Sécuriser une application mobile et rassurer les utilisateurs : les bonnes pratiques
La sécurité des internautes est un enjeu majeur. De plus en plus de données personnelles sont récoltées et agrégées, les entreprises doivent mettre en place des dispositifs permettant de les protéger. Dans le même temps, le design joue un rôle clef pour rassurer les utilisateurs. Pour en savoir plus sur les moyens techniques à mettre en place pour sécuriser les données, nous avons rencontré Hugo Sallé de Chou, Victor Lennel (co-fondateurs) et Mayeul Wattecamps (relation clients) chez Pumpkin App. Pour une application permettant le remboursement entre amis, la sécurité n’est pas une option.
Comment sécuriser une application mobile ?
Pour sécuriser une application mobile, il faut être attentif à chaque point d’entrée potentiel d’utilisateurs malveillants. Le code de l’application joue évidemment un rôle clef : “il ne faut pas hésiter à chiffrer les données sensibles (données utilisateurs, cache…). On peut également obfusquer les clefs des différentes APIs utilisées pour sécuriser son application. Il est important de vérifier que l’utilisateur a bien le droit d’effectuer chaque action demandée par l’application” précise Victor. Mais ce n’est pas tout : “la sécurisation d’une application mobile passe aussi par la sécurité du code du backend (code serveur)”.
Sur mobile, la sécurisation des flux s’appuie surtout sur la présence d’un certificat SSL. “Celui-ci doit être conforme au grade A, voire plus, pour éviter les failles SSL. Pour plus de sécurité, on peut aussi utiliser le certificat pinning. Cela consiste à embarquer le certificat dans l’application et vérifier à chaque appel que le bon certificat est utilisé. Une autre méthode de sécurisation est l’utilisation d’un hash. Cela consiste à renvoyer l’ensemble d’une requête sous forme d’une chaîne de caractères hashée avec une clef secrète. Le serveur compare cette chaîne avec la requête qu’il reçoit pour vérifier qu’elle n’a pas été modifiée entre temps”.
Dans le cadre d’une application mobile spécialisée dans le remboursement comme Pumpkin, les partenaires financiers jouent un rôle important. Les sociétés qui font transiter des flux financiers sont soumis à une réglementation française et européenne stricte et doivent respecter des contraintes fortes pour que la sécurité des actifs des utilisateurs soit assurée. “Nos partenaires sont des acteurs solides, qui bénéficient d’agréments pour exercer leurs métiers. Leur rôle est double : nous fournir un service de qualité, conforme à la réglementation (et donc sécurisé) et veiller à ce que nous-mêmes nous appliquons cette réglementation. Nous travaillons notamment avec Payline, sans doute le meilleur prestataire de service de paiement européen (PCI-DSS). Son rôle est d’enregistrer et “tokeniser” les cartes bancaires de nos utilisateurs. Les données de cartes ne passent à aucun moment par l’application Pumkin en tant que tel. En cas d’intrusion donc, aucune donnée de CB ne peut être dérobée”, précise Hugo.
Comment rassurer les utilisateurs ?
La sécurisation d’une application passe évidemment par des moyens techniques. Mais difficile de rassurer les utilisateurs en leur indiquant que les chaînes de caractères ont bien été hashées et que le certificat SSL utilisé est conforme au grade A. Le design d’une application joue un rôle essentiel pour rassurer les utilisateurs, notamment les pictogrammes utilisés et les logos affichés.
- Le cadena : “sur Internet, le pictogramme Cadena est très largement utilisé pour désigner la sécurité. Il ne répond à aucun standard, aucune norme, il n’est pas obligatoire, il ne désigne rien de précis. Pourtant, son absence sur Pumpkin a nos débuts nous a causé beaucoup de torts, les utilisateurs ne nous croyaient pas quand on leur expliquait que l’application était sécurisée.”
- Les logos de partenaires : “afficher les logos de certains partenaires, notamment bancaires comme le Crédit Mutuel Arkéa, offre à nos utilisateurs un argument d’autorité. J’ai souvent entendu “c’est sécurisé, ils travaillent avec une grande banque” ; ce n’est pas forcément rationnel, mais ça rassure”.
Les services, qu’il s’agisse d’applications ou de sites web, peuvent utiliser d’autres dispositifs pour rassurer les utilisateurs. Mayeul insiste sur l’information, qui doit être disponible, accessible et compréhensible. “La sécurité est la première question abordée dans nos FAQ. On y traite le sujet de manière exhaustive pour rassurer sur tous les aspects, en essayant de vulgariser au maximum. On insiste sur la sécurité dès l’email de bienvenue, en proposant à l’utilisateur fraîchement inscrit de se renseigner davantage en parcourant l’article de la FAQ. Mieux notre utilisateur est informé, meilleur il sera pour rassurer ses amis. On rappelle aussi souvent que possible, notamment lors de nos échanges avec les utilisateurs au support client, sur tous les supports de communication mais aussi lors de nos conférences, les moyens mis en place pour sécuriser les données. Nous tenons à éduquer nos utilisateurs afin qu’ils soient avertis sur le sujet et qu’ils puissent en parler en connaissance de cause. Lorsqu’il s’agit de sécurité, nos pires ennemis sont les fantasmes et les idées reçues !”
Pour les entreprises, surtout dans la finance, l’intégrité et la sécurité des données personnelles font leur réputation, et donc leur valeur. “Vendre un email ou un numéro de téléphone rapporte très peu et fait courir le risque de briser la confiance, si longue à construire. Chez Pumpkin nous utilisons les données de nos utilisateurs uniquement dans le but de leur offirr une meilleure qualité de service. Il m’arrive de temps en temps, par exemple, d’envoyer un SMS à un utilisateur qui a un problème urgent et qui ne consulte pas ses emails. L’intérêt pour l’utilisateur passe avant tout”.
Community managers : découvrez les résultats de notre enquête 2025
Réseaux, missions, salaire... Un webinar pour tout savoir sur les CM, lundi 29 septembre à 11h !
Je m'inscris
