UEM : l’administration des postes de travail à l’heure du Covid-19

Avec la mise en œuvre de mesures de distanciation sociale, l’effort s’est largement concentré sur la connexion des collaborateurs afin qu’ils puissent travailler à domicile. Mais une administration rigoureuse des terminaux est indispensable.

Contraints de travailler à domicile en raison de la pandémie de coronavirus, nombre d’employés se retrouvent à utiliser divers appareils connectés à Internet, dont smartphones, tablettes, haut-parleurs intelligents et ordinateurs… pouvant appartenir à l’entreprise ou à eux-mêmes. Mais chaque utilisation d’un appareil supplémentaire ouvre la voie à son lot de menaces potentielles. L’administration de tous ces terminaux est désormais une préoccupation essentielle pour les entreprises, dans le monde du Covid-19. Car celle-ci doit permettre de les sécuriser avant qu’ils n’aient accès au réseau de l’entreprise.

Pour Christopher Sherman, analyste principal chez Forrester, « avec une grande partie de la main-d’œuvre mondiale qui passe au travail à distance, la sécurité des terminaux n’a jamais été aussi critique. Souvent, les entreprises fournissent rapidement de nouvelles ressources à distance à leurs employés, étendant davantage une surface d’attaque déjà large ». Car ces terminaux peuvent ouvrir la voie à de nouveaux vecteurs d’attaque : « nous avons déjà vu des attaquants opportunistes profiter de la pandémie et intensifier leurs campagnes de hameçonnage ». Et pour l’analyste, ce n’est probablement pas fini.

Accélérer la tendance à la mobilité

Mark Bowker, analyste senior au sein de l’Enterprise Strategy Group (ESG), relève pour sa part que la tendance à la mobilité et au travail à distance n’est pas nouvelle – et que le lancement de l’iPhone a obligé les DSI à sécuriser un « périmètre élargi » autour des données d’entreprise. Selon une enquête du cabinet sur les salariés à plein temps, près des trois quarts effectuent au moins une partie de leur travail dans un cadre autre que le bureau au moins une fois par semaine, tandis que 50 % le font tous les jours.

« Le défi consiste à étendre rapidement les déploiements existants, tout en maintenant les politiques de sécurité pour les utilisateurs […]. »
Mark BowkerAnalyste, ESG

Alors pour Mark Bowker, la réalité est que « les employés s’attendent à être productifs où qu’ils soient, et la plupart des organisations informatiques ont mis en place des capacités pour fournir des applications et des données aux employés en toute sécurité ». Pour autant, en ces temps extraordinaires, « le défi consiste à étendre rapidement les déploiements existants, tout en maintenant les politiques de sécurité pour les utilisateurs qui peuvent présenter un profil de risque plus élevé, et qui ne travaillent plus sur un réseau ou un appareil maîtrisé ».

Alex Willis, vice-président de BlackBerry en charge de l’ingénierie commerciale, ne dit pas autre chose : « avec les mesures de confinement actuelles, un peu partout, des gens doivent faire tout leur travail sur ces appareils [mobiles]. Je pense que le problème auquel sont confrontées les entreprises est l’urgence de l’extension de l’approche au-delà des nomades habituels. On parle de personnes qui n’ont jamais travaillé à domicile auparavant et pour lesquelles il faut, très rapidement, mettre en place un bureau à domicile ».

Jason Dettbarn, fondateur et PDG de la société Addigy, spécialisée dans l’administration des terminaux Apple en mode cloud, assure avoir observé une progression des demandes depuis les premiers jours de l’épidémie : « le consensus est clair. Beaucoup de gens ne pensaient pas avoir besoin d’administrer des terminaux Apple. Certains avaient peut-être un modèle BYOD, ou ont autorisé [ces appareils] au bureau… maintenant, ils ont ce besoin de s’assurer qu’ils les gèrent qui s’impose à eux ».

Les appareils personnels offrent flexibilité… et risques

« Si vous ne contrôlez pas les machines, vous ne pouvez pas vraiment contrôler leur posture de sécurité ».
Alex WillisBlackBerry

Étant donné la nature généralisée de la pandémie, de nombreuses entreprises tentent de déployer des systèmes permettant le travail à distance en même temps – ce qui rend le provisioning difficile. Et cela pourrait conduire des entreprises à autoriser leurs employés à utiliser leurs propres appareils.  
Une option séduisante de flexibilité, mais qui met fragilise la sécurité des données : « la plupart des gens ont des ordinateurs domestiques très puissants de nos jours, mais obtenir un accès à distance pour être productif sur un ordinateur domestique présente beaucoup de risques », relève Alex Willis. Et pour lui, « si vous ne contrôlez pas les machines, vous ne pouvez pas vraiment contrôler leur posture de sécurité ».

Et c’est sans compter avec les habitudes de l’entreprise. Jason Dettbarn relève ainsi que « beaucoup d’employés auront probablement un appareil Apple à la maison qu’ils pourront utiliser pour leur travail ». Et là, « une organisation un peu plus centrée sur Windows pourrait avoir à s’adapter aux appareils pour que ses collaborateurs soient opérationnels ».

Zéro confiance pour le travail à distance

Potentiellement contraintes de laisser leurs collaborateurs utiliser des terminaux personnels, certaines entreprises pourraient se tourner vers la sécurité dite sans confiance, ou zero-trust, où la posture de sécurité du couple utilisateur/terminal est évaluée en continu.

Pour Chris Sherman, « lorsqu’une entreprise met en œuvre une stratégie sans confiance s’étendant à tous ses terminaux, elle peut se permettre d’être moins préoccupée par la santé du réseau domestique de l’employé, puisque la protection est centrée sur ce qui est le plus à risque – ses applications et ses données ».

« Le véritable objectif final doit être une connectivité sécurisée. »
Alex WillisBlackBerry

De fait, pour Alex Willis, avec cette approche, « peu importe que vous soyez dans le réseau ou non. Tout est considéré comme non fiable. Même si les utilisateurs ne le savent pas, ils sont vérifés à chaque étape : comment interagissent-ils avec l’application ? Sur quel réseau sont-ils ? Quel point d’accès utilisent-ils ? » Et si quelque chose paraît suspect, il y aura demande de réauthentification.

En définitive, pour Alex Willis, beaucoup peuvent être tentés de penser que « l’objectif final est la connectivité, mais le véritable objectif final doit être une connectivité sécurisée ».

Pour approfondir sur Administration des terminaux (MDM, EMM, UEM, BYOD)

Close