MOBILEIRON ET IOS : L'ARMATURE DE SÉCURITÉ DE L'ENTREPRISE MODERNE - 415 EAST MIDDLEFIELD ROAD MOUNTAIN VIEW, CA 94043, ÉTATS-UNIS - MOBILEIRON.COM
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
MobileIron et iOS : l'armature de sécurité de l'entreprise moderne 415 East Middlefield Road info@mobileiron.com Tél. : +1 877 819 3451 Mountain View, CA 94043, États-Unis www.mobileiron.com Fax : +1 650 919 8006 MKT FR v1.1 1
Table des matières
En bref 3
Introduction : sécuriser l'entreprise numérique moderne User-First 4
Sécurité iOS : protéger du cœur vers la périphérie 6
Démarrage sécurisé : créer une chaîne de confiance
Signature obligatoire du code : protéger l'intégrité des mises à jour iOS
App Store : déployer et mettre à jour des applications
Exécution des applications : se prémunir des codes non autorisés
Chiffrement par défaut : protéger les données statiques et en transit
Configuration, gestion et utilisation des appareils iOS
Profils de configuration : distribution des paramètres de l'appareil
Gestion des appareils mobiles : enregistrement et exécution de commandes à distance
Supervision : fonctionnalités de sécurité avancées pour les entreprises
Programme d'inscription des appareils : inscription MDM obligatoire et supervision sans fil
MobileIron EMM : protéger de la périphérie vers le cœur 10
Premiers pas : autorisation et authentification des utilisateurs
Liaison des appareils, utilisateurs et règles via les annuaires d'entreprise
Authentification renforcée et simplifiée des utilisateurs avec les certificats numériques,
Kerberos et l'authentification unique
Gérer et sécuriser : le protocole MDM, plan de contrôle de l'entreprise
Provisionnement simplifié des appareils, avec moins d'interventions
La gestion du cycle de vie et de la sécurité des applications en pratique
Distribuer les applications mobiles via un magasin d'applications professionnelles
Gestion des applications mobiles : développer la sandbox des applications
MobileIron AppConnect, pour une protection accrue des applications propriétaires
Sécuriser le contrôle d'accès dynamique
Protéger les données en transit grâce au tunneling
MobileIron Access : la sécurité et la confiance étendues aux applications SaaS
MobileIron ServiceConnect : intégration avec les systèmes de sécurité d'entreprise tiers
EMM et iOS : un modèle de sécurisation de l'entreprise mobile moderne 15
2
En bref
L'entreprise mobile moderne se développe à un iOS garantit la sécurité du cœur vers la périphérie :
rythme sans précédent. La tendance touche tous les de la fabrication de la puce jusqu'à la fin du cycle
secteurs, partout dans le monde. Dans ce contexte, de vie de l'appareil et du logiciel. Inversement,
de plus en plus d'entreprises ont besoin d'un modèle MobileIron EMM fournit une protection mobile
complet pour sécuriser leurs appareils mobiles, de la périphérie vers le cœur : l'entreprise peut
leurs applications et leurs données, sans nuire à la déployer une stratégie de sécurité mobile de bout
productivité ni à l'expérience utilisateur. Hautement en bout qui protège ses appareils, applications et
intuitif, convivial et facile à gérer, iOS s'est imposé données chaque fois qu'un utilisateur accède à un
en tant que système d'exploitation mobile dans une environnement (des ressources cloud ou un réseau
grande majorité d'entreprises. non sécurisé, par exemple). Cette plateforme
standardisée permet de distribuer les configurations
Les diverses fonctionnalités de sécurité et de et paramètres de sécurité à plusieurs appareils dans
gestion des applications introduites par Apple dans l'entreprise, de manière automatique.
les dernières versions permettent aux équipes
informatiques de garantir l'intégrité des données et Ce document présente dans le détail les fonctionnalités
des applications mobiles, sur tous les appareils iOS. de sécurité d'iOS et de MobileIron EMM. Il explique,
Si nombre de problématiques majeures de sécurité en outre, comment tirer parti de ce duo pour déployer
ont ainsi été résolues, aucun système d'exploitation un parc d'appareils iOS hautement sécurisés, faciles
n'est protégé à 100 % contre les pertes de données à configurer, à protéger et à gérer grâce aux règles
et les attaques de logiciels malveillants nouvelle de sécurité et aux mises à jour d'applications les plus
génération. La plateforme de gestion de la mobilité en récentes.
entreprise (EMM, Enterprise Mobility Management)
de MobileIron apporte une solution mobile complète
qui vient compléter et renforcer les fonctionnalités
de sécurité iOS.
3Introduction : sécuriser
l'entreprise numérique
moderne User-First
Aux quatre coins du globe, des milliers d'entreprises La prolifération des données non structurées et les
embrassent le même projet : celui de devenir une changements permanents découlant des fusions,
entreprise en temps réel avec, au centre de la stratégie acquisitions, cessions, réorganisations et autres
concurrentielle, l'expérience utilisateur numérique. réductions d'effectifs rajoutent de la complexité2.
