L’engouement pour les terminaux mobiles de type smartphones ou tablettes, légers, puissants, ergonomiques et connectés, n’est pas près de ralentir. Résultat : la gestion des parcs de terminaux personnels et professionnels devient vite un casse-tête pour les DSI sans une approche de MDM (mobile device management).
Gartner estime qu’en 2012, 821 millions de périphériques mobiles (smartphones et tablettes) ont été vendus dans le monde, dont 13 millions de tablettes. En 2013, le cap du milliard de terminaux vendus devrait être franchi. Toujours selon le cabinet d’études, les terminaux « intelligents » représenteront 70 % de l’ensemble des ventes de terminaux en 2012. Enfin, en 2016, les deux tiers des travailleurs nomades seront équipés d’un smartphone, et 40 % de la force de travail sera mobile. Résultat : selon Gartner, 65 % des entreprises adopteront dans les cinq années à venir une solution MDM, en particulier avec la prolifération des smartphones et de la popularité croissante des tablettes, renforcée par les politiques de type BYOD (bring your own device).
De fait, confrontées à cette évolution des usages et à la mobilité croissante de leurs collaborateurs, les entreprises doivent repenser leurs pratiques et leurs politiques. Les enjeux d’accessibilité, la protection des données, la gestion des risques ou encore la question de la conformité concernent toutes les organisations et sont devenus trop stratégiques pour être mis de côté. Si ces questions se posaient déjà avec la mise à disposition d’ordinateurs portables, elles prennent une ampleur accrue avec la multiplication des terminaux et leur hétérogénéité. Le nombre de plates-formes différentes et les connexions à travers des réseaux sans fil compliquent leur identification, leur suivi et leur gestion, et sans outils adéquats, les terminaux échappent à la vigilance et au contrôle de l’entreprise.
Sans précautions, des données sensibles comme les contacts clients peuvent en effet être amenées à circuler sur des terminaux hors du contrôle de la DSI. Des failles de sécurité peuvent être introduites dans le système d’information. L’entreprise peut également se retrouver dans une situation où elle ne détient pas le nombre de licences correspondant aux applications qu’elle utilise. Enfin, à cela s’ajoute le simple préjudice financier résultant de la perte ou du vol de terminaux professionnels utilisés en dehors de l’entreprise.
Dans ce contexte, comment s’assurer facilement de la conformité et de la sécurité de l’ensemble du parc de terminaux ? Comment prévenir les fuites de données ? Comment gérer un parc hétérogène et les licences associées sans que la tâche ne devienne chronophage ? La gestion des terminaux mobiles, ou MDM (mobile device management) a pour objet de répondre à ces problématiques en facilitant les tâches de suivi, de provisioning, de sécurité et de maintenance traditionnellement dévolues à la direction des systèmes d’information.
Qu’est-ce que la gestion des terminaux mobiles ?
Le MDM recouvre un ensemble de fonctionnalités qui facilitent la gestion des terminaux mobiles autres que les ordinateurs, parmi lesquelles :
• Le provisioning des applications ;
• L’inventaire ;
• La sauvegarde et le partage de fichiers ;
• La gestion et la protection des accès ;
• La mise en application de stratégies de sécurité ;
• Le suivi de la conformité, notamment des licences ;
• La surveillance des ressources matérielles et logicielles
connectées au réseau de l’entreprise ;
• Le blocage des applications indésirables et des usages
suspects ;
• L’effacement à distance des données et/ou verrouillage
des terminaux ;
• Le support et dépannage pour les plates-formes mobiles.
Établir des règles claires et transparentes
Quand l’entreprise fait le choix d’autoriser des terminaux personnels pour des usages professionnels, ou simplement d’accepter un usage personnel de terminaux professionnels, elle doit veiller à établir des règles claires. Les outils de gestion des terminaux mobiles permettent en effet d’effectuer des actions sensibles, comme l’effacement des données, l’enregistrement des actions, la géolocalisation ou le contrôle des applications installées. Pour ces raisons, la transparence auprès des utilisateurs est de mise. Lorsqu’ils désirent utiliser leurs terminaux personnels pour un usage mixte, l’entreprise peut ainsi leur proposer de télécharger l’agent de MDM, en les informant au préalable des politiques de sécurité appliquées.
Lorsque les terminaux professionnels et personnels cohabitent au sein de l’entreprise, il est souhaitable de pouvoir distinguer les deux cas de figure, afin de pouvoir établir des politiques adaptées. Pour les téléphones personnels par exemple, les critères de sauvegarde des données ou d’enregistrement des journaux d’appel ne seront pas les mêmes, afin de respecter les exigences légales sur la protection de la vie privée. Enfin, il est important de vérifier au préalable le niveau de sécurité des terminaux privés. Des fonctionnalités comme l’inventaire peuvent permettre à l’entreprise de détecter la présence d’applications sensibles sur les appareils, comme certains logiciels de voix sur IP qui requièrent de collecter tous les contacts pour pouvoir fonctionner.
