Ces fonctions clés du MDM pour la gestion de la sécurité
Alors que l’offre fonctionnelle des solutions de MDM gagne en maturité, les entreprises doivent faire évoluer leurs stratégies de sécurité en conséquence.
Il ne fait pas de doute que les professionnels en charge de la sécurisation des actifs informationnels des entreprises savent que les terminaux mobiles constituent un nouveau défi. Alors que le rôle, la diversité, et les spécificités de ces terminaux gagnent en importance au sein des entreprises, il en va de même des contrôles nécessaires à la protection des données consultées sur ces appareils.
Afin de sécuriser les données corporates, les RSSI ont besoin d’une vision complète et précise sur la manière dont les préférences des employés évoluent en matière de terminaux et d’usages. Ces préférences passent des actifs informationnels traditionnels au domaine public avec des tendances telles que le BYOD, l’usage de contenus centrés sur les applications, l’adoption des tablettes, ou encore les travailleurs exclusivement sans fil. La DSI doit s’appuyer sur les professionnels de la sécurité pour confirmer que les données de l’entreprise utilisées par une population mobile toujours plus vaste sont en sécurité. Et cela passe largement par le recours à des technologies supportant les règles d’usage basées sur les identités.
Le MDM en mode logiciel (SMDM) continue d’être la technologie de référence pour sécuriser un nombre croissant de terminaux mobiles grand public dans les entreprises. Selon le Nemertes Research Group, 46 % des entreprises ont déployé des solutions de gestion des terminaux mobiles (MDM) outre-Atlantique, et 84 % prévoient de l’avoir fait d’ici la fin 2014. Un quart des employés devraient rapidement utiliser des tablettes comme supports informatiques complémentaires d’ici la fin de l’année. Et 10 % d’entre eux devraient même avoir remplacé leurs ordinateurs portables par de telles tablettes.
De leur côté, les fournisseurs font tout leur possible pour différencier leurs produits de MDM des concurrents. Nombreux sont ceux qui offrent désormais des capacités de gestion des contenus basées sur la conteneurisation. Certains vont plus loin, dans la direction du VDI. Mais la plupart, sinon tous, offrent les fonctions suivantes : gestion des applications mobiles (MAM), voir magasin applicatif d’entreprise ; conteneurs sécurisés pour les documents, les applications, et les données d’organisation personnelle ; partage de documents sécurisé sur le terminal et avec des services Cloud partenaires ou via des API d’intégration avec SharePoint, Dropbox ou Google Drive ; intégration WLAN ou MDM en mode sans-fil ; fonctions avancées de geo-fencing, d’encapsulation d’applications, d’intégration de certificats, et prévention de fuites de données.
Parmi toutes ces fonctions de MDM, la gestion des applications mobiles (MAM) est utilisée par 29 % des entreprises. C’est probablement l’une des fonctions les plus largement répandues et les plus cruciales. De la même manière que les terminaux centrés sur le consommateur et les applications poussent à l’adoption des technologies de MDM, les initiatives de développement d’applications métiers, en forte croissance, poussent à celle du MAM et des magasins applicatifs d’entreprise. Le MAM fournit aux employés une interface de magasin applicatif familière pour présenter les applications métiers. La gestion des licences, de la distribution, et des mises à jour est contrôlée via un service d’annuaire, tel qu’Active Directory ou LDAP.
Le partage sécurisé de documents (SDS) est une approche du partage de fichiers contrôlé par un service d’annuaire. Le SDS pour terminaux mobiles diffère toutefois du SDS pour des appareils plus maîtrisés tels que les ordinateurs portables, parce que les systèmes d’exploitation mobile n’offrent pas grand chose en termes d’options d’administration natives de classe entreprise. Afin de combler cet écart, les systèmes de MDM proposent des API aux systèmes de partage de documents d’entreprise et pour le contrôle des courriers électroniques et des pièces jointes. La plupart des systèmes de MDM intègrent en outre des mécanismes de stockage sécurisé des documents, d’intégration aux systèmes SDS cloud, et d’accès déporté par VDI aux documents.
Le NMDM gagne aussi en popularité, même si seulement 11 % des entreprises l’utilisent. Le MDM en mode réseau est particulièrement intéressant en cela qu’il permet d’identifier des indicateurs clés sur les terminaux et d’appliquer des règles via un logiciel d’administration réseau s’appuyant sur des protocoles largement standard. Et puisque les capacités de MDM réseau se sont, pour la plupart, pas propriétaires, elles ne nécessitent pas de nouvel équipement réseau ou d’investissement lourd pour fonctionner, que ce soit en tandem avec une solution de MDM logicielle ou comme produit autonome. Cela permet aux RSSI de tirer profit de fonctionnalité telles que la construction d’empreintes de terminaux, le reporting sur la posture de sécurité, la gestion de la qualité de service sur les applications mobiles, ou encore les réseaux privés virtuels au niveau applicatif, le tout sans avoir besoin d’installer de logiciels clients. Le NMDM fournit aux équipes de sécurité les outils nécessaires pour bloquer, rediriger et prioriser le trafic réseau généré par les terminaux et leurs applications. Et c’est tout particulièrement adapté aux environnements BYOD.
Comment l’évolution du MDM affecte les politiques de sécurité
Il est difficile de suivre parfaitement un paysage de fonctionnalités de MDM qui évolue en permanence. Toutefois, puisque les fonctionnalités évoquées plus haut sont disponibles, les entreprises devraient prendre en compte les éléments suivants avant d’établir ou de moderniser leur stratégie de sécurité mobile :
• Revoir les politiques de provisionnement de terminaux mobiles supportées et l’étendue du recours au BYOD. Les capacités évoquées plus haut peuvent permettre d’élargir l’éventail des applications mobiles supportées ou des cas d’usages autorisés pour renforcer la productivité des employés.
• Evaluer les attentes existantes et à court terme des utilisateurs de terminaux mobiles.
• Suivre le nombre de terminaux mobiles propriété de leurs utilisateurs dans l’entreprise et qui sont connus et/ou administrés par la DSI. Puis déployer du NMDM dans les périmètres où le BYOD est largement répandu, avec des règles équilibrées entre sécurité et utilisabilité. La politique interne devrait dicter que les utilisateurs doivent enrôler leurs terminaux mobiles personnels dans le MDM de l’entreprise ou renoncer à leur utilisation professionnelle.
Enfin, MDM, MAM et SDS devraient être les principaux outils permettant d’assurer la sécurisation des terminaux mobiles. Dans les entreprises où les trois ne sont pas encore en place, il convient d’évaluer des produits à partir de demandes d’informations, d’offres, et de projets pilotes. Là, il convient au moins de demander s’il est prévu de déployer des applications internes, développées à façons, ou publiques, pour évaluer un recours au MAM avec le contrôle l’utilisation d’applications spécifiques.
Enfin, il convient de revoir les capacités de partage de documents sécurisé actuellement en place : sont-elles suffisantes pour les terminaux mobiles ou y sont-elles en retrait par rapport aux versions pour poste de travail ? Et est-il préférable de recourir à des solutions Cloud, locales, ou intégrables afin de garantir une application consistante des stratégies.
Adapté de l’anglais par la rédaction.
A propos de l’auteur
Philip Clarke est analyste au sein du cabinet The Nemertes Research Group Inc. Il y est co-directeur de la practice de recherche mobilité et sans fil, conseille les clients du cabinet sur le sujet, rédige des études sur les tendances clés du marché, conduit des analyses statistiques, et développe des rapports de recherche.