Aujourd'hui, dans tous les secteurs (la santé, l'industrie, Le défi pour le département informatique revient
la vente, les technologies, les transports, les services à cacher toute cette complexité à l'utilisateur final,
financiers), il n'est pas un processus d'entreprise qui doit seulement voir et utiliser des données
critique qui ne dépende de transactions numériques et applications mobiles sécurisées, intuitives et
sécurisées et transparentes. Pour rester compétitif, faciles d'accès.
il ne suffit pas de donner accès à une messagerie
électronique sur l'appareil mobile d'un employé. Le côté extrêmement convivial et performant de
L'entreprise a besoin d'un modèle de stratégie mobile l'expérience iOS explique en partie la domination
capable de satisfaire à des exigences de sécurité mondiale de cette plateforme de mobilité. Certes,
complexes, sans impacter l'expérience utilisateur iOS n'a pas volé sa réputation en matière de sécurité.
numérique. Cependant, aucun système d'exploitation mobile
n'est à l'abri d'une menace. Dorénavant, les équipes
Les défis en matière de sécurité sont toujours plus informatiques ont besoin d'une stratégie de sécurité
nombreux, compliquant ainsi la mise en place d'un iOS complète, avec une plateforme EMM capable
espace de travail numérique User-First. Selon une d'anticiper et de prévenir les attaques mobiles. Plus
étude du Ponemon Institute, la complexité de la important encore, l'entreprise doit unifier ses diverses
sécurité informatique s'explique essentiellement infrastructures informatiques complexes pour
par l'usage grandissant des appareils mobiles et protéger au mieux son parc mondial d'appareils et
des applications dans le cloud1. Bien entendu, toute d'applications d'entreprise iOS, dont les ordinateurs
entreprise connaîtra nécessairement des difficultés. de bureau, les objets connectés et autres appareils
Pour autant, passé un certain seuil, celles-ci risquent qui fleuriront demain.
d'entraver sa capacité à contrer les cybermenaces.
Elles peuvent aussi aboutir à un environnement
fracturé par des technologies de sécurité disparates
déployées sur différentes plateformes, des règles de
sécurité non cohérentes et une équipe de sécurité
dépassée et manquant de ressources pour gérer de
façon sûre un parc d'appareils toujours plus vaste.
1 Ponemon Institute LLC, « The Cost and Consequences of Security Complexity », novembre 2016
2 Ponemon Institute LLC
4Tour d'horizon des vulnérabilités et des attaques modernes
À première vue, les menaces qui visent les appareils mobiles actuels ressemblent énormément à celles
affectant les terminaux traditionnels. La façon dont les vulnérabilités sont exploitées et les attaques
exécutées varie pourtant sensiblement.
Appareil mobile et système Applications et données
d'exploitation Les logiciels malveillants traditionnels ont une efficacité
Les systèmes d'exploitation ont toujours été vulnérables, limitée sur les appareils mobiles, de par l'architecture
mais leur version mobile déploie un arsenal de sécurité de ce type d'appareil, mais aussi parce que les magasins
plus performant en imposant des frontières strictes d'applications grand public agissent pour empêcher leur
entre le noyau et l'espace utilisateur ainsi que des intrusion et leur propagation. Mais, comme applications
techniques comme le « sandboxing » des applications. personnelles et professionnelles cohabitent souvent
Ces mécanismes sont néanmoins faillibles, la protection sur les appareils de l'utilisateur final, des « agents
interne pouvant être ôtée en piratant le système utilisateur » non autorisés peuvent avoir accès aux
d'exploitation (procédure souvent appelée « jailbreaking » données de l'entreprise. En outre, les applications
ou « rooting »). Diverses attaques de logiciels malveillants ne protègent pas toujours correctement les données
jouent désormais cette carte du piratage, une technique statiques ou en transit. Il existe également un risque
jadis employée par les utilisateurs expérimentés pour de fuite d'informations sensibles ou de récupération des
modifier le comportement de leurs appareils. identifiants de l'utilisateur.
Réseaux Comportement des utilisateurs
Les appareils mobiles sont reliés à beaucoup plus de Étant donné l'omniprésence de la connectivité et la
réseaux que les terminaux classiques. Pourtant, la gestion multitude des outils de productivité disponibles sur
de ces réseaux incombe rarement à l'entreprise. Plus ou les appareils mobiles, les utilisateurs finaux peuvent
moins protégés, voire pas du tout, ces réseaux offrent exfiltrer des données de l'entreprise, de façon volontaire
la possibilité aux pirates d'intercepter des données ou ou accidentelle, soit en pratiquant le « hairpinning
d'exécuter d'autres actions malveillantes. L'entreprise doit des e-mails » (le transfert d'un message d'un compte
donc veiller à la protection des données qui transitent professionnel via un compte personnel), soit en transférant
entre les référentiels internes et les terminaux d'accès. des données vers des services de stockage dans le cloud
personnel. Pour limiter ces risques, il convient d'appliquer
une stratégie consistant à vérifier que les utilisateurs
ont accès aux données requises, tout en contrôlant leur
flux pour éviter toute divulgation non autorisée.
Des vols de données toujours plus coûteux
Un appareil mobile qui est piraté ou non conforme accroît la vulnérabilité d'une entreprise et aussi ses coûts.
En effet, le coût des vols de données augmente. En 2016, le Ponemon Institute a mené une étude auprès
de 383 entreprises dans 12 pays. Les résultats ont montré que le coût total d'un vol de données s'élevait en
moyenne à quatre millions de dollars, soit une augmentation de 29 % par rapport à 20133.
3 https://www.mobileiron.com/fr/quarterly-security-reports/q2-2016-mobile-security-and-risk-review
5Sécurité iOS : protéger
du cœur vers la périphérie
En 2007, le marché accueillait un appareil
révolutionnaire doté d'un navigateur mobile
remarquable offrant une expérience utilisateur
exceptionnelle, aujourd'hui devenu le socle
solide d'une transformation profonde du monde
de l'entreprise. En lançant l'iPhone et le système
d'exploitation iOS, Apple a repensé totalement
l'informatique et la sécurité de type terminal. iOS
combine avec brio sécurité et facilité d'utilisation,
et est ainsi devenu le leader indétrôné avec plus
Modification non autorisée
de 80 % de part de marché dans le domaine des du système d'exploitation
appareils mobiles d'entreprise4.
