E-santé : Un climat d'insécurité règne sur les applications mobiles

Selon le tout nouveau rapport publié sous l'égide d'Arxan, un fournisseur de solutions de sécurité informatique américain, c'est un véritable climat d'insécurité qui règne sur le monde de la e-santé mobile que ce soit aux Etats Unis, au Japon, en Allemagne ou au Royaume Uni.

En effet 55% des utilisateurs et 45% des gestionnaires d'applications mobiles en E-santé s'attendent à subir des attaques informatiques dans les 6 mois qui viennent. Ce sentiment est d'autant plus fondé que 86% des 71 applications testées présentent au moins 2 des 10 failles majeures de sécurité identifiées par l'association référente en la matière, l'Open Web Application Security Project (OWASP). 

Les risques encourus vont de la simple altération au reverse engineering complet de l'application en passant par du vol de données et de la génération de dysfonctionnements y compris pour des applications jugées comme critiques pour la santé. Les failles les plus courantes sont le défaut de protection binaire (97%) et la non sécurisation des protocoles de transferts de données (79%).

28 des 34 applications labélisées par la FDA américaine ou la NHS anglaise sont concernées ce qui  semble en dire long sur la compétence des autorités sanitaires en matière de sécurité des applications mobiles. Les applications développées sous IOS étaient sensiblement moins sécurisées que celles sous Android.

87% des éditeurs pensent leur application parfaitement sécurisée alors que 86% des applications ne le sont pas.

Ces chiffres sont d'autant plus troublants que selon une étude antérieure d'IBM, 50 % des éditeurs d'applications mobiles confessent n'avoir aucun budget pour sécuriser leur application, comme si les éditeurs ne prenaient pas celà au sérieux ou n'incluaient pas dans leur modèle économique les coûts de la sécurisation de leur application. Pire encore la plupart semble être dans le déni ou l'ignorance puisque 75% d'entre eux pensent que tout a été fait pour sécuriser leur application et 87% pensent que leur application est sécurisée !

Pourtant 76% des utilisateurs se disent prêt à changer d'application s'ils découvraient qu'elle n'était pas sécurisée et 80 % font de la sécurité un critère de choix prépondérant dans leur choix d'application. Mais au delà des aspects économiques, faudra donc il attendre qu'un drame se produise, que des troubles sérieux à la santé des utilisateurs soit causés, que leur responsabilité soit pénalement engagée pour que les éditeurs finissent par prendre la sécurité informatique de leur application et des données de santé au sérieux ?

Selon le directeur technique d'Arxan, Sam Rehman, “De tels manquements peuvent avoir des conséquences majeures. Que se passerait il si vos données de santé étaient modifiées de telle sorte que votre application vous recommande de prendre une dose mortelle de médicament ? ”

Méthodologie de l'étude

Pour ce rapport Arxan a missionné un centre d'étude indépendant qui a audité au mois de novembre 2015, 815 utilisateurs d'applications mobiles dans les domaines de la finance et de la e-santé et 268 éditeurs d'applications impliqués par les problématiques de sécurité.

Parallèlement en octobre et novembre 2015, un réseau d'expert indépendant en sécurité informatique a testé 71 applications parmi les plus populaires sur les plateformes Android et IOS, aux Etats Unis, au Japon, en Allemagne et au Royaume Uni. 19 applications étaient labellisés par la FDA américaine et 15 par la NHS anglaise.

Infographie

Pour en savoir plus : 

Voir le rapport d'ARXAN

Voir l'étude de PONEMON sponsorisée par IBM sur la sécurité des applications mobiles

CM