Securing Your Mobile Devices: Introduction to MDM (Mobile Device Management) 

L’usage renforcé dans le cadre professionnel des appareils mobiles, téléphones portables et tablettes tactiles, ainsi que la mise en place forcée du télétravail lors de la crise Covid, ont provoqué une multiplication des situations de travail en mobilité en entreprise. Il se distingue 2 cas : en situation de télétravail (chez soi, dans un espace de coworking, etc.), ou en situation de nomadisme (pendant un déplacement, dans un aéroport, un train, un hôtel, etc.). 

Ces nouveaux usages mobiles, reposant de plus en plus sur l’usage des smartphones et tablettes, induisent de nouveaux risques qui doivent être maîtrisés. En effet, la surface d’attaque de l’entreprise se voit considérablement augmenter, du fait de la nature même de ces équipements. Parmi les risques majeurs liés à l’utilisation des terminaux mobiles, on retrouve : 

  • Le vol ou la perte de l’équipement et donc notamment des données stockées localement, pouvant mener à un accès aux données d’entreprise à distance 
  • L’utilisation de terminaux mobiles non maîtrisés. Cette absence de maîtrise pouvant permettre des comportements à risques tels que l’utilisation de réseaux non maîtrisés (e.g., Wi-Fi public), l’installation d’applications tierces non maîtrisées, des retards dans les mises à jour de sécurité ou même le jailbreak du mobile, 
  • L’échange risqué de données, filaire ou sans fil, avec d’autres équipements (e.g., synchronisation USB avec un ordinateur, AirDrop, etc.) 

Les quelques constats ci-dessous viennent confirmer la réalité de ces menaces. En effet : 

  • 53 % des appareils mobiles ont accès à plus de données sensibles qu’il y a un an (source Akamai) 
  • 45 % des organisations ont récemment été confrontées à une compromission liée à la téléphonie mobile (source CTM), 
  • 85 % des attaques par hameçonnage mobile se produisent en dehors des mails mais sur d’autres vecteurs liés aux usages des mobiles (source Verizon). 

La sécurisation des terminaux mobiles ne peut être efficace sans une stratégie d’entreprise claire définissant les usages autorisés, les niveaux de contrôle et les responsabilités associées.  

La sécurité des mobiles est un sujet qui a longtemps été décalé, l’effort étant concentré sur les postes de travail, alors qu’elle peut directement menacer la sécurité du système d’information dans sa globalité. Ainsi, alors que les GPO (Group Policy Object) étaient couramment utilisées dans la gestion d’un parc d’ordinateurs, les appareils mobiles n’en n’ont pas hérité simplement.  

Pour répondre à ce besoin, les éditeurs historiques de la sécurisation des ordinateurs (Microsoft, Ivanti, IBM…), mais également de nouveaux acteurs (ManageEngine) proposent des logiciels SaaS ou On-Premise afin de répondre au besoin de gestion et de sécurisation des appareils mobiles : les MDM (Mobile Device Management).  

Au-delà de participer activement à la sécurisation d’un parc mobile pour l’entreprise, le MDM permet d’améliorer l’expérience des utilisateurs, qui disposent d’un appareil à jour et en permanence conforme aux exigences de l’entreprise. 

Nous proposons dans cet article de découvrir comment sécuriser ses terminaux mobiles d’entreprise en utilisant un MDM, qui est un must-have dans la course à la sécurisation des systèmes d’information, et de partager des recommandations quant à leur configuration. 

 

Les politiques d’usages mobiles : une stratégie d’entreprise à définir  

 

En entreprise, les politiques d’usage des appareils mobiles ont fortement évolué. 

Aujourd’hui, nous en distinguons 3 usages (détaillés en fin de section dans la figure 1) les plus répandues dans les organisations : 

  • COBO  Corporate-owned, business only 
  • COPE – Corporate-owned, personal enabled 
  • BYOD – Bring your own device 

Il est nécessaire en premier lieu de définir la stratégie d’entreprise autour de ces usages mobiles : les accès mobiles sont-ils autorisés / légitimes d’un point de vue business ? Si oui, de nombreuses questions complémentaires sont à adresser dans le cadre de la définition de la stratégie d’entreprise :  

  • Quels sont les utilisateurs autorisés (uniquement les VIP ou tous les internes ou internes et externes également…) ? 
  • Quels sont les types de mobiles autorisés (entreprises ou personnels ou les deux) ?  
  • Quelles applications ou données peuvent être accédées (mails uniquement, toute la suite bureautique…) ? 

