MOBILEIRON ET IOS : L'ARMATURE DE SÉCURITÉ DE L'ENTREPRISE MODERNE - 415 EAST MIDDLEFIELD ROAD MOUNTAIN VIEW, CA 94043, ÉTATS-UNIS - MOBILEIRON.COM

 
MOBILEIRON ET IOS : L'ARMATURE DE SÉCURITÉ DE L'ENTREPRISE MODERNE - 415 EAST MIDDLEFIELD ROAD MOUNTAIN VIEW, CA 94043, ÉTATS-UNIS - MOBILEIRON.COM
MobileIron et iOS :
l'armature de sécurité de l'entreprise moderne

415 East Middlefield Road             info@mobileiron.com   Tél. : +1 877 819 3451
Mountain View, CA 94043, États-Unis   www.mobileiron.com    Fax : +1 650 919 8006

MKT FR v1.1                                                                          1
MOBILEIRON ET IOS : L'ARMATURE DE SÉCURITÉ DE L'ENTREPRISE MODERNE - 415 EAST MIDDLEFIELD ROAD MOUNTAIN VIEW, CA 94043, ÉTATS-UNIS - MOBILEIRON.COM
Table des matières

En bref                                                                                                 3
Introduction : sécuriser l'entreprise numérique moderne User-First                                      4
Sécurité iOS : protéger du cœur vers la périphérie                                                      6
   Démarrage sécurisé : créer une chaîne de confiance
   Signature obligatoire du code : protéger l'intégrité des mises à jour iOS
   App Store : déployer et mettre à jour des applications
   Exécution des applications : se prémunir des codes non autorisés
   Chiffrement par défaut : protéger les données statiques et en transit
   Configuration, gestion et utilisation des appareils iOS
          Profils de configuration : distribution des paramètres de l'appareil

          Gestion des appareils mobiles : enregistrement et exécution de commandes à distance

          Supervision : fonctionnalités de sécurité avancées pour les entreprises

          Programme d'inscription des appareils : inscription MDM obligatoire et supervision sans fil

MobileIron EMM : protéger de la périphérie vers le cœur                                                 10
   Premiers pas : autorisation et authentification des utilisateurs
          Liaison des appareils, utilisateurs et règles via les annuaires d'entreprise

          Authentification renforcée et simplifiée des utilisateurs avec les certificats numériques,
          Kerberos et l'authentification unique

   Gérer et sécuriser : le protocole MDM, plan de contrôle de l'entreprise
          Provisionnement simplifié des appareils, avec moins d'interventions

   La gestion du cycle de vie et de la sécurité des applications en pratique
          Distribuer les applications mobiles via un magasin d'applications professionnelles

          Gestion des applications mobiles : développer la sandbox des applications

          MobileIron AppConnect, pour une protection accrue des applications propriétaires

          Sécuriser le contrôle d'accès dynamique

          Protéger les données en transit grâce au tunneling

          MobileIron Access : la sécurité et la confiance étendues aux applications SaaS

          MobileIron ServiceConnect : intégration avec les systèmes de sécurité d'entreprise tiers

EMM et iOS : un modèle de sécurisation de l'entreprise mobile moderne                                   15

                                                                                                             2
MOBILEIRON ET IOS : L'ARMATURE DE SÉCURITÉ DE L'ENTREPRISE MODERNE - 415 EAST MIDDLEFIELD ROAD MOUNTAIN VIEW, CA 94043, ÉTATS-UNIS - MOBILEIRON.COM
En bref
L'entreprise mobile moderne se développe à un             iOS garantit la sécurité du cœur vers la périphérie :
rythme sans précédent. La tendance touche tous les        de la fabrication de la puce jusqu'à la fin du cycle
secteurs, partout dans le monde. Dans ce contexte,        de vie de l'appareil et du logiciel. Inversement,
de plus en plus d'entreprises ont besoin d'un modèle      MobileIron EMM fournit une protection mobile
complet pour sécuriser leurs appareils mobiles,           de la périphérie vers le cœur : l'entreprise peut
leurs applications et leurs données, sans nuire à la      déployer une stratégie de sécurité mobile de bout
productivité ni à l'expérience utilisateur. Hautement     en bout qui protège ses appareils, applications et
intuitif, convivial et facile à gérer, iOS s'est imposé   données chaque fois qu'un utilisateur accède à un
en tant que système d'exploitation mobile dans une        environnement (des ressources cloud ou un réseau
grande majorité d'entreprises.                            non sécurisé, par exemple). Cette plateforme
                                                          standardisée permet de distribuer les configurations
Les diverses fonctionnalités de sécurité et de            et paramètres de sécurité à plusieurs appareils dans
gestion des applications introduites par Apple dans       l'entreprise, de manière automatique.
les dernières versions permettent aux équipes
informatiques de garantir l'intégrité des données et      Ce document présente dans le détail les fonctionnalités
des applications mobiles, sur tous les appareils iOS.     de sécurité d'iOS et de MobileIron EMM. Il explique,
Si nombre de problématiques majeures de sécurité          en outre, comment tirer parti de ce duo pour déployer
ont ainsi été résolues, aucun système d'exploitation      un parc d'appareils iOS hautement sécurisés, faciles
n'est protégé à 100 % contre les pertes de données        à configurer, à protéger et à gérer grâce aux règles
et les attaques de logiciels malveillants nouvelle        de sécurité et aux mises à jour d'applications les plus
génération. La plateforme de gestion de la mobilité en    récentes.
entreprise (EMM, Enterprise Mobility Management)
de MobileIron apporte une solution mobile complète
qui vient compléter et renforcer les fonctionnalités
de sécurité iOS.

