✔️ 2022-04-20 06:25:02 – Paris/France.
Vous n’êtes pas seul si vous vous sentez obligé d’améliorer les stratégies de sécurité entourant le trafic mobile de votre organisation. De plus en plus fréquemment, notre équipe chez NuData est appelée à aider les clients à améliorer la sécurité et l’expérience utilisateur (UX) derrière leurs services mobiles, le plus souvent pour compléter les pratiques de bureau existantes. Sur la base de ces interactions, nous avons dressé une liste de questions courantes qui semblent être dans l’esprit des décideurs – et potentiellement le vôtre également.
Réfléchissez à ces trois questions et contactez notre équipe si vous souhaitez discuter de la manière de rationaliser et de sécuriser votre expérience utilisateur mobile.
1. Pourquoi devrais-je donner la priorité à la sécurité mobile en 2022 ?
La première partie de notre réponse à cette question est simple, car l’adoption du mobile continue d’augmenter. Il y a plus de 6 milliards d’utilisateurs de smartphones sur Terre aujourd’hui, et ce nombre ne fait qu’augmenter.
La deuxième partie de notre réponse est plus nuancée. Alors que l’activité en ligne via le mobile devient de plus en plus populaire et répandue, les gouvernements ont promulgué des lois plus strictes sur la confidentialité pour protéger les données des consommateurs. C’est en grande partie une bonne nouvelle – personne ne veut que des groupes tiers louches accèdent à vos informations personnelles.
Mais en matière de sécurité, les réglementations sur la confidentialité ont des effets secondaires imprévus. Maintenant que les lois restreignent les données mobiles que les entreprises peuvent collecter lorsque les consommateurs visitent leurs sites, les équipes disposent de moins d’informations pour valider les bons utilisateurs et prévenir la fraude. Cela ouvre la porte aux fraudeurs intelligents pour profiter des failles de sécurité en lançant toutes sortes d’attaques – de la fraude aux applications aux systèmes de bourrage d’informations d’identification. Cette variété d’approches donne aux acteurs malveillants un accès non autorisé aux comptes d’utilisateurs.
Même sur les applications mobiles que les marques créent et possèdent, il existe toujours des obstacles à l’accès à certains types de données client. Par exemple, les applications de marque sont soumises aux limitations mises en place par les fabricants sur leurs appareils mobiles, que nous rencontrons tous lorsque nos applications préférées nous invitent à partager l’accès à nos photos et informations de contact. En tant qu’utilisateurs, nous sommes en mesure d’accepter ou de refuser ces demandes – et parfois notre choix de garder les informations privées affecte la stratégie de sécurité d’une entreprise en aval. Si vous comptez sur les utilisateurs pour mettre à jour les applications mobiles et transmettre des informations utiles à vos serveurs, vous attendrez peut-être des mois, voire des années, pour que ces données arrivent. Regardez votre téléphone et soyez honnête : combien de vos applications attendent que vous installiez des mises à jour ?
En détournant la dynamique du pouvoir de la confidentialité des entreprises vers les consommateurs (ce qui est formidable), les nouvelles réglementations ont donné aux fraudeurs plus de moyens de se cacher (ce qui n’est pas si formidable).
Alors, qu’est-ce qu’une entreprise à faire? Concevez de manière proactive une stratégie de sécurité axée sur le mobile, c’est tout.
2. Quels facteurs de sécurité dois-je prendre en compte lors de la construction d’un stratégie mobile-first?
Développer une expérience mobile sécurisée ne se limite pas à copier et coller vos stratégies de sécurité de bureau existantes, même si ces tactiques fonctionnent parfaitement sur le bureau. Outre les limitations des données utilisateur que nous venons de mentionner, il existe quelques autres considérations mobiles uniques à garder à l’esprit lors de l’élaboration de votre stratégie. Votre stratégie de fraude mobile doit interagir dans les deux sens sur les appareils mobiles et de bureau et repérer les occurrences frauduleuses à tous les points d’interaction.
Voici quelques éléments à noter :
- Évitez l’authentification mobile fastidieuse.Les consommateurs exigent des expériences rationalisées et transparentes partout, mais surtout sur les appareils mobiles. Les utilisateurs mobiles s’attendent à pouvoir ouvrir de nouveaux comptes, effectuer des achats et faire presque n’importe quoi d’autre d’un simple clic sur un bouton. Avec l’augmentation des risques de sécurité et la diminution des données des utilisateurs mobiles, de nombreuses entreprises accumulent de nouvelles mesures de sécurité comme l’authentification multifacteur (MFA) pour compléter les tactiques traditionnelles et authentifier les utilisateurs. L’AMF est-elle efficace ? Oui, jusqu’à ce que les cybercriminels intensifient leur jeu. Dans le même temps, les protections comme le MFA ont un gros inconvénient : une friction supplémentaire. Interrompre les utilisateurs pour qu’ils demandent un code MFA à chaque fois qu’ils se connectent n’est guère transparent et rationalisé. En revanche, des solutions telles que la biométrie comportementale et l’analyse comportementale peuvent vérifier les utilisateurs en arrière-plan sans nécessiter d’étapes supplémentaires. Ces solutions vous aident à mieux connaître vos utilisateurs : comment ils tiennent leurs appareils, à quelle heure de la journée ils se connectent, combien de fois en moyenne ils saisissent des mots de passe incorrects, etc. Donner la priorité aux solutions passives vous aide à protéger les utilisateurs mobiles sans les gêner, car les outils de sécurité comportementale signalent les utilisateurs suspects qui s’écartent des modèles connus.
Analyse comportementale : un cerveau qui ne cesse de grandir
- Assurez-vous que vous regardez les données correctes.Comme indiqué précédemment, un point d’interrogation majeur pour les marques est de savoir comment remplacer les données client auxquelles elles ont perdu l’accès à mesure que les normes de confidentialité se resserrent. Une donnée clé manquante concerne l’identification de l’appareil. Les entreprises s’appuient souvent sur des identifiants tels que l’ID de l’appareil, l’empreinte digitale de l’appareil et l’agent utilisateur de l’appareil pour reconnaître un appareil de retour et l’associer à des utilisateurs/comptes individuels. Cette méthode s’appuie sur des détails concernant la technologie mobile, tels que la marque, le modèle et l’adresse IP du téléphone. Bien que les entreprises puissent toujours accéder à la plupart de ces informations dans de nombreux cas, vous ne pouvez plus compter uniquement sur les tactiques d’identification des appareils pour reconnaître les utilisateurs et prévenir la fraude mobile. L’utilisation mobile complique également l’identification des appareils, car les ensembles de données et les paramètres importants pour les appareils mobiles diffèrent de ceux communs aux ordinateurs de bureau. Par conséquent, les règles de fraude que vous écrivez pour le mobile doivent être uniques, y compris les identifiants que vous recherchez et la manière dont vous collectez ces informations. Par exemple, alors qu’une adresse IP est disponible sur les appareils mobiles et de bureau, vous devez traiter cet ID d’appareil différemment dans chaque environnement. Alors qu’une adresse IP de bureau est une méthode de vérification d’utilisateur utile, une adresse IP mobile peut être partagée entre plusieurs utilisateurs en même temps sur un réseau Wi-Fi public (ou même à la maison). Cela rend les adresses IP moins utiles pour établir la confiance sur les appareils mobiles.
La même règle s’applique lors de l’intégration de solutions de biométrie comportementale et d’analyse comportementale. Sur un appareil de bureau, ces outils peuvent surveiller la façon dont les utilisateurs déplacent la souris et frappent le clavier physique ; sur un appareil mobile, l’accent pourrait être mis sur les mouvements de l’accéléromètre et d’autres événements tactiles. Là encore, différents ensembles de données nécessitent différentes stratégies de sécurité.
- Compte pour les appareils rootés et jailbreakés.Lorsque vous vous promenez dans votre Apple Store local pour acheter un nouvel iPhone, l’appareil que vous recevez vous appartient, avec certaines limitations, bien sûr. Votre appareil est verrouillé, ce qui signifie que vous pouvez installer des applications approuvées à partir de l’App Store et effectuer des personnalisations, mais uniquement dans les paramètres fournis. installer des applications à partir de sources non autorisées et effectuer d’autres personnalisations d’appareils non approuvées. Les appareils jailbreakés affichent des modèles distinctifs dans leurs informations d’appareil qui déclenchent des signaux d’alarme pour les outils de sécurité. Alors que de nombreux utilisateurs expérimentés sont des fraudeurs, les bons utilisateurs jailbreakent parfois aussi des appareils. Dans le même temps, réfléchissez à la façon dont les différents fournisseurs d’appareils mobiles nécessitent des approches de sécurité uniques, car la capacité d’un utilisateur à ajuster les paramètres de son téléphone diffère d’un fournisseur à l’autre (par exemple, Apple et Samsung). Cela présente une corde raide complexe en matière de sécurité et laisse de nombreux risques non résolus si vous ne pouvez pas faire la distinction entre les interactions mobiles fiables et frauduleuses.
Surtout en matière de sécurité mobile, soyez proactif dans votre approche et développez des mesures qui fonctionnent en arrière-plan quel que soit le type d’appareil de l’utilisateur. La stratégie de sécurité la plus efficace regroupe les attributs comportementaux et de périphérique. Cette approche multicouche atténue les faux positifs et réduit les frictions des utilisateurs tout en maintenant des taux de fraude élevés.
L’intelligence de l’appareil se résume à une tasse de café
3. Par où dois-je commencer sécurité mobile?
Si vous vous sentez submergé par toutes ces informations, ne vous inquiétez pas : la sécurisation des canaux mobiles est complexe et les besoins changent constamment.
Une bonne première étape pour améliorer la sécurité du trafic mobile de votre organisation consiste à examiner les stratégies de fraude mobile que vous avez déjà en place, le cas échéant. Identifiez les vulnérabilités au sein de ces plans, en gardant un œil sur la façon dont vos tactiques résisteront à l’évolution des réglementations sur les appareils et la confidentialité. Si vous comptez actuellement sur un petit ensemble d’éléments de données, à quelles informations pourriez-vous perdre l’accès si la protection de la vie privée des consommateurs se développe dans les prochaines années ? Si une nouvelle législation sur la protection de la vie privée entrait en vigueur demain, quel type de stratégie de fraude vous resterait-il ?
Réfléchissez à ces questions maintenant ou travaillez avec un partenaire de sécurité pour trouver des réponses. Recherchez un partenaire expérimenté dans les appareils mobiles que vos utilisateurs préfèrent et capable d’évoluer parallèlement aux stratégies de fraude et aux systèmes d’exploitation émergents. Le support continu offre une base pour continuer à connaître vos bons utilisateurs, quelles que soient les nouvelles menaces qui se présentent à vous.
Planifiez un appel avec notre équipe pour approfondir ces trois questions, ou si vous êtes curieux de savoir où vont ensuite les conversations sur la sécurité mobile et l’authentification.
Le message 3 questions brûlantes sur la sécurité mobile, répondues est apparu en premier sur NuData Security.
*** Ceci est un blog syndiqué du Security Bloggers Network de NuData Security rédigé par NuData. Lisez le message original sur : https://nudatasecurity.com/resources/blog/burning-questions-about-mobile-security-answered/
SOURCE : Reviews News
N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 📲