Saktanong - stock.adobe.com

Sécuriser la gestion de la mobilité d’entreprise

Il est tentant de considérer que l’EMM est sécurisée par conception. Mais ce n’est pas toujours le cas. Alors voici comment l’appréhender de manière sûre.

Les logiciels malveillants progressent. Et cela signifie que les plateformes de gestion de la mobilité d'entreprise (EMM) sont susceptibles de devenir vulnérables. Il convient donc de savoir comment les protéger.

Ce n’est pas de la fiction : des pirates informatiques ont réussi à infiltrer certaines plateformes d’EMM. Par exemple, en janvier 2018, des chercheurs en cybersécurité ont découvert une vulnérabilité inédite permettant d’accéder à distance à l'EMM de Samsung, SDS. Le Coréen a été capable de corriger rapidement sa plateforme pour éviter une épidémie majeure. Mais de nombreuses actions illégitimes auraient pu se produire sur les terminaux des utilisateurs en cas d’attaque visant le conteneur Knox.

La plupart des solutions d’EMM embarquent des fonctionnalités de sécurité comme l’analyse de code statique ou l’exécution de menaces en environnement émulé. Mais plusieurs ne le font pas. Certaines plateformes d’EMM peuvent détecter une application malveillante sur l’appareil d’un utilisateur, et demander à ce dernier de la supprimer. Et s’il ne le fait pas, l'administrateur peut isoler l’appareil pour empêcher l'accès aux ressources de l'entreprise. Et cela va jusqu’à effacer complètement le terminal.

Comment améliorer la sécurité avec l’EMM

Le plus grand risque de sécurité lié à l’EMM relève des employés et des administrateurs. Le service informatique peut réduire le risque d’attaques internes en activant l'authentification unique (SSO) combinée avec l’authentification à facteurs multiples (MFA). Là, il est possible d’éviter que les utilisateurs ne bénéficient de droits susceptibles de persister après leur départ de l'entreprise ou leur changement de fonction.

Les services informatiques peuvent également utiliser l’intelligence artificielle pour détecter des comportements susceptibles de conduire à une attaque. De telles approches permettent au service informatique de se concentrer sur des problèmes prioritaires. Mais il convient également de définir des modèles de privilèges minimalistes pour la gestion des droits.

Il peut être ainsi avantageux de distinguer deux équipes : l’une dédiée à l'administration, la sécurité et les politiques associées, et une autre pour la gestion des applications mobiles (MAM). Cela fait, il est possible d’aligner les rôles fonctionnels des employés sur leurs droits techniques. Mais ce n’est pas tout.

Il existe encore de nombreuses entreprises qui exploitent des plateformes d’EMM déployées en local. Là, il est important d'implémenter les correctifs dès qu’ils sont disponibles. Comme pour beaucoup d’autres systèmes d’administration. Le service informatique doit également corriger les systèmes d'exploitation sur lesquels repose l'outil d’EMM, ainsi que les composants logiciels qu’il utilise. C’est tout un écosystème qu’il s’agit de tenir à jour. Et celui-ci s’étend jusqu’aux terminaux administrés.

Android, par exemple, a récemment remplacé Device Administrator par Android Enterprise. Avec Android Enterprise, un profil de travail permet de séparer les données d'entreprise et personnelles sur les terminaux, ce qui peut contribuer à limiter les risques associés. Mais encore faut-il que la plateforme d’EMM soit à jour pour le supporter. Pour autant, Android n'autorise pas les outils d’EMM obsolètes à gérer le système d'exploitation. Et ce n’est pas forcément une mauvaise chose.

Pour approfondir sur Administration des terminaux (MDM, EMM, UEM, BYOD)