MobileIron et iOS

MobileIron et iOS

MobileIron et iOS

1 MobileIron et iOS : l'armature de sécurité de l'entreprise moderne MKT FR v1.1 415 East Middlefield Road Mountain View, CA 94043, États-Unis info@mobileiron.com www.mobileiron.com Tél. : +1 877 819 3451 Fax : +1 650 919 8006

MobileIron et iOS

2 Table des matières En bref Introduction : sécuriser l'entreprise numérique moderne User-First Sécurité iOS : protéger du cœur vers la périphérie Démarrage sécurisé : créer une chaîne de confiance Signature obligatoire du code : protéger l'intégrité des mises à jour iOS App Store : déployer et mettre à jour des applications Exécution des applications : se prémunir des codes non autorisés Chiffrement par défaut : protéger les données statiques et en transit Configuration, gestion et utilisation des appareils iOS Profils de configuration : distribution des paramètres de l'appareil Gestion des appareils mobiles : enregistrement et exécution de commandes à distance Supervision : fonctionnalités de sécurité avancées pour les entreprises Programme d'inscription des appareils : inscription MDM obligatoire et supervision sans fil MobileIron EMM : protéger de la périphérie vers le cœur Premiers pas : autorisation et authentification des utilisateurs Liaison des appareils, utilisateurs et règles via les annuaires d'entreprise Authentification renforcée et simplifiée des utilisateurs avec les certificats numériques, Kerberos et l'authentification unique Gérer et sécuriser : le protocole MDM, plan de contrôle de l'entreprise Provisionnement simplifié des appareils, avec moins d'interventions La gestion du cycle de vie et de la sécurité des applications en pratique Distribuer les applications mobiles via un magasin d'applications professionnelles Gestion des applications mobiles : développer la sandbox des applications MobileIron AppConnect, pour une protection accrue des applications propriétaires Sécuriser le contrôle d'accès dynamique Protéger les données en transit grâce au tunneling MobileIron Access : la sécurité et la confiance étendues aux applications SaaS MobileIron ServiceConnect : intégration avec les systèmes de sécurité d'entreprise tiers EMM et iOS : un modèle de sécurisation de l'entreprise mobile moderne 3 4 6 10 15

MobileIron et iOS

3 En bref L'entreprise mobile moderne se développe à un rythme sans précédent. La tendance touche tous les secteurs, partout dans le monde. Dans ce contexte, de plus en plus d'entreprises ont besoin d'un modèle complet pour sécuriser leurs appareils mobiles, leurs applications et leurs données, sans nuire à la productivité ni à l'expérience utilisateur. Hautement intuitif, convivial et facile à gérer, iOS s'est imposé en tant que système d'exploitation mobile dans une grande majorité d'entreprises.

Les diverses fonctionnalités de sécurité et de gestion des applications introduites par Apple dans les dernières versions permettent aux équipes informatiques de garantir l'intégrité des données et des applications mobiles, sur tous les appareils iOS.

Si nombre de problématiques majeures de sécurité ont ainsi été résolues, aucun système d'exploitation n'est protégé à 100 % contre les pertes de données et les attaques de logiciels malveillants nouvelle génération. La plateforme de gestion de la mobilité en entreprise (EMM, Enterprise Mobility Management) de MobileIron apporte une solution mobile complète qui vient compléter et renforcer les fonctionnalités de sécurité iOS.

iOS garantit la sécurité du cœur vers la périphérie : de la fabrication de la puce jusqu'à la fin du cycle de vie de l'appareil et du logiciel. Inversement, MobileIron EMM fournit une protection mobile de la périphérie vers le cœur : l'entreprise peut déployer une stratégie de sécurité mobile de bout en bout qui protège ses appareils, applications et données chaque fois qu'un utilisateur accède à un environnement (des ressources cloud ou un réseau non sécurisé, par exemple). Cette plateforme standardisée permet de distribuer les configurations et paramètres de sécurité à plusieurs appareils dans l'entreprise, de manière automatique.

Ce document présente dans le détail les fonctionnalités de sécurité d'iOS et de MobileIron EMM. Il explique, en outre, comment tirer parti de ce duo pour déployer un parc d'appareils iOS hautement sécurisés, faciles à configurer, à protéger et à gérer grâce aux règles de sécurité et aux mises à jour d'applications les plus récentes.

4 Introduction : sécuriser l'entreprise numérique moderne User-First Aux quatre coins du globe, des milliers d'entreprises embrassent le même projet: celui de devenir une entreprise en temps réel avec, au centre de la stratégie concurrentielle, l'expérience utilisateur numérique.

Aujourd'hui, dans tous les secteurs (la santé, l'industrie, la vente, les technologies, les transports, les services financiers), il n'est pas un processus d'entreprise critique qui ne dépende de transactions numériques sécurisées et transparentes. Pour rester compétitif, il ne suffit pas de donner accès à une messagerie électronique sur l'appareil mobile d'un employé. L'entreprise a besoin d'un modèle de stratégie mobile capable de satisfaire à des exigences de sécurité complexes, sans impacter l'expérience utilisateur numérique.