Le « jailbreaking », c'est-à-dire le fait de modifier
La sécurité des appareils iOS repose sur une alchimie iOS sans suivre la procédure de mise à jour
unique de possibilités matérielles et logicielles standard, désigne une série de techniques de
visant à protéger l'appareil, les données qu'il gère piratage visant à changer le fonctionnement du
(statiques ou en transit) ainsi que son écosystème système. Les personnes qui s'adonnent à ces
(les applications et services Internet). Elle est au pratiques contournent nombre de mécanismes
cœur des préoccupations d'Apple, à tel point que de sécurité intrinsèques d'iOS et exposent ainsi
l'intégration des composants et des fonctionnalités les appareils à une multitude de conséquences
de sécurité intervient dès la fabrication des puces, fâcheuses5 :
et ce jusqu'à la fin du cycle de vie de l'appareil et du
logiciel. Parmi les fonctionnalités de sécurité citées • Réduction de la durée de vie de la batterie
ci-après, une grande partie est activée par défaut et
• Instabilité du système d'exploitation
parfois non configurable par l'utilisateur final.
• Interruption des services, dont les services
appels et données et les notifications push
d'Apple (APN)
Démarrage sécurisé : créer une chaîne
• Exposition à des logiciels malveillants et autres
de confiance
failles de sécurité
• Incapacité à réaliser des mises à jour, voire
Dans un appareil iOS, chaque processeur
blocage total de l'appareil
(le processeur d'applications, le chipset de bande
de base, l'enclave sécurisée sur les appareils équipés
Cette tendance liée aux modifications non
de puces A7 ou plus récentes) utilise une procédure
autorisées progresse peu et recule même.
de démarrage sécurisé, chacune des étapes reposant
Malgré tout, les appareils dont le système
sur des composants signés cryptographiquement
d'exploitation a été piraté représentent un
et sur une chaîne de confiance qui doit être vérifiée
risque majeur pour les données des utilisateurs
préalablement au démarrage.
et de l'entreprise, qu'il convient de contrer
par des mesures adéquates6.
5 Complément d'information : https://support.apple.com/fr-fr/HT201954
4 Source : MobileIron, Analyse des risques et de la sécurité sur les appareils mobiles, 6 S
ource : MobileIron, Analyse des risques et de la sécurité sur les appareils
2e trimestre 2016 mobiles, 2e trimestre 2016
6Signature obligatoire du code : la mise en ligne de l'application sur l'App Store
et son exécution sur l'appareil (se reporter
protéger l'intégrité des mises à jour iOS
à la section Signature obligatoire du code pour plus
d'informations), ce qui dissuade de créer des
Plus avancée que le démarrage sécurisé,
applications malveillantes. Plus important encore,
la vérification cryptographique s'applique de manière
si une telle application est détectée, le certificat
permanente afin de protéger l'intégrité de l'ensemble
du développeur peut être révoqué pour empêcher
des mises à jour iOS. Lors d'une mise à niveau du
l'exécution de toutes ses applications.
système d'exploitation, les serveurs d'autorisation
d'installation d'Apple reçoivent une liste de « mesures »
Exécution des applications : se
cryptographiques pour chaque composant du
package d'installation, l'ID unique de l'appareil et un
prémunir des codes non autorisés
nonce pour prévenir les attaques par rejeu. En cas
de correspondance entre les mesures et les versions Exécuter une application sur iOS ou sur un
pour lesquelles les mises à niveau sont autorisées, système d'exploitation classique n'a rien à voir. Sous
le serveur d'autorisation signe le résultat et le renvoie iOS, la plupart des processus s'exécutent en tant
dans les données utiles de mise à niveau. Résultat : qu'utilisateur non privilégié, comme toutes les
la mise à niveau du système d'exploitation est applications tierces. Les applications sont placées
inviolable. dans la sandbox, les empêchant ainsi de modifier
l'appareil et le système d'exploitation, mais aussi
La signature du code s'étend aux applications d'accéder aux données d'autres applications pour
installées et exécutées sur iOS. L'ensemble du code éventuellement les altérer. Il existe un risque que
exécutable doit provenir d'une source connue et les applications exposent les architectures ou les
approuvée, validée à l'aide d'un certificat émis par bibliothèques à un accès par d'autres applications
Apple. Outre la validation de la source, la signature du même développeur. Cependant, les exécutables
obligatoire du code empêche les applications intégrés ne peuvent se lier qu'aux bibliothèques
tierces de charger des modules non signés ou fournies avec le système, ce qui renforce la protection
d'utiliser du code automodifiant susceptible d'altérer contre les exécutions de code non autorisé.
dynamiquement le fonctionnement de l'application.
Chiffrement par défaut : protéger
les données statiques et en transit
App Store : déployer et mettre
à jour des applications Une technologie appelée Protection des données
protège les données stockées dans la mémoire Flash
L'App Store est essentiellement une infrastructure des appareils iOS. Basée sur les technologies de
de déploiement et de mise à jour dédiée aux chiffrement matérielles, elle assure un chiffrement
applications. Il tient aussi une place centrale dans fichier par fichier via le moteur AES-256 intégré
la sécurité des appareils. Toutes les applications à chaque appareil. Chaque nouveau fichier se voit
soumises à l'App Store sont vérifiées par Apple afin attribuer une classe de protection des données,
de s'assurer qu'elles fonctionnent comme décrit, ne qui détermine la clé utilisée pour le chiffrement du
présentent pas de bogues évidents et respectent fichier. Les applications tierces installées sur iOS 7
les bonnes pratiques en matière de développement ou version ultérieure bénéficient automatiquement
d'applications iOS. En outre, pour pouvoir distribuer de la protection des données. Plus important, cette
une application sur l'App Store, les développeurs technologie inclut des mécanismes pour supprimer
doivent adhérer au programme Apple Developer de la mémoire des clés de chiffrement, et qui
Program. L'identité du développeur est vérifiée contrôlent quand et comment les données sont
par Apple avant l'émission d'un certificat autorisant déchiffrées et mises à disposition.
