Catégories
Start-up et applications

Pourquoi COVID-19 rend la sécurité des applications plus importante que jamais

Les États-Unis espèrent toujours rouvrir complètement, mais COVID-19 est plus répandu que jamais, la nation et de nombreux États signalant des taux d'infection quotidiens records. Même si l'emploi s'est quelque peu redressé, le pays fait toujours face à un taux de chômage de plus de 10%, et bien que de nombreux restaurants, magasins et autres entreprises physiques aient rouvert, les gens n'y retournent pas encore en nombre comme avant la pandémie.

La pandémie transformera sans aucun doute de nombreux aspects de notre pays, et certains de ces changements sont déjà apparents. Les organisations qui dépendaient d'un emplacement physique pour interagir avec les clients et les attirer ont dû modifier leurs modèles commerciaux pour mettre l'accent sur les transactions sans contact ou presque sans contact, où les marchandises sont livrées ou ramassées en bordure de rue. Les transactions sans contact impliquent généralement des communications en ligne.

Selon le Pew Research Center, 74% des ménages possèdent un ordinateur et 84% ont un smartphone. Mais en matière d'utilisation, le mobile domine. L'année dernière, plus de la moitié du trafic Internet mondial provenait d'appareils mobiles, et les consommateurs américains ont passé environ 40% plus de temps à utiliser leurs smartphones que leurs ordinateurs de bureau et portables.

La tendance à long terme de l'utilisation croissante du mobile combinée à la pression pour les transactions sans contact en raison de la pandémie a fait de la création et de l'amélioration des applications mobiles non seulement un bel outil de marketing pour les entreprises, mais une tâche nécessaire à la survie. Pour rivaliser avec d'autres entreprises et attirer des utilisateurs mobiles autrefois occasionnels vers leurs applications, les équipes de développement sont plus que jamais contraintes de fournir des applications nouvelles et mises à jour encore plus rapidement qu'auparavant.

Comprend la sécurité de Trump… jusqu'à ce qu'ils ne

Cela n'augure rien de bon pour la sécurité des applications mobiles, d'autant plus que la situation n'était pas très bonne avant COVID-19. Selon le Verizon Mobile Security Index 2020, 43% des développeurs d'applications ont déclaré qu'ils savaient qu'ils prenaient des mesures de sécurité pour «faire le travail», et cette enquête a été menée bien avant l'arrivée de la pandémie.

À moins qu'ils ne soient très avertis sur le plan technologique, les consommateurs n'ont aucun moyen réel d'évaluer la sécurité des applications mobiles qu'ils utilisent, ils décident donc des applications à déployer en fonction des caractéristiques, des fonctionnalités et de la facilité d'utilisation. Naturellement, c'est là que les développeurs concentrent leur attention. De plus, la mise en œuvre de la sécurité est coûteuse et prend du temps, ce qui peut potentiellement casser le budget de développement et retarder les calendriers de livraison. Même si les équipes de développement sont déterminées à mettre en œuvre la sécurité, les spécialistes de la sécurité iOS et Android sont difficiles à trouver et en forte demande.

Mais bien que se concentrer sur les fonctionnalités au détriment de la sécurité puisse être une bonne stratégie pour une adoption à court terme, les conséquences potentielles à long terme peuvent être dévastatrices pour les consommateurs et les développeurs. Les cybercriminels sont tout aussi conscients que les développeurs de l'importance croissante des applications mobiles, et ils développent des attaques de plus en plus sophistiquées qui les ciblent.

Un bon exemple est le malware EventBot qui est apparu en avril. Ce cheval de Troie basé sur Android ressemble à Adobe Flash ou à Microsoft Word, mais son véritable objectif est de voler des données non protégées dans les applications bancaires, bitcoin et autres applications financières. Le cheval de Troie est suffisamment sophistiqué pour intercepter les codes d'authentification à deux facteurs envoyés par SMS afin qu'il puisse les utiliser pour reprendre les comptes.

