Comment configurer MobileIron Threat Defense pour répondre aux exigences de respect de la vie privée
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Comment configurer MobileIron
Threat Defense pour répondre aux
exigences de respect de la vie privée
Situation générale
Pour les entreprises et les organisations qui sont soumises aux réglementations
relatives au respect de la vie privée en ligne, la protection des données statiques
(data-at-rest) et en transit (data-in-transit) permettant l'identification de personnes
doit être intégrée à leurs règles de sécurité, et ce afin d'éviter les pénalités et les
atteintes à la réputation découlant d'une violation de données. Selon une étude
du Ponemon Institute, le coût moyen mondial d'une violation de données s'élevait
à 3,62 millions de dollars en 2017. Il s'agit du coût moyen pour chaque perte ou
vol d'un enregistrement contenant des informations sensibles et confidentielles,
en dehors de toute prise en compte du dommage causé à la réputation de
l'organisation.
Ce guide de la protection de la vie privée décrit les mesures que peuvent
prendre les administrateurs pour limiter la collecte et l'affichage des données
d'identification personnelle par MobileIron Core, Cloud et Threat Defense.
Ce guide est à jour à la date d'aujourd'hui et nous sommes susceptibles de le
401 East Middlefield Road
modifier occasionnellement en fonction des éventuels changements concernant
les produits, les opérations et les réglementations. Il ne constitue pas un avis Mountain View, CA 94043, États-Unis
juridique, est fourni exclusivement à titre d'information générale et n'a aucun Tél. : +1.650.919.8100
effet contractuel. MobileIron ne garantit pas que ce guide est adapté à un usage
Fax : +1 650 919 8006
particulier et décline toute responsabilité relativement à son utilisation. Les
informations contenues dans ce guide sont fournies exclusivement dans le but info@mobileiron.com
d'aider les clients dans leur évaluation des produits et services MobileIron.
MKT FR-FR v1
Solution MobileIron Threat Gestion unifiée des terminaux
Defense
À compter de MobileIron Core version 9.7, les règles
de confidentialité par défaut comportent les obligations
La solution MobileIron Threat Defense (MTD) transfère
suivantes illustrées dans la figure 1, ci-dessous.
un sous-ensemble des données d'identification
personnelle transmises à MobileIron Core ou Cloud • L'inventaire des applications est limité aux
via une API vers le détenteur de la console de gestion applications figurant dans le catalogue App Catalog
MobileIron Threat Defense du client. Le service MTD pour les appareils Android dont Android pour les
utilise l'application client intégrée Mobile@Work ou entreprises, et aux applications gérées pour les
MobileIron Go qui comprend le SDK ziAP Zimperium appareils iOS.
et est fournie à l'appareil géré après que l'utilisateur • Aucun journal de SMS ni journal d'appels n'est
a correctement effectué l'enregistrement MobileIron collecté.
Core ou Cloud. Les données collectées pouvant être
• Les réveils basés sur l'emplacement iOS sont
considérées comme des données d'identification
désactivés.
personnelle incluent le ou les numéros de téléphone
de l'appareil, le numéro IMEI (International Mobile • Les données de localisation ne sont pas collectées.
Equipment Identifier), les adresses IP, les identifiants • L'état d'itinérance est désactivé.
UDID (Unique Mobile Device Identifier), les données
GPS (Global Positioning System), les cookies, les
adresses MAC (Media Access Control), les noms des
applications installées sur l'appareil (qui peuvent inclure
des caractéristiques personnelles), ainsi que le nom, le
prénom et l'adresse e-mail de l'utilisateur de l'appareil.
MobileIron Core ainsi que toutes
Figure 1 – Configuration par défaut des règles de confidentialité de MobileIron Core-
les données d'identification
personnelle collectées et stockées
par MobileIron Core résident
généralement dans les locaux du
client ou sur le site d'un fournisseur
d'hébergement. MobileIron Cloud
est hébergé sur l'infrastructure
IaaS (Infrastructure as a Service)
d'Amazon Web Services (AWS), qui
est un fournisseur de cloud public.
Toutes les données d'identification
personnelle qui sont transmises au
cluster MobileIron Threat Defense
à partir de MobileIron Core ou Cloud
peuvent être sécurisées à l'aide du
protocole HTTPS avec la protection
TLS version 1.2.
* Pour les versions antérieures de MobileIron Core qui ont été mises à niveau, les règles de confidentialité doivent être modifiées selon la configuration illustrée dans la figure 1.
