La confidentialité n'est pas une option : OWASP MASVS-P aidera votre application mobile à rester conforme

Comprendre la nouvelle catégorie de confidentialité dans OWASP MASVS et pourquoi elle est importante pour la RGPD et votre entreprise.

✨ Introduction : Pourquoi la confidentialité n'est plus facultative

Dans le monde numérique d'aujourd'hui, la confidentialité n'est plus une fonctionnalité optionnelle, c'est une exigence légale et une attente des clients. En tant qu'équipes d'ingénierie, nous nous sommes longtemps concentrés sur la sécurité : protéger les données contre les accès non autorisés et assurer l'intégrité de nos systèmes. Mais la confidentialité va au-delà de cela. Il s'agit de la manière dont les données personnelles sont collectées, utilisées, partagées et contrôlées, et plus important encore, si les utilisateurs en sont conscients.

L'OWASP Mobile Application Security Verification Standard (MASVS) introduit une nouvelle catégorie, MASVS-P pour la confidentialité, qui apporte une structure aux tests d'applications mobiles axés sur la confidentialité. Bien qu'elle soit encore en développement, elle met en évidence les pratiques clés alignées sur les réglementations légales comme la RGPD (Règlement Général sur la Protection des Données).

Dans de nombreux projets, la confidentialité est mal comprise ou sous-estimée. Elle est souvent considérée comme un obstacle à la livraison des produits ou traitée à tort comme une "case à cocher" que les équipes juridiques doivent gérer. Mais en réalité, la confidentialité dès la conception est une responsabilité partagée, et une responsabilité qui a un impact sur la confiance de votre marque, votre exposition juridique et votre succès à long terme.

La confidentialité n'est pas seulement une bonne pratique, c'est la loi. Le non-respect de la RGPD peut entraîner des amendes, une atteinte à la réputation, ou même le retrait de l'application des stores.

Qu'est-ce que MASVS-P et pourquoi devriez-vous vous en soucier ?

La nouvelle catégorie MASVS-PRIVACY se concentre sur les contrôles de confidentialité au sein de l'application mobile elle-même, ce qui peut être analysé et vérifié par analyse statique ou dynamique. Elle n'est pas destinée à remplacer les examens juridiques complets ou les DPIA (évaluations d'impact sur la protection des données), mais offre une base pour garantir que votre application respecte les données des utilisateurs au niveau technique.

MASVS-P repose sur quatre principes clés :

🧠 TL;DR

• Ne collectez que ce dont vous avez besoin, et rien de plus.

• Ne suivez pas les utilisateurs à moins que vous n'en ayez vraiment besoin et lorsque vous le faites, isolez ces données.

• Dites aux utilisateurs ce que vous faites avec leurs données, clairement et honnêtement.

• Donnez aux utilisateurs de vrais choix et respectez-les.

1. Minimisation des données (MASVS-PRIVACY-1)

Les applications doivent demander la quantité minimale de données nécessaire à la fonctionnalité, avec le consentement éclairé de l'utilisateur. Cela inclut la gestion de ce que les SDK tiers font en coulisses et la garantie qu'ils ne collectent ou ne partagent pas de données avant que le consentement ne soit donné. Cela est également lié à l'intérêt croissant pour les SBOM (Software Bill of Materials) afin de gérer les risques liés aux données tout au long des chaînes d'approvisionnement.

2. Éviter l'identification des utilisateurs (MASVS-PRIVACY-2)

Même les identifiants indirects comme les empreintes d'appareils, les adresses IP ou les modèles comportementaux peuvent être utilisés pour suivre les utilisateurs. MASVS-P encourage l'utilisation de techniques d'anonymisation, de pseudonymisation et d'insociabilité, en particulier lors de la combinaison de flux de données provenant de différentes parties de votre application ou de services tiers.

3. Transparence (MASVS-PRIVACY-3)

La confidentialité n'est pas seulement une question de conformité, c'est une question de confiance. MASVS-P exige que les applications informent clairement les utilisateurs de la collecte et de l'utilisation des données, y compris des comportements auxquels ils ne s'attendraient pas (comme la collecte de données en arrière-plan ou la synchronisation silencieuse). Cela inclut la garantie que les politiques de confidentialité, les déclarations de l'App Store et les explications intégrées à l'application sont cohérentes.

4. Contrôle de l'utilisateur (MASVS-PRIVACY-4)

Les utilisateurs doivent pouvoir gérer, supprimer et modifier leurs données, et révoquer un consentement précédemment donné. MASVS-P souligne également qu'un consentement supplémentaire doit être demandé si l'utilisation des données de l'application change.

Comment pouvons-nous vous aider à créer des applications axées sur la confidentialité ?

Chez Neopixl, nous pouvons intégrer les principes de confidentialité dès le premier jour :

• Nous concevons et testons des applications en tenant compte des contrôles MASVS L1, L2, R, et maintenant P.

• Nous auditons les SDK tiers pour nous assurer que le consentement est respecté et que la collecte de données est minimisée.

• Nous pouvons même vous aider à documenter vos flux de données, ce qui facilite la préparation du DPIA pour vos équipes juridiques.

Nous éduquons nos équipes sur la façon dont la confidentialité affecte l'UX, l'analyse et les architectures mobiles et backend.