1. CMD ou Corporate Managed Device
Le Corporate Managed Device est l’acronyme désignant la méthode de gestion actuelle et traditionnelle de la plupart des entreprises : l’entreprise choisit un type de terminal par catégorie (un type de smartphone, un type de PC et, bien souvent, pas de tablette), achète ces terminaux, les administre et les fournit à ses utilisateurs. Il n’est alors bien souvent pas possible à l’utilisateur de personnaliser ces terminaux (par l’ajout d’applications ou de services) et il doit se contenter de ceux qui lui sont fournis. Ce modèle atteint aujourd’hui ses limites et les utilisateurs souhaitent pouvoir utiliser les terminaux, notamment tablettes et smartphones, qu’ils ont l’habitude de manipuler dans des contextes personnels.
2. CYOD ou Choose Your Own Device
C’est une première étape intermédiaire entre le CMD et le BYOD. Il consiste, pour les entreprises, à bien prendre en compte le besoin des utilisateurs et à adapter en conséquence leur catalogue de services aux besoins de ce dernier : l’entreprise fournit l’équipement à ses salariés en leur donnant le choix au sein d’un catalogue de terminaux fonctionnant sous plusieurs systèmes d’exploitation, afin de répondre à la majorité d’entre eux, mais avec un nombre d’occurrences réduites pour chaque système d’exploitation, afin de garantir une conformité des configurations au système d’information. Le principal avantage d’une telle solution est que l’entreprise reste complètement maîtresse des terminaux et de la configuration de ces derniers. En conséquence, elle peut imposer un certain nombre de restrictions d’usage / d’installations et garantir une conformité des équipements fournis aux règles de sécurité de l’entreprise. Cela suppose des contreparties en termes de catalogue de solutions, de sécurité des applications et de service après-vente.
3. CYD ou Connect Your Device
Le Connect Your Device recouvre la possibilité, pour l’utilisateur, d’apporter son terminal et de le connecter à certaines ressources restreintes de l’entreprise (typiquement les mails et l’agenda avec une tablette). C’est la situation que l’on retrouve aujourd’hui pour certains VIP qui demandent à disposer de tablettes. Cette dernière leur étant alors fournie par la DSI avec un accès à la messagerie. Pour le reste, l’utilisateur est libre de l’utilisation qu’il va faire de la tablette. On voit bien que ce modèle est extrêmement limitatif puisqu’il n’autorise qu’un accès restreint à certains services (qui peuvent néanmoins être largement suffisants pour certains utilisateurs) tout en posant malgré tout des problèmes de sécurité importants : comment s’assurer qu’aucune donnée importante n’est stockée dans le terminal et comment gérer les situations en cas de perte ou de vol ?
4. BYOD ou Bring Your Own Device
Il s’agit d’autoriser (voire d’encourager, par l’octroi de subventions à l’achat de terminaux) les salariés à apporter leurs terminaux personnels et à les utiliser à des fins professionnelles. La mise en place d’un tel mécanisme impose de disposer de solutions techniques adéquates afin de contrôler les usages, assurer la sécurité et s’assurer du respect des contraintes juridiques associées. La palette est assez large entre la solution entièrement managée par la DSI et la solution où tout est laissé au libre choix de l’utilisateur. L’équilibre est donc à trouver par l’entreprise entre l’élargissement des outils de travail mis à disposition des utilisateurs et la maîtrise plus ou moins exhaustive de ces mêmes environnements.
Trois approches techniques utilisables : IPsec/SSL, le Mobile Device Management (MDM) et les containers.
A. IPsec/SSL
Les solutions de type VPN (IPsec ou SSL) ne sont pas initialement des solutions orientées BYOD. Mais il s’agit de réutiliser des technologies qui sont depuis bien longtemps employées dans le domaine réseau, pour connecter des terminaux, et notamment des terminaux mobiles. IPsec est un ensemble de protocoles permettant le transport sécurisé de données sur un réseau IP, indépendant des applications (car fonctionnant au niveau 3 du modèle OSI). Ils permettent de créer un canal chiffré de communication entre un terminal et un concentrateur. SSL (Secure Socket Layer) est un protocole permettant le transport sécurisé de données sur Internet. Une fois la connexion établie, toutes les communications envoyées par le terminal passeront par le tunnel vers le concentrateur. Les ressources (applications) utilisables seront alors rendues disponibles au niveau du concentrateur.
B. Mobile Device Management
Les solutions de Mobile Device Management (ou gestion de flotte mobile) sont des solutions préexistantes à l’avènement du BYOD. Elles servaient initialement à contrôler un parc existant de mobiles, donc appartenant à l’entreprise. Déployées sur des terminaux mobiles, elles permettent d’effectuer un certain nombre d’opérations de gestion et d’administration sur ces terminaux, pour des flottes de quelques unités à plusieurs milliers d’unités. Une fois l’application installée sur le terminal, un certain nombre d’actions peuvent être entreprises par l’administrateur de l’application, en particulier : la gestion des politiques de paramétrage, des politiques de sécurité du terminal, de la sécurité du terminal, des inventaires, la sauvegarde à distance et la restauration, l’effacement des données à distance…
C. Container
Les solutions de container (aussi appelées « containerisation ») sont des solutions qui transposent ce qui a été fait avec la virtualisation sur les PC ou sur les serveurs : l’idée est de disposer de différents environnements logiques sur le même terminal physique. Il s’agit de créer un container, qui est un environnement virtuel clos, dans lequel seront exécutées toutes les tâches professionnelles. Tout ce qui s’exécute en dehors de ce container étant de la sphère personnelle. Lorsque l’utilisateur voudra accéder à ces mails professionnels, il devra lancer l’application container et s’y authentifier, ensuite, il pourra effectuer les tâches professionnelles.