2
La configuration des règles de confidentialité de Lorsque les règles de confidentialité par défaut de
MobileIron Cloud illustrée dans la figure 2 collecte par MobileIron Core sont en vigueur, la page des détails
défaut l'inventaire des applications uniquement à partir de l'appareil représentée dans la figure 3 répertorie
du catalogue App Catalog et désactive les données uniquement les applications figurant dans le catalogue
de localisation. Les autres données personnelles, telles App Catalog pour les appareils Android et les applications
que les données de journal des SMS, de journal des gérées pour les appareils iOS. Les informations affichées
appels, de réveils basés sur l'emplacement iOS et dans les détails des appareils MobileIron Cloud sont
d'état d'itinérance ne sont pas recueillies à partir de identiques pour les applications installées, avec la
l'appareil géré. configuration de la confidentialité par défaut en vigueur.
Figure 2 – Configuration des règles de confidentialité par défaut de MobileIron Cloud
Figure 3 – Détails de l'appareil MobileIron Core – Inventaire des applications
3
Console de gestion
MobileIron Threat Defense
La console de gestion MobileIron Threat Defense fournit des commandes
qui permettent de masquer le nom et le prénom, ainsi que l'adresse
e-mail, de l'utilisateur de l'appareil mobile. Ceci permet d'éviter que ces
informations soient accessibles aux administrateurs. Lors de l'ajout d'une
configuration MDM illustrée dans la figure 4, après avoir saisi l'adresse
URL UEM, le nom d'utilisateur et le mot de passe du compte utilisateur
de l'API, sélectionnez les paramètres Sync users (Synchroniser les
utilisateurs) et Mask Imported User Information (Masquer les informations
des utilisateurs importés). Ces paramètres ont pour effet d'ajouter les
utilisateurs de l'UEM dans la console de gestion, mais les détails les
concernant sont remplacés par des astérisques. Le paramètre Sync users
(Synchroniser les utilisateurs) est requis pour l'intégration de Core ou
Cloud à la console de gestion.
Figure 4 – Console de gestion MTD – Paramètres MDM
4
Le tableau ci-dessous illustre les rôles utilisateur Dans les paramètres Forensic data configuration
et les autorisations accordées dans la console de (Configuration des données d'investigation) illustrés dans
gestion. Tous les rôles utilisateur, à l'exception de End la figure 5, les paramètres Threat (Menace) par défaut
user (Utilisateur final), peuvent consulter les données fournissent le niveau de protection et de sécurité le plus
d'identification personnelle de l'utilisateur d'un appareil élevé sur l'appareil iOS ou Android. Cette configuration
mobile si ces données ne sont pas masquées durant permet de collecter davantage d'informations lors
l'importation à partir de l'UEM. Tous les utilisateurs de la connexion de l'utilisateur et de l'enregistrement
importés à partir de l'UEM sont affectés au rôle End User périodique de l'appareil. Par ailleurs, des données
(Utilisateur final). Ce rôle utilisateur permet d'enregistrer d'investigation relatives à l'appareil, au réseau et aux
son appareil mobile sur lequel s'exécute le client MTD applications sont recueillies pour limiter efficacement
intégré Mobile@Work ou MobileIron Go dans la console l'effet d'une menace détectée sur l'appareil. Ces
de gestion, mais il ne permet pas de se connecter à la informations sont également affichées dans la console
console de gestion elle-même. de gestion MobileIron Threat Defense, mais uniquement
lorsqu'une menace est détectée sur l'appareil, et
Rôle Autorisations uniquement dans les sections Dashboard (Tableau
de bord) et Threat Log (Journal des menaces). Les clients
System Admin Privilèges complets et accès à tous les
souhaitant abaisser le niveau de protection contre les
(Administrateur éléments de la console de gestion.
système) menaces et de sécurité en échange d'une réduction de
la quantité d'informations collectées peuvent utiliser
Mobility Admin Ajout ou modification des paramètres MDM
le paramètre de configuration personnalisé de la figure 5.
(Administrateur de uniquement.
mobilité)
Figure 5 – Console de gestion MTD – Configuration des données d'investigation
Security Admin Affichage des menaces et application
(Administrateur de de mesures contre les menaces.
sécurité)
L2 Support Le service d'assistance de niveau 2 traite les
(Support niveau 2) problèmes qui lui sont transmis par le niveau 1.
L1 Support Service d'assistance de niveau 1 avec accès
(Support niveau 1) en lecture seule aux utilisateurs, aux appareils
et aux menaces.