Les dix critères de choix d’une solution de MDM
Le parc mobile évolue plus rapidement et plus fréquemment que les autres ressources matérielles. Il est donc important de choisir une solution de MDM souple et évolutive, pour s’adapter à ce contexte exigeant.
1. Supporter des différents systèmes présents sur le marché
Le marché des smartphones et tablettes comporte de nombreux systèmes, notamment iOS, Android, Symbian, Windows Mobile, Windows Phone ou Blackberry. Une plate-forme de MDM doit être en mesure de supporter tous les grands environnements du marché, en particulier dans le cas d’une stratégie BYOD où ce sont les employés qui choisissent leurs terminaux. L’intégration des terminaux peut s’effectuer par le biais d’agents, qui permettent de disposer de fonctionnalités de gestion avancées, ou à travers le protocole ActiveSync, supporté par la plupart des terminaux récents. Ce dernier donne accès aux fonctionnalités de base, comme le partage de fichiers, la restauration, l’installation/désinstallation d’applications ou la synchronisation. Il permet également de savoir si un agent de MDM est installé mais non connecté ou bien s’il n’a pas été installé ou est désinstallé. Dans de tels cas, l’administrateur sera alerté et pourra alors bloquer l’accès au système d’information.
2. Établir l’inventaire des terminaux connectés…
Quand une entreprise souhaite mettre en place une solution pour gérer les terminaux mobiles, la première étape est de savoir précisément quels périphériques accèdent au réseau de l’entreprise. Dans le cadre d’une politique de sécurité, chaque terminal est en effet un point d’accès au système d’information, et il est essentiel de surveiller les données qui y transitent. Il faut donc commencer par inventorier les terminaux connectés, puis identifier leurs propriétaires, afin de leur demander de s’enregistrer dans la solution de MDM. L’accès au réseau de l’entreprise ne doit en effet être autorisé qu’en échange de l’enregistrement, afin de prévenir les risques de fuites de données.
Par la suite, les administrateurs doivent savoir à tout moment qui est connecté au réseau de l’entreprise et qui accède à quelles ressources, afin de bloquer toute tentative suspecte, émanant par exemple de terminaux égarés, signalés comme volés ou localisés dans un périmètre inhabituel.
3. … et des applications
Connaître les applications installées sur les terminaux répond à un double enjeu. D’une part, il s’agit d’assurer la sécurité en vérifiant que nulle application à risque ne peut accéder aux ressources de l’entreprise, et éventuellement en bloquant l’installation d’applications non signées. D’autre part, cette connaissance répond aux enjeux de conformité : en effet, nombre d’applications mobiles requièrent des licences, de même que l’accès depuis un terminal mobile à certaines applications du système d’information interne. Si certains éditeurs proposent des licences en volume pour diminuer les coûts, il incombe néanmoins aux entreprises de contrôler l’utilisation de ces licences et de s’assurer que le nombre d’applications déployées sur les terminaux correspond au nombre de licences détenues. Sur certaines plates-formes, il est également possible de définir des listes blanches et listes noires, afin de définir quelles applications sont autorisées et lesquelles sont interdites.
4. Renforcer la sécurité
Sécuriser les terminaux mobiles passe par de nombreux paramétrages : contrôle de la connectivité (accès Wifi, Bluetooth), réglage de l’appareil photo embarqué, chiffrement des données, gestion des mots de passe, authentification des utilisateurs… Dans ce contexte, une solution permettant de gérer la stratégie de sécurité de manière centralisée et automatisée facilite considérablement le travail des responsables de la sécurité.
5. Disposer d’un reporting et d’un tableau de bord sur la sécurité et la conformité du parc
Pour faciliter le suivi des différents terminaux accédant au système d’information, les solutions de gestion des terminaux mobiles doivent être capables d’alerter les administrateurs en cas de non-conformité ou de violation des paramètres de sécurité définis par l’entreprise. La génération de rapports de suivi est également un outil précieux pour se préparer à un audit de conformité des licences ou pour s’assurer que la politique de sécurité est respectée.
6. Disposer d’un portail permettant l’auto-enregistrement et l’auto-administration
Le parc de terminaux mobiles évolue et se renouvelle plus rapidement que le parc d’ordinateurs, en particulier dans le cadre d’une stratégie BYOD, où les utilisateurs changent à leur propre rythme. Pour faciliter la gestion de ce parc, certaines solutions de MDM intègrent un portail d’auto-enregistrement, permettant aux utilisateurs d’enregistrer eux-mêmes leur nouveau terminal quand ils souhaitent bénéficier d’un accès à leurs applications professionnelles. Ces portails peuvent également leur permettre d’effectuer des tâches d’administration à distance, comme la localisation, le verrouillage ou la suppression de tout le contenu d’un terminal en cas de perte ou de vol. De cette façon, les utilisateurs gardent le contrôle de leurs terminaux, tout en étant responsabilisés par rapport à leur entreprise, et les administrateurs peuvent se concentrer sur les tâches requérant leur expertise.
