Mobile Device Management : les dix critères de choix

Rédaction

De plus en plus, le travail devient mobile, sortant du bureau pour s’effectuer au domicile, dans les transports ou d’autres lieux publics, chez les clients et partenaires ou depuis l’étranger. La généralisation des terminaux mobiles de type smartphones ou tablettes, légers, puissants, ergonomiques et connectés, permet en effet aux travailleurs d’accéder à leur messagerie et à leurs applications professionnelles où qu’ils se trouvent, les dotant d’une nouvelle faculté d’ubiquité.

BYOD et multiplicité des usages : (re)prendre le contrôle et sécuriser

Une grande partie de ces terminaux sont achetés à titre personnel, mais les utilisateurs sont de plus en plus nombreux à s’en servir dans certaines de leurs activités professionnelles. Inversement, de nombreux collaborateurs utilisent les terminaux fournis par leur entreprise pour un usage mixte, à la fois professionnel et personnel. Cette dilution des frontières entre le cadre privé et le travail caractérise le phénomène du BYOD (Bring Your Own Device).

Confrontées à cette évolution des usages et à la mobilité croissante de leurs employés, les entreprises doivent repenser leurs pratiques et leurs politiques. Les enjeux d’accessibilité, la protection des données, la gestion des risques ou encore la question de la conformité concernent toutes les organisations et sont devenus trop stratégiques pour être mis de côté.

Si ces questions se posaient déjà avec la mise à disposition d’ordinateurs portables, elles prennent une ampleur accrue avec la multiplication des terminaux et leur hétérogénéité. Le nombre de plates-formes différentes, les connexions à travers des réseaux sans fil compliquent leur identification, leur suivi et leur gestion, et sans outils adéquats, les terminaux échappent à la vigilance et au contrôle de l’entreprise.

Sans précautions, des données sensibles comme les contacts clients peuvent en effet être amenées à circuler sur des terminaux hors du contrôle de la DSI. Des failles de sécurité peuvent être introduites dans le système d’information. L’entreprise peut également se retrouver dans une situation où elle ne détient pas le nombre de licences correspondant aux applications qu’elle utilise. Enfin, à cela s’ajoute le simple préjudice financier résultant de la perte ou du vol de terminaux professionnels utilisés en dehors de l’entreprise.

Dans ce contexte, comment s’assurer facilement de la conformité et de la sécurité de l’ensemble du parc de terminaux ? Comment prévenir les fuites de données ? Comment gérer un parc hétérogène et les licences associées sans que la tâche ne devienne chronophage ?

La gestion des terminaux mobiles, ou MDM (Mobile Device Management) a pour objet de répondre à ces problématiques en facilitant les tâches de suivi, de provisioning, de sécurité et de maintenance traditionnellement dévolues à la direction des systèmes d’information.

Qu’est-ce que la gestion des terminaux mobiles ?

Le MDM recouvre un ensemble de fonctionnalités qui facilitent la gestion des terminaux mobiles autres que les ordinateurs, parmi lesquelles :

  • Le provisioning des applications ;
  • L’inventaire ;
  • La sauvegarde et partage de fichiers ;
  • La gestion et protection des accès ;
  • La mise en application de stratégies de sécurité ;
  • Le suivi de la conformité, notamment des licences ;
  • La surveillance des ressources matérielles et logicielles connectées au réseau de l’entreprise ;
  • Le blocage des applications indésirables et des usages suspects ;
  • L’effacement à distance des données et/ou verrouillage des terminaux ;
  • Le support et dépannage pour les plates-formes mobiles.

Le parc mobile évolue plus rapidement et plus fréquemment que les autres ressources matérielles. Il est donc important de choisir une solution de MDM souple et évolutive, pour s’adapter à ce contexte exigeant.

  1. Support des différents systèmes présents sur le marché

Le marché des smartphones et tablettes comporte de nombreux systèmes, notamment iOS, Android, Symbian, Windows Mobile, Windows Phone ou Blackberry. Une plate-forme de MDM doit être en mesure de supporter tous les grands environnements du marché, en particulier dans le cas d’une stratégie BYOD où ce sont les employés qui choisissent leurs terminaux.

L’intégration des terminaux peut s’effectuer par le biais d’agents, qui permettent de disposer de fonctionnalités de gestion avancées, ou à travers le protocole ActiveSync, supporté par la plupart des terminaux récents. Ce dernier donne accès aux fonctionnalités de base, comme le partage de fichiers, la restauration, l’installation/désinstallation d’applications ou la synchronisation.

Il permet également de savoir si un agent de MDM est installé mais non connecté, ou s’il n’a pas été installé/est désinstallé. Dans de tels cas, l’administrateur sera alerté et pourra alors bloquer l’accès au système d’information.

  1. Etablir l’inventaire des terminaux connectés…

Quand une entreprise souhaite mettre en place une solution pour gérer les terminaux mobiles, la première étape est de savoir précisément quels périphériques accèdent au réseau de l’entreprise. Dans le cadre d’une politique de sécurité, chaque terminal est en effet un point d’accès au système d’information, et il est essentiel de surveiller les données qui transitent par ce biais.

Il faut donc commencer par inventorier les terminaux connectés, puis identifier leurs propriétaires, afin de leur demander de s’enregistrer dans la solution de MDM. L’accès au réseau de l’entreprise ne doit en effet être autorisé qu’en échange de l’enregistrement, afin de prévenir les risques de fuites de données.

