Il est tout aussi important de protéger le processus de livraison du pipeline CI/CD contre les perturbations et les retards.
Au cours du webinaire, Jess Steinbach , modérateur d'ActualTech Media, a présenté plusieurs scénarios à Joshua Haslett , responsable des partenaires technologiques stratégiques chez Google Cloud, et à Peter Zavlaris , évangéliste en cybersécurité chez F5.
Leadership d'entreprise
Ce n’est pas parce qu’une organisation se conforme à une ou plusieurs réglementations ou normes que les risques et les implications juridiques de ses applications mobiles disparaissent. De même, le profil de risque des appareils mobiles doit être considéré différemment de celui des applications Web traditionnelles, tout en restant intégré dans le tableau plus global des risques.
Le panel a également discuté de la manière dont les chefs d’entreprise pourraient intervenir pour aider à déterminer et à calculer le changement de risque pour l’entreprise lorsqu’une application mobile est susceptible d’être reprise par de mauvais acteurs.
Opérations informatiques et de sécurité
Les équipes informatiques et de sécurité ont l’occasion de collaborer pour mieux se préparer à certains des changements qu’elles devront apporter à leur infrastructure pour intégrer avec succès la sécurité des applications mobiles dans leur cycle de développement et de livraison.
Bien entendu, l’objectif est d’y parvenir sans impacter de manière significative l’outillage, la livraison, la structure de l’équipe ou les opérations. Le panel a discuté de l'utilisation de la technologie low-code pour déployer et configurer la sécurité des applications mobiles et de la manière dont les résultats des tests de pénétration ou des audits précédents peuvent les aider à façonner la stratégie, la planification et les communications pour un programme AppSec plus robuste qui intègre leurs applications mobiles.
Ingénierie et opérations de développement
Pour aider ce groupe à mieux comprendre comment les applications mobiles qu'ils créent peuvent être compromises, le panel a décrit le fonctionnement des attaques de reconditionnement et de hooking d'applications, en partageant quelques réflexions sur la manière dont les équipes d'ingénierie et d'exploitation peuvent coordonner leurs efforts pour mieux protéger leurs applications contre ces menaces.
Sur une note plus positive, le panel a également présenté comment les équipes d’ingénierie peuvent trouver des avantages cachés dans leur pipeline CI/CD en ayant une image claire et un plan pour faire face aux risques de sécurité dans leurs applications mobiles. Parfois, la sécurité peut aller au-delà de l’atténuation des risques. Dans ce cas, elle peut également améliorer les processus et les résultats.
Le groupe a également discuté de quelques exemples concrets pour aider à démontrer la nécessité d'intégrer le mobile dans le processus plus large CI/CD et DevSecOps :
Si vous êtes curieux de savoir comment votre programme de sécurité d'applications mobiles se compare aux menaces d'exécution en temps réel ciblant ces systèmes, consultez le webinaire à la demande Empêcher les mauvais acteurs d'attaquer vos applications mobiles .