7En plus des données statiques de l'appareil, iOS assure ne peuvent être modifiés par l'utilisateur. Un moyen
la protection des données en transit. Le mécanisme pratique pour les administrateurs informatiques de
App Transport Security (ATS) introduit dans iOS 9 standardiser la configuration des appareils iOS.
requiert le chiffrement des connexions aux services
Internet via le protocole Transport Layer Security Gestion des appareils mobiles : enregistrement
(TLS) v1.2. Son utilisation ou l'application d'exceptions et exécution de commandes à distance
explicites devait être rendue obligatoire à compter du
1er janvier 2017 pour toutes les applications soumises La gestion des appareils mobiles (MDM), ajoutée
à l'App Store, mais l'échéance a été provisoirement dans iOS 4, permet aux administrateurs d'appareils
repoussée. En attendant, Apple conseille vivement de réaliser des opérations de gestion à distance. Elle
d'utiliser le protocole HTTPS pour garantir aux repose sur les protocoles HTTP et TLS et des APN,
entreprises et aux utilisateurs finaux une protection et comprend le protocole d'enregistrement MDM et
accrue des données, et éviter ainsi qu'elles ne soient le protocole MDM. Le protocole d'enregistrement
divulguées ou interceptées en cours de transmission. sert à vérifier que l'appareil peut être géré via MDM
Avec le protocole TLS v1.2, les services backend et que le serveur de gestion peut communiquer
sont par ailleurs moins vulnérables aux attaques avec l'appareil. Le protocole MDM définit les
exploitant les faiblesses des versions précédentes. commandes grâce auxquelles les administrateurs
peuvent intervenir sur les appareils. On distingue
Configuration, gestion et utilisation deux catégories de commandes : les requêtes et les
des appareils iOS actions. Les requêtes permettent de collecter des
informations sur un appareil, les actions d'effectuer
des opérations spécifiques (désinstaller une
Outre l'intégrité du système d'exploitation et des
application ou réinitialiser l'appareil, par exemple).
applications, les problématiques de sécurité iOS
concernent la gestion et la mise à jour des paramètres
Supervision : fonctionnalités de sécurité avancées
de l'appareil. Ces derniers peuvent être ajustés selon
pour les entreprises
que l'appareil appartient à l'entreprise ou à l'employé,
et qu'il est utilisé à la fois à des fins personnelles
Les appareils appartenant aux employés inscrits
et professionnelles.
auprès du système MDM sont gérés par un ensemble
de contrôles de gestion et de sécurité. Les appareils
Profils de configuration : distribution des paramètres
iOS détenus par l'entreprise et fonctionnant en mode
de l'appareil
supervision sont gérés par des contrôles informatiques
plus stricts, via le système MDM. La supervision est
Les profils de configuration iOS permettent de
couramment utilisée pour les appareils qui doivent
distribuer des paramètres d'appareil personnalisés7.
être restreints au mode Single-App (l'appareil
Ces fichiers XML contiennent toute sorte de
exécute une seule et unique application avec une
paramètres, comme des certificats numériques,
configuration de type kiosque verrouillée ou dédiée).
des comptes de messagerie (POP, IMAP et
L'administrateur informatique peut également
Microsoft Exchange), des services d'annuaire LDAP,
interdire l'accès à certaines fonctionnalités grand
des clips Web, et des paramètres Wi-Fi et VPN. Créés
public ou à usage privé comme la Photothèque iCloud
avec l'application macOS Apple Configurator 2, les
et le téléchargement automatique des applications,
profils de configuration sont installés en partageant
sans que l'utilisateur puisse contourner ces restrictions.
une connexion entre l'appareil et un Mac équipé de
l'application, via USB ou d'autres méthodes sans fil.
Les paramètres définis par un profil de configuration
7 Complément d'information : https://developer.apple.com/library/content/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html
8Sur les appareils supervisés, l'administrateur
informatique peut bloquer l'accès à certaines
applications. L'utilisateur a la possibilité de
télécharger une application sur liste noire. Par contre,
le serveur EMM peut empêcher son utilisation ou Différences entre appareils
même son affichage, à l'aide de contrôles MDM. Par « gérés » et « supervisés »
exemple, une organisation peut bloquer l'utilisation
de réseaux sociaux tels que Facebook sur des
Appareils gérés :
appareils professionnels supervisés. Il est également
Un appareil géré appartient soit à l'entreprise,
possible de verrouiller ces appareils de sorte que
soit à l'employé. Le service informatique peut
les employés n'aient accès qu'aux applications
sécuriser et gérer les données et applications
approuvées par la société et à aucune autre, même
d'entreprise de ces appareils indépendamment
pas aux applications iOS standard. À l'aide de
des données et applications de l'employé
contrôles MDM, l'administrateur informatique peut
en installant un profil MDM. Les informations
également choisir les applications, les icônes et les
et applications d'entreprise peuvent être
clips Web visibles sur l'écran d'accueil, et peut ancrer
supprimées de l'appareil en cas de perte, vol
de façon permanente des applications dans le Dock.