Cette stratégie est centrale pour donner une direction et guider les efforts de sécurisation qui vont suivre. Elle permettra de mieux cibler les risques applicables à l’entreprise, de mieux maîtriser son SI et de définir des règles cohérentes avec les usages autorisés ou non, tout en apportant de la clarté aux utilisateurs quant aux usages acceptés ou non. 

 

Figure 1 : Les profils de gestion des terminaux mobiles 

 

La sécurisation autour des terminaux mobiles en 4 outils : MDM, MAM, EMM et MTD 

 

Avant de rentrer dans le détail concernant les outils type MDM, il est bon de rappeler qu’il existe plusieurs solutions complémentaires pour la sécurisation des mobiles. Ces outils permettent d’agir à plusieurs niveaux :  

  • Le MDM (Mobile Device Management) : outil de gestion de flotte et de sécurisation des terminaux d’entreprise (couche OS essentiellement) 
  • Le MAM (Mobile Application Management) : outil de gestion et de sécurisation des applications (couche applicative essentiellement) 
  • L’EMM (Enterprise Mobility Management) : outil centralisant les fonctionnalités des MDM et des MAM, 
  • Le MTD (Mobile Threat Detection) : outil de détection d’attaque sur mobile, similaire à un outil d’Endpoint Detection & Response (EDR) pour les laptops (couche OS et applicative) 

La figure ci-dessous illustre cet écosystème au sein d’un mobile : 

Figure 2 : L’écosystème de la sécurisation de la mobilité en entreprise 

 

Un MDM, un MAM ou un MTD ne répondent pas aux mêmes besoins et sécurisent le parc mobile à des niveaux différents. Nous nous focaliserons dans la suite sur les MDM seulement. 

Les MDM répondent aux besoins de sécurisation des terminaux appartenant à l’entreprise, et donc aux politiques COBO et COPE décrites ci-dessus. 

Un point s’attention sur le BYOD : il est important de garder à l’esprit que les appareils non détenus par l’entreprise ne peuvent être entièrement configurés par celle-ci. Afin de sécuriser le cas d’usage BYOD, c’est-à-dire l’accès aux données et applications d’entreprise depuis un appareil personnel non managé, les MAM peuvent répondre au besoin, via la sécurisation des applications et la création d’un conteneur professionnel.  

Dans la suite de cet article, le cas BYOD est considéré hors périmètre : en effet, l’appareil appartenant à l’utilisateur ou à une entreprise partenaire, l’entreprise n’a pas vraiment la main sur la configuration et la sécurité de ces terminaux, car elle peut difficilement contraindre l’utilisateur à installer certaines configurations ou applications, ou à partager certaines données d’appareil. En revanche, il est possible de durcir les accès à son système d’information pour rendre impossible l’usage du BYOD, mais cela nécessite une analyse d’impact poussée, en considérant l’ensemble des cas d’usage (double authentification sur mobile, gestion des partenaires / prestataires externes, conflits entre outils de gestion de flotte, accès à des formations…). 

 

Le Mobile Device Management, au cœur de la sécurisation des terminaux mobiles de son entreprise  

Les outils Mobile Device Management permettent d’administrer et de sécuriser efficacement une flotte complète de terminaux mobiles, à travers 3 fonctions piliers, qui seront détaillées par la suite :  

  • Gestion de flotte : connaître et configurer les terminaux accédant à son système d’information, déployer des applications d’entreprise ou tierces. 
  • Contrôle de conformité : s’assurer que les appareils sont conformes aux politiques et standards de sécurité de l’entreprise. 
  • Sécurité et durcissement : implémenter des mesures de sécurité sur les appareils afin de renforcer la protection contre les menaces. 

Attention : les paragraphes suivants visent à présenter des fonctionnalités proposées par la plupart des MDM, il convient de s’assurer de la présence de la fonctionnalité désirée avant toute souscription à une solution MDM. 

