Ce que la conformité PCI signifie pour la sécurité des applications mobiles
Si votre organisation envisage de se conformer à la norme PCI-DSS, également connue sous le nom de Payment Card Industry Data Security Standard (norme de sécurité des données de l'industrie des cartes de paiement), assurez-vous de ne pas négliger l'aspect de la sécurité des applications mobiles.
Pour une banque ou une société de traitement des paiements, les applications installées sur les smartphones de vos clients représentent un risque de sécurité croissant qui se profile à la périphérie. Si la plupart d'entre nous savent que les cybercriminels utilisent des tactiques agressives pour collecter des données, il est facile de négliger certains des endroits les plus évidents où ils peuvent attaquer. Les applications mobiles permettent à chacun d'être connecté à tout, des réseaux de médias sociaux aux institutions financières, ce qui attire beaucoup d'attention sur la nécessité de se concentrer sur la sécurité lors du développement d'applications mobiles.
Quelles sont les menaces de sécurité les plus courantes dans les applications mobiles ?
Les pirates ne manquent pas d'occasions d'obtenir des informations précieuses en s'attaquant à des applications populaires. Parfois, l'intérêt réside dans l'accès à une application ou dans la récupération de données sensibles, telles que des informations de carte de crédit, à partir d'une application dont les informations d'identification ont été volées. De nombreux pirates utilisent des systèmes de collecte d'informations d'identification pour recueillir des informations de connexion et de mot de passe ou d'autres données d'authentification afin d'exécuter des attaques frauduleuses ou de les revendre sur le dark web.
Parmi les autres menaces courantes, citons
- Les logiciels malveillants mobiles
- Le vol d'IP mobile
- La falsification d'applications
Les atteintes à la cybersécurité qui trouvent leur origine dans une application peuvent avoir des conséquences néfastes pour votre entreprise. Imaginez que des milliers de clients vous fassent confiance pour leurs transactions par carte de débit et de crédit et qu'ils se fassent ensuite voler de l'argent sur leurs comptes bancaires avec des informations que vous avez laissées exposées. Les conséquences de cette violation pourraient être graves, avec des amendes et un manque à gagner important, car les utilisateurs se démènent pour annuler leurs comptes et réparer les dégâts. Vous découvrirez peut-être que les dommages causés à votre seule marque peuvent être graves.
Comment protéger les utilisateurs d'applications ?
Les entreprises qui acceptent, traitent, stockent ou transmettent des données de cartes de paiement et des transactions par carte sont en danger. Vous vous demandez peut-être ce que votre entreprise peut faire pour ajouter des couches de protection à votre application mobile. Un bon point de départ serait de :
- Renforcer votre application mobile par l'obscurcissement et la cryptographie en boîte blanche, afin d'atténuer les attaques par reconditionnement.
- Sécuriser les composants essentiels de votre application, tels que les communications, le stockage et l'interface.
Pour protéger les communications, optez pour un outil tel que OneSpan Mobile Security Suite, qui assure un chiffrement de bout en bout entre le serveur et les applications clientes ; vous disposez ainsi d'un canal sécurisé et chiffré pour presque tout, qu'il s'agisse de texte, de photos ou de codes QR. Pour un stockage sécurisé, cherchez à crypter toutes les données de l'application d'une manière indépendante de tout système d'exploitation ou appareil.
L'une des pratiques de sécurité les plus efficaces consiste à procéder à une rétro-ingénierie de votre application pour en découvrir les vulnérabilités, puis à remédier à ces risques afin d'empêcher les acteurs malveillants de manipuler les contrôles de sécurité et d'usurper l'identité de votre application.
Les développeurs doivent également créer un système pour surveiller le comportement de l'application 24 heures sur 24 et identifier les activités non sécurisées. Cela nécessite une approche diligente des tests de pénétration pour détecter et traiter les vulnérabilités. Les développeurs peuvent également intégrer dans leur code des séquences réactives qui perturbent les attaques potentielles en réagissant à la détection d'activités malveillantes.
Qu'est-ce que la conformité PCI ?
Laconformité à la norme PCI (Payment Card Industry ) impose un protocole de sécurité standard pour toutes les entreprises qui traitent, stockent ou transmettent des données de cartes de crédit. Le conseil des normes de sécurité PCI a établi des mesures de sécurité destinées à protéger les informations financières des consommateurs qui font affaire avec vous, y compris dans les environnements d'applications mobiles.
Pour être conforme aux normes PCI, il faut (entre autres)
- Une transmission sécurisée des données
- Le stockage sécurisé des informations relatives aux titulaires de cartes et des données des clients
- L'utilisation d'un système de journalisation de la sécurité pour surveiller les incidents
- La planification de la reprise après sinistre et de la continuité des activités
- Une bonne politique de sécurité de l'information
Ce que la conformité PCI signifie pour le développement d'applications mobiles
Le respect des exigences PCI n'est pas un simple élément de la liste de contrôle que vous cochez juste avant de lancer votre application sur l'AppStore. Il s'agit d'un élément fondamental du processus DevOps. À bien des égards, la prise en compte des complexités et des vulnérabilités en matière desécurité d'une application en cours de développement est aussi importante que le développement des fonctionnalités de l'application. Une application conforme à la norme PCI ne sacrifie pas les fonctionnalités au profit de la sécurité, et vice versa. Les deux sont développés simultanément, de sorte que les améliorations en matière de sécurité sont toujours une préoccupation majeure.
