Par ailleurs, selon une étude Forrester, 25% des employés dans le monde ont recours à leurs applications mobiles personnelles pour compenser le manque d’applications professionnelles dont ils ont besoin pour faire leur travail.

Ces anecdotes illustrent la nécessité pressante d’encadrer l’utilisation des applications mo­biles dans l’entreprise. Mais comment maîtriser l’usage des applications personnelles grand public, et en même temps faciliter la distribution d’applications professionnelles en toute sé­curité ?

Le MDM n’a pas pour vocation de gérer ou de sécuriser les applications

Le MDM (Mobile Device Management) ne propose pas de fonctions pour sécuriser l’accès et la distribution des applications mobiles fournies par l’entreprise. D’ailleurs, ce n’est pas son rôle : le MDM fournit aux entreprises des moyens de gérer et de sécuriser des terminaux, non des applications.

Pourtant, ce sont les applications mobiles qui ont fait le succès des smart­phones auprès du grand public : aujourd’hui, elles constituent même le fer de lance de la mobilité d’entreprise en étant un véritable vecteur de productivité. Le MAM (Mobile Application Management), lui, se propose d’adresser cet enjeu d’envergure.

Il n’y a pas vraiment lieu de comparer MDM et MAM (en dehors de la granularité de contrôle, de la maturité du marché et du respect de la vie privée) : ils ne rendent pas les mêmes services et ne répondent pas aux mêmes besoins. Selon le contexte, il est bien souvent nécessaire de combiner ces deux fonctions.

Qu’est-ce que le Mobile Application Management ?

Le MAM correspond à la gestion des applications mobiles dans le cadre de l’entreprise. Parmi les fonctionnalités-cœur les plus communes, les fonctions de MAM proposent en général des outils :

• de distribution : un store privé d’entreprise permet de distribuer des applications mo­biles aux utilisateurs concernés ; il peut s’intégrer avec les stores publics, autoriser ou bloquer la distribution des applications selon les utilisateurs, etc. ;
• de sécurité (cf. plus bas) : le MAM fournit également des outils pour sécuriser les appli­cations soit individuellement, soit collectivement ; il s’agit de protéger l’accès aux applications elles-mêmes, les données sous-jacentes et les back-ends impliqués ;
• d’administration : classiquement, une console web est mise à disposition des adminis­trateurs ; les modules disponibles varient selon les solutions mais des fonc­tions de supervision, d’analytics et de gestion des utilisateurs sont généralement pré­sentes.

Le MAM adresse les besoins de l’entreprise dans sa globalité, mais aussi des DSI et des uti­lisateurs spécifiquement.

Sécuriser la mise à disposition d’applications mobiles

Les fonctions de MAM proposent des moyens matériels et logiciels pour sécuriser les appli­cations mobiles de l’entreprise.

La mise en place d’une solution MAM comprend systématiquement l’installation d’une passerelle de sécurité. Qu’elle soit on-premise ou provisionnée en mode SaaS (Software as a Service), les flux en provenance des applications mo­biles doivent transiter par celle-ci. L’app tunneling (ou mi­cro-VPN) apporte un niveau de sécurité complémentaire aux échanges entre les applications et le SI.

Le container est une fonctionnalité de protection collective des applications mobiles pro­fessionnelles. Il garantit une étanchéité paramétrable entre l’univers professionnel, isolé dans le container et le reste du terminal qui constitue l’univers personnel. Au sein de ce container, les données sont généralement chiffrées et l’accès aux applications facilité par le SSO (Single Sign-On).

Enfin, le SDK (Software Development Kit) permet une sécurisation en profondeur au moment des développements, tandis que l’app wrapping permet un traitement superficiel post-développement.

In fine, le MAM vise à préserver l’expérience utilisateur et la vie privée

La promesse du MAM est d’offrir un compromis avantageux entre expérience utilisateur et sécurité. Il permet de développer et de distribuer des applications natives – donc potentiel­lement ergonomiques – en toute sécurité.

Il fait cohabiter les univers personnels et professionnels sur un même terminal sans prise de risque inconsidérée, avec un degré d’étanchéité paramétrable ; en ce sens, il facilite l’introduction du BYOD (Bring Your Own Device) dans l’entreprise.

Enfin – et c’est un sujet d’actualité –, la vie privée des utilisateurs est respectée : les politiques de sécurité ne s’appliquent qu’aux applications – et données – professionnelles, l’entreprise n’a pas la main sur l’espace personnel du terminal.

Améliorer la productivité et l’image véhiculée

Les applications mobiles métiers impactent positivement la productivité, et le MAM y contribue indirectement en favorisant un accès ATAWAD (AnyTime, AnyWhere, AnyDevice) à celles-ci. D’une part, la dématérialisation, l’automatisation et la mise à disposition des ressources de l’entreprise aux collaborateurs en situation de mobilité sont autant de facteurs d’efficacité. D’autre part, les attentes des utili­sateurs étant très fortes, les progrès de l’entreprise sur ce sujet renforcent souvent la moti­vation des équipes.

