29 octobre 2012

Le Mobile Device Management et les risques du BYOD

BYOD

La mobilité s’est imposée dans les organisations et elle révolutionne les habitudes de travail dans les entreprises. Aujourd’hui, il est devenu classique d’accéder au système d’information de l’entreprise, en toute situation (de n’importe où et quand on le souhaite), à partir de son ordinateur portable mais aussi et surtout via son smartphone et sa tablette tactile. Gartner prévoit que 80% des entreprises utiliseront des tablettes en 2013.

Les nouveaux usages se sont multipliés et ont entraîné de nouveaux risques qui ne sont pas toujours pris en compte par l’organisation. Le phénomène du BYOD (Bring Your Own Device) est venu amplifier cette tendance en rendant de plus en plus flou la frontière entre usage personnel et usage professionnel. Les terminaux mobiles personnels sont de plus en plus connectés au système d’information de l’entreprise sans aucun contrôle de la part de la DSI (Direction des Systèmes d’Information). Selon une étude commandée par IBM, 21 % des entreprises françaises interdiraient aujourd’hui à leurs salariés de connecter des terminaux personnels au SI de l’entreprise. Les DSI justifient cette interdiction par les difficultés d’administration, de support et de sécurisation d’une flotte mobile hétérogène. Mais elles sont aussi 49% à admettre que leur position va devoir évoluer pour s’adapter à ces nouveaux usages. Mais cela ne signifie pas laisser la sécurité de côté.

Les terminaux mobiles, qu’ils soient fournis par l’organisation ou appartiennent aux employés, représentent un nouveau vecteur d’attaques contre le SI de l’entreprise mais également une  opportunité pour améliorer l’agilité et la productivité d’une organisation. Interdire n’étant pas une solution crédible, des solutions techniques et organisationnelles (politique de sécurité adaptée, analyses de risques, audits, sensibilisation des utilisateurs…) doivent être mises en place pour sécuriser les données de l’organisation.

Gérer et sécuriser une flotte mobile est aujourd’hui indispensable pour limiter les risques liés à la mobilité. Les solutions de Mobile Device Management (gestion des terminaux mobiles) sont une des réponses techniques à cette problématique.

 

Qu’est-ce qu’une solution de MDM ?

Les solutions de MDM vont permettre avant tout la gestion par l’entreprise du parc de terminaux qui se connectent sur son système d’information (terminaux personnels ou non) : administration,  application de la politique de sécurité de l’entreprise sur le terminal, contrôle des éléments installés, mise à jour, effacement à distance, etc.

Ces solutions multiplateformes répondent à une tendance forte : la percée de terminaux iOS d’Apple en entreprise et la montée en puissance d’Android qui commencent à supplanter BlackBerry.

Une solution de Mobile Device Management dispose, à minima, des fonctionnalités suivantes :

 

Inventorier : identifier les terminaux mobiles connectés, les activer / désactiver, suivi et reporting
Configurer : blocage des applications, implémentation des politiques d’utilisation…
Déployer : installation des applications et des mises à jour à distance, mise en œuvre de la politique de sécurité…
Sécuriser : géolocalisation, effacement et blocage à distance, imposer une politique de mot de passe, chiffrement, VPN…

 

Un marché encore très fragmenté

Le marché du Mobile Device Management reste aujourd’hui encore très fragmenté avec une cinquantaine d’acteurs très différents. Selon Forrester[1], ce marché, en forte croissance, représenterait 6,6 milliards de dollars en 2015 et serait fortement poussé par la tendance du BYOD.

Depuis 2009, on peut noter de nombreux rachats. En 2010, SAP avait racheté Sybase et McAfee avait acquis Trust Digital. Good Technology avait été racheté par Visto en 2009.Selon Gartner, ce marché va continuer à se consolider encore quelques années.

En 2012, Gartner a identifié les quatre solutions leaders dans son Magic Quadrant[2]: celles de Good Technology, MobileIron, Fiberlink, Zenprise et AirWatch.

