Sécurité : le talon d'Achille des applications mobiles

La sécurité des applications professionnelles n'est pas une priorité durant le processus de développement, faute d'outils et de savoir-faire pour tester l'application dans des environnements variés. Pas franchement rassurant à l'heure où les politiques dites BYOD (Bring Your Own Device) mises en place par un nombre grandissant d'entreprises tendent justement à multiplier le nombre d'environnements présents dans l'organisation. Donc les failles potentielles.

La plupart des équipes de développement se concentre plutôt sur la performance de l'application et la vitesse de mise sur le marché. Telles sont les principales conclusions de l'étude World Quality Report, menée par Capgemini. Focalisée sur la sécurité des applications mobiles, cette quatrième édition de l'étude de la SSII française se base sur les réponses de 1 500 DSI ou directeurs des études répartis dans 25 pays.

Première surprise : seuls 31 % des dirigeants interrogés effectuent des tests de leurs applications mobiles avant leur mise en service (37 % en Europe de l'Ouest). Parmi ce petit tiers de DSI prudents, plus de 6 sur 10 concentrent leurs essais sur l'efficacité et la performance, plutôt que sur les fonctionnalités, la facilité d'usage ou la sécurité. "La mobilité est un paradigme complètement nouveau", explique Charles Li, vice-président pour les services de tests et de qualité applicative chez Capgemini et co-auteur du rapport. La diversité des plates-formes mobiles couplée à des terminaux supportant des versions de firmware différentes, combinée aux liens complexes avec les opérateurs soulève bien des défis en matière de tests, souligne-t-il.

Un déficit de compétences

65 % des DSI interrogés citent le manque d'outils parmi les obstacles aux tests des applications mobiles. Si les émulateurs peuvent être exploités pour évaluer comment un logiciel fonctionne sur une plate-forme donnée, ils ne permettent pas de tester comment cette application tournera sur un terminal en particulier. Justement 52 % des dirigeants informatiques sondés citent la difficulté d'accès aux terminaux comme l'autre frein principal à la mise en place d'une politique de tests.

Plus inquiétant peut-être, les équipes de tests au sein des entreprises manquent des compétences nécessaires pour appréhender les spécificités du mobile. Un tiers des organisations avouent ne pas avoir de méthodologies et de processus en place, et 29 % d'entre elles ne possèdent pas les spécialistes capables de certifier leurs applications mobiles, selon Capgemini. "Une large part des testeurs à qui nous avons parlé s'attaquent au sujet pour la première fois, note Charles Li. Et la plupart d'entre eux omettent de considérer des points essentiels, comme l'usage de la 3G ou de Edge versus celui de la 4G. Il n'existe pas de formation adaptée. La plupart des testeurs apprennent sur le tas". Et de citer le cas d'une entreprise qui avait confié l'ensemble de ses tests à des équipes en Inde. Y compris ceux des applications mobiles quand la question s'est posée. "Au final, les charges d'itinérance (roaming) ont largement dépassé les économies réalisées en coûts de main d'œuvre", s'amuse le vice-président de la SSII.

En complément :

Télécharger l'étude de Capgemini (fichier PDF)

Lire notre dossier :

Mobiles : et si, pour une fois, la sécurité arrivait à temps ?