                                                                                                                  3
Introduction : sécuriser
l'entreprise numérique
moderne User-First
Aux quatre coins du globe, des milliers d'entreprises                                          La prolifération des données non structurées et les
embrassent le même projet : celui de devenir une                                               changements permanents découlant des fusions,
entreprise en temps réel avec, au centre de la stratégie                                       acquisitions, cessions, réorganisations et autres
concurrentielle, l'expérience utilisateur numérique.                                           réductions d'effectifs rajoutent de la complexité2.
Aujourd'hui, dans tous les secteurs (la santé, l'industrie,                                    Le défi pour le département informatique revient
la vente, les technologies, les transports, les services                                       à cacher toute cette complexité à l'utilisateur final,
financiers), il n'est pas un processus d'entreprise                                            qui doit seulement voir et utiliser des données
critique qui ne dépende de transactions numériques                                             et applications mobiles sécurisées, intuitives et
sécurisées et transparentes. Pour rester compétitif,                                           faciles d'accès.
il ne suffit pas de donner accès à une messagerie
électronique sur l'appareil mobile d'un employé.                                               Le côté extrêmement convivial et performant de
L'entreprise a besoin d'un modèle de stratégie mobile                                          l'expérience iOS explique en partie la domination
capable de satisfaire à des exigences de sécurité                                              mondiale de cette plateforme de mobilité. Certes,
complexes, sans impacter l'expérience utilisateur                                              iOS n'a pas volé sa réputation en matière de sécurité.
numérique.                                                                                     Cependant, aucun système d'exploitation mobile
                                                                                               n'est à l'abri d'une menace. Dorénavant, les équipes
Les défis en matière de sécurité sont toujours plus                                            informatiques ont besoin d'une stratégie de sécurité
nombreux, compliquant ainsi la mise en place d'un                                              iOS complète, avec une plateforme EMM capable
espace de travail numérique User-First. Selon une                                              d'anticiper et de prévenir les attaques mobiles. Plus
étude du Ponemon Institute, la complexité de la                                                important encore, l'entreprise doit unifier ses diverses
sécurité informatique s'explique essentiellement                                               infrastructures informatiques complexes pour
par l'usage grandissant des appareils mobiles et                                               protéger au mieux son parc mondial d'appareils et
des applications dans le cloud1. Bien entendu, toute                                           d'applications d'entreprise iOS, dont les ordinateurs
entreprise connaîtra nécessairement des difficultés.                                           de bureau, les objets connectés et autres appareils
Pour autant, passé un certain seuil, celles-ci risquent                                        qui fleuriront demain.
d'entraver sa capacité à contrer les cybermenaces.
Elles peuvent aussi aboutir à un environnement
fracturé par des technologies de sécurité disparates
déployées sur différentes plateformes, des règles de
sécurité non cohérentes et une équipe de sécurité
dépassée et manquant de ressources pour gérer de
façon sûre un parc d'appareils toujours plus vaste.

1 Ponemon Institute LLC, « The Cost and Consequences of Security Complexity », novembre 2016

2 Ponemon Institute LLC

                                                                                                                                                          4
Tour d'horizon des vulnérabilités et des attaques modernes
À première vue, les menaces qui visent les appareils mobiles actuels ressemblent énormément à celles
affectant les terminaux traditionnels. La façon dont les vulnérabilités sont exploitées et les attaques
exécutées varie pourtant sensiblement.

  Appareil mobile et système                                                                         Applications et données
  d'exploitation                                                                                     Les logiciels malveillants traditionnels ont une efficacité
  Les systèmes d'exploitation ont toujours été vulnérables,                                          limitée sur les appareils mobiles, de par l'architecture
  mais leur version mobile déploie un arsenal de sécurité                                            de ce type d'appareil, mais aussi parce que les magasins
  plus performant en imposant des frontières strictes                                                d'applications grand public agissent pour empêcher leur
  entre le noyau et l'espace utilisateur ainsi que des                                               intrusion et leur propagation. Mais, comme applications
  techniques comme le « sandboxing » des applications.                                               personnelles et professionnelles cohabitent souvent
  Ces mécanismes sont néanmoins faillibles, la protection                                            sur les appareils de l'utilisateur final, des « agents
  interne pouvant être ôtée en piratant le système                                                   utilisateur » non autorisés peuvent avoir accès aux
  d'exploitation (procédure souvent appelée « jailbreaking »                                         données de l'entreprise. En outre, les applications
  ou « rooting »). Diverses attaques de logiciels malveillants                                       ne protègent pas toujours correctement les données
  jouent désormais cette carte du piratage, une technique                                            statiques ou en transit. Il existe également un risque
  jadis employée par les utilisateurs expérimentés pour                                              de fuite d'informations sensibles ou de récupération des
  modifier le comportement de leurs appareils.                                                       identifiants de l'utilisateur.

  Réseaux                                                                                            Comportement des utilisateurs
  Les appareils mobiles sont reliés à beaucoup plus de                                               Étant donné l'omniprésence de la connectivité et la
  réseaux que les terminaux classiques. Pourtant, la gestion                                         multitude des outils de productivité disponibles sur
  de ces réseaux incombe rarement à l'entreprise. Plus ou                                            les appareils mobiles, les utilisateurs finaux peuvent
  moins protégés, voire pas du tout, ces réseaux offrent                                             exfiltrer des données de l'entreprise, de façon volontaire
  la possibilité aux pirates d'intercepter des données ou                                            ou accidentelle, soit en pratiquant le « hairpinning
  d'exécuter d'autres actions malveillantes. L'entreprise doit                                       des e-mails » (le transfert d'un message d'un compte
  donc veiller à la protection des données qui transitent                                            professionnel via un compte personnel), soit en transférant
  entre les référentiels internes et les terminaux d'accès.                                          des données vers des services de stockage dans le cloud
                                                                                                     personnel. Pour limiter ces risques, il convient d'appliquer
                                                                                                     une stratégie consistant à vérifier que les utilisateurs
                                                                                                     ont accès aux données requises, tout en contrôlant leur
                                                                                                     flux pour éviter toute divulgation non autorisée.

Des vols de données toujours plus coûteux
Un appareil mobile qui est piraté ou non conforme accroît la vulnérabilité d'une entreprise et aussi ses coûts.
En effet, le coût des vols de données augmente. En 2016, le Ponemon Institute a mené une étude auprès
de 383 entreprises dans 12 pays. Les résultats ont montré que le coût total d'un vol de données s'élevait en
moyenne à quatre millions de dollars, soit une augmentation de 29 % par rapport à 20133.

