En su ejemplo, un intruso (E) necesitará tener acceso a las comunicaciones entre la aplicación (A) y el servidor (B). Esto se puede hacer comprometiendo los enrutadores en su red, o haciéndose pasar por un enrutador WiFi legítimo. No es fácil, pero no imposible en la mayoría de las redes.
Tenga en cuenta que si E lograba comprometer su equipo, también podría comprometer el servidor y manipular la aplicación. En resumen, en este punto, tiene mayores problemas de seguridad que proteger la comunicación entre A y B, y debería concentrar sus recursos en garantizar la integridad de su red.
Pero digamos que E logra entrar en la red y quiere mantenerse al margen al no tocar A o B. E solo quiere escuchar las comunicaciones entre A y B. A y B pueden comunicarse de forma segura: certificado uno del otro (A tiene el certificado de B y confía en que es legítimo), o tener el certificado de la autoridad de certificación de su compañía para verificar los certificados de A y B (A obtiene el certificado de B sobre un canal no confiable pero A verifica que es legítimo utilizando la confianza de A en la autoridad de certificación). Estos certificados se pueden usar para asegurar las comunicaciones utilizando TLS (HTTPS).
En este modelo de amenaza, sin asegurar las comunicaciones entre A y B, E podría observar las comunicaciones. Si E quiere ir un paso más allá, también podría moderar los datos que transitan entre A y B, dependiendo del acceso de E a la red.
TL; DR: La defensa en profundidad es algo bueno (TM). Sin embargo, debe tener cuidado de evaluar sus amenazas con el fin de concentrar sus recursos en proteger las vulnerabilidades con el mayor retorno de la inversión para el atacante. Como cada empresa es diferente de otra, debe solicitar una auditoría de su empresa para saber si es una buena idea gastar recursos para asegurar la comunicación entre A y B.