ou non-conformité, sans que les données
personnelles soient altérées. Un appareil géré
Programme d'inscription des appareils : inscription
répond aux exigences de sécurité de l'entreprise
MDM obligatoire et supervision sans fil
et peut compartimenter les applications et
comptes personnels et professionnels, de même
Le Programme d'inscription des appareils (DEP)
que leurs données. En revanche, il ne peut pas,
associe l'appareil au compte de l'entreprise relatif
et ne doit pas, empêcher l'utilisateur de profiter
aux achats Apple, d'après son numéro de série.
de la plupart des fonctionnalités grand public
Le client bénéficie alors d'un accès à un portail Web,
d'iOS et de l'écosystème Apple.
où il peut configurer les numéros de série et les
commandes pour appliquer la supervision sans fil et,
Appareils supervisés :
éventuellement, appliquer l'inscription MDM
Le message d'Apple est clair, la supervision
pour empêcher la suppression d'un profil MDM par
est l'unique mode offrant à l'entreprise la
son utilisateur.
possibilité de contrôler et de limiter totalement
les fonctions de ses appareils iOS. Elle est
Le Programme d'inscription des appareils est
réservée aux appareils appartenant à l'entreprise
un moyen pour l'administrateur informatique de
et offre au service informatique plus de contrôle
rationaliser le processus d'intégration des nouveaux
que sur les appareils gérés. En mode supervisé,
employés. Celui-ci peut modifier l'expérience
de nombreuses fonctionnalités de gestion
utilisateur et personnaliser l'assistant d'installation
permettent de sécuriser les appareils iOS,
iOS, notamment en permettant d'ignorer certains
notamment le mode Single-App et le VPN
écrans, pour épargner à l'utilisateur des manipulations
toujours actif. Le service informatique peut
superflues. Les employés apprécient de recevoir
également restreindre certaines fonctionnalités,
moins d'invites et de notifications ; ils sont plus vite
telles que la Photothèque iCloud et le
opérationnels et productifs.
téléchargement automatique des applications,
sans que l'utilisateur puisse contourner
ces restrictions. En général, la supervision est
activée lors de la configuration de l'appareil,
via USB ou une connexion sans fil dans le cadre
du programme DEP.
9• Autres fonctions d'intégration avancées :
MobileIron EMM : protéger intégration de services d'annuaire et de fournisseurs
de la périphérie vers le cœur d'identité, émission et gestion de certificats
d'infrastructure à clés publiques (PKI, public key
Apple améliore sans cesse la sécurité des appareils infrastructure), et plus encore.
iOS, ce qui explique en partie leur popularité
auprès du grand public comme des professionnels. L'EMM est la solution idéale pour exploiter au mieux
La protection des données de l'entreprise ne doit les outils de sécurité dans iOS et renforcer la sécurité
pas se limiter à l'appareil proprement dit. Le service des appareils chaque fois qu'un utilisateur accède
informatique doit pouvoir étendre ce niveau de sécurité à un environnement, que ce soit des ressources
à des centaines voire des milliers d'appareils. Une fois cloud ou le réseau non sécurisé d'un hôtel, d'un
ces appareils connectés à des réseaux ouverts, il faut aéroport ou d'un café. Le choix et le déploiement
protéger les applications et les données en dehors d'une plateforme EMM s'avèrent indispensables
de la plateforme iOS. pour pouvoir tirer parti de toutes les fonctionnalités
MDM et MAM avancées d'Apple iOS décrites
La gestion de la mobilité en entreprise (EMM, précédemment. La solution proposée par MobileIron,
Enterprise Mobility Management) est un ensemble par exemple, offre la sécurité d'iOS et du protocole
complet de processus et technologies, agrégés MDM, et permet de distribuer les configurations
dans un produit unifié de gestion du cycle de vie, et paramètres de sécurité à plusieurs appareils
qui permet de gérer les appareils mobiles, d'assurer dans l'entreprise, via une plateforme standardisée.
l'accès sécurisé aux réseaux sans fil et de fournir L'ajout de fonctionnalités avancées fait gagner
d'autres services d'informatique mobile au sein en productivité et facilite la transformation des
de l'entreprise. Une stratégie EMM efficace résout processus grâce à la mobilité. Avec une plateforme
les problèmes de sécurité et améliore la productivité EMM solide et performante telle que celle proposée
des employés en leur offrant les outils nécessaires par MobileIron, l'entreprise dispose de l'infrastructure
pour travailler sur des appareils mobiles. Les solutions idéale pour déployer une stratégie de mobilité
EMM conjuguent au moins trois fonctions de gestion d'entreprise complète.
de la mobilité, notamment :
Premiers pas : autorisation et
• Gestion des appareils mobiles (MDM, Mobile
Device Management) : fonctions qui apportent authentification des utilisateurs
la visibilité et les contrôles informatiques
indispensables pour configurer, déployer, Liaison des appareils, utilisateurs et règles
gérer et exclure les appareils en toute sécurité. via les annuaires d'entreprise
• Gestion des applications mobiles (MAM, Mobile
Avant d'appliquer des règles et d'accorder des
Application Management) : outils et technologies
droits aux utilisateurs, l'entreprise doit trouver une
pour déployer et gérer les applications, et renforcer
« source de vérité ». Dans le modèle hérité, les
leur sécurité.
règles et droits sont liés à un annuaire d'entreprise par
• Gestion du contenu mobile (MCM, Mobile divers attributs tels que l'appartenance à un groupe.