3 https://www.mobileiron.com/fr/quarterly-security-reports/q2-2016-mobile-security-and-risk-review
                                                                                                                                                                    5
Sécurité iOS : protéger
du cœur vers la périphérie
En 2007, le marché accueillait un appareil
révolutionnaire doté d'un navigateur mobile
remarquable offrant une expérience utilisateur
exceptionnelle, aujourd'hui devenu le socle
solide d'une transformation profonde du monde
de l'entreprise. En lançant l'iPhone et le système
d'exploitation iOS, Apple a repensé totalement
l'informatique et la sécurité de type terminal. iOS
combine avec brio sécurité et facilité d'utilisation,
et est ainsi devenu le leader indétrôné avec plus
                                                                                           Modification non autorisée
de 80 % de part de marché dans le domaine des                                              du système d'exploitation
appareils mobiles d'entreprise4.
                                                                                           Le « jailbreaking », c'est-à-dire le fait de modifier
La sécurité des appareils iOS repose sur une alchimie                                      iOS sans suivre la procédure de mise à jour
unique de possibilités matérielles et logicielles                                          standard, désigne une série de techniques de
visant à protéger l'appareil, les données qu'il gère                                       piratage visant à changer le fonctionnement du
(statiques ou en transit) ainsi que son écosystème                                         système. Les personnes qui s'adonnent à ces
(les applications et services Internet). Elle est au                                       pratiques contournent nombre de mécanismes
cœur des préoccupations d'Apple, à tel point que                                           de sécurité intrinsèques d'iOS et exposent ainsi
l'intégration des composants et des fonctionnalités                                        les appareils à une multitude de conséquences
de sécurité intervient dès la fabrication des puces,                                       fâcheuses5 :
et ce jusqu'à la fin du cycle de vie de l'appareil et du
logiciel. Parmi les fonctionnalités de sécurité citées                                     • Réduction de la durée de vie de la batterie
ci-après, une grande partie est activée par défaut et
                                                                                           • Instabilité du système d'exploitation
parfois non configurable par l'utilisateur final.
                                                                                           • Interruption des services, dont les services
                                                                                             appels et données et les notifications push
                                                                                             d'Apple (APN)
Démarrage sécurisé : créer une chaîne
                                                                                           • Exposition à des logiciels malveillants et autres
de confiance
                                                                                             failles de sécurité
                                                                                           • Incapacité à réaliser des mises à jour, voire
Dans un appareil iOS, chaque processeur
                                                                                             blocage total de l'appareil
(le processeur d'applications, le chipset de bande
de base, l'enclave sécurisée sur les appareils équipés
                                                                                           Cette tendance liée aux modifications non
de puces A7 ou plus récentes) utilise une procédure
                                                                                           autorisées progresse peu et recule même.
de démarrage sécurisé, chacune des étapes reposant
                                                                                           Malgré tout, les appareils dont le système
sur des composants signés cryptographiquement
                                                                                           d'exploitation a été piraté représentent un
et sur une chaîne de confiance qui doit être vérifiée
                                                                                           risque majeur pour les données des utilisateurs
préalablement au démarrage.
                                                                                           et de l'entreprise, qu'il convient de contrer
                                                                                           par des mesures adéquates6.

                                                                                           5 Complément d'information : https://support.apple.com/fr-fr/HT201954

4 Source : MobileIron, Analyse des risques et de la sécurité sur les appareils mobiles,   6 S
                                                                                              ource : MobileIron, Analyse des risques et de la sécurité sur les appareils
  2e trimestre 2016                                                                          mobiles, 2e trimestre 2016
                                                                                                                                                                             6
Signature obligatoire du code :                             la mise en ligne de l'application sur l'App Store
                                                            et son exécution sur l'appareil (se reporter
protéger l'intégrité des mises à jour iOS
                                                            à la section Signature obligatoire du code pour plus
                                                            d'informations), ce qui dissuade de créer des
Plus avancée que le démarrage sécurisé,
                                                            applications malveillantes. Plus important encore,
la vérification cryptographique s'applique de manière
                                                            si une telle application est détectée, le certificat
permanente afin de protéger l'intégrité de l'ensemble
                                                            du développeur peut être révoqué pour empêcher
des mises à jour iOS. Lors d'une mise à niveau du
                                                            l'exécution de toutes ses applications.
système d'exploitation, les serveurs d'autorisation
d'installation d'Apple reçoivent une liste de « mesures »
                                                            Exécution des applications : se
cryptographiques pour chaque composant du
package d'installation, l'ID unique de l'appareil et un
                                                            prémunir des codes non autorisés
nonce pour prévenir les attaques par rejeu. En cas
de correspondance entre les mesures et les versions         Exécuter une application sur iOS ou sur un
pour lesquelles les mises à niveau sont autorisées,         système d'exploitation classique n'a rien à voir. Sous
le serveur d'autorisation signe le résultat et le renvoie   iOS, la plupart des processus s'exécutent en tant
dans les données utiles de mise à niveau. Résultat :        qu'utilisateur non privilégié, comme toutes les
la mise à niveau du système d'exploitation est              applications tierces. Les applications sont placées
inviolable.                                                 dans la sandbox, les empêchant ainsi de modifier
                                                            l'appareil et le système d'exploitation, mais aussi
La signature du code s'étend aux applications               d'accéder aux données d'autres applications pour
installées et exécutées sur iOS. L'ensemble du code         éventuellement les altérer. Il existe un risque que
exécutable doit provenir d'une source connue et             les applications exposent les architectures ou les
approuvée, validée à l'aide d'un certificat émis par        bibliothèques à un accès par d'autres applications
Apple. Outre la validation de la source, la signature       du même développeur. Cependant, les exécutables
obligatoire du code empêche les applications                intégrés ne peuvent se lier qu'aux bibliothèques
tierces de charger des modules non signés ou                fournies avec le système, ce qui renforce la protection
d'utiliser du code automodifiant susceptible d'altérer      contre les exécutions de code non autorisé.
dynamiquement le fonctionnement de l'application.
                                                            Chiffrement par défaut : protéger
                                                            les données statiques et en transit
App Store : déployer et mettre
à jour des applications                                     Une technologie appelée Protection des données
                                                            protège les données stockées dans la mémoire Flash
L'App Store est essentiellement une infrastructure          des appareils iOS. Basée sur les technologies de
de déploiement et de mise à jour dédiée aux                 chiffrement matérielles, elle assure un chiffrement
applications. Il tient aussi une place centrale dans        fichier par fichier via le moteur AES-256 intégré
la sécurité des appareils. Toutes les applications          à chaque appareil. Chaque nouveau fichier se voit
soumises à l'App Store sont vérifiées par Apple afin        attribuer une classe de protection des données,
de s'assurer qu'elles fonctionnent comme décrit, ne         qui détermine la clé utilisée pour le chiffrement du
présentent pas de bogues évidents et respectent             fichier. Les applications tierces installées sur iOS 7
les bonnes pratiques en matière de développement            ou version ultérieure bénéficient automatiquement
d'applications iOS. En outre, pour pouvoir distribuer       de la protection des données. Plus important, cette
une application sur l'App Store, les développeurs           technologie inclut des mécanismes pour supprimer
doivent adhérer au programme Apple Developer                de la mémoire des clés de chiffrement, et qui
Program. L'identité du développeur est vérifiée             contrôlent quand et comment les données sont
par Apple avant l'émission d'un certificat autorisant       déchiffrées et mises à disposition.

