Sécurité des applications mobiles modernes et protection intégrée: Apprendre du guide du marché Gartner

Samuel Bakken, juillet 30, 2019

En 2018, les attaques de logiciels malveillants mobiles ont presque doublé et les prises de contrôle de comptes de téléphonie mobile ont augmenté de 79 %. Étant donné que les consommateurs effectuent plus de tâches quotidiennes via des appareils et des applications mobiles, le canal mobile est devenu une cible plus appétissante pour les criminels.

Alors que les menaces mobiles augmentent en prévalence et en sophistication, de plus en plus de services financiers, de commerces de détail et d'organisations de médias équipent leurs applications mobiles pour se défendre avec la technologie de sécurité des applications. Dans son " Guide du marché pour la protection de l'application » publié plus tôt ce mois-ci, Gartner affirme que « les applications d'autodéfense sont devenues cruciales ». Le guide contient une mine d'informations sur les solutions de protection in-app avec des recommandations pour les professionnels de la sécurité et de la gestion des risques, une comparaison des fonctionnalités et des fonctionnalités, et des écritures sur 19 fournisseurs représentatifs, y compris OneSpan. C'est une excellente ressource pour toute organisation qui cherche à renforcer les défenses de ses applications mobiles.

Les solutions de protection in-app sont des technologies mises en œuvre au sein d'une application pour la rendre plus résistante à une variété de menaces mobiles telles que le reconditionnement, les logiciels malveillants, l'injection de scripts, le cryptojacking, l'accaparement de SMS, et plus encore.

Étant donné que les applications mobiles s'exécutent sur une grande variété d'appareils mobiles non fiables de différents niveaux de sécurité, les applications mobiles sont un excellent cas d'utilisation pour la protection in-app. Gartner recommande aux organisations :

« Choisissez une protection in-app pour les applications critiques et de grande valeur qui s'exécutent dans des environnements non fiables et déplacent la logique logicielle à l'avant. Les cas d'utilisation les plus courants seront les applications mobiles, les applications Web à page unique (en particulier les applications orientées vers le consommateur) et les logiciels sur les appareils connectés.

Sécurité de l’application mobile Evolution: Protection in-App au-delà du durcissement de l’application et de l’anti-altération

Témoin de la croissance des menaces mobiles, les clients de Gartner ont demandé un ensemble plus complet de capacités de sécurité d'applications au cours de l'année écoulée. En réponse, Gartner a élargi la portée de son rapport pour inclure l'authentification multifacteur, l'autoprotection des applications en cours d'exécution (RASP), l'analyse des risques et davantage de capacités. Ils ont depuis rebaptisé la catégorie « protection in-app ».
Gartner classe les capacités de protection in-app en capacités de prévention, de détection et « autres », dont bon nombre sont nouvelles dans le guide de cette année :

  • Prévention : Capacités de durcissement
    Gartner décrit les capacités de prévention comme suit :
    « Les capacités de prévention sont également appelées durcissement des applications. Ils peuvent être considérés comme des mesures passives et dissuasives qui augmentent le niveau d'effort requis pour que l'attaquant puisse mener une attaque. Les capacités de prévention consistent principalement en diverses techniques d'obscurcissement du code et de la boxe blanche.
  • Détection : Capacités anti-Tampering
    Gartner décrit les capacités de détection comme suit :
    « Les capacités de détection se concentrent sur la reconnaissance de l'environnement environnant de l'application (par exemple, l'appareil ou le serveur) afin de déterminer si cet environnement peut être approuvé. »
  • Autres capacités
    Gartner inclut ce qui suit comme exemples d'autres capacités :
    • Anti-bot
    • Clickjacking
    • Autoprotection d'exécution des applications (RASP)
    • Authentification multifacteur/hors bande (OOB)
    • Analyse des risques

Pourquoi la protection in-App est-elle importante dans un programme moderne de sécurité d'applications mobiles ?