 

Administrer la flotte d’appareils mobiles d’entreprise : l’inventaire, l’administration et la mise à disposition 

 

Face aux besoins de sécurisation et réglementaires de gestion de ses appareils, le MDM permet de centraliser un bon nombre de fonctionnalités de management des terminaux mobiles, en une unique interface : 

  • Déployer / retirer : le MDM facilite la mise à disposition de nouveaux appareils d’entreprise pour les équipes IT, possiblement à distance avec installation des configurations d’entreprise et des applications métiers, mais également le retrait de ces configurations et la suppression des données liées à l’entreprise en cas de besoin, par exemple en cas de fin de vie de l’appareil, de suspicion de compromission ou de vol (fonction wipe-out). 
  • Gérer : le MDM inventorie l’ensemble des appareils mobiles d’entreprise et présente leurs attributs clés, par exemple le type d’O/S, version de l’O/S, nom du détenteur, statut du chiffrement, IMEI, date de dernière connexion… en assurant une conformité au Règlement Général sur la Protection des Données (RGPD). 
  • Surveiller : des alertes sont paramétrables dans les solutions MDM afin de suivre la santé de son parc et prendre connaissance de toute déviation de la flotte par rapport aux règles préalablement définies par l’entreprise. 
  • Assister : le MDM intègre des fonctions de prise en main à distance des appareils et de diagnostic des appareils, afin de faciliter les interventions des équipes IT. 

 

En fournissant des données à jour sur son parc mobile, le MDM peut permettre de répondre à différents besoins réglementaires, notamment sur les volets de connaissance et capacité de gestion de son parc, mais aussi de réaction en cas de compromission. Plusieurs réglementations, par exemple l’ISO 27002 (paragraphe 5.9 Inventaire des informations et autres actifs associés), demandent aux entreprises d’identifier et de manager leurs terminaux.  

Cette centralisation permet une vue globale sur son parc, mais également de le classifier pour mieux l’administrer. Notamment, des systèmes de tag d’appareils ou de regroupements permettent de gérer aisément des sous-ensembles d’appareils qui présenteront des variations de configuration ou des exceptions (en fonction du métier notamment, par exemple les équipes réseaux, les personnes VIP…) 

 

Les politiques de conformité : évaluer la conformité des appareils mobiles accédant aux données et applications d’entreprise 

 

Bien plus qu’un simple logiciel de gestion de flotte, les solutions de MDM disposent d’une capacité d’évaluation du parc mobile par rapport aux politiques de sécurité d’entreprises, appelées les politiques de conformité. 

Cette mise en avant des appareils non conformes peut s’avérer essentielle, afin de prendre des actions ciblées : par exemple, leur retirer l’accès au SI via l’accès conditionnel si l’appareil est jailbreak ou ne dispose pas des dernières versions d’O/S. Cette évaluation pouvant s’effectuer à chaque connexion du terminal, la conformité du parc peut être considérée en permanence à jour. 

Il convient de tirer parti de cette fonctionnalité majeure des MDM. Un appareil non conforme représente un danger pour l’entreprise et son SI (présence de vulnérabilités non patchées…). Afin d’éviter de nuire à la productivité des équipes, il est possible de notifier l’utilisateur dès qu’une non-conformité est détectée, et de retirer les droits d’accès aux données d’entreprises via l’accès conditionnel si la non-conformité n’est pas résolue, en ajustant la durée de validité du statut de conformité (Compliance status validity period). 

 

Les profils de configuration : configurer les appareils déployés par l’entreprise  

 

Lorsque des appareils mobiles d’entreprise sont proposés aux employés, il convient d’appliquer une configuration afin de protéger ces appareils et de les conformer à un socle prédéfini : ceci est possible grâce aux profils de configuration. 

Pour sécuriser ses terminaux mobiles, il est possible de personnaliser le socle afin de professionnaliser l’appareil, et ce pour diverses plateformes (iOS, Android). Parmi les mesures classiques de durcissement du socle : 

  • Durcissement des configurations de sécurité et restrictions de fonctionnalités 
  • Déploiement de configuration d’entreprise 
  • Restriction d’installation d’application tierce hors magasin d’application 

 

Les appareils peuvent alors rechercher, selon une fréquence à renseigner, les dernières mises à jour des profils de configuration et les appliquer (recommandation : une fois par jour). Ce paramétrage permet de s’assurer d’être en permanence au plus proche des meilleures pratiques de sécurité. 

Nous recommandons les mesures suivantes dans le cadre de l’utilisation d’un MDM : 

  • Pousser la configuration de sécurité lors de l’inscription de l’appareil, incluant à minima : 
  • Le chiffrement du stockage 
  • Une politique d’authentification durcie (code d’accès à 6 chiffres ou biométrie, avec blocage des codes simples) 
  • Déployer des correctifs d’O/S et d’applications en direct 
  • Détecter et bloquer les appareils non conformes (a minima, jailbreakés) 
  • Déployer un plan d’actions pour les dispositifs non conformes (alertes, blocage…) 

 

En synthèse, le MDM est une brique fondamentale et un prérequis à la sécurisation des accès au SI 

 

Les solutions de MDM proposent de nombreuses interfaces, notamment avec d’autres outils de sécurité.  