Les défis en matière de sécurité sont toujours plus nombreux, compliquant ainsi la mise en place d'un espace de travail numérique User-First. Selon une étude du Ponemon Institute, la complexité de la sécurité informatique s'explique essentiellement par l'usage grandissant des appareils mobiles et des applications dans le cloud1 . Bien entendu, toute entreprise connaîtra nécessairement des difficultés. Pour autant, passé un certain seuil, celles-ci risquent d'entraver sa capacité à contrer les cybermenaces. Elles peuvent aussi aboutir à un environnement fracturé par des technologies de sécurité disparates déployées sur différentes plateformes, des règles de sécurité non cohérentes et une équipe de sécurité dépassée et manquant de ressources pour gérer de façon sûre un parc d'appareils toujours plus vaste.

La prolifération des données non structurées et les changements permanents découlant des fusions, acquisitions, cessions, réorganisations et autres réductions d'effectifs rajoutent de la complexité2 .

Le défi pour le département informatique revient à cacher toute cette complexité à l'utilisateur final, qui doit seulement voir et utiliser des données et applications mobiles sécurisées, intuitives et faciles d'accès. Le côté extrêmement convivial et performant de l'expérience iOS explique en partie la domination mondiale de cette plateforme de mobilité. Certes, iOS n'a pas volé sa réputation en matière de sécurité. Cependant, aucun système d'exploitation mobile n'est à l'abri d'une menace. Dorénavant, les équipes informatiques ont besoin d'une stratégie de sécurité iOS complète, avec une plateforme EMM capable d'anticiper et de prévenir les attaques mobiles.

Plus important encore, l'entreprise doit unifier ses diverses infrastructures informatiques complexes pour protéger au mieux son parc mondial d'appareils et d'applications d'entreprise iOS, dont les ordinateurs de bureau, les objets connectés et autres appareils qui fleuriront demain.

1 Ponemon Institute LLC, « The Cost and Consequences of Security Complexity », novembre 2016 2 Ponemon Institute LLC

5 Tour d'horizon des vulnérabilités et des attaques modernes À première vue, les menaces qui visent les appareils mobiles actuels ressemblent énormément à celles affectant les terminaux traditionnels. La façon dont les vulnérabilités sont exploitées et les attaques exécutées varie pourtant sensiblement. Des vols de données toujours plus coûteux Un appareil mobile qui est piraté ou non conforme accroît la vulnérabilité d'une entreprise et aussi ses coûts.

En effet, le coût des vols de données augmente. En 2016, le Ponemon Institute a mené une étude auprès de 383 entreprises dans 12 pays. Les résultats ont montré que le coût total d'un vol de données s'élevait en moyenne à quatre millions de dollars, soit une augmentation de 29 % par rapport à 20133 .

Appareil mobile et système d'exploitation Les systèmes d'exploitation ont toujours été vulnérables, mais leur version mobile déploie un arsenal de sécurité plus performant en imposant des frontières strictes entre le noyau et l'espace utilisateur ainsi que des techniques comme le « sandboxing » des applications. Ces mécanismes sont néanmoins faillibles, la protection interne pouvant être ôtée en piratant le système d'exploitation (procédure souvent appelée «jailbreaking» ou «rooting»). Diverses attaques de logiciels malveillants jouent désormais cette carte du piratage, une technique jadis employée par les utilisateurs expérimentés pour modifier le comportement de leurs appareils.

Réseaux Les appareils mobiles sont reliés à beaucoup plus de réseaux que les terminaux classiques. Pourtant, la gestion de ces réseaux incombe rarement à l'entreprise. Plus ou moins protégés, voire pas du tout, ces réseaux offrent la possibilité aux pirates d'intercepter des données ou d'exécuter d'autres actions malveillantes. L'entreprise doit donc veiller à la protection des données qui transitent entre les référentiels internes et les terminaux d'accès. Applications et données Les logiciels malveillants traditionnels ont une efficacité limitée sur les appareils mobiles, de par l'architecture de ce type d'appareil, mais aussi parce que les magasins d'applications grand public agissent pour empêcher leur intrusion et leur propagation.

Mais, comme applications personnelles et professionnelles cohabitent souvent sur les appareils de l'utilisateur final, des « agents utilisateur » non autorisés peuvent avoir accès aux données de l'entreprise. En outre, les applications ne protègent pas toujours correctement les données statiques ou en transit. Il existe également un risque de fuite d'informations sensibles ou de récupération des identifiants de l'utilisateur.

Comportement des utilisateurs Étant donné l'omniprésence de la connectivité et la multitude des outils de productivité disponibles sur les appareils mobiles, les utilisateurs finaux peuvent exfiltrer des données de l'entreprise, de façon volontaire ou accidentelle, soit en pratiquant le « hairpinning des e-mails » (le transfert d'un message d'un compte professionnel via un compte personnel), soit en transférant des données vers des services de stockage dans le cloud personnel. Pour limiter ces risques, il convient d'appliquer une stratégie consistant à vérifier que les utilisateurs ont accès aux données requises, tout en contrôlant leur flux pour éviter toute divulgation non autorisée.