Content Management) : type de système de Parfaitement adaptée aux terminaux classiques,
gestion du contenu (CMS, content management cette approche n'est cependant pas transposable
system) étroitement intégré capable d'envoyer aux appareils grand public modernes, qui ne
et de stocker du contenu et des services de fichiers reconnaissent pas les annuaires. MobileIron EMM
sur des appareils mobiles. relie l'appareil à l'annuaire : l'entreprise conserve son
modèle de sécurité existant, mais peut lier les règles
et configurations aux utilisateurs et appareils,
10comme avec les terminaux traditionnels. Pour Gérer et sécuriser : le protocole MDM,
affecter correctement les droits, MobileIron s'appuie
plan de contrôle de l'entreprise
sur le protocole Lightweight Directory Access
Protocol (LDAP) et sur sa base de données de plus
Les règles d'annuaire et d'authentification établies,
de 200 attributs d'appareil, ce qui permet d'établir
le provisionnement des appareils peut commencer.
des règles flexibles, combinant informations sur les
Un administrateur ajoute les données utiles MDM
utilisateurs et sur les appareils.
dans un profil de configuration, qu'il distribue aux
appareils gérés par e-mail ou via une page Web. Il est
Authentification renforcée et simplifiée des
éventuellement possible d'envoyer d'autres profils
utilisateurs avec les certificats numériques,
de configuration via une connexion sans fil une fois
Kerberos et l'authentification unique
l'inscription terminée. Les profils de configuration et
les profils de provisionnement installés via le service
MobileIron assure par ailleurs une prise en charge
MDM (« profils gérés ») sont automatiquement
efficace de l'infrastructure PKI. Quant aux certificats
supprimés en même temps que les données
numériques, ils améliorent l'expérience utilisateur
utiles MDM. Un service MDM peut être autorisé
sur les appareils mobiles en sécurisant davantage
à obtenir la liste exhaustive des profils gérés sur
l'authentification et en évitant de saisir des mots de
l'appareil. En revanche, il ne pourra supprimer que les
passe complexes. La plateforme MobileIron EMM
applications, les profils de configuration et les profils
intègre une autorité de certification et peut inscrire
de provisionnement qu'il a lui-même installés. Un
des appareils auprès d'un système PKI tiers, tel que
profil de configuration installé via MDM ne peut être
ceux fournis par Entrust, OpenTrust ou Symantec,
modifié ni supprimé par l'utilisateur final. Cela en fait
via le protocole Simple Certificate Enrollment
donc une option de choix pour les appareils Single-
Protocol (SCEP).
App détenus par l'entreprise, soumis à des exigences
plus strictes de sécurité et de contrôle informatique.
Autre option : combiner les certificats numériques
et la délégation Kerberos contrainte (KCD, Kerberos
Provisionnement simplifié des appareils, avec
constrained delegation). Le KCD offre un niveau
moins d'interventions
élevé de sécurité et une expérience confortable,
puisque les utilisateurs peuvent s'authentifier auprès
Avec ce modèle de gestion sans fil, l'appareil iOS est
des services pris en charge sans que l'entreprise
inscrit via SCEP dans une configuration MDM, qui gère
ait besoin d'exposer l'infrastructure Kerberos
ensuite tous les autres profils. Les grandes structures
en externe.
peuvent ainsi configurer, en une fois, un nombre élevé
d'appareils et distribuer les données utiles MDM
Le service proxy de centre de distribution de
d'un serveur avec des paramètres de messagerie
clés Kerberos (KKDCP, Kerberos key distribution
personnalisés, des paramètres réseau ou des
center proxy) permet, en outre, de bénéficier
certificats.
de l'authentification unique (SSO, single sign-on)
Via le protocole MDM, l'administrateur distribue les
Kerberos dans iOS. L'avantage est double :
données utiles d'inscription en les intégrant dans
les appareils iOS peuvent demander et recevoir
un profil de configuration et en autorisant leur accès
directement des tickets Kerberos pour accéder
par les appareils ciblés, que ce soit par e-mail ou
aux services d'entreprise, et le serveur de centre de
via une page Web. Le protocole MDM permet aux
distribution de clés (KDC, key distribution center),
administrateurs système d'envoyer des commandes
pierre angulaire du système, reste protégé.
de gestion aux appareils iOS gérés équipés
d'iOS 4 ou version ultérieure. Les administrateurs
informatiques peuvent examiner, installer ou
supprimer des profils, supprimer des codes d'accès,
11ou encore effacer les données d'un appareil géré. d'entreprise accueillant des volumes énormes de
C'est aussi grâce à ce protocole que les serveurs données sensibles. Pour empêcher que les utilisateurs
MDM contrôlent l'accès aux applications et données téléchargent des applications non autorisées de
de l'entreprise par les seuls utilisateurs autorisés. l'App Store sur des appareils appartenant à l'entreprise,
le service informatique peut dresser une liste des
Chiffrés et verrouillés par le système MDM, les profils applications approuvées sous la forme d'un magasin
de configuration deviennent alors des profils gérés, d'applications professionnelles.
dont les paramètres ne peuvent être arbitrairement
supprimés, altérés, ni partagés. La suppression des Depuis iOS 9, les administrateurs ont la possibilité
données utiles MDM entraîne automatiquement la d'installer, de gérer, de mettre à jour et de supprimer
suppression des profils gérés (profils de configuration des applications de l'App Store via MDM, tout en
et de provisionnement des applications) installés désactivant le magasin pour le reste de l'entreprise.