Par ailleurs, l’introduction du MAM dans l’entreprise permet d’améliorer l’image véhiculée par celle-ci et par la DSI auprès des utilisateurs, des prospects, des clients et des partenaires. Elle démontre une capacité à s’approprier des sujets innovants et complexes ; elle met éga­lement en évidence l’intérêt de l’entreprise pour le bien-être de ses utilisateurs. Enfin, elle fait preuve de davantage de réactivité dans ses interactions avec l’extérieur.

Cet article Mobile Application Management : quel intérêt pour les entreprises ? est apparu en premier sur RiskInsight.

Mettre en œuvre une architecture spécifique pour assurer la « libération » des données

À  l’heure d’ouvrir ses données internes au grand public, l’administration ou l’entreprise se doit de mener une réflexion sur les données qu’elle souhaite ou non « libérer », sur les impacts juridiques de cette libération ou encore sur les conditions d’utilisation de ces données (mode de publication, licence d’utilisation éventuelle).

Mais elle doit également mesurer l’impact de cette libération de données sur son système d’information et réfléchir à l’architecture qu’il faut  mettre en œuvre afin de permettre :

• L’identification et l’extraction des données depuis les différents back-offices des domaines applicatifs ;
• La consolidation et le stockage en central de ces données ;
• Le traitement et le formatage de ces données pour assurer le niveau de qualité attendu ;
• La diffusion et la publication de ces données une fois traitées et remises dans un format exploitable et non propriétaire.

Réutiliser des  outils existants pour extraire et traiter les données

Après identification et sélection par chaque domaine applicatif des données utiles sur son périmètre, il convient au domaine de mettre en œuvre l’ensemble des règles de gestion permettant le filtrage et l’extraction de ses données avec le niveau de qualité attendu. Ces données sont alors transportées jusqu’à un « entrepôt » de stockage centralisé où elles sont consolidées, homogénéisées, (re)nettoyées et/ou formatées avant leur publication.

Pour l’ensemble de ces actions de filtrage, d’extraction, de transformation et de chargement des données, des outils déjà présents dans le SI peuvent être utilisés :

• Mutualisation des activités de sélection et d’extraction des données avec les outils de l’architecture décisionnelle ;
• Transformation et chargement des données via les ETL de l’entreprise ;
• Utilisation des outils de MDM (Master Data Management) pour les étapes de nettoyage et de formatage des données.

Maîtriser l’historisation pour rationaliser les volumétries traitées

Dès l’étape de stockage en central des données, il est tentant de mettre en œuvre des mécanismes d’historisation des données afin de garder une trace des différents états de l’entrepôt de données. Cependant cette option, dont le besoin n’est pas toujours justifié, a un impact réel sur la volumétrie et sur les traitements.

Aussi, une seconde stratégie très répandue consiste à remplacer les données par la dernière version dans l’entrepôt et à ne conserver un historique qu’au niveau de la publication, une fois toutes les étapes de transformation terminées.

Choisir le mode de publication en fonction du niveau de fraîcheur de données

Pour la plupart des données ouvertes publiées (horaires des transports par exemple), un haut niveau de fraîcheur n’est pas nécessaire. Aussi, la méthode de publication par fichiers est privilégiée car elle n’impose que peu de contraintes bien que certaines bonnes pratiques soient fortement conseillées :

• La limitation de la taille maximale des fichiers à quelques Mo afin de faciliter leur consommation par les utilisateurs ;
• L’utilisation de formats comme xHTML, XML ou JSON plutôt que CSV car ces formats peuvent être enrichis d’attributs sans conséquence sur les consommateurs.

Cependant, dans certains cas, où le niveau de fraîcheur des données attendu est trop important, le fonctionnement par fichiers se révèle insuffisant. D’autres méthodes plus complexes et onéreuses doivent alors être considérées. Ce sera notamment le cas pour les données « temps réel » (retards de trains…) pour lesquelles on privilégie l’exposition de services de consultation des données stockées dans l’entrepôt (Web services SOAP, services REST…)  ou encore pour les données nécessitant la mise en œuvre de service de visualisation avancée (géolocalisation…).

Sélectionner le mode d’hébergement de la plate-forme de publication en fonction des enjeux d’isolation et de scalabilité

La plate-forme de publication des données ouvertes étant accessible au public, elle doit être isolée du reste du SI pour des raisons de sécurité. Une nouvelle infrastructure est donc généralement à construire soit en interne, soit auprès d’un hébergeur externe.

De plus, comme il est compliqué d’anticiper le taux de consommation des données ouvertes publiées et donc le degré d’utilisation de la plate-forme, faire appel aux offreurs Cloud pour un tel hébergement est fréquent et favorise une plus grande scalabilité des plates-formes de publication.

Si l’Open data a pour vocation d’être l’un des principaux facilitateurs du développement de l’économie numérique, elle n’est pour autant pas sans conséquence sur l’architecture ou la sécurité du SI des producteurs de données. Alors, libérer les données ? Oui… mais à quel prix : l’entreprise dispose-t-elle des outils et offres nécessaires ? A-t-on bien mesuré la complexité de l’ouverture des données du SI ? Autant de questions à se poser pour considérer avec efficacité cette problématique.

Cet article L’Open data : quels enjeux pour le SI des producteurs de données ? est apparu en premier sur RiskInsight.

Quels sont les risques induits par le BYOD ?

 Les risques techniques induits par le BYOD sont en grande partie des risques déjà existants pour la majorité des systèmes mobiles.
On peut en distinguer trois types :

• Les risques de perte ou de vol des données de l’entreprise stockées sur les terminaux eux-mêmes.
• Les risques de capture ou de modification de données sur les réseaux auxquels ils se connectent.
• Les risques pesant sur le SI lui-même : il pourrait subir différentes attaques amenant à une infection virale, une perte ou un vol de données, voire une coupure de service.

 La nouveauté réside ici dans le fait que les terminaux sont personnels, et font donc l’objet d’usages qui amplifient les risques : applications personnelles, configurations non maîtrisées par l’entreprise, utilisation en dehors du travail…

 Il apparaît donc nécessaire de trouver des solutions acceptables pour gérer et sécuriser ces usages.

Dans le cas du BYOD, l’ergonomie est aussi un critère de réussite majeur qui ne peut pas être négligé dans le choix de la solution à mettre en œuvre.

 L’approche sécuritaire : ne rien stocker !

Les solutions de déport d’écran permettent à tout type de terminal (ordinateur, tablette, smartphone…) de se connecter à un environnement maîtrisé par l’entreprise. Aucune donnée n’est stockée sur le terminal et les utilisateurs disposent d’un environnement adapté à leurs tâches professionnelles. Ces solutions nécessitent la mise en place d’une infrastructure assez lourde et requièrent une connexion internet rapide pour fonctionner. Leur ergonomie est très dépendante du terminal à partir duquel on se connecte. Les applications de type web sont également une alternative évitant le stockage de données sur le terminal. Accessibles à l’aide d’un navigateur à travers n’importe quelle connexion internet, elles ont l’avantage de ne pas nécessiter d’installation.

 Cependant, elles offrent une expérience utilisateur limitée à certains usages très spécifiques et ne sont pas adaptées aux terminaux de taille réduite comme les smartphones.

 L’approche pragmatique : sécuriser les usages en contrôlant l’ensemble du terminal…

Il s’agit de fournir des solutions permettant de sécuriser les terminaux sans interdire d’y stocker des données professionnelles. Elle se décline en deux types de méthodes techniques.

La première méthode est de maîtriser l’intégralité du terminal, à l’aide d’outils de gestion de flotte (aussi appelés outils de MDM – Mobile Device Management). Ces outils s’apparentent aux solutions de gestion de parc, largement présentes en entreprise pour les postes de travail. Même si le niveau de sécurité de ces solutions dépend fortement du type de terminal, elles sont aujourd’hui industrialisées.

 Elles ne marquent cependant pas de réelle séparation entre les usages (données) personnels et professionnels. Les restrictions de sécurité étant appliquées indifféremment sur l’ensemble du terminal, elles sont perçues par les utilisateurs comme une contrainte imposée dans leur sphère personnelle. À ce titre, elles répondent peu aux problématiques du BYOD.

 …ou en se concentrant sur la partie qui concerne l’entreprise

L’autre méthode de sécurisation des terminaux est plus innovante. Il s’agit d’isoler les données professionnelles des autres données sur le terminal, au sein d’un « silo », qui prend la forme d’une application ou d’un espace dédié. L’entreprise peut ainsi imposer des critères de sécurité adaptés sur ces données – et uniquement sur elles : mot de passe obligatoire, chiffrement des données, etc.

L’utilisateur n’est soumis à ces contraintes que dans le cadre de l’utilisation professionnelle, l’usage du terminal étant tout à fait libre par ailleurs. Ce type de solution a l’avantage d’être relativement indépendant du type de terminal sur lequel on l’installe : le niveau de sécurité est ainsi homogène même sur une flotte hétérogène.

 D’autres bonnes pratiques facilitent le BYOD

 Quelle que soit l’orientation retenue, un certain nombre de bonnes pratiques pour la sécurité des infrastructures restent de mise : le contrôle d’accès et de conformité au réseau (NAC), la gestion des traces (par exemple pour les accès internet réalisés avec les terminaux), ou encore l’utilisation d’un wifi dédié lorsque les collaborateurs sont dans les locaux.

Ces infrastructures, si elles ne permettent pas directement la mise en place du BYOD, sont en tout cas des éléments facilitateurs à son adoption et son extension.

Cet article BYOD : la sécurité n’est plus un frein ! est apparu en premier sur RiskInsight.