De nombreux services informatiques sont soumis à une pression intense pour développer et mettre en œuvre une gamme d'initiatives de mobilité. Ces initiatives couvrent souvent un éventail de disciplines informatiques. Il y a l'effort de développer des applications internes, de fournir un accès aux systèmes nouveaux et anciens à partir d'appareils mobiles comme l'iPhone et l'iPad, la nécessité de gérer et prendre en charge les appareils des utilisateurs dans le cadre des programmes BYOD, et le besoin de développer des solutions orientées client telles que des sites orientés mobile et natifs applications.
Avec autant de pressions qui frappent simultanément les organisations informatiques, des compromis sont faits en raison de délais et de budgets serrés. Selon l'expert en sécurité Jeff Williams, cette volonté de sortir les solutions le plus rapidement possible peut aboutir à des solutions présentant des failles de sécurité majeures.
Dans une interview avec GovInfoSécurité, Williams concentre la discussion sur le développement d'applications mobiles. De nombreuses organisations voient les gains de productivité potentiels que les applications mobiles peuvent leur offrir. Dans la précipitation pour produire ces applications, beaucoup d'entre elles ne reçoivent pas les tests de sécurité rigoureux dont elles ont besoin.
Alors que les solutions de gestion mobile peuvent aider à sécuriser les appareils, Williams note que les applications internes d'une entreprise peuvent être des vecteurs faciles pour une attaque si un appareil est perdu ou compromis et que les solutions de gestion des appareils peuvent offrir peu de protection dans de tels cas..
La plupart des applications mobiles ont un côté serveur, puis plusieurs clients différents, et les clients peuvent être HTML5, iPhone, Android, Blackberry ou autre. Permettez-moi d'essayer de peindre une image pour vous. Imaginez une sorte de bulle qui s'étend du centre de données de votre entreprise sur tout un tas de réseaux – peut-être du Wi-Fi et sur des réseaux longue distance, etc. – et se retrouve à l'intérieur de votre mobile dispositif. Lorsque vous étendez votre entreprise et vos données à travers cette bulle, c'est maintenant votre travail de protéger la bulle.
Voici quelques-unes des façons dont il y a exposition là-bas. Lorsque l'attaquant vole votre téléphone ou met une application malveillante sur votre appareil, vous devez vous demander s'il peut pénétrer dans cette bulle d'une manière ou d'une autre. Vous voulez vous assurer que vos données sont protégées lorsqu'elles se trouvent sur un appareil; vous voulez vous assurer que vos données sont protégées lors de leur transmission entre votre centre de données et l'appareil; et ensuite vous devez vous assurer que votre application elle-même est durcie. Ce doit être un code robuste.
Williams note également que certains des défis de sécurité ne sont pas vraiment de nouveaux problèmes.
Malheureusement, nous constatons bon nombre des mêmes types d'erreurs que celles que nous avons vues dans le code des applications Web il y a une décennie. De nombreuses organisations sont tellement occupées à lutter avec BYOD et MBM. Et ils essaient d'être les premiers sur le marché afin de faire face à toutes les pressions commerciales… pour intégrer leur application dans l'application stocker très rapidement et ils ne donnent pas vraiment au développement les ressources dont ils ont besoin pour créer du code sécurisé pour mobile.
Répondant aux problèmes de sécurité des applications, Williams propose des conseils de bon sens, comme le stockage d'aussi peu de données d'entreprise dans un iPhone ou application iPad sur l'appareil dans la mesure du possible et en cryptant toutes les données sur l'appareil (fonctionnalité fournie par Apple pour se développer via divers iOS Apis).
Maintenant, pour vos applications, la première chose est qu'elles doivent vraiment minimiser les données sensibles que vous autoriserez à stocker sur le téléphone. Ce sont les données qui vont provoquer des expositions. La meilleure chose à faire est de ne pas le mettre au téléphone. Vous pouvez peut-être le garder en mémoire ou le garder sur le cloud, mais ne pas autoriser son stockage sur le téléphone. Si vous devez stocker des données cryptées, je pense que les organisations devraient fournir à leurs développeurs un conteneur crypté - une sorte de solution qui veillera à ce que toutes les données qui atterrissent sur le téléphone soient cryptées, donc même si le téléphone est perdu, volé ou compromis, ces données sont toujours protégé.
Il plaide également en faveur du renforcement et de la surveillance des serveurs principaux qui fournissent réellement du contenu et des données aux applications mobiles d'une entreprise.
Bien que Williams ne le mentionne pas explicitement dans l'interview, ce qui vaut la peine d'être lu dans son intégralité, il est important de garder à l'esprit que les applications iOS internes ne sont pas soumises au même type de processus d'inspection et d'approbation qu'Apple implémente pour les applications vendues via l'App Store iOS. Cela signifie que si les développeurs font des erreurs ou laissent des vulnérabilités dans leur code et que les applications ne sont pas mises grâce à un processus de contrôle de sécurité approfondi, une entreprise peut ne pas se rendre compte qu'il y a un risque jusqu'à ce qu'il soit trop en retard.
La source: GovInfoSécurité