3 https://www.mobileiron.com/fr/quarterly-security-reports/q2-2016-mobile-sec urity-and-risk-review

6 Sécurité iOS : protéger du cœur vers la périphérie En 2007, le marché accueillait un appareil révolutionnaire doté d'un navigateur mobile remarquable offrant une expérience utilisateur exceptionnelle, aujourd'hui devenu le socle solide d'une transformation profonde du monde de l'entreprise. En lançant l'iPhone et le système d'exploitation iOS, Apple a repensé totalement l'informatique et la sécurité de type terminal. iOS combine avec brio sécurité et facilité d'utilisation, et est ainsi devenu le leader indétrôné avec plus de 80 % de part de marché dans le domaine des appareils mobiles d'entreprise4 .

La sécurité des appareils iOS repose sur une alchimie unique de possibilités matérielles et logicielles visant à protéger l'appareil, les données qu'il gère (statiques ou en transit) ainsi que son écosystème (les applications et services Internet). Elle est au cœur des préoccupations d'Apple, à tel point que l'intégration des composants et des fonctionnalités de sécurité intervient dès la fabrication des puces, et ce jusqu'à la fin du cycle de vie de l'appareil et du logiciel. Parmi les fonctionnalités de sécurité citées ci-après, une grande partie est activée par défaut et parfois non configurable par l'utilisateur final.

Démarrage sécurisé : créer une chaîne de confiance Dans un appareil iOS, chaque processeur (le processeur d'applications, le chipset de bande de base, l'enclave sécurisée sur les appareils équipés de pucesA7 ou plus récentes) utilise une procédure de démarrage sécurisé, chacune des étapes reposant sur des composants signés cryptographiquement et sur une chaîne de confiance qui doit être vérifiée préalablement au démarrage.

Modification non autorisée du système d'exploitation Le «jailbreaking», c'est-à-dire le fait de modifier iOS sans suivre la procédure de mise à jour standard, désigne une série de techniques de piratage visant à changer le fonctionnement du système. Les personnes qui s'adonnent à ces pratiques contournent nombre de mécanismes de sécurité intrinsèques d'iOS et exposent ainsi les appareils à une multitude de conséquences fâcheuses5 : • Réduction de la durée de vie de la batterie • Instabilité du système d'exploitation • Interruption des services, dont les services appels et données et les notifications push d'Apple (APN) • Exposition à des logiciels malveillants et autres failles de sécurité • Incapacité à réaliser des mises à jour, voire blocage total de l'appareil Cette tendance liée aux modifications non autorisées progresse peu et recule même.

Malgré tout, les appareils dont le système d'exploitation a été piraté représentent un risque majeur pour les données des utilisateurs et de l'entreprise, qu'il convient de contrer par des mesures adéquates6 .

4  Source : MobileIron, Analyse des risques et de la sécurité sur les appareils mobiles, 2e trimestre 2016 5 Complément d'information : https://support.apple.com/fr-fr/HT201954 6  Source : MobileIron, Analyse des risques et de la sécurité sur les appareils mobiles, 2e trimestre 2016

7 Signature obligatoire du code : protéger l'intégrité des mises à jour iOS Plus avancée que le démarrage sécurisé, la vérification cryptographique s'applique de manière permanente afin de protéger l'intégrité de l'ensemble des mises à jour iOS. Lors d'une mise à niveau du système d'exploitation, les serveurs d'autorisation d'installation d'Apple reçoivent une liste de «mesures» cryptographiques pour chaque composant du package d'installation, l'ID unique de l'appareil et un nonce pour prévenir les attaques par rejeu.

En cas de correspondance entre les mesures et les versions pour lesquelles les mises à niveau sont autorisées, le serveur d'autorisation signe le résultat et le renvoie dans les données utiles de mise à niveau. Résultat : la mise à niveau du système d'exploitation est inviolable.

La signature du code s'étend aux applications installées et exécutées sur iOS. L'ensemble du code exécutable doit provenir d'une source connue et approuvée, validée à l'aide d'un certificat émis par Apple. Outre la validation de la source, la signature obligatoire du code empêche les applications tierces de charger des modules non signés ou d'utiliser du code automodifiant susceptible d'altérer dynamiquement le fonctionnement de l'application. App Store : déployer et mettre à jour des applications L'App Store est essentiellement une infrastructure de déploiement et de mise à jour dédiée aux applications.

Il tient aussi une place centrale dans la sécurité des appareils. Toutes les applications soumises à l'App Store sont vérifiées par Apple afin de s'assurer qu'elles fonctionnent comme décrit, ne présentent pas de bogues évidents et respectent les bonnes pratiques en matière de développement d'applications iOS. En outre, pour pouvoir distribuer une application sur l'App Store, les développeurs doivent adhérer au programme Apple Developer Program. L'identité du développeur est vérifiée par Apple avant l'émission d'un certificat autorisant la mise en ligne de l'application sur l'