C’est un parfait exemple de l’importance d’une bonne sécurité. Si les développeurs d'applications chiffrent toutes les données stockées sur l'appareil, ils ne risquent pas d'être volés à des chevaux de Troie comme EventBot. De même, il illustre pourquoi il est essentiel d'obscurcir et de protéger les applications de la rétro-ingénierie. Non seulement les acteurs malveillants peuvent créer des chevaux de Troie à partir des applications de marques populaires, mais ils peuvent également créer de fausses applications boguées et mal performantes qui donneront à l'application authentique une mauvaise réputation.

En outre, la pandémie provoquant une augmentation si importante de l'utilisation et de l'adoption des applications, des failles de sécurité qui étaient auparavant passées inaperçues peuvent commencer à poser des problèmes aux utilisateurs.

Zoom, par exemple, a vu des millions de nouveaux utilisateurs s'inscrire essentiellement du jour au lendemain après avoir été forcés de travailler à domicile en raison d'ordonnances de verrouillage. Cette ruée de nouveaux utilisateurs a révélé des failles de sécurité que les pirates utilisaient pour «zoomer sur les bombes» lors des réunions. Zoom a pris des mesures rapides pour résoudre les problèmes, mais il a dû subir des dommages importants à sa réputation.

Solutions au défi du développement de la sécurité

Si votre équipe prévoit de mettre en œuvre la sécurité dans les applications mobiles de manière autonome, assurez-vous d'abord que vous disposez des compétences nécessaires pour le faire. Android et iOS diffèrent considérablement, et un expert en sécurité dans un système d'exploitation n'est pas nécessairement qualifié pour mettre en œuvre la sécurité pour l'autre.

En supposant que vous ayez des développeurs qualifiés pour mettre en œuvre la sécurité, la prochaine étape consiste à planifier sur quoi, spécifiquement, votre équipe se concentrera pour renforcer la sécurité de vos applications. Ce n'est pas une question simple – après tout, un pirate n'a qu'à trouver une seule vulnérabilité à exploiter, et il y a un nombre énorme de faiblesses possibles. Mais un bon point de départ est de s'assurer que chaque application est protégée contre les vulnérabilités Mobile Top Ten du projet Open Web Application Security Project (OWASP), une liste des exploits les plus courants utilisés par les cybercriminels.

D'autres équipes de développement peuvent décider d'intégrer des kits de développement de logiciels de sécurité (SDK) dans leurs applications, ce qui est une option plus efficace que la mise en œuvre manuelle de la sécurité et peut être effectuée sans avoir à embaucher des spécialistes de la sécurité. Cela dit, il est essentiel de bien vérifier les SDK avant l'intégration. Non seulement les SDK escrocs constituent un problème sérieux dans l'industrie des applications mobiles, mais les SDK eux-mêmes peuvent contenir des vulnérabilités.

Les organisations peuvent également tirer parti de l'IA pour automatiser la sécurité des applications mobiles. Il est rapide, peut sécuriser une application sans aucun codage et, par rapport au codage manuel, il est également peu coûteux. Mais, tout comme vous devez vérifier les SDK, effectuez une vérification diligente approfondie pour vous assurer que la plateforme d'IA offre une sécurité complète et n'introduit pas, en soi, de vulnérabilités.

Les applications mobiles n'ont jamais été aussi importantes pour les entreprises et les cybercriminels réagissent par des attaques ciblées plus avancées. Les développeurs ne peuvent pas se permettre de fournir des applications complètes qui manquent de sécurité appropriée – à long terme, les dommages potentiels pour les clients et une entreprise elle-même sont beaucoup trop grands. Alors, alors que vous vous précipitez pour fournir une application intuitive et attrayante aux clients, accordez autant d'attention à leur sécurité qu'à leur expérience. Il n'est plus nécessaire de mettre en œuvre la sécurité manuellement, il n'y a donc aucune excuse pour mettre les clients en danger avec une application vulnérable.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *