Témoignage sur la cybersécurité mobile pour DEKRA Certification

Les enjeux de la sécurité des applications mobiles de santé

Dans le cadre de son processus d’évaluation des applications mobiles de santé, DEKRA Certification - MEDAPPCARE apporte une attention toute particulière à la sécurité. Témoignage et analyse de Caroline Borriello, Chief Operating Officer chez Pradeo, entreprise française reconnue leader européen de la cybersécurité mobile.

Les applications sont au cœur de nos usages mobiles et font partie intégrante de notre quotidien. Dans le domaine médical comme dans beaucoup d’autres secteurs, elles permettent de gagner en agilité en offrant un accès facilité à une multitude de services.

Qu’elles touchent le grand public sur des thématiques autour du bien-être, qu’elles proposent des contrôles médicaux, ou qu’elles soient réservées aux équipes d’une clinique par exemple, les applications mobiles de santé ont un point commun indéniable : elles se voient confier des informations personnelles confidentielles.

En effet, la plupart de ces applications traitent des informations telles que le nom, prénom, numéro de sécurité sociale, la géolocalisation, les antécédents médicaux, ou des détails relatifs aux habitudes et usages des utilisateurs, les tenant ainsi de se conformer au Règlement Général sur la Protection des Données (RGPD).

Le RGPD requiert entre autres d’assurer que les applications mobiles soient sécurisées à la hauteur de leur niveau de risque. Dans un secteur sensible comme celui de la santé, il convient donc de mettre en place des moyens garantissant la confidentialité des données personnelles qu’elles traitent.

Risque #1 : La fuite de données à grande échelle

Comparable à un iceberg, la majorité des comportements d’une application sont réalisés en arrière-plan et sont donc invisibles pour les utilisateurs. Une application mobile peut manipuler outre-mesure les données de ses utilisateurs à cause des librairies publicitaires qu’elle contient. En effet, pour se monétiser, 79% des applications mobiles intègrent des librairies tierces qui collectent les données des utilisateurs. De cette manière, sans pour autant être malveillante, une application peut exfiltrer silencieusement des données personnelles.

Risque #2 : Le vol de données

Les applications mobiles en général, celles du milieu de la santé ne faisant pas exception avec une moyenne de 33 vulnérabilités par application, ont très souvent des vulnérabilités de code. Souvent, ces failles de sécurité ne sont pas connues des développeurs mais exposent pourtant considérablement leurs applications aux vols de données. Au cours de leur cycle de vie, 8% des smartphones et tablettes ont rencontré une application au comportement malveillant (malware) visant les applications vulnérables installées au sein du même environnement d’exécution.

Un audit de sécurité doit permettre d’obtenir de la visibilité sur les points suivants quant à l’application testée et évaluée :

Les comportements (malveillants, suspects, à risque...)

Les données manipulées, avec emphase sur les données personnelles des utilisateurs

Les vulnérabilités du code de l’application et de ses éventuelles librairies (OWASP...)

Les communications et envois de données via le réseau (cellulaires et web)

Une fois ces informations obtenues, d’une part les développeurs peuvent corriger l’application, d’autre part les entreprises peuvent choisir, ou non, de partager l’application à leurs réseaux, selon son niveau de sécurité.

DEKRA Certification MEDAPPCARE, organisme certificateur du mieux vivre connecté, est conscient de ces enjeux et à ce titre, propose un référentiel d’évaluation permettant aux éditeurs d’applications mobiles et de sites web de valoriser la sureté de leur service. DEKRA Certification MEDAPPCARE propose des évaluations sur mesure mais aussi une certification d'applications mobiles et sites web qui comprend un cycle d'audits sur trois ans permettant d'assurer un niveau de qualité et de sécurité toujours optimal.