Empêchez les mauvais acteurs d'attaquer vos applications mobiles

Bien que les entreprises aient augmenté leurs investissements dans la protection des application cloud, réseau et Web, nombre d’entre elles traitent toujours les applications mobiles de la même manière qu’elles traitent les terminaux traditionnels tels que les ordinateurs de bureau et les ordinateurs portables, qu’ils soient détenus par l’entreprise ou BYOD.

Cependant, l’environnement mobile peut introduire des défis uniques, exposant ces systèmes à des compromis. Par exemple, les attaquants auront souvent recours aux méthodes suivantes pour pirater un appareil, voler des données, obtenir un accès privilégié et utiliser l’ application à mauvais escient :

• Reconditionnement des applications mobiles
• Injection de logiciels malveillants
• Détournement de frameworks de hooking
• Réalisation d'attaques par superposition

Une fois qu'un mauvais acteur contrôle une application mobile, il lui est possible de prendre un saut depuis l' application côté mobile pour lancer une attaque sur les applications côté serveur à l'aide d'attaques automatisées. Ici, ils pourraient effectuer diverses attaques de robots malveillants telles que le credential stuffing, la prise de contrôle de compte, le scraping, etc.

L’objectif principal de tout programme de sécurité est de protéger l’environnement contre toute compromission, mais cet état final est souvent motivé en premier lieu par la nécessité de respecter les normes de conformité, telles que les suivantes :

• Confidentialité: RGPD, CCPA
• Paiements : EMVCo SBMP, PCI-DSS et PSD2
• Dossiers de santé : Loi HIPAA

C'est pourquoi les experts de Google Cloud et de F5 se sont réunis pour organiser un webinaire afin de discuter de ces défis et de proposer une voie à suivre aux ingénieurs cloud, aux développeurs d'applications, aux équipes d'exploitation et aux professionnels de la sécurité pour travailler ensemble afin de garantir que la sécurité des applications mobiles soit suffisamment gérée dans leurs programmes DevSecOps.

L’essentiel ici est de choisir la bonne infrastructure capable de répondre aux exigences des applications mobiles modernes et adaptatives d’aujourd’hui, tout en étendant de manière transparente la sécurité et la confidentialité aux utilisateurs finaux, le tout sans impacter l’expérience utilisateur. Il est tout aussi important de protéger le processus de livraison du pipeline CI/CD contre les perturbations et les retards.

Au cours du webinaire, Jess Steinbach , modérateur d'ActualTech Media, a présenté plusieurs scénarios à Joshua Haslett , responsable des partenaires technologiques stratégiques chez Google Cloud, et à Peter Zavlaris , évangéliste en cybersécurité chez F5.

Leadership d'entreprise

Ce n’est pas parce qu’une organisation se conforme à une ou plusieurs réglementations ou normes que les risques et les implications juridiques de ses applications mobiles disparaissent. De même, le profil de risque des appareils mobiles doit être considéré différemment de celui des applications Web traditionnelles, tout en restant intégré dans le tableau plus global des risques.

Le panel a également discuté de la manière dont les chefs d’entreprise pourraient intervenir pour aider à déterminer et à calculer le changement de risque pour l’entreprise lorsqu’une application mobile est susceptible d’être reprise par de mauvais acteurs.

Opérations informatiques et de sécurité

Les équipes informatiques et de sécurité ont l’occasion de collaborer pour mieux se préparer à certains des changements qu’elles devront apporter à leur infrastructure pour intégrer avec succès la sécurité des applications mobiles dans leur cycle de développement et de livraison.

Bien entendu, l’objectif est d’y parvenir sans impacter de manière significative l’outillage, la livraison, la structure de l’équipe ou les opérations. Le panel a discuté de l'utilisation de la technologie low-code pour déployer et configurer la sécurité des applications mobiles et de la manière dont les résultats des tests de pénétration ou des audits précédents peuvent les aider à façonner la stratégie, la planification et les communications pour un programme AppSec plus robuste qui intègre leurs applications mobiles.

Ingénierie et opérations de développement

Pour aider ce groupe à mieux comprendre comment les applications mobiles qu'ils créent peuvent être compromises, le panel a décrit le fonctionnement des attaques de reconditionnement et de hooking d'applications, en partageant quelques réflexions sur la manière dont les équipes d'ingénierie et d'exploitation peuvent coordonner leurs efforts pour mieux protéger leurs applications contre ces menaces.

Sur une note plus positive, le panel a également présenté comment les équipes d’ingénierie peuvent trouver des avantages cachés dans leur pipeline CI/CD en ayant une image claire et un plan pour faire face aux risques de sécurité dans leurs applications mobiles. Parfois, la sécurité peut aller au-delà de l’atténuation des risques. Dans ce cas, elle peut également améliorer les processus et les résultats.

Le groupe a également discuté de quelques exemples concrets pour aider à démontrer la nécessité d'intégrer le mobile dans le processus plus large CI/CD et DevSecOps :

• Maintenir la conformité : Les équipes sont en mesure de répondre aux exigences réglementaires telles que le RGPD et l'HIPAA avec peu ou pas d'impact sur la livraison et la maintenance des applications mobiles.
• Opérations rationalisées : Les opérations informatiques peuvent mieux gérer l’augmentation des menaces mobiles sans épuiser l’équipe, en exploitant les meilleures pratiques de communication entre elles et avec l’équipe de direction.
• Défense contre les menaces intégrées à l’application : Une équipe DevOps peut surveiller et évaluer en permanence la posture AppSec pour se défendre avec succès contre les menaces ciblant son application en cours d'exécution, en échangeant des informations critiques avec l'équipe SecOps pour obtenir la meilleure réponse possible.