Maksym Yemelyanov - Fotolia
MAM, MDM, MIM : les trois options de contrôle pour la mobilité d’entreprise
L’EMM a bien plus à apporter en sécurité qu’il peut y paraître au premier regard. Trois composants sont à prendre en compte pour le contrôle des terminaux, des applications, et des données.
La gestion de la mobilité d’entreprise va au-delà de la sécurité. Mais ce sujet devrait figurer en tête des priorités, puisqu’il concerne des données potentiellement sensibles de l’organisation.
Bien sûr, une stratégie complète de gestion de la mobilité d’entreprise (EMM) vise à assurer la sécurité des terminaux (MDM), des applications (MAM), et des informations (MIM). Chaque technique prend une approche différente de la sécurité de l’EMM, et la manière dont les administrateurs choisiront de les intégrer à leur stratégie de gestion de la mobilité dépendra de plusieurs facteurs. Par exemple, il faut tenir compte de la prise en charge ou non de terminaux personnels et d’entreprise, voire des deux. Mais dans tous les cas, l’objectif est le même : empêcher les données sensibles de sortir de leur domaine sécurisé.
La gestion des applications
Le MDM apporte aux administrateurs un outil puissant pour contrôler les terminaux mobiles. Mais peu d’utilisateurs de terminaux personnels (BYOD) apprécient un tel contrôle, même s’ils emploient leurs appareils dans un contexte professionnel. Pour cela, de nombreuses organisations se tournent vers le contrôle des applications mobiles (MAM), en complément ou à la place du MDM.
Le MAM vise à administrer et sécuriser les applications et données métiers, sans interférer avec la manière dont les utilisateurs exploitent les fonctionnalités de leurs appareils et leurs données personnelles. Les utilisateurs peuvent toujours prendre des photos, connecter leurs périphériques Bluetooth, ou accéder à Dropbox et envoyer des messages, tant qu’ils n’utilisent leurs applications métiers que dans le cadre défini à cette fin.
La DSI peut utiliser le MAM pour contrôler les applications métiers que les utilisateurs peuvent faire fonctionner sur leurs appareils, en fonction de profils et des besoins qui leurs sont associés. La DSI peut déployer des applications, configurer des réglages, appliquer des signatures numériques, diffuser des mises à jour, ou encore bloquer des applications.
Les systèmes d’exploitation mobiles, comme iOS depuis sa version 7, intègrent des capacités de MAM. Mais d’autres outils, tels que les technologies de conteneurisation, permettent d’isoler des applications spécifiques. Mais quelle que soit l’approche, le but est bien d’administrer et de sécuriser les applications métiers sans interférer avec les activités personnelles.
Le MAM permet de forcer le chiffrement de certaines applications spécifiques sans toucher aux données personnelles, et de contrôler la manière dont les données peuvent être partagées entre applications.
Par exemple, les administrateurs peuvent configurer une application métier pour interdire que les utilisateurs copient des données vers des applications personnelles ou n’en impriment.
Il également possible d’exiger la saisie d’un mot de passe pour accéder à une application. Et le MAM peut aider à sécuriser les communications des applications métiers, par exemple en forçant le recours au VPN de l’entreprise. Et c’est sans compter le support du SSO.
Le MAM offre clairement de nombreux bénéfices pour administrer les applications mobiles. Mais parfois, les administrateurs veulent aussi un contrôle du terminal. Heureusement, MDM et MAM ne sont pas mutuellement exclusifs.
La gestion des terminaux mobiles
Le MDM assure le contrôle du terminal dans son ensemble. Par exemple, il peut permettre d’interdire l’utilisation de l’interface Bluetooth, ou de l’appareil photo embarqué. Il permet également de forcer le chiffrement complet des données au repos et d’automatiser la distribution de certificats numériques pour sécuriser certaines connexions, à des réseaux Wi-Fi ou VPN, notamment.
Le MDM peut également aider à la mise en œuvre et à l’administration de protections à distance. Les administrateurs peuvent ainsi mettre en place des politiques relatives aux mots de passe ou code PIN de verrouillage des terminaux. Mais cela va aussi au-delà, avec le verrouillage à distance des appareils, la réinitialisation de leur mot de passe, ou encore leur effacement.
En outre, le MDM permet d’administrer des terminaux mobiles de manière centralisée, souvent en conjonction avec d’autres systèmes d’entreprise, comme Active Directory. Les administrateurs peuvent ainsi mettre en place des règles en fonction des types d’utilisateurs et de leur localisation.
Cette administration centralisée aide aussi à s’assurer de disposer d’un parc de terminaux toujours à jour des correctifs de sécurité. Certains outils de MDM permettent également aux administrateurs de pousser des notifications aux terminaux administrés, ou encore de dialoguer de manière sécurisée avec leurs utilisateurs.
Enfin, les outils de MDM fournissent des mécanismes d’identification des terminaux potentiellement compromis – ceux qui ont été jailbreakés ou rootés –, ainsi que d’inventaire et de suivi de la localisation géographique.
La protection des données
Le MIM (ou mobile information management) est à la dernière pièce du puzzle de la sécurité appliquée à la mobilité d’entreprise. Il fonctionne en conjonction avec le MDM et le MAM pour assurer la sécurité des données sensibles. Le MIM intègre ainsi un composant de chiffrement des données, ainsi que les processus d’autorisation/authentification nécessaires au contrôle de l’accès aux données, quel que soit le type d’appareil ou l’application. Le MIM peut aussi intégrer des capacités de synchronisation et de gestion des données, ainsi que de suivi de leurs mouvements.
Avec le MIM, les administrateurs disposent d’un contrôle granulaire sur qui peut accéder aux données. A cela s’ajoute la possibilité de mettre en œuvre des contrôles tels que l’authentification à facteurs multiples, ou encore le contrôle d’accès contextualisé.
Les outils d’EMM qui intègrent des capacités de MIM aident les entreprises à traiter les questions de conformité réglementaire, des questions qui peuvent constituer un facteur important dans la détermination des besoins de sécurité.