via le service MDM. Ces données utiles peuvent Ils peuvent déployer des applications sur les appareils
d'ailleurs être supprimées à tout moment sur supervisés en arrière-plan depuis le serveur EMM
l'appareil personnel d'un utilisateur (comportement ou attribuer des applications à des appareils que
par défaut). les utilisateurs devront installer eux-mêmes. Les
administrateurs mobiles peuvent ainsi respecter plus
Prioritaire sur le modèle de propriété, le protocole facilement un modèle de déploiement standard et
MDM d'Apple offre aux administrateurs informatiques avoir l'assurance que les utilisateurs ne pourront pas
l'opportunité de combler les failles de sécurité entre les installer d'applications personnelles sur les appareils
appareils détenus par l'entreprise et les appareils isolés supervisés. Le service informatique gère facilement
appartenant aux utilisateurs. Cela explique aussi que les applications surveillées et les listes blanche
le service MDM peut, et doit pouvoir, être supprimé et noire dans le catalogue d'applications EMM et le
à tout instant d'un appareil personnel. En ne payant risque de perte de données est limité en empêchant
pas l'équipement, l'entreprise fait également des l'installation d'applications non autorisées ou
économies. En retour, le service informatique dispose potentiellement piratées. Ces options de protection
d'un niveau de contrôle limité sur l'appareil et ses des applications s'avèrent particulièrement utiles lors
données, et doit recevoir de l'utilisateur l'autorisation de déploiements d'envergure ou en mode kiosque.
d'effacer les paramètres et les données d'entreprise
si celui-ci est piraté ou volé. C'est pourquoi Apple Gestion des applications mobiles :
veille à ce que les paramètres et données personnels développer la sandbox des applications
puissent être sauvegardés et restaurés par l'utilisateur :
un mécanisme que l'entreprise ne peut bloquer pour Une application installée depuis un magasin
les appareils non supervisés. d'applications d'entreprise via le protocole MDM
devient une application gérée. Grâce à elle, le service
informatique maîtrise davantage l'utilisation de
La gestion du cycle de vie et de la l'application et des données associées sur l'appareil.
sécurité des applications en pratique Les protections de la sandbox s'appliquent aux
applications gérées ; l'entreprise peut supprimer
une application et effacer de manière sélective
Distribuer les applications mobiles via
des données. Des fonctionnalités de sécurité sont
un magasin d'applications professionnelles
activées, comme la gestion de l'ouverture des fichiers
(« Open In »), et la sauvegarde des données sur
Aucune mesure de sécurité ne se suffit à elle-même,
iCloud ou iTunes peut être activée ou désactivée.
cela va sans dire. Les pirates trouveront toujours un
moyen d'atteindre leur cible. Aussi est-il pertinent de
renforcer la sécurité, surtout dans un environnement
12La gestion de l'ouverture des fichiers limite les Le contrôle des règles de comportement de ces
informations d'entreprise envoyées aux appareils des conteneurs est confié à la console MobileIron EMM.
employés, en autorisant leur traitement uniquement Les applications AppConnect peuvent également
dans des applications gérées bien précises. Supposons utiliser MobileIron Sentry pour échanger des
que le système EMM distribue l'application informations avec les systèmes backend d'entreprise
Microsoft Word. Les utilisateurs ne pourraient ouvrir à l'aide de solutions VPN par application ou de
les pièces jointes .docx que dans cet outil ou dans MobileIron AppTunnel. Par ailleurs, la solution de
une autre application installée par EMM qui accepte sécurité cloud MobileIron Access fournit l'accès
ce type de données. conditionnel aux services cloud à partir des applications
et des navigateurs mobiles. Elle met en corrélation
Le retrait ou la mise en quarantaine d'un appareil, l'identité de l'utilisateur avec des informations
par l'utilisateur ou un administrateur, entraîne uniques telles que le statut de l'appareil ou l'état de
la suppression des données utiles installées par la l'application dans un objectif : garantir que les données
plateforme EMM, y compris les applications gérées et professionnelles ne soient pas accessibles par
données envoyées à l'appareil. En cas de suppression les utilisateurs non validés, et ne puissent pas être
partielle, les applications, données et paramètres stockées sur des appareils non sécurisés ni partagées
professionnels sont tous supprimés. Autrement avec des services cloud non autorisés.
dit, le contenu et les améliorations de la sandbox
de l'entreprise sont effacés. Il ne reste plus que le Sécuriser le contrôle d'accès dynamique
contenu personnel de l'utilisateur.
Il arrive régulièrement, surtout dans le cadre des
De plus en plus, les données d'entreprise migrent programmes BYOD, que les appareils ne soient pas
des référentiels classiques vers l'espace de stockage toujours conformes. D'où la nécessité d'une approche
local des appareils mobiles. Savoir exploiter ces automatisée pour surveiller le statut de protection des
possibilités fait donc partie intégrante d'une stratégie appareils et empêcher les appareils non conformes
plus globale de prévention contre la perte des données d'accéder aux ressources de l'entreprise. Le contrôle
(DLP). Dans les cas extrêmes, l'effacement complet d'accès dynamique de MobileIron AppTunnel combine
des données ou la réinitialisation de l'appareil peut la sécurisation du transport du VPN standard avec
s'imposer. l'identification basée sur des certificats et les règles
basées sur le statut de l'appareil. Ceci permet de
MobileIron AppConnect, pour une protection simplifier l'accès aux ressources de l'entreprise pour
accrue des applications propriétaires l'utilisateur, tout en garantissant que seuls les appareils
autorisés pourront accéder à ces ressources.
