Ajouter à une liste de lectureCes cinq dernières années, les applications développées pour les plateformes mobiles Android et iOS ont pris une place centrale dans les usages professionnels et personnels. De la banque à la santé, en passant par les services publics, les industries, les réseaux sociaux, les applications traitent ou accèdent à de plus en plus de données sensibles. Dans ce contexte, la sécurisation des applications mobiles n'est plus une option : elle est un impératif stratégique et réglementaire.
De par le quotidien de pentester, nous avons l’habitude de traiter de sujets offensifs. Il semblait cependant intéressant de changer de prisme et d'aborder également l'angle défensif pour mettre en avant les évolutions en matière de sécurisation des applications et les bonnes pratiques à respecter / implémenter.
Bien évidemment ces mesures sont à adapter au contexte et à la criticité de chaque application ainsi qu’aux données qu’elle traite.
Dans tous les cas, la sécurité mobile ne concerne pas la simple brique qu'est « l'application ». Il est essentiel d'avoir également en tête les différents angles de sécurisation portés par :
- le système sous-jacent (à jour, durci, etc.) ;
- les fonctionnalités proposées côté API / serveur (chiffrement des communications, ACL, sessions, etc.) ;
- l'environnement (les autres applications installées, les services utilisés, etc.) ;
- les utilisateurs (sensibilisation, veille en sécurité et curiosité…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première