Le véritable argument ici se résume à la vitesse et l'expertise. La protection in-app est un ensemble d'outils qui peuvent être partagés avec les développeurs, afin qu'ils puissent intégrer plus rapidement les fonctionnalités de sécurité et d'authentification dans leurs applications mobiles. Dans l'enquête communautaire DevSecOps 2019 de Sonatype auprès de 5 558 professionnels impliqués dans devOps, développement et sécurité, 47 % des répondants ont déclaré avoir déployé des applications plusieurs fois par semaine. Cette cadence accrue de rejets a probablement contribué à 48 % des répondants qui ont également déclaré que leurs développeurs croient que la sécurité est importante, mais qu'ils n'ont pas assez de temps à y consacrer.

Même si un développeur d'applications mobiles a du temps pour la sécurité, le plus grand défi est de s'assurer qu'il est fait correctement. Une étude publiée l'année dernière a révélé que 78% des 70 développeurs Android n'étaient pas en mesure de terminer une tâche d'obscurcissement réaliste. Mon point ici n'est pas de dénigrer les développeurs (qui, soit dit en passant, ne vous mènera nulle part dans l'amélioration de votre programme de sécurité d'application mobile). La plupart des développeurs mobiles sont des experts dans le développement Android et iOS et poussés par l'entreprise à produire de meilleures fonctionnalités plus rapidement. Ils ne sont généralement pas des experts en sécurité d'application. Les développeurs veulent faire ce qu'il faut, mais ils ont besoin d'éducation, tels que la formation sécurisée au code et des outils qui rendent la sécurité plus efficace et plus efficace comme les outils de test de sécurité des applications mobiles et la protection in-app.

Par exemple, l'une des plus grandes banques du monde publie et met continuellement à jour des milliers d'applications mobiles, mais elle n'a pas trouvé assez de temps ou d'expertise des développeurs en interne pour fournir un niveau de sécurité à la hauteur de leurs normes. Ils sont venus à OneSpan à la recherche de solutions qui pourraient les aider à augmenter la sécurité de leurs applications mobiles sans affecter la fréquence de déploiement qu'ils avaient établi pour maintenir leur avantage concurrentiel. Ils ont choisi les capacités de protection in-app de OneSpan pour renforcer la sécurité de leur application à un niveau qu'ils signalent serait impossible sur leur propre.

Réponse au rapport

Pour ma part, j'applaudis l'élargissement de Gartner de la portée de leur Guide du marché. Il reste encore beaucoup à faire pour sécuriser les applications mobiles et protéger les utilisateurs contre la fraude. La portée élargie valide également l'approche que OneSpan a adoptée avec notre suite de sécurité mobile depuis sa création, une boîte à outils complète pour la sécurisation des applications bancaires mobiles. Depuis le début, nous avons construit Mobile Security Suite pour fournir un ensemble complet de technologies de sécurité statiques et dynamiques et de capacités d'authentification. Grâce à ces fonctionnalités, il est facile pour les développeurs d'intégrer facilement des fonctionnalités de sécurité et d'authentification éprouvées et fiables dans leurs applications Android et iOS.

 

Gartner, Market Guide for In-App Protection, 3 juillet 2019, Manjunath Bhat, Dionisio Zumerle

Gartner n’approuve aucun fournisseur, produit ou service décrit dans ses publications de recherche, et ne conseille pas aux utilisateurs de la technologie de sélectionner uniquement les vendeurs ayant les cotes les plus élevées ou une autre désignation. Les publications de recherche de Gartner se composent des opinions de l'organisation de recherche de Gartner et ne doivent pas être interprétées comme des déclarations de fait. Gartner décline toutes les garanties, expresses ou implicites, à l'égard de cette recherche, y compris toute garantie de marchandabilité ou d'aptitude à un but particulier.

Sam est Senior Product Marketing Manager responsable du portefeuille de sécurité des applications mobiles OneSpan et possède près de 10 ans d'expérience dans le domaine de la sécurité de l'information.