Etude sur la sécurité mobile : le manque de conscience des risques constitue le principal frein

Vaadata a conduit une courte étude sur la perception de la sécurité des applications mobiles auprès d’une centaine de sociétés développant elles-mêmes des applications. Le résultat est flagrant : 1 entreprise sur 2 ne sécurise pas ses applications, notamment en raison d’un manque de connaissance des risques.

 

Les TPE et PME très représentées dans le développement d’applications mobiles

Cette étude porte sur plus d’une centaine de spécialistes des applications mobiles (développeurs, chefs de projets et chefs de produits), dont 80% travaillent dans des TPE et PME (essentiellement des éditeurs de logiciels, des entreprises de services numériques et des sociétés de conseil).

schema3schema4

 

Une entreprise sur deux investit dans la sécurité de ses applications mobiles

Le constat ne surprendra pas les spécialistes de la cybersécurité, mais il donne tout de même à réfléchir : une personne sur deux déclare que son entreprise est préoccupée par la sécurité de ses applications mobiles et investit des moyens sur le sujet. Environ 30% des répondants considèrent que l’entreprise s’intéresse au sujet mais sans pour autant avoir investi de moyens sur le sujet jusqu’à présent. Environ 20% des répondants considèrent que la sécurité des applications mobiles n’est pas un sujet prioritaire, voire que c’est un sujet sans importance.

Ceci doit être mis en perspective avec l’idée que le simple fait de répondre à un questionnaire sur le sujet de la sécurité mobile témoigne d’un intérêt minimum pour la question (ou d’une bonne volonté), ce qui exclut à priori un certain nombre de personnes indifférentes à cette question. Il est donc probable que les résultats de cette étude soient exagérément optimistes sur l’intérêt pour les questions de sécurité.

schema2

Le manque de connaissance des risques et le manque de compétences de sécurité sont perçus comme les principaux freins

Lorsque l’on interroge les répondant sur les freins à la sécurité des applications mobiles, ce n’est pas le budget qui arrive en tête, mais le manque de connaissance des risques (cité par 55% des personnes). Le manque de compétences sur le sujet arrive quasiment ex-aequo (cité par 52% des personnes).

Le fait que les projets en sécurité soient perçus comme lourds et complexes est également cité (par 37% des personnes) quasiment au même titre que les contraintes budgétaires (par 39% des personnes).

schema5

 

Le fait de traiter des données personnelles n’implique pas forcément une prise de conscience des enjeux de sécurité

A noter que 78% des personnes ayant répondu à cette enquête déclare que certaines de leurs applications mobiles traitent des données à caractère personnel.
Malgré la nouvelle législation européenne sur la protection des données personnelles, il reste du chemin à faire pour que les questions de sécurité soient systématiquement traitées par les entreprises développant des applications traitant ce type de données.

Il faut également souligner que même lorsque les applications mobiles elles-mêmes ne stockent pas de données, elles peuvent constituer des portes d’entrée vers les serveurs de l’entreprise hébergeant des données sensibles. C’est notamment pour cela qu’elles constituent un élément à risque.

schema

 

Le constat de cette étude aurait pu être plus dramatique encore. Il est positif de constater un intérêt pour les questions de sécurité pour 80% des répondants, malgré le biais induit par le fait d’accepter de répondre au questionnaire. Sans surprise, les tests de sécurité (manuels et/ou automatisés) sont les solutions qui inspirent le plus de confiance, ce qui correspond aux attentes de petites sociétés en attentes de réponses concrètes et faciles à mettre en place.

 

Si l’on considère l’actualité chargée en cyber-attaques, et la présence de plus en plus importantes de la sécurité dans les conférences dédiées au digital, il est probable que le problème majeur de la prise de conscience des risques diminue fortement au cours des prochaines années.