7. Un provisioning simplifié
La mise à disposition d’applications ou de fichiers représente une part importante des tâches de gestion des terminaux mobiles. Il faut notamment contrôler l’accès à ces ressources en fonction de la stratégie définie par l’entreprise : qui peut accéder aux données du CRM, aux plannings des formations, aux rapports d’activité ? Au lieu d’un paramétrage manuel, une solution capable de simplifier ces aspects fera gagner un temps précieux. Les applications peuvent ainsi être mises à la disposition des utilisateurs à travers un portail affichant uniquement celles que l’utilisateur a le droit d’installer. Le provisioning des fichiers peut également être facilité en sélectionnant des groupes ou des utilisateurs spécifiques, puis en glissant-déposant les fichiers concernés.
8. Différencier les données privées de celles de l’entreprise
Lorsque l’entreprise autorise un usage personnel des terminaux professionnels, ou inversement, les données privées cohabitent avec celles de l’entreprise. Quand un salarié quitte l’entreprise, change de terminal, l’égare ou est victime d’un vol, il est nécessaire de pouvoir distinguer les deux types de données, afin de choisir lesquelles effacer, sauvegarder, chiffrer ou restaurer.
9. Une seule instance pour couvrir plusieurs domaines
Dès que l’entreprise dépasse une certaine taille, possède plusieurs sites, ou qu’il s’agit d’un groupe constitué de plusieurs sociétés, il est fréquent d’avoir plusieurs serveurs de messagerie, chacun avec ses propres paramètres de configuration. L’architecture adoptée par la solution de MDM est alors un critère de choix pour toute organisation souhaitant maîtriser ses coûts et éviter une complexité inutile. En effet, avec une solution « multi-tenant », une entreprise peut gérer plusieurs domaines de gestion différents avec un seul serveur de MDM, là où il faudrait une instance par serveur avec d’autres types d’architectures.
10. Gérer de manière intégrée tous les terminaux
Outre les smartphones et tablettes, les départements informatiques doivent également gérer les ordinateurs portables ou fixes des collaborateurs de l’entreprise. Regrouper la gestion des terminaux mobiles et celle des terminaux plus classiques dans une solution intégrée permet de réduire la charge de travail des administrateurs et d’optimiser les coûts de gestion. Cela permet également aux responsables de la conformité et de la sécurité de disposer d’une vision globale sur l’ensemble du parc et de mettre en œuvre des stratégies globales de manière cohérente.
Pas d’intégration de terminaux mobiles sans MDM
Les principaux avantages des solutions de MDM :
- administrer des profils utilisateurs ;
- appliquer la politique de sécurité de l’entreprise (chiffrement des données, gestion embarquée des VPN, antivirus et pare-feu, blocage du terminal, géolocalisation et suppression des données à distance…) ;
- proposer un magasin d’applications privé d’entreprise et gérer les applications disponibles (distribution, mise à jour, activation et désactivation d’application métier par profil utilisateur…) ;
- administrer l’équipement à distance (synchronisation, sauvegarde et restauration de données, inventaires et mise à jour du parc mobile…) ;
- accompagner la gestion de la consommation (informations utilisateur, contrôle des services surtaxés, signalement de l’activation du roaming…) ;
- personnaliser selon le profil utilisateur par le contrôle des fonctionnalités natives en fonction de la localisation du mobile et au moment souhaité (SMS, agenda, caméra…).
Les bonnes pratiques d’Emmanuel Gaudin, DSI du groupe Lagardère
- La DSI doit qualifier et référencer un choix de terminaux couvrant les principaux systèmes d’exploitation du marché (avec une mise à jour régulière).
- Anticiper les conséquences sur les infrastructures : MDM, solutions de messagerie, généralisation du Wifi.
- Être attentif aux montées de version régulières des systèmes d’exploitation…
- Derrière chaque terminal, se trouve un abonnement mobile avec un suivi régulier des consommations et des options d’abonnements : des ressources internes/externes sont à engager, mais elles s’autofinancent très rapidement.
- Segmenter l’attribution des terminaux selon les profils et le niveau des risques.
- Impliquer la DRH et inclure la signature de chartes réglementaires.
- Prévoir éventuellement la refacturation des directions métiers.
- Définir la frontière entre vie privée et professionnelle.
- La politique de sécurité doit être adaptée pour maintenir un accès sécurisé au SI et une protection des données sensibles (continuité, confidentialité, conformité).
- Le développement des applications métiers doit intégrer la composante mobilité.
- Accompagner les déploiements et adapter le support utilisateur.
Source : Conférence mobilité – CIOnet, 14 février 2013