                                                                                                                      7
En plus des données statiques de l'appareil, iOS assure                                                ne peuvent être modifiés par l'utilisateur. Un moyen
la protection des données en transit. Le mécanisme                                                     pratique pour les administrateurs informatiques de
App Transport Security (ATS) introduit dans iOS 9                                                      standardiser la configuration des appareils iOS.
requiert le chiffrement des connexions aux services
Internet via le protocole Transport Layer Security                                                     Gestion des appareils mobiles : enregistrement
(TLS) v1.2. Son utilisation ou l'application d'exceptions                                              et exécution de commandes à distance
explicites devait être rendue obligatoire à compter du
1er janvier 2017 pour toutes les applications soumises                                                 La gestion des appareils mobiles (MDM), ajoutée
à l'App Store, mais l'échéance a été provisoirement                                                    dans iOS 4, permet aux administrateurs d'appareils
repoussée. En attendant, Apple conseille vivement                                                      de réaliser des opérations de gestion à distance. Elle
d'utiliser le protocole HTTPS pour garantir aux                                                        repose sur les protocoles HTTP et TLS et des APN,
entreprises et aux utilisateurs finaux une protection                                                  et comprend le protocole d'enregistrement MDM et
accrue des données, et éviter ainsi qu'elles ne soient                                                 le protocole MDM. Le protocole d'enregistrement
divulguées ou interceptées en cours de transmission.                                                   sert à vérifier que l'appareil peut être géré via MDM
Avec le protocole TLS v1.2, les services backend                                                       et que le serveur de gestion peut communiquer
sont par ailleurs moins vulnérables aux attaques                                                       avec l'appareil. Le protocole MDM définit les
exploitant les faiblesses des versions précédentes.                                                    commandes grâce auxquelles les administrateurs
                                                                                                       peuvent intervenir sur les appareils. On distingue
Configuration, gestion et utilisation                                                                  deux catégories de commandes : les requêtes et les
des appareils iOS                                                                                      actions. Les requêtes permettent de collecter des
                                                                                                       informations sur un appareil, les actions d'effectuer
                                                                                                       des opérations spécifiques (désinstaller une
Outre l'intégrité du système d'exploitation et des
                                                                                                       application ou réinitialiser l'appareil, par exemple).
applications, les problématiques de sécurité iOS
concernent la gestion et la mise à jour des paramètres
                                                                                                       Supervision : fonctionnalités de sécurité avancées
de l'appareil. Ces derniers peuvent être ajustés selon
                                                                                                       pour les entreprises
que l'appareil appartient à l'entreprise ou à l'employé,
et qu'il est utilisé à la fois à des fins personnelles
                                                                                                       Les appareils appartenant aux employés inscrits
et professionnelles.
                                                                                                       auprès du système MDM sont gérés par un ensemble
                                                                                                       de contrôles de gestion et de sécurité. Les appareils
Profils de configuration : distribution des paramètres
                                                                                                       iOS détenus par l'entreprise et fonctionnant en mode
de l'appareil
                                                                                                       supervision sont gérés par des contrôles informatiques
                                                                                                       plus stricts, via le système MDM. La supervision est
Les profils de configuration iOS permettent de
                                                                                                       couramment utilisée pour les appareils qui doivent
distribuer des paramètres d'appareil personnalisés7.
                                                                                                       être restreints au mode Single-App (l'appareil
Ces fichiers XML contiennent toute sorte de
                                                                                                       exécute une seule et unique application avec une
paramètres, comme des certificats numériques,
                                                                                                       configuration de type kiosque verrouillée ou dédiée).
des comptes de messagerie (POP, IMAP et
                                                                                                       L'administrateur informatique peut également
Microsoft Exchange), des services d'annuaire LDAP,
                                                                                                       interdire l'accès à certaines fonctionnalités grand
des clips Web, et des paramètres Wi-Fi et VPN. Créés
                                                                                                       public ou à usage privé comme la Photothèque iCloud
avec l'application macOS Apple Configurator 2, les
                                                                                                       et le téléchargement automatique des applications,
profils de configuration sont installés en partageant
                                                                                                       sans que l'utilisateur puisse contourner ces restrictions.
une connexion entre l'appareil et un Mac équipé de
l'application, via USB ou d'autres méthodes sans fil.
Les paramètres définis par un profil de configuration