Outre la mise en œuvre d'un cryptage fort des données sensibles et de la transmission des données des titulaires de cartes, voici quelques exemples concrets de dispositifs de sécurité à appliquer à votre application pour protéger les données stockées des titulaires de cartes :
- Protection de l'application mobile : Il est important de protéger de manière proactive vos applications Android et iOS contre les intrusions, les attaques d'exécution et d'autres menaces en temps réel. La protection des applications mobiles aide les entreprises à se défendre contre la falsification, à contrecarrer l'usurpation d'application, à empêcher la rétro-ingénierie et le clonage, ainsi qu'à détecter et à atténuer les attaques de logiciels malveillants. Pour ce faire, une couche invisible et permanente de sécurité des applications mobiles est mise en place.
- Accès limité aux données de l'application grâce à l'obscurcissement du code : Si un pirate tente d'extraire les clés de chiffrement de votre application, la cryptographie à boîte blanche utilise le chiffrement et l'obscurcissement pour garder les clés cachées dans le code source, même pendant l'exécution.
- Liaison avec l'appareil : Empêchez le clonage des applications, stoppez la réutilisation des clés de chiffrement et maintenez un lien sécurisé entre l'utilisateur autorisé et l'appareil mobile.
- Identification de l'appareil : Grâce à des attributs d'identification uniques, vous pouvez identifier un appareil mobile et fournir une identification persistante qui n'est pas affectée par les mises à jour du système d'exploitation mobile et qui peut déjouer les tentatives d'usurpation de l'appareil.
Répondre aux éléments essentiels des exigences de la norme PCI DSS
Il existe différents niveaux de conformité en fonction du nombre de transactions traitées par votre entreprise. Cela va de moins de 20 000 transactions à plus de 6 millions de transactions annuelles. Les exigences de conformité et les amendes pour non-conformité varient en fonction de chaque niveau. Attendez-vous à un audit annuel, à des analyses trimestrielles du réseau, à des questionnaires d'auto-évaluation, à des rapports et à des situations spéciales en cas de violation des données.
Comment choisir le bon fournisseur de services de sécurité pour rester en conformité ?
Les entreprises qui prétendent disposer des bons outils pour surveiller vos applications et répondre aux besoins de votre entreprise ne manquent pas. Alors, comment comparer des pommes et des oranges au moment de choisir le bon produit ?
- Faites des recherches approfondies : Renseignez-vous le plus possible sur le fournisseur de sécurité et sur les systèmes de sécurité qu'il propose. Depuis combien de temps est-il en activité, quels sont ses antécédents et qui d'autre l'utilise ? Si vous pouvez trouver un fournisseur réputé ayant de l'expérience dans votre secteur, c'est encore mieux.
- Examinez leur approche : Examinez attentivement l'étendue des services proposés. Il n'existe pas deux solutions logicielles de sécurité identiques. Assurez-vous que l'entreprise est réellement en mesure d'offrir les services dont vous avez besoin. C'est le bon moment pour décomposer son modèle d'entreprise et déterminer si vous achetez un service packagé ou si vous vous engagez dans un partenariat flexible. Il n'y a rien de mal à choisir l'un ou l'autre si c'est ce dont vous avez besoin - l'essentiel est que vous sachiez ce que vous obtenez.
- Service : Soyez très clair sur le niveau de service offert par le fournisseur. Si vous utilisez ses produits et que vous êtes victime d'une violation de données, comment sera-t-il en mesure de vous aider ? Si vous avez des questions lors d'un audit, pourrez-vous les poser ? Là encore, il n'y a pas deux entreprises identiques.
Conclusion sur la sécurité des applications mobiles
La sécurité des applications et la protection des données doivent être une préoccupation majeure si vous développez une application mobile. D'une manière générale, le marché a été un peu lent à comprendre les besoins de sécurité des applications mobiles, laissant jusqu'à trois quarts des applications sur le marché vulnérables. OneSpan peut vous aider à protéger vos utilisateurs, vos données et vos transactions mobiles grâce à des solutions qui vont au-delà des pare-feu et des logiciels antivirus. De l'authentification multifactorielle (MFA) basée sur le cloud au blindage des applications mobiles, nos solutions permettent aux banques, aux prestataires de services de paiement et aux développeurs d'applications mobiles de disposer d'outils de sécurité éprouvés pour protéger les données sensibles des clients et des titulaires de cartes.
Pour en savoir plus sur la protection de votre application mobile, consultez notre guide Mobile App Shielding : Comment réduire la fraude, économiser de l'argent et protéger les revenus.