Risk/Compliance Accès en lecture seule à la console de gestion
(Risque/conformité) à des fins d'audit et de conformité.
End User Droits exclusivement limités à l'enregistrement
(Utilisateur final) des clients MTD dans la console de gestion.
Aucun accès à la console de gestion.
La console de gestion comprend un paramètre Privacy
(Confidentialité) distinct qui permet de collecter des
données d'investigation spécifiques, telles que la
localisation, les fichiers binaires d'application et les
investigations, ainsi que les informations relatives
aux réseaux (dont éventuellement les informations
sur l'opérateur), aux appareils et aux utilisateurs. Ces
données personnelles sont collectées périodiquement
au moment de l'enregistrement initial de l'appareil
(auprès de l'UEM) coïncidant avec l'intervalle de
synchronisation de l'appareil avec l'UEM et lorsqu'une
menace est introduite dans l'appareil géré.
5
Avec ces paramètres définis dans la console de gestion Core, Cloud et MobileIron
Threat Defense, lorsqu'une application malveillante est installée et exécutée sur
l'appareil géré, les actions de conformité suivantes sont déclenchées, notamment
l'affichage de notifications sur l'appareil, informant l'utilisateur de l'appareil de la
menace et de toutes les mesures de conformité prises pour limiter cette menace.
Ces actions sont illustrées dans les figures 6 et 7.
Figure 6 – Notification de menace par un client Mobile@Work sur un appareil Android
Figure 7 – Notifications de menace par un client Mobile@Work sur un appareil Android
6
Le tableau de bord de la console de gestion MTD malveillants. Les détails de l'utilisateur de l'appareil
illustré dans les figures 8 et 9 indique les informations mobile sont masqués et les informations binaires des
d'investigation des applications lorsqu'une application applications ne sont pas affichées.
Android suspecte est détectée sur l'appareil mobile.
Ceci s'applique également à une application iOS Dans les exemples ci-dessous, les applications
suspecte qui est détectée sur un iPhone, un iPad ou malveillantes (APK) TowelRoot et KingRoot ont été
iPod gérés. La section Threat Timeline (Chronologie téléchargées sur l'appareil Android. Leur installation
des menaces) indique également les adresses IP et leur exécution ont également été autorisées. Cette
interne et externe de l'appareil qui sont connectées à un autorisation a nécessité la désactivation de l'analyse
réseau Wi-Fi avec le nom SSID, les adresses MAC de Google Play Protect, puis l'activation des sources
passerelle et IP, ainsi que le nom de la liste des logiciels inconnues. Normalement, ces deux actions déclenchent
automatiquement des
Figure 8 – Console de gestion MTD – Tableau de bord (menace KingRoot) réponses distinctes de
conformité de la protection
contre les menaces de
la part de MobileIron
Threat Defense comme le
montrent les notifications
indiquées dans les figures
6 et 7. L'appareil mobile
pourrait ensuite être mis
en quarantaine, avec les
applications de messagerie
et AppConnect bloquées,
toutes les configurations
approvisionnées par UEM
(telles que la messagerie,
le VPN, le Wi-Fi, les certificats
d'identité, etc.) supprimées
et toutes les applications
Figure 9 – Console de gestion MTD – Tableau de bord (menace TowelRoot) gérées ainsi que leur contenu
masqués ou supprimés.
7
Configuration requise :
• MobileIron Core version 9.7 ou ultérieure
• MobileIron Cloud version R54 ou ultérieure
• Mobile@Work version 9.7 ou ultérieure pour iOS
• Mobile@Work version 9.6 ou ultérieure pour Android
• MobileIron Go version 3.2 pour iOS et Android
• MobileIron Threat Defense Management Console
version 4.12.87-GA
Récapitulatif
Des règles de sécurité et de verrouillage UEM
correctement configurées, couplées avec MobileIron
Threat Defense, fournissent une stratégie de sécurité
multicouche, avec une réponse automatisée aux menaces
pour contribuer à protéger les données statiques
et en transit permettant d'identifier personnellement
l'utilisateur du mobile. Ce guide décrit les mesures
supplémentaires qui peuvent prises pour limiter la
quantité de données privées éventuellement collectées
à partir d'un appareil iOS ou Android géré et transmises
à MobileIron Core or Cloud, ainsi qu'à la console de
gestion MobileIron Threat Defense.
Copyright 2018 MobileIron, Inc.
8Vous pouvez aussi lire
