Maksym Yemelyanov - Fotolia
Comment l’évaluation des applications mobiles peut améliorer la sécurité
L’examen des applications mobiles peut aider les entreprises à décider quelles applications autoriser. Christopher Crowley, de l’institut SANS se penche sur la manière d’utiliser ces évaluations.
Le marché des applications mobiles progresse à un rythme rapide. En mars dernier, les utilisateurs d’Android avaient accès à 2,8 millions d’applications. L’App Store d’Apple en comptait 2,2 millions.
Avec tant d’options, ce n’est pas une surprise que les entreprises aient des difficultés à déterminer quelles applications sont acceptables pour un usage professionnel. Même les applications les plus pratiques peuvent renforcer la vulnérabilité d’une entreprise aux risques de sécurité. En conséquence, il est nécessaire que les équipes de sécurité évaluent les applications mobiles.
Cette opération aide les équipes de sécurité à comprendre ce que fait une application et comment elle interagit avec les données présentes sur les appareils mobiles. En fonction des découvertes, les équipes de sécurité peuvent déterminer si une application est appropriée à leur environnement ou non.
L’examen du fonctionnement d’une application permet aux équipes de sécurité d’identifier proactivement d’éventuels risques de sécurité. Ainsi, elles sont en mesure de prévenir certaines fuites de données, ou des accès et des altérations de données non autorisées. Et cela, en interdisant les applications inacceptables. Malgré la valeur associée aux évaluations d’applications, de nombreuses équipes de sécurité ne les conduisent pas par manque de compétences. Et dès lors, les entreprises exposent leurs données à certains risques en acceptant l’utilisation de certaines applications sur supervision.
Déterminer ce qui est (in)acceptable
Il y a deux méthodes recommandées pour conduire des études d’applications. La première consiste à identifier un ensemble de comportements prédéfinis. Si une application manifeste l’un de ces comportements, elle n’est alors pas utilisable et il n’est pas nécessaire de pousser plus avant l’étude. Parmi les comportements radicalement inacceptables, on compte : l’accès aux contacts et leur copie hors du terminal ; le suivi de la localisation de l’utilisateur et son envoi hors du terminal ; l’accès aux photos ou flux de photo de l’utilisateur ; et l’envoi (ou l’enregistrement) d’identifiants en clair, sans chiffrement.
La seconde méthode consiste en une inspection plus complète, plus détaillée, de chaque application. Chacune est étudiée individuellement pour déterminer ce qu’elle fait. En fonction des découvertes, des décisions sont prises au cas par cas.
Des tableaux de compte-rendu sont recommandés comme mécanisme de notation pour les découvertes, ainsi que pour déterminer s’il convient d’autoriser ou non l’utilisation de l’application dans l’environnement professionnel.
Ces tableaux doivent couvrir : permissions ; défauts d’exécution ; utilisation et protection du stockage local, dont la confidentialité et l’intégrité ; protection des communications réseau ; et communications entre processus.
La première méthode est plus industrielle et s’avère plus adaptée à la plupart des cas. Mais lorsqu’une application présente une fonctionnalité requise par l’organisation, et que l’un des comportements bannis est identifié, un examen complet de l’application est recommandé pour comprendre le risque potentiel et la manière dont il est possible de le traiter.
Corporate ou BYOD
Avec les terminaux propriété de l’entreprise, il est possible de limiter et de contrôler les applications téléchargées par les utilisateurs. Les appareils iOS sont considérablement plus faciles à verrouiller que les terminaux Android. Ce verrouillage est une autre façon, pour les équipes de sécurité, de gérer les appareils administrés et possédés par l’entreprise. Dans les scénarios de BYOD, les choses se compliquent quelque peu.
Souvent, pour ces cas-là, la solution retenue passe par l’utilisation de comptes Gmail. Il est demandé aux employés de créer un compte Gmail pour toutes les communications métiers. Mais cette approche est fortement déconseillée pour des raisons de contrôle et de sécurité évidentes.
Il existe toutefois une approche plus sûre, plus maîtrisée, du BYOD, avec l’utilisation d’applications placées en conteneurs. Cette stratégie permet aux employés de contrôler leurs appareils comme ils l’entendent, tout en isolant les données d’entreprise au sein d’un conteneur sécurisé. Toutes les communications d’entreprise sont réalisées exclusivement via les mécanismes de conteneurisation. Mais là encore, tous les systèmes de conteneurisation ne se valent pas, et leur évaluation est hautement recommandée.
Alors que de nouvelles applications mobiles sont lancées quotidiennement, les entreprises ne peuvent plus de permettre de rester aveugles sur leur utilisation. Les équipes de sécurité doivent développer leurs compétences, en commençant par apprendre à réaliser elles-mêmes des évaluations d’applications mobiles.