Magic Quadrant MDM de Gartner (mai 2012)

 

Les différentes solutions se différencient par leur compatibilité avec les différentes plateformes du marché. BlackBerry n’est pas toujours supporté, tout comme la dernière version de Windows Phone. Certains éditeurs de MDM supportent également les ordinateurs de bureau / portables sous Windows. Cette convergence de la gestion mobile / PC semble incontournable selon une étude de Forrester[3]. Le BYOD et la mobilité ne concernent pas seulement les téléphones et tablettes mais aussi les ordinateurs portables.

Les opérateurs mobiles commencent à nouer des partenariats avec des éditeurs spécialisés en MDM pour proposer à leurs clients des solutions de gestion de leurs flottes mobiles en version Cloud. AT&T propose notamment depuis 2010 une offre de MDM[4] utilisant la plateforme VSP de MobileIron. De son côté, Sprint et Good Technology[5] sont partenaires depuis février 2011 et offrent un service de MDM dédiées aux entreprises gérant des terminaux Android. En France, Orange et maintenant SFR proposent depuis peu des offres de ce type.

 

Les alternatives : la virtualisation et le bac-à-sable

Les solutions de MDM sont avant tout des solutions de gestion de flotte de mobiles, il ne s’agit pas en premier lieu de solutions de sécurité. D’autres solutions ont directement comme objectif de sécuriser l’usage de la mobilité en entreprise et permettent cloisonner les usages personnels  et professionnels. On distingue deux types de techniques:

 

  • La virtualisation (ou conteneur)

Chaque environnement virtualisé sera chiffré et étanche. Ce type de solution est réservé pour le moment aux terminaux sous Android. Il est également complexe à mettre en œuvre et dégrade l’expérience utilisateur (réduit l’autonomie de la batterie). VMWare propose notamment des solutions de ce type.

 

  • Le bac-à-sable (wrapper ou « bulle sécurisée »)

Dans ce type de solution, l’objectif est de placer toutes les applications professionnelles dans une application sécurisée (de type sandbox) où les données seront chiffrées pour les séparer des applications personnelles. Moins complexe à mettre en place qu’une solution de virtualisation, les sandbox de ce type ont le désavantage de rendre moins ergonomique l’utilisation du smartphone par l’utilisateur final qui devra changer ses habitudes et utiliser des applications spécifiques.

 

Good Technology propose, par exemple, une solution MDM avec un positionnement très différent de ses concurrents. La société propose une solution de type « bac-à-sable » (sandbox) et un véritable cloisonnement des applications professionnelles.

Pour Florian Bienvenu (dans une interview publiée sur Silicon.fr[6]), vice-président Europe du Sud et Centrale de Good Technology, cette solution a « une approche différente de la plupart des offres qui misent sur la sécurisation du terminal. Car ce n’est pas en sécurisant le réseau qu’on protège les données ». Good Technology préfère miser sur« la sécurité au niveau de l’application plutôt que du terminal via une approche par container (bac à sable). Ce qui rend chaque application hermétique de l’autre et rend impossible le copier-coller. Pour effacer les données à distance, on efface le container, pas l’ensemble des données du terminal. » La solution nécessite néanmoins l’installation d’un serveur spécifique et les données chiffrées passent obligatoirement par un datacenter de Good Technology.

 

Le BYOD : ne pas oublier les problématiques RH et juridique 

La mobilité et le BYOD en particulier restent des sujets non matures en entreprise. Si des solutions techniques et organisationnelles commencent à être mises en place pour réduire les risques, les aspects juridiques et RH prennent également une place prépondérante dans cette nouvelle tendance.

En effet, le BYOD fait s’interroger les entreprises sur les questions de vie privée. La séparation entre données professionnelles et personnelles est de plus en plus floue pour le salarié et pour l’entreprise. Le BYOD soulève des questions d’ordre juridique et RH :

  • L’entreprise a-t-elle le droit de contrôler le terminal mobile personnel de ses salariés ? A-t-elle le droit de la géolocaliser ? d’effacer des données à distance ?
  • Les salariés ont-ils le droit de « transporter » des données confidentielles de l’entreprise sur des terminaux personnels ?
  • Quelles sont les responsabilités des salariés / de l’entreprise en cas d’incident impliquant un terminal personnel sur le SI de l’entreprise ?