Par la suite, les administrateurs doivent savoir à tout moment qui est connecté au réseau de l’entreprise et qui accède à quelles ressources, afin de bloquer toute tentative suspecte, émanant par exemple de terminaux égarés, signalés comme volés ou localisés dans un périmètre inhabituel.

  1. …et des applications

Connaître les applications installées sur les terminaux répond à un double enjeu. D’une part, il s’agit d’assurer la sécurité en vérifiant que nulle application à risque ne peut accéder aux ressources de l’entreprise, et éventuellement en bloquant l’installation d’applications non signées.

D’autre part, cette connaissance répond aux enjeux de conformité : en effet, nombre d’applications mobiles requièrent des licences, de même que l’accès depuis un terminal mobile à certaines applications du système d’information interne. Si certains éditeurs proposent des licences en volume pour diminuer les coûts, il incombe néanmoins aux entreprises de contrôler l’utilisation de ces licences et de s’assurer que le nombre d’applications déployées sur les terminaux correspond au nombre de licences détenues.

Sur certaines plates-formes, il est également possible de définir des listes blanches et listes noires, afin de définir quelles applications sont autorisées et lesquelles sont interdites.

  1. Renforcer la sécurité

Sécuriser les terminaux mobiles passe par de nombreux paramétrages : contrôle de la connectivité (accès Wifi, Bluetooth), de l’appareil photo embarqué, chiffrement des données, gestion des mots de passe, authentification des utilisateurs… Dans ce contexte, une solution permettant de gérer la stratégie de sécurité de manière centralisée et automatisée facilite considérablement le travail des responsables de la sécurité.

  1. Avoir à tout moment une visibilité sur la sécurité et la conformité du parc

Pour faciliter le suivi des différents terminaux accédant au système d’information, les solutions de gestion des terminaux mobiles doivent être capables d’alerter les administrateurs en cas de non-conformité ou de violation des paramètres de sécurité définis par l’entreprise. La génération de rapports de suivi est également un outil précieux pour se préparer à un audit de conformité des licences ou pour s’assurer que la politique de sécurité est respectée.

  1. Portail permettant l’auto-enregistrement et l’auto-administration

Le parc de terminaux mobiles évolue et se renouvelle plus rapidement que le parc d’ordinateurs, en particulier dans le cadre d’une stratégie BYOD, où les utilisateurs changent à leur propre rythme. Pour faciliter la gestion de ce parc, certaines solutions de MDM intègrent un portail d’auto-enregistrement, permettant aux utilisateurs d’enregistrer eux-mêmes leur nouveau terminal quand ils souhaitent bénéficier d’un accès à leurs applications professionnelles.

Ces portails peuvent également leur permettre d’effectuer des tâches d’administration à distance, comme la localisation, le verrouillage ou la suppression de tout le contenu d’un terminal en cas de perte ou de vol. De cette façon, les utilisateurs gardent le contrôle de leurs terminaux, tout en étant responsabilisés par rapport à leur entreprise, et les administrateurs peuvent se concentrer sur les tâches requérant leur expertise.

  1. Un provisioning simplifié

La mise à disposition d’applications ou de fichiers représente une part importante des tâches de gestion des terminaux mobiles. Il faut notamment contrôler l’accès à ces ressources en fonction de la stratégie définie par l’entreprise : qui peut accéder aux données du CRM, aux plannings des formations, aux rapports d’activité ?

Au lieu d’un paramétrage manuel, une solution capable de simplifier ces aspects fera gagner un temps précieux. Les applications peuvent ainsi être mises à disposition des utilisateurs à travers un portail affichant uniquement celles que l’utilisateur a le droit d’installer. Le provisioning des fichiers peut également être facilité en sélectionnant des groupes ou des utilisateurs spécifiques, puis en glissant-déposant les fichiers concernés.

  1. Différencier les données privées de celles de l’entreprise

Quand l’entreprise autorise un usage personnel des terminaux professionnels, ou inversement, les données privées cohabitent avec celles de l’entreprise. Quand un salarié quitte l’entreprise, change de terminal, l’égare ou est victime d’un vol, il est nécessaire de pouvoir distinguer les deux types de données, afin de choisir lesquelles effacer, sauvegarder, chiffrer ou restaurer.

  1. Une seule instance pour couvrir plusieurs domaines

Dès que l’entreprise dépasse une certaine taille, possède plusieurs sites, ou qu’il s’agit d’un groupe constitué de plusieurs sociétés, il est fréquent d’avoir plusieurs serveurs de messagerie, chacun avec ses propres paramètres de configuration. L’architecture adoptée par la solution de MDM est alors un critère de choix pour toute organisation souhaitant maîtriser ses coûts et éviter une complexité inutile.

En effet, avec une solution « multi-tenant », une entreprise peut gérer plusieurs domaines de gestion différents avec un seul serveur de MDM, là où il faudrait une instance par serveur avec d’autres types d’architectures.

  1. Gérer de manière intégrée tous les terminaux

Outre les smartphones et tablettes, les départements informatiques doivent également gérer les ordinateurs portables et fixes des collaborateurs de l’entreprise. Regrouper la gestion des terminaux mobiles et celle des terminaux plus classiques dans une solution intégrée permet de réduire la charge de travail des administrateurs et d’optimiser les coûts de gestion.

Cela permet également aux responsables de la conformité et de la sécurité de disposer d’une vision globale sur l’ensemble du parc, et de mettre en œuvre des stratégies globales de manière cohérente.