Tierney - stock.adobe.com
Trois scénarios de déploiement d’une protection contre les menaces mobiles
Le processus d’intégration et de déploiement des applications de protection contre les menaces mobiles est différent, selon que l’on utilise une solution de MDM, de MAM, ou rien de tout cela.
La sécurité par défaut et la structure en bac à sable des plateformes mobiles peuvent donner aux organisations un faux sentiment de sécurité. Une lacune qui peut être comblée en déployant une solution de défense contre les menaces mobiles (MTD, Mobile Threat Defense).
Les outils de MTD ajoutent une couche de protection contre le phishing (y compris le smishing), les connexions réseau non sécurisées et même les applications malveillantes. Le processus de déploiement peut être intimidant, mais il n’est pas trop complexe. Les administrateurs doivent connaître les objectifs du déploiement d’une application de défense contre les menaces mobiles sur les appareils des utilisateurs finaux, et les trois options de configuration les plus courantes.
Différentes approches du déploiement
De nombreuses solutions de MTD sur le marché se composent d’une application à déployer sur le terminal mobile et d’un service cloud qui fait office de console d’administration consolidée.
Ce service cloud fournit des renseignements de sécurité à l’application MTD sur le terminal mobile. Dès lors, le processus d’installation se résume essentiellement à la configuration du service cloud et au déploiement de l’application sur les appareils. En pratique, la majeure partie du travail doit être effectuée localement sur le terminal.
Les administrateurs peuvent simplifier ce processus d’installation sur l’appareil, en utilisant une plateforme d’administration des appareils mobiles (MDM), ou une fonctionnalité MDM au sein d’une plateforme de gestion unifiée des terminaux (UEM). Ces fonctionnalités sont également disponibles dans la plupart des plateformes de gestion de la mobilité d’entreprise (EMM).
Ces plateformes peuvent déployer l’application mobile du MTD et les configurations associées. Les étapes de l’installation d’une application MTD sur un terminal mobile ne sont pas les mêmes sur toutes les plateformes. Et elles varient en fonction des services souhaités.
Il est possible d’utiliser une solution de MTD de manière autonome, mais la meilleure façon d’obtenir une couverture complète est de combiner MTD et MDM. Cette association permet de réagir aux signaux de risque émis par le MTD en bloquant ou en autorisant l’accès aux données et aux ressources de l’entreprise, en fonction de ces signaux.
Il est possible d’utiliser une combinaison similaire en associant la gestion des applications mobiles (MAM) à la MTD. Là, l’utilisateur final peut choisir le terminal qu’il souhaite, et l’utiliser dans un cadre professionnel, mais l’informatique peut gérer l’accès aux applications spécifiques à l’entreprise en fonction des signaux de risque fournis par la solution de MTD.
Installation isolée d’une solution de MTD
Ce n’est pas toujours la meilleure solution, mais certaines organisations choisissent de déployer une solution de MTD de manière isolée. Pour celles-ci, l’installation de l’application de MTD est une activité manuelle pour l’utilisateur final. L’utilisateur doit se rendre sur le Google Play Store ou l’Apple App Store – selon la plateforme de l’appareil mobile – puis télécharger et installer l’application de MTD requise.
Après le téléchargement et l’installation, l’utilisateur doit activer l’application de MTD à l’aide d’un code d’activation ou en se connectant directement à l’application avec ses informations d’identification. Après l’activation, la plupart des applications MTD sont opérationnelles. Mais pour certaines, des étapes additionnelles peuvent être requises, comme la création d’une connexion VPN.
Installation avec une plateforme MDM
Lorsque le service informatique utilise une solution de MTD conjointement à une plateforme MDM, l’administrateur peut automatiser l’installation de l’application MTD. Il est au passage possible de tirer profit du programme d’achat en volume d’Apple.
Après avoir ajouté l’application de MTD au MDM, l’administrateur peut utiliser une politique de configuration des applications pour appliquer la bonne configuration à l’application MTD. L’ensemble de ces éléments permet à l’administrateur de pousser une application MTD préconfigurée vers chaque terminal mobile administré.
Mais l’utilisateur final peut, avec certaines applications de MTD, devoir suivre quelques étapes supplémentaires.
Installation avec une plateforme MAM
Avec une plateforme MAM, l’installation de l’application de MTD est un processus manuel. L’administrateur peut créer une politique de gestion des applications de l’entreprise, qui obligera l’utilisateur à installer l’application MTD. Sans l’application MTD, les utilisateurs ne pourront alors plus accéder aux données ou applications métiers de l’entreprise.
Cette politique guidera l’utilisateur dans le processus d’installation de l’application de MTD en utilisant le Google Play Store ou l’Apple App Store. Cela l’amènera à un processus similaire à celui décrit pour une installation MTD autonome.
Déterminer les politiques de défense à configurer
Il convient d’assurer l’équilibre entre la sécurité et la confidentialité, qui est au cœur des politiques de sécurité des terminaux mobiles en général. Si des appareils BYOD ou des appareils personnels appartenant à l’entreprise font partie du parc administré, il est toujours possible de protéger les utilisateurs sans porter atteinte à leur vie privée. Cependant, l’informatique et la direction doivent fournir des messages clairs, et recueillir l’accord écrit des employés.
Par exemple, de nombreuses plateformes offrent désormais l’anonymat aux utilisateurs ou les informent lorsqu’une application ou un site web divulgue des informations sans alerter l’administrateur – à moins que la fuite ne présente un risque pour les données de l’entreprise. Il s’agit d’un scénario gagnant-gagnant dans lequel l’organisation respecte la vie privée de ses collaborateurs, tout en laissant la plateforme de MTD signaler au service informatique les menaces concernant l’entreprise.