 

Les réponses à ces questions ne pourront être trouvées qu’à travers une concertation entre les salariés, leurs représentants et les services RH et juridique de l’entreprise et dépendront du contexte de chaque organisation.

 

Conclusion

Pour une entreprise qui gère ses terminaux, les solutions MDM semblent amener un premier bon niveau de sécurité et permettent notamment de conserver l’expérience utilisateur.

Lorsqu’il s’agit d’un parc hétérogène et avec des terminaux personnels, il est nécessaire d’étudier précisément les fonctions souhaitées par les utilisateurs et d’évaluer les risques pour l’entreprise. Les DSI devront faire des arbitrages entre mettre en place un haut niveau de sécurité (contraignant pour l’utilisateur notamment via des outils de type bac à sable) et déployer des solutions de MDM qui conserveront l’ergonomie pour l’utilisateur mais engendreront des risques résiduels.

Notre objectif en tant que professionnel de la sécurité n’est pas d’interdire ce type de solution mais d’accompagner les organisations dans leurs déploiements de terminaux mobiles.

 


Sources : 

http://www.businessmobile.fr/actualites/byod-sfr-lance-une-solution-de-gestion-de-flottes-heterogenes-en-entreprise-39782973.htm#xtor=123456

http://www.enterprisemobiletoday.com/features/management/article.php/3913366/Verizon-ATT-Roll-Out-New-Mobile-Management-Services.htm

http://www.good.com/news/press-releases/110216.php

http://www.silicon.fr/florian-bienvenu-good-technology-il-est-vain-dinterdire-lusage-des-terminaux-personnels-en-entreprise-71706.html

http://www.air-watch.com/downloads/2012/01/20120103-Mobile-Security-Market-Overview-On-prem.pdf

http://blogs.orange-business.com/securite/2012/10/securite-des-mobiles-wrapper-ou-conteneur-that-is-the-question-part-2.html

http://www.tmcnet.com/channels/mobile-device-management/articles/237422-mobile-device-management-must-evolve-with-market.htm

http://www.sap.com/campaigns/2011_04_mobility/assets/GartnerReport_MDM_MQ_April2011.pdf

Pour plus d’informations :

http://www.clever-age.com/veille/blog/le-mobile-device-management-mdm-un-besoin-croissant-pour-les-entreprises-a-l-heure-du-byod.html

[1]http://www.tmcnet.com/channels/mobile-device-management/articles/237422-mobile-device-management-must-evolve-with-market.htm

[2]http://www.sap.com/campaigns/2011_04_mobility/assets/GartnerReport_MDM_MQ_April2011.pdf

[3]http://www.air-watch.com/downloads/2012/01/20120103-Mobile-Security-Market-Overview-On-prem.pdf

[4]http://www.enterprisemobiletoday.com/features/management/article.php/3913366/Verizon-ATT-Roll-Out-New-Mobile-Management-Services.htm

[5]http://www.good.com/news/press-releases/110216.php

[6]http://www.silicon.fr/florian-bienvenu-good-technology-il-est-vain-dinterdire-lusage-des-terminaux-personnels-en-entreprise-71706.html

One Comment on “Le Mobile Device Management et les risques du BYOD

[…] Le cas de la mobilité en entreprise avec le BYOD pose un problème spécifique. En effet la sécurité d’un poste de travail mobile n’est plus maitrisée quand il sort du réseau de l’entreprise. Le poste peut donc potentiellement être infecté et constituer un « cheval de Troie » lors de sa reconnexion au réseau. Pour traiter ce cas l’entreprise peut tester la conformité du poste mobile avant qu’il ne se connecte au réseau : c’est le NAC (Network Access Control). Le NAC impose la connexion des équipements sur un VLAN spécifique, l’authentification par protocole 802.1x, et le diagnostic de l’état de l’équipement avec un agent spécifique. Il faut également penser au MDM (Mobile Device Management) pour la gestion de la flotte des téléphones mobiles. On peut voir à ce sujet l’article suivant : Le MDM et les risques du BYOD. […]

Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *