Le MDM est il la solution pour gérer l’usage BYOD ?

Le BYOD (Bring Your Own Device) est le fait d’apporter son propre terminal en lieu et place d’un terminal fourni par l’employeur, pour un usage professionnel.

Considéré comme un usage optionnel ou « Nice to Have » il y a quelques années par la plupart des DSIs, la Consumérisation de l’IT, l’explosion du marché des smartphones / tablettes / ultrabooks et l’augmentation du télétravail en France reposent la question suivante : Comment l’entreprise peut-elle répondre aux attentes de salariés sur le BYOD ? Les plateformes existantes de MDM (Mobile Device Management) de gestion des terminaux mobiles professionnels sont-elles adaptées pour supporter le BYOD ?

Il faut savoirqu’une large partie des grandes entreprises françaises disposent déjà dans leur SI de solutions MDM (Mobile Device Management) de gestion des terminaux professionnels proposés à leurs salariés. Cette solution MDM peut être spécialisée en supportant un seul type de terminaux professionnels (BlackBerry) ou être multi-plateformes capable de supporter plusieurs types de terminaux mobiles (iOS, Android, Windows Phone …).

La démocratisation des smartphones a créé une pression importante des salariés sur les DSIs pour élargir leur catalogue de choix du terminal mobile professionnel ce qui a poussé les entreprises à profiter du renouvellement de leurs plateformes MDM pour sélectionner les solutions du marché qui supportent la plus large palette d’OS mobiles.

L’utilité des solutions MDM pour les DSI est indéniable puisqu’elles permettent en l’occurrence de :

  • faciliter les déploiements des terminaux mobiles (pré-configurations massives, factorisation des paramètres de configuration, réaffectation des terminaux, etc.)
  • fournir une vision à jour de l’inventaire du parc mobile pour un meilleur contrôle des usages et des coûts
  • gérer les règles de sécurité applicables au terminal, à l’OS, aux applications, aux données suivant les profiles d’utilisateurs
  • contrôler à distance les terminaux de la flotte mobile professionnelle (effacement à distance, localisation, etc.)

Il est évident que les solutions MDM proposées par les acteurs du marché ne sont pas équivalentes puisqu’elles n’offrent pas toutes les mêmes fonctionnalités pour les mêmes Terminaux /OS avec le même niveau de sécurité. Pour les grandes entreprises, la question n’est donc pas si oui ou non il est nécessaire d’avoir une solution MDM pour gérer de manière automatique et globale sa flotte mobile.La vraie interrogation porte sur la pertinence et la pérennité du choix d’une solution MDM en adéquation avec le nouveau besoin des utilisateurs de supporter l’usage BYOD.

Les terminaux BYOD sont par définition la propriété de l’utilisateur et sont utilisés pour son activité personnelle. Ces terminaux ne sont donc pas connus de l’entreprise et ne sont pas sous son contrôle. Cette situation implique un certain nombre de menaces réelles pour les DSIs et représentent un frein à son développement en France.

Ces menaces sont dues principalement au fait que le terminal BYOD ne soit pas la propriété et donc pas connu du système de gestion des mobiles de la DSI. En effet, pour que la DSI puisse contrôler la sécurité d’un terminal mobile (professionnel ou personnel), l’installation d’un agent MDM (lourd ou léger) sur le terminal pour assurer son enrôlement dans le système de gestion est nécessaire. Cet enrôlement permettra par la suite à la DSI, de maîtriser le niveau de sécurité des terminaux gérés : garantie de la conformité du terminal (détection de jailbreak/root, antivirus, etc.), blocage de l’accès au SI en cas de vol ou de perte, chiffrement des données sauvegardées et envoyées depuis le terminal mobile (email), forcer une politique forte de mot de passe …

Ces fonctions de contrôles de la sécurité ne sont pas optionnelles pour les DSI quand il s’agit de donner accès aux données et applications professionnelles. Face au besoin réel des utilisateurs du BYOD, la définition d’une politique adaptée dans l’entreprise est primordiale.