MobileIron AppConnect permet d'intégrer des
contrôles de gestion et de sécurité supplémentaires Protéger les données en transit grâce au tunneling
dans les applications de l'entreprise, au moyen d'un
SDK spécifique. La solution isole les applications Grâce au proxy Kerberos, MobileIron permet aux
dans des conteneurs pour protéger les données utilisateurs d'appareils iOS qui n'appartiennent
statiques professionnelles sans toucher aux données pas au réseau d'entreprise de s'identifier à l'aide de
personnelles, et propose des contrôles de règles plus l'authentification unique d'iOS sans exposer le KDC
précis que les fonctions de gestion iOS standard. Au Kerberos. Ainsi, les données en transit et l'infrastructure
final, chaque application se transforme en un conteneur Kerberos de l'entreprise sont protégées. Par exemple,
sécurisé dont les données sont chiffrées, protégées MobileIron Tunnel autorise le navigateur Safari
contre tout accès non autorisé et supprimables. d'Apple à accéder à des sites intranet protégés par
un pare-feu grâce à un processus d'authentification
Chaque conteneur d'application est connecté à d'autres transparent qui évite à l'utilisateur de saisir ses
conteneurs d'application sécurisés. Ce mécanisme identifiants de connexion à chaque fois qu'il visite
autorise le partage des règles de sécurité et des un nouveau site.
données d'entreprise entre applications sécurisées. 13MobileIron Access : la sécurité et la confiance
étendues aux applications SaaS
De nombreuses entreprises migrent leurs applications
et données mobiles vers le cloud, et doivent ainsi
redéfinir leurs exigences de sécurité. Les solutions de
sécurité cloud classiques, qui reposent essentiellement
sur la saisie d'un identifiant et d'un mot de passe,
ne suffisent pas pour empêcher que des données
du cloud ne tombent entre de mauvaises mains par
le biais d'applications et d'appareils mobiles non
sécurisés. Pour étendre les principes de sécurité
et de confiance aux applications de services logiciels
(SaaS, software-as-a-service), comme Office 365,
Salesforce, G Suite et Box, il faut une solution capable
d'appliquer des règles d'accès conditionnel basées
sur l'identité de l'utilisateur, le statut de protection
de l'appareil mobile et l'état de l'application mobile.
La solution de sécurité cloud MobileIron Access
permet justement aux administrateurs informatiques
de définir des règles précises de contrôle des accès
cloud en fonction, notamment, des applications, des
adresses IP, des identités et des statuts des appareils.
En conséquence, l'équipe informatique peut combler
les failles entre la sécurité cloud et mobile, et mieux
contrôler l'accès aux services cloud de l'entreprise.
MobileIron ServiceConnect : intégration avec
les systèmes de sécurité d'entreprise tiers
Du fait de ce rapport 1:1 inédit qui existe entre l'appareil
géré et la plateforme EMM, MobileIron est à même
d'assumer des rôles auparavant répartis entre plusieurs
agents logiciels. Avec MobileIron ServiceConnect,
les autres systèmes informatiques et de sécurité de
l'entreprise bénéficient eux aussi de la visibilité offerte
par la plateforme MobileIron EMM, leur permettant
de prendre en charge des appareils iOS, à l'instar d'un
terminal standard. Console de gestion des services
informatiques (ITSM, IT service management),
plateforme de contrôle des accès réseau (NAC,
network access control), système de gestion des
informations et des événements de sécurité (SIEM,
security information and event management)… Peu
importe le système, l'entreprise peut s'appuyer sur
MobileIron EMM comme « source de vérité » et outil
de gestion de règles pour appliquer ses règles et
procédures existantes aux différents appareils iOS.
14EMM et iOS : un modèle de
sécurisation de l'entreprise
mobile moderne
Avec une stratégie de sécurité mobile EMM/iOS, les
entreprises sont armées pour affronter sereinement
les problèmes de sécurité les plus épineux. Combinés,
iOS et EMM proposent un système d'exploitation
et une plateforme de gestion complète et sécurisée
aux équipes informatiques chargées de la sécurité,
qui disposent ainsi du contrôle proactif et évolutif
indispensable pour gérer un parc mobile toujours plus
vaste. Une solution EMM, comme celle de MobileIron,
offre une plateforme complète qui protège les données
d'entreprise, où qu'elles soient : dans des centres de
données, dans le cloud, dans des applications mobiles,
sur des appareils mobiles et lors des transferts.
En gérant son parc d'appareils mobiles via EMM,
l'entreprise s'assure que tous ses appareils iOS sont
protégés par les configurations de règles les plus
récentes, exécutent les dernières versions du système
d'exploitation et des applications, et sont accessibles
uniquement par les utilisateurs autorisés. La gestion
unifiée des terminaux associée à l'EMM réduit le
coût total de propriété (CTP) par divers mécanismes,
dont la réduction d'un grand nombre de processus
de configuration laborieux, l'installation à distance des
mises à jour d'applications et de règles, la résolution
des problèmes à distance, et la prise en charge
d'un éventail élargi d'appareils BYOD et détenus
par l'entreprise.
En conjuguant la plateforme de sécurité mobile
avancée de MobileIron et les options de sécurité 415 East Middlefield Road
iOS, toujours plus nombreuses, d'Apple, le service
Mountain View, CA 94043,
informatique peut exploiter le plein potentiel de la
mobilité d'entreprise iOS, sans mettre en péril les États-Unis
données de l'entreprise. Notre plateforme EMM info@mobileiron.com
a vocation à étendre les fonctionnalités de sécurité
www.mobileiron.com
existantes d'iOS, tout en les simplifiant, le but étant
que les entreprises puissent protéger chaque appareil Tél : +1 877 819 3451
et application iOS et que leur utilisation reste simple. Fax : +1 650 919 8006
15Vous pouvez aussi lire