7 Complément d'information : https://developer.apple.com/library/content/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html
                                                                                                                                                                8
Sur les appareils supervisés, l'administrateur
informatique peut bloquer l'accès à certaines
applications. L'utilisateur a la possibilité de
télécharger une application sur liste noire. Par contre,
le serveur EMM peut empêcher son utilisation ou            Différences entre appareils
même son affichage, à l'aide de contrôles MDM. Par         « gérés » et « supervisés »
exemple, une organisation peut bloquer l'utilisation
de réseaux sociaux tels que Facebook sur des
                                                           Appareils gérés :
appareils professionnels supervisés. Il est également
                                                           Un appareil géré appartient soit à l'entreprise,
possible de verrouiller ces appareils de sorte que
                                                           soit à l'employé. Le service informatique peut
les employés n'aient accès qu'aux applications
                                                           sécuriser et gérer les données et applications
approuvées par la société et à aucune autre, même
                                                           d'entreprise de ces appareils indépendamment
pas aux applications iOS standard. À l'aide de
                                                           des données et applications de l'employé
contrôles MDM, l'administrateur informatique peut
                                                           en installant un profil MDM. Les informations
également choisir les applications, les icônes et les
                                                           et applications d'entreprise peuvent être
clips Web visibles sur l'écran d'accueil, et peut ancrer
                                                           supprimées de l'appareil en cas de perte, vol
de façon permanente des applications dans le Dock.
                                                           ou non-conformité, sans que les données
                                                           personnelles soient altérées. Un appareil géré
Programme d'inscription des appareils : inscription
                                                           répond aux exigences de sécurité de l'entreprise
MDM obligatoire et supervision sans fil
                                                           et peut compartimenter les applications et
                                                           comptes personnels et professionnels, de même
Le Programme d'inscription des appareils (DEP)
                                                           que leurs données. En revanche, il ne peut pas,
associe l'appareil au compte de l'entreprise relatif
                                                           et ne doit pas, empêcher l'utilisateur de profiter
aux achats Apple, d'après son numéro de série.
                                                           de la plupart des fonctionnalités grand public
Le client bénéficie alors d'un accès à un portail Web,
                                                           d'iOS et de l'écosystème Apple.
où il peut configurer les numéros de série et les
commandes pour appliquer la supervision sans fil et,
                                                           Appareils supervisés :
éventuellement, appliquer l'inscription MDM
                                                           Le message d'Apple est clair, la supervision
pour empêcher la suppression d'un profil MDM par
                                                           est l'unique mode offrant à l'entreprise la
son utilisateur.
                                                           possibilité de contrôler et de limiter totalement
                                                           les fonctions de ses appareils iOS. Elle est
Le Programme d'inscription des appareils est
                                                           réservée aux appareils appartenant à l'entreprise
un moyen pour l'administrateur informatique de
                                                           et offre au service informatique plus de contrôle
rationaliser le processus d'intégration des nouveaux
                                                           que sur les appareils gérés. En mode supervisé,
employés. Celui-ci peut modifier l'expérience
                                                           de nombreuses fonctionnalités de gestion
utilisateur et personnaliser l'assistant d'installation
                                                           permettent de sécuriser les appareils iOS,
iOS, notamment en permettant d'ignorer certains
                                                           notamment le mode Single-App et le VPN
écrans, pour épargner à l'utilisateur des manipulations
                                                           toujours actif. Le service informatique peut
superflues. Les employés apprécient de recevoir
                                                           également restreindre certaines fonctionnalités,
moins d'invites et de notifications ; ils sont plus vite
                                                           telles que la Photothèque iCloud et le
opérationnels et productifs.
                                                           téléchargement automatique des applications,
                                                           sans que l'utilisateur puisse contourner
                                                           ces restrictions. En général, la supervision est
                                                           activée lors de la configuration de l'appareil,
                                                           via USB ou une connexion sans fil dans le cadre
                                                           du programme DEP.

                                                                                                           9
• Autres fonctions d'intégration avancées :
MobileIron EMM : protéger                                    intégration de services d'annuaire et de fournisseurs
de la périphérie vers le cœur                                d'identité, émission et gestion de certificats
                                                             d'infrastructure à clés publiques (PKI, public key
Apple améliore sans cesse la sécurité des appareils          infrastructure), et plus encore.
iOS, ce qui explique en partie leur popularité
auprès du grand public comme des professionnels.           L'EMM est la solution idéale pour exploiter au mieux
La protection des données de l'entreprise ne doit          les outils de sécurité dans iOS et renforcer la sécurité
pas se limiter à l'appareil proprement dit. Le service     des appareils chaque fois qu'un utilisateur accède
informatique doit pouvoir étendre ce niveau de sécurité    à un environnement, que ce soit des ressources
à des centaines voire des milliers d'appareils. Une fois   cloud ou le réseau non sécurisé d'un hôtel, d'un
ces appareils connectés à des réseaux ouverts, il faut     aéroport ou d'un café. Le choix et le déploiement
protéger les applications et les données en dehors         d'une plateforme EMM s'avèrent indispensables
de la plateforme iOS.                                      pour pouvoir tirer parti de toutes les fonctionnalités
                                                           MDM et MAM avancées d'Apple iOS décrites
La gestion de la mobilité en entreprise (EMM,              précédemment. La solution proposée par MobileIron,
Enterprise Mobility Management) est un ensemble            par exemple, offre la sécurité d'iOS et du protocole
complet de processus et technologies, agrégés              MDM, et permet de distribuer les configurations
dans un produit unifié de gestion du cycle de vie,         et paramètres de sécurité à plusieurs appareils
qui permet de gérer les appareils mobiles, d'assurer       dans l'entreprise, via une plateforme standardisée.
l'accès sécurisé aux réseaux sans fil et de fournir        L'ajout de fonctionnalités avancées fait gagner
d'autres services d'informatique mobile au sein            en productivité et facilite la transformation des
de l'entreprise. Une stratégie EMM efficace résout         processus grâce à la mobilité. Avec une plateforme
les problèmes de sécurité et améliore la productivité      EMM solide et performante telle que celle proposée
des employés en leur offrant les outils nécessaires        par MobileIron, l'entreprise dispose de l'infrastructure
pour travailler sur des appareils mobiles. Les solutions   idéale pour déployer une stratégie de mobilité
EMM conjuguent au moins trois fonctions de gestion         d'entreprise complète.
de la mobilité, notamment :

                                                           Premiers pas : autorisation et
• Gestion des appareils mobiles (MDM, Mobile
  Device Management) : fonctions qui apportent             authentification des utilisateurs
  la visibilité et les contrôles informatiques
  indispensables pour configurer, déployer,                Liaison des appareils, utilisateurs et règles
  gérer et exclure les appareils en toute sécurité.        via les annuaires d'entreprise

