Les applications mobiles constituent le premier point d’accès à l’information sur nos smartphones et tablettes. Nous leur confions quotidiennement nos données personnelles mais pourtant, que savons-nous de leur niveau de sécurité ? Les organisations développent des applications à un rythme effréné pour répondre aux besoins commerciaux, laissant régulièrement les mesures de sécurité sur la touche.
Un récent audit visant à diagnostiquer la conformité des entreprises au RGPD présente les principaux éléments suivants :
- 83% des organisations externalisent le développement de leurs applications mobiles
- 67% des applications mobiles manipulent les données des utilisateurs
- 25% des répondants ne sécurisent pas leurs applications
Parmi les organisations qui développent des applis mobiles, 83% externalisent le développement et 79% intègrent des librairies tierces. Lorsque les développements faits en externe ne sont pas soumis à des tests, il arrive régulièrement que les applications aient des comportements non désirés et divulguent des données sans que le distributeur ne s’en doute.
La majorité des applications manipulent des données sensibles
Différentes lois sur la protection des données (RGPD, PIPEDA…) sont misent en vigueur à travers le monde afin de protéger les données personnelles. Une application qui manipule la liste des contacts, les images, les emails etc. d’un utilisateur est dans l’obligation de respecter les principes de ces réglementations en assurant la protection des données manipulées et la transparence du traitement de celles-ci.
Les répondants ont indiqué que les applications qu’ils développent manipulent :
- Les données des utilisateurs (SMS, journal d’appels, contacts, images, agenda) : 67%
- Des détails personnels (emails, nom…) : 46%
- Des données générales (opérateur, pays, système d’exploitation…) : 38%
- Des identifiants (IMEI, nom d’utilisateur, mot de passe…) : 25%
Beaucoup d’applications toujours non sécurisées
Alors que la majorité des applications manipulent des données sensibles, certaines entreprises ne les protègent toujours pas.
- Protection contre les menaces internes : 25% des organisations n’identifient pas les comportements cachés et les vulnérabilités de leurs applications. Par conséquent, celles-ci peuvent effectuer des actions superflues (potentiellement malveillantes) ou comporter des failles affaiblissant leur résistance aux attaques.
- Protection contre les menaces externes : 25% des organisations n’intègrent pas de module de sécurité à leurs applications. Par conséquent, celles-ci s’en retrouvent fortement exposées aux menaces provenant de l’environnement mobile dans lequel elles évoluent.
De surcroît, parmi les entreprises qui manipulent des données personnelles, seulement 58% gardent un historique de leur traitement. Ceci constitue une infraction directe à l’article 30 du RGPD qui appelle les organisations à tenir « un registre des activités de traitement des données effectuées sous leur responsabilité.