Particulièrement, pour tirer pleinement profit du MDM, il est commun et recommandé de l’interfacer avec son Identity Provider (IDP). L’intégration du MDM avec le gestionnaire d’identité et des accès au SI permet de proposer de l’accès conditionnel selon la conformité des appareils ou leurs attributs (par exemple, retirer les accès aux données d’entreprise distants aux appareils mobiles non conformes aux politiques de conformité définies dans le MDM). Cela participe notamment aux stratégies Zero-Trust, en renforçant la posture de l’entreprise en maîtrisant davantage les accès à son système d’information. 

Également, il est possible de connecter son outil MDM avec un fournisseur Mobile Threat Defense (MTD). Cette interface avec cet outil complémentaire de protection des terminaux mobiles permet de remonter des informations au MDM sur la conformité de l’appareil, sur sa santé, s’il présente des risques de compromission (malware, connexion à un réseau non sécurisé…). Cette analyse du terminal et de ses risques peut alors conditionner l’accès au SI d’entreprise. 

Enfin, il est parfois nécessaire, bien qu’il ne soit pas recommandé d’accumuler les MDM, d’interfacer sa solution MDM avec d’autres solutions de gestion de flotte afin de centraliser les informations et de gérer centralement l’ensemble de sa flotte. Par exemple, il est commun d’interfacer la solution Microsoft Intune avec le MDM Apple Business Manager qui peut contenir l’ensemble de la base d’appareils iOS. 

 

Conclusion : Les éléments clés pour sécuriser efficacement sa flotte d’appareils mobiles

 

Dans un contexte de mobilité croissante en entreprise, le MDM s’impose assurément comme un must-have dans la course à la sécurisation des accès aux SI d’entreprise.  

Bien plus qu’un simple inventaire centralisé des terminaux mobiles, cette solution simplifie également l’expérience des utilisateurs finaux, disposant d’un appareil durci et sécurisé « clé en mains », conforme aux politiques d’entreprise. 

Pour implémenter efficacement une solution MDM, il convient de : 

  • Couvrir tous les appareils mobiles de son parc (tout type, toute marque, toute plateforme et tous métiers) : la robustesse d’un SI s’évaluant à l’aune de ses maillons les plus fragiles 
  • Formaliser une politique de gestion des appareils mobiles adaptée aux besoins de l’entreprise, sans contraintes majeures pour les utilisateurs finaux, afin d’éviter les contournements utilisateurs et réduire l’impact métier 
  • Décliner cette politique en profils de configuration et des politiques de conformité, et les maintenir à jour 
  • Sensibiliser les utilisateurs à la politique d’entreprise choisie, en partageant une charte d’utilisation des terminaux mobiles d’entreprise à ses utilisateurs, expliquant les bénéfices de la gestion centralisée et le respect de la vie privée des utilisateurs, ce qui nécessite une stratégie d’entreprise claire 
  • Penser la sécurité mobile dans sa globalité, et en particulier adresser le sujet des BYOD en parallèle pour éviter les contournements via ce canal, en combinant le déploiement d’un MDM avec celui d’un MAM, afin de couvrir par exemple: 
  • Le risque de fuite de données (stockage local sur l’appareil non managé, synchronisation avec des services cloud personnels (par exemple, Google Drive), partage involontaire via des applications non sécurisées 
  • Le risque d’interception des données au sein de connexions non sécurisées (cafés, hôtels, transports) 
  • Le risque de propagation de malwares sur le système d’information 

 

En synthèse, si le MDM constitue aujourd’hui un socle incontournable de la sécurisation des terminaux mobiles d’entreprise, son efficacité repose avant tout sur une stratégie d’entreprise claire et sur un niveau de durcissement suffisant des appareils. 

 

Les organisations les plus matures pourront ensuite compléter ce socle avec des solutions de MAM et de MTD, dans une logique progressive et adaptée à leurs enjeux (notamment le déploiement du MAM pour permettre l’ouverture aux usages BYOD). Il est à noter que les MTD sont peu déployés à date, la priorité étant à la mise en place de la combinaison MDM et MAM qui, bien configurés, permettent de couvrir une grande majorité des cas d’usage mobiles, du téléphone professionnel managé au téléphone personnel. 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top