• Gestion des applications mobiles (MAM, Mobile
                                                           Avant d'appliquer des règles et d'accorder des
  Application Management) : outils et technologies
                                                           droits aux utilisateurs, l'entreprise doit trouver une
  pour déployer et gérer les applications, et renforcer
                                                           « source de vérité ». Dans le modèle hérité, les
  leur sécurité.
                                                           règles et droits sont liés à un annuaire d'entreprise par
• Gestion du contenu mobile (MCM, Mobile                   divers attributs tels que l'appartenance à un groupe.
  Content Management) : type de système de                 Parfaitement adaptée aux terminaux classiques,
  gestion du contenu (CMS, content management              cette approche n'est cependant pas transposable
  system) étroitement intégré capable d'envoyer            aux appareils grand public modernes, qui ne
  et de stocker du contenu et des services de fichiers     reconnaissent pas les annuaires. MobileIron EMM
  sur des appareils mobiles.                               relie l'appareil à l'annuaire : l'entreprise conserve son
                                                           modèle de sécurité existant, mais peut lier les règles
                                                           et configurations aux utilisateurs et appareils,

                                                                                                                   10
comme avec les terminaux traditionnels. Pour              Gérer et sécuriser : le protocole MDM,
affecter correctement les droits, MobileIron s'appuie
                                                          plan de contrôle de l'entreprise
sur le protocole Lightweight Directory Access
Protocol (LDAP) et sur sa base de données de plus
                                                          Les règles d'annuaire et d'authentification établies,
de 200 attributs d'appareil, ce qui permet d'établir
                                                          le provisionnement des appareils peut commencer.
des règles flexibles, combinant informations sur les
                                                          Un administrateur ajoute les données utiles MDM
utilisateurs et sur les appareils.
                                                          dans un profil de configuration, qu'il distribue aux
                                                          appareils gérés par e-mail ou via une page Web. Il est
Authentification renforcée et simplifiée des
                                                          éventuellement possible d'envoyer d'autres profils
utilisateurs avec les certificats numériques,
                                                          de configuration via une connexion sans fil une fois
Kerberos et l'authentification unique
                                                          l'inscription terminée. Les profils de configuration et
                                                          les profils de provisionnement installés via le service
MobileIron assure par ailleurs une prise en charge
                                                          MDM (« profils gérés ») sont automatiquement
efficace de l'infrastructure PKI. Quant aux certificats
                                                          supprimés en même temps que les données
numériques, ils améliorent l'expérience utilisateur
                                                          utiles MDM. Un service MDM peut être autorisé
sur les appareils mobiles en sécurisant davantage
                                                          à obtenir la liste exhaustive des profils gérés sur
l'authentification et en évitant de saisir des mots de
                                                          l'appareil. En revanche, il ne pourra supprimer que les
passe complexes. La plateforme MobileIron EMM
                                                          applications, les profils de configuration et les profils
intègre une autorité de certification et peut inscrire
                                                          de provisionnement qu'il a lui-même installés. Un
des appareils auprès d'un système PKI tiers, tel que
                                                          profil de configuration installé via MDM ne peut être
ceux fournis par Entrust, OpenTrust ou Symantec,
                                                          modifié ni supprimé par l'utilisateur final. Cela en fait
via le protocole Simple Certificate Enrollment
                                                          donc une option de choix pour les appareils Single-
Protocol (SCEP).
                                                          App détenus par l'entreprise, soumis à des exigences
                                                          plus strictes de sécurité et de contrôle informatique.
Autre option : combiner les certificats numériques
et la délégation Kerberos contrainte (KCD, Kerberos
                                                          Provisionnement simplifié des appareils, avec
constrained delegation). Le KCD offre un niveau
                                                          moins d'interventions
élevé de sécurité et une expérience confortable,
puisque les utilisateurs peuvent s'authentifier auprès
                                                          Avec ce modèle de gestion sans fil, l'appareil iOS est
des services pris en charge sans que l'entreprise
                                                          inscrit via SCEP dans une configuration MDM, qui gère
ait besoin d'exposer l'infrastructure Kerberos
                                                          ensuite tous les autres profils. Les grandes structures
en externe.
                                                          peuvent ainsi configurer, en une fois, un nombre élevé
                                                          d'appareils et distribuer les données utiles MDM
Le service proxy de centre de distribution de
                                                          d'un serveur avec des paramètres de messagerie
clés Kerberos (KKDCP, Kerberos key distribution
                                                          personnalisés, des paramètres réseau ou des
center proxy) permet, en outre, de bénéficier
                                                          certificats.
de l'authentification unique (SSO, single sign-on)
                                                          Via le protocole MDM, l'administrateur distribue les
Kerberos dans iOS. L'avantage est double :
                                                          données utiles d'inscription en les intégrant dans
les appareils iOS peuvent demander et recevoir
                                                          un profil de configuration et en autorisant leur accès
directement des tickets Kerberos pour accéder
                                                          par les appareils ciblés, que ce soit par e-mail ou
aux services d'entreprise, et le serveur de centre de
                                                          via une page Web. Le protocole MDM permet aux
distribution de clés (KDC, key distribution center),
                                                          administrateurs système d'envoyer des commandes
pierre angulaire du système, reste protégé.
                                                          de gestion aux appareils iOS gérés équipés
                                                          d'iOS 4 ou version ultérieure. Les administrateurs
                                                          informatiques peuvent examiner, installer ou
                                                          supprimer des profils, supprimer des codes d'accès,