Cependant connaissant la volonté de contrôle des terminaux utilisés en « BYOD » par la DSI, les utilisateurs s’inquiètent de la confidentialité de leurs données personnelles présentes sur ces terminaux. Après tout, ce sont des terminaux personnels utilisés en majeure partie pour un usage personnel. Cette garantie de la séparation du monde personnel et professionnel sur les terminaux « BYOD » est aussi bien une attente des utilisateurs qu’une exigence des DSIs pour éviter toute fuite des données de l’entreprise de la sphère professionnelle.

Face à cette double attente, les principaux éditeurs du marché MDM et constructeurs de terminaux mobiles ont enrichi leurs offres de gestion des terminaux mobiles par une brique appelée « container » dont le principe est d’enrôler les terminaux mobiles ciblés et de créer dessus 2 sphères d’usages différents : une sphère professionnelle sécurisée et contrôlée par la brique MDM, et une sphère personnelle complètement séparée et étanche avec la première. Les offres autour de ce principe se sont beaucoup développées ces derniers mois et ont gagné en maturité : BlackBerry Balance, Samsung KNOX, Devide racheté par Google, Workspace d’Airwatch/VMware, Good, etc.

L’association de la brique de gestion des terminaux avec le container a donné naissance au nouveau visage du MDM (appelé aussi EMM : Entreprise Mobile Management) qui permet de répondre aux attentes de flexibilité de l’usage par utilisateurs BYOD et de contrôle de la sécurité par les DSIs.

Il est toutefois important de relativiser cette image, car ces solutions MDM quoi que nécessaires pour les entreprises comme pour les utilisateurs pour poser une base saine à l’usage du BYOD, sont très évolutives, hétérogènes et complexes. Leur intégration dans le système informatique de l’entreprise nécessite un recul mature sur les besoins et les fonctions souhaitées ainsi qu’une expertise assez pointue pour évaluer les risques sécurité et les solutions correspondantes à appliquer.

Une conclusion récente datant du 06 août 2014 de deux chercheurs en cybercriminalité a révélé plusieurs vulnérabilités et failles présentes sur certaines solutions MDM du marché. Ces failles permettraient à des cybercriminels d’accéder aux emails professionnels du salarié et de ses collègues, de récupérer les identifiants de connexion du salarié et de se faire passer pour son terminal pour accéder au SI, et même d’infiltrer le serveur MDM pour prendre le contrôle sur l’ensemble des terminaux mobiles et couper leurs accès à certaines applications ou les démobiliser du système… Ces vulnérabilités sont aussi dépendantes du type d’OS/terminaux utilisés : iOS, Android, …

Il est clair que les MDM avec toutes les évolutions et les extensions de fonctionnalités adoptées ces derniers mois par les acteurs du marché ne sont pas prêts d’être abandonnés par les DSI pour gérer la flotte mobile professionnelle. De plus, ces plateformes se sont dotées de la capacité à gérer les terminaux « BYOD » de manière sécurisée pour les données de l’entreprise, ce qui les rend encore plus indispensables.

Trois enjeux majeurs sont à considérer pour les DSIspar rapport à l’usage BYOD. D’abord prendre le temps de bien tester et choisir le MDM adapté aux besoins professionnels et BYOD des salariés et conforme à la politique de sécurité de l’entreprise. Ensuite définir une politique BYOD pour encadrer cet usage en traitant les axes suivants :

  • Quel niveau de contrôle ? (le tolérer, l’autoriser, l’encourager, l’imposer)
  • Quel niveau d’accès ouvrir ? (Webmail, client mail synchronisé, accès iIternet Wi-Fi, accès aux applications professionnelles, etc.)
  • Qui est le propriétaire du terminal et quel niveau de subvention ?
  • Qui est le propriétaire de l’abonnement data/voix et quel niveau de subvention ?
  • Quelle responsabilité et procédure en cas d’incidents ?
  • Quel niveau de support proposer ?

Enfin, il est important de structurer la communication autour de cette politique BYOD via la définition des chartes nécessaires à cet usage et de l’accompagner par une vraie campagne d’information sur les rôles et les responsabilités des différentes parties impliquées.

Partager : Share on Google+Share on LinkedInTweet about this on TwitterShare on Facebook