Les applications mobiles alimentent la génération de revenus, l’engagement des clients et les informations analytiques. Ils comptent pour 70% de tout le trafic Internetet les données montrent qu’ils généreront 935 milliards de dollars en 2023. Cependant, l’incertitude économique pousse de nombreuses organisations à rechercher des moyens de développer et de sécuriser leurs applications mobiles tout en maîtrisant les coûts.
Les applications mobiles étant essentielles au succès des entreprises, il n’y a jamais eu de moment plus important pour donner la priorité à la sécurité des applications mobiles.
De nombreuses organisations bien connues ont ressenti l’impact du lancement d’applications mobiles avec sécurité et les faiblesses de la vie privée. Voici quelques-uns des cas les plus marquants :
- Chick-fil-A a fait l’objet de critiques après qu’une violation d’application mobile a compromis 71 000 comptes d’utilisateurs.
- Hyundai et Genesis a reçu un contrecoup après que des chercheurs en sécurité ont découvert que des modèles de voitures post-2012 partageaient une vulnérabilité qui permettait aux acteurs de la menace d’accéder aux applications mobiles MyHyundai et MyGenesis.
- Sous protection a chuté de 3,8 % en valeur marchande après qu’une vulnérabilité dans l’application mobile MyFitnessPal a permis aux acteurs de la menace de voler des informations personnelles à plus de 150 millions de clients.
- British Airways a également connu une baisse importante de sa part de marché après qu’une faille de sécurité des applications mobiles a divulgué 380 000 paiements par carte de crédit et informations personnelles.
Les coûts liés à la négligence de la sécurité des applications mobiles l’emportent sur tout investissement dans l’AppSec mobile. Mais les organisations peuvent maintenir une sécurité renforcée des applications mobiles et améliorer l’efficacité sans dépenser trop.
Les organisations qui cherchent à équilibrer la couverture et les économies de coûts dans leurs programmes AppSec mobiles doivent envisager les stratégies suivantes :
- Remplacer les tests d’intrusion internes/externes par l’automatisation: Les petites et moyennes entreprises externalisent souvent leur application mobile test de stylo au coût de 15 000 $ à 25 000 $ par test. Pour les organisations qui testent deux fois par an, ces coûts peuvent atteindre 30 000 $ et 100 000 $ par an. À l’inverse, les organisations à grande échelle qui effectuent des tests d’intrusion internes doivent payer les salaires des employés et fournir les ressources techniques nécessaires pour faire leur travail efficacement. Au lieu de s’appuyer sur des tests d’intrusion manuels, les équipes mobiles AppSec peuvent utiliser test de sécurité des applications mobiles pour des tests illimités de builds chaque jour pour aussi peu que 40 $ par jour, ce qui réduit considérablement les coûts tout en augmentant considérablement la fréquence des tests. En prime, les tests de sécurité automatisés en continu éliminent les temps d’attente de 2 à 4 semaines pour les tests manuels au stylo.
- Intégrez des tests automatisés dans le pipeline DevSecOps : L’approche statu quo des tests AppSec mobiles implique généralement des tests à la fin du pipeline de développement. Les analystes de sécurité internes ou externes exécutent des tests manuels, puis informent les développeurs des problèmes critiques et des bloqueurs d’applications Google Play/Apple. Cette approche entraîne souvent des retards de publication ; Les développeurs doivent attendre que les analystes de la sécurité fournissent des résultats, puis consacrer du temps et des ressources pour résoudre les problèmes avant le lancement de l’application mobile. Alternativement, les équipes peuvent se déplacer vers la gauche et déployer l’automatisation dans leur plate-forme CI/CD pour éviter de tester à un point fixe du cycle de vie DevSecOps. Une fois que les développeurs ont écrit un nouveau code, les tests de sécurité automatisés effectuent une évaluation et génèrent des tickets de problème notant les bogues de sécurité ou les erreurs de politique. L’utilisation de produits de test automatisés avec des informations de correction intégrées améliore encore l’efficacité en aidant les développeurs à gagner du temps en recherchant des options sur Google et Stack Overflow.
- Développer les compétences des développeurs sur les pratiques de codage sécurisé: Développer des applications mobiles en toute sécurité dès le départ reste l’un des moyens les plus efficaces de réduire les coûts de l’AppSec mobile. Mais tous les développeurs et analystes de sécurité ne connaissent pas les différences entre architecture web vs mobile. De nombreux développeurs appliquent leurs compétences Web lorsqu’ils travaillent sur des applications mobiles sans se rendre compte que ces compétences ne se traduisent pas toujours. Les applications mobiles nécessitent des méthodes uniques pour réduire les risques de sécurité et de confidentialité. Les développeurs peuvent améliorer leurs connaissances en développement d’applications mobiles sans frais supplémentaires. Didacticiels en ligne gratuits aide les développeurs à améliorer la qualité du code et à réduire la fréquence des problèmes de sécurité tout au long de la production. Des développeurs hautement qualifiés écrivent du code sécurisé plus rapidement, ce qui accélère le cycle de vie de la production et réduit les coûts de développement. Cela réduit les exigences de test pour les équipes de sécurité, diminuant ainsi leurs coûts de main-d’œuvre et de ressources.
Ne laissez pas les contraintes budgétaires entraver la sécurisation des applications mobiles. Utilisez ces stratégies AppSec mobiles rentables pour aider les équipes de développement et de sécurité à améliorer leur efficacité, à réduire les coûts et à expédier plus rapidement des applications mobiles sécurisées.
Brian C. Reed, directeur de la mobilité, NowSecure
->Google Actualités