                                                                                                                  11
ou encore effacer les données d'un appareil géré.            d'entreprise accueillant des volumes énormes de
C'est aussi grâce à ce protocole que les serveurs            données sensibles. Pour empêcher que les utilisateurs
MDM contrôlent l'accès aux applications et données           téléchargent des applications non autorisées de
de l'entreprise par les seuls utilisateurs autorisés.        l'App Store sur des appareils appartenant à l'entreprise,
                                                             le service informatique peut dresser une liste des
Chiffrés et verrouillés par le système MDM, les profils      applications approuvées sous la forme d'un magasin
de configuration deviennent alors des profils gérés,         d'applications professionnelles.
dont les paramètres ne peuvent être arbitrairement
supprimés, altérés, ni partagés. La suppression des          Depuis iOS 9, les administrateurs ont la possibilité
données utiles MDM entraîne automatiquement la               d'installer, de gérer, de mettre à jour et de supprimer
suppression des profils gérés (profils de configuration      des applications de l'App Store via MDM, tout en
et de provisionnement des applications) installés            désactivant le magasin pour le reste de l'entreprise.
via le service MDM. Ces données utiles peuvent               Ils peuvent déployer des applications sur les appareils
d'ailleurs être supprimées à tout moment sur                 supervisés en arrière-plan depuis le serveur EMM
l'appareil personnel d'un utilisateur (comportement          ou attribuer des applications à des appareils que
par défaut).                                                 les utilisateurs devront installer eux-mêmes. Les
                                                             administrateurs mobiles peuvent ainsi respecter plus
Prioritaire sur le modèle de propriété, le protocole         facilement un modèle de déploiement standard et
MDM d'Apple offre aux administrateurs informatiques          avoir l'assurance que les utilisateurs ne pourront pas
l'opportunité de combler les failles de sécurité entre les   installer d'applications personnelles sur les appareils
appareils détenus par l'entreprise et les appareils isolés   supervisés. Le service informatique gère facilement
appartenant aux utilisateurs. Cela explique aussi que        les applications surveillées et les listes blanche
le service MDM peut, et doit pouvoir, être supprimé          et noire dans le catalogue d'applications EMM et le
à tout instant d'un appareil personnel. En ne payant         risque de perte de données est limité en empêchant
pas l'équipement, l'entreprise fait également des            l'installation d'applications non autorisées ou
économies. En retour, le service informatique dispose        potentiellement piratées. Ces options de protection
d'un niveau de contrôle limité sur l'appareil et ses         des applications s'avèrent particulièrement utiles lors
données, et doit recevoir de l'utilisateur l'autorisation    de déploiements d'envergure ou en mode kiosque.
d'effacer les paramètres et les données d'entreprise
si celui-ci est piraté ou volé. C'est pourquoi Apple         Gestion des applications mobiles :
veille à ce que les paramètres et données personnels         développer la sandbox des applications
puissent être sauvegardés et restaurés par l'utilisateur :
un mécanisme que l'entreprise ne peut bloquer pour           Une application installée depuis un magasin
les appareils non supervisés.                                d'applications d'entreprise via le protocole MDM
                                                             devient une application gérée. Grâce à elle, le service
                                                             informatique maîtrise davantage l'utilisation de
La gestion du cycle de vie et de la                          l'application et des données associées sur l'appareil.
sécurité des applications en pratique                        Les protections de la sandbox s'appliquent aux
                                                             applications gérées ; l'entreprise peut supprimer
                                                             une application et effacer de manière sélective
Distribuer les applications mobiles via
                                                             des données. Des fonctionnalités de sécurité sont
un magasin d'applications professionnelles
                                                             activées, comme la gestion de l'ouverture des fichiers
                                                             (« Open In »), et la sauvegarde des données sur
Aucune mesure de sécurité ne se suffit à elle-même,
                                                             iCloud ou iTunes peut être activée ou désactivée.
cela va sans dire. Les pirates trouveront toujours un
moyen d'atteindre leur cible. Aussi est-il pertinent de
renforcer la sécurité, surtout dans un environnement

                                                                                                                    12
La gestion de l'ouverture des fichiers limite les          Le contrôle des règles de comportement de ces
informations d'entreprise envoyées aux appareils des       conteneurs est confié à la console MobileIron EMM.
employés, en autorisant leur traitement uniquement         Les applications AppConnect peuvent également
dans des applications gérées bien précises. Supposons      utiliser MobileIron Sentry pour échanger des
que le système EMM distribue l'application                 informations avec les systèmes backend d'entreprise
Microsoft Word. Les utilisateurs ne pourraient ouvrir      à l'aide de solutions VPN par application ou de
les pièces jointes .docx que dans cet outil ou dans        MobileIron AppTunnel. Par ailleurs, la solution de
une autre application installée par EMM qui accepte        sécurité cloud MobileIron Access fournit l'accès
ce type de données.                                        conditionnel aux services cloud à partir des applications
                                                           et des navigateurs mobiles. Elle met en corrélation
Le retrait ou la mise en quarantaine d'un appareil,        l'identité de l'utilisateur avec des informations
par l'utilisateur ou un administrateur, entraîne           uniques telles que le statut de l'appareil ou l'état de
la suppression des données utiles installées par la        l'application dans un objectif : garantir que les données
plateforme EMM, y compris les applications gérées et       professionnelles ne soient pas accessibles par
données envoyées à l'appareil. En cas de suppression       les utilisateurs non validés, et ne puissent pas être
partielle, les applications, données et paramètres         stockées sur des appareils non sécurisés ni partagées
professionnels sont tous supprimés. Autrement              avec des services cloud non autorisés.
dit, le contenu et les améliorations de la sandbox
de l'entreprise sont effacés. Il ne reste plus que le      Sécuriser le contrôle d'accès dynamique
contenu personnel de l'utilisateur.
                                                           Il arrive régulièrement, surtout dans le cadre des
De plus en plus, les données d'entreprise migrent          programmes BYOD, que les appareils ne soient pas
des référentiels classiques vers l'espace de stockage      toujours conformes. D'où la nécessité d'une approche
local des appareils mobiles. Savoir exploiter ces          automatisée pour surveiller le statut de protection des
possibilités fait donc partie intégrante d'une stratégie   appareils et empêcher les appareils non conformes
plus globale de prévention contre la perte des données     d'accéder aux ressources de l'entreprise. Le contrôle
(DLP). Dans les cas extrêmes, l'effacement complet         d'accès dynamique de MobileIron AppTunnel combine
des données ou la réinitialisation de l'appareil peut      la sécurisation du transport du VPN standard avec
s'imposer.                                                 l'identification basée sur des certificats et les règles
                                                           basées sur le statut de l'appareil. Ceci permet de
MobileIron AppConnect, pour une protection                 simplifier l'accès aux ressources de l'entreprise pour
accrue des applications propriétaires                      l'utilisateur, tout en garantissant que seuls les appareils
                                                           autorisés pourront accéder à ces ressources.
MobileIron AppConnect permet d'intégrer des
contrôles de gestion et de sécurité supplémentaires        Protéger les données en transit grâce au tunneling
dans les applications de l'entreprise, au moyen d'un
SDK spécifique. La solution isole les applications         Grâce au proxy Kerberos, MobileIron permet aux
dans des conteneurs pour protéger les données              utilisateurs d'appareils iOS qui n'appartiennent
statiques professionnelles sans toucher aux données        pas au réseau d'entreprise de s'identifier à l'aide de
personnelles, et propose des contrôles de règles plus      l'authentification unique d'iOS sans exposer le KDC
précis que les fonctions de gestion iOS standard. Au       Kerberos. Ainsi, les données en transit et l'infrastructure
final, chaque application se transforme en un conteneur    Kerberos de l'entreprise sont protégées. Par exemple,
sécurisé dont les données sont chiffrées, protégées        MobileIron Tunnel autorise le navigateur Safari
contre tout accès non autorisé et supprimables.            d'Apple à accéder à des sites intranet protégés par
                                                           un pare-feu grâce à un processus d'authentification
Chaque conteneur d'application est connecté à d'autres     transparent qui évite à l'utilisateur de saisir ses
conteneurs d'application sécurisés. Ce mécanisme           identifiants de connexion à chaque fois qu'il visite
autorise le partage des règles de sécurité et des          un nouveau site.
données d'entreprise entre applications sécurisées.                                                                13
MobileIron Access : la sécurité et la confiance
étendues aux applications SaaS

De nombreuses entreprises migrent leurs applications
et données mobiles vers le cloud, et doivent ainsi
redéfinir leurs exigences de sécurité. Les solutions de
sécurité cloud classiques, qui reposent essentiellement
sur la saisie d'un identifiant et d'un mot de passe,
ne suffisent pas pour empêcher que des données
du cloud ne tombent entre de mauvaises mains par
le biais d'applications et d'appareils mobiles non
sécurisés. Pour étendre les principes de sécurité
et de confiance aux applications de services logiciels
(SaaS, software-as-a-service), comme Office 365,
Salesforce, G Suite et Box, il faut une solution capable
d'appliquer des règles d'accès conditionnel basées
sur l'identité de l'utilisateur, le statut de protection
de l'appareil mobile et l'état de l'application mobile.
La solution de sécurité cloud MobileIron Access
permet justement aux administrateurs informatiques
de définir des règles précises de contrôle des accès
cloud en fonction, notamment, des applications, des
adresses IP, des identités et des statuts des appareils.
En conséquence, l'équipe informatique peut combler
les failles entre la sécurité cloud et mobile, et mieux
contrôler l'accès aux services cloud de l'entreprise.

MobileIron ServiceConnect : intégration avec
les systèmes de sécurité d'entreprise tiers

Du fait de ce rapport 1:1 inédit qui existe entre l'appareil
géré et la plateforme EMM, MobileIron est à même
d'assumer des rôles auparavant répartis entre plusieurs
agents logiciels. Avec MobileIron ServiceConnect,
les autres systèmes informatiques et de sécurité de
l'entreprise bénéficient eux aussi de la visibilité offerte
par la plateforme MobileIron EMM, leur permettant
de prendre en charge des appareils iOS, à l'instar d'un
terminal standard. Console de gestion des services
informatiques (ITSM, IT service management),
plateforme de contrôle des accès réseau (NAC,
network access control), système de gestion des
informations et des événements de sécurité (SIEM,
security information and event management)… Peu
importe le système, l'entreprise peut s'appuyer sur
MobileIron EMM comme « source de vérité » et outil
de gestion de règles pour appliquer ses règles et
procédures existantes aux différents appareils iOS.
                                                               14
EMM et iOS : un modèle de
sécurisation de l'entreprise
mobile moderne
Avec une stratégie de sécurité mobile EMM/iOS, les
entreprises sont armées pour affronter sereinement
les problèmes de sécurité les plus épineux. Combinés,
iOS et EMM proposent un système d'exploitation
et une plateforme de gestion complète et sécurisée
aux équipes informatiques chargées de la sécurité,
qui disposent ainsi du contrôle proactif et évolutif
indispensable pour gérer un parc mobile toujours plus
vaste. Une solution EMM, comme celle de MobileIron,
offre une plateforme complète qui protège les données
d'entreprise, où qu'elles soient : dans des centres de
données, dans le cloud, dans des applications mobiles,
sur des appareils mobiles et lors des transferts.

En gérant son parc d'appareils mobiles via EMM,
l'entreprise s'assure que tous ses appareils iOS sont
protégés par les configurations de règles les plus
récentes, exécutent les dernières versions du système
d'exploitation et des applications, et sont accessibles
uniquement par les utilisateurs autorisés. La gestion
unifiée des terminaux associée à l'EMM réduit le
coût total de propriété (CTP) par divers mécanismes,
dont la réduction d'un grand nombre de processus
de configuration laborieux, l'installation à distance des
mises à jour d'applications et de règles, la résolution
des problèmes à distance, et la prise en charge
d'un éventail élargi d'appareils BYOD et détenus
par l'entreprise.

En conjuguant la plateforme de sécurité mobile
avancée de MobileIron et les options de sécurité            415 East Middlefield Road
iOS, toujours plus nombreuses, d'Apple, le service
                                                            Mountain View, CA 94043,
informatique peut exploiter le plein potentiel de la
mobilité d'entreprise iOS, sans mettre en péril les         États-Unis
données de l'entreprise. Notre plateforme EMM               info@mobileiron.com
a vocation à étendre les fonctionnalités de sécurité
                                                            www.mobileiron.com
existantes d'iOS, tout en les simplifiant, le but étant
que les entreprises puissent protéger chaque appareil       Tél : +1 877 819 3451
et application iOS et que leur utilisation reste simple.    Fax : +1 650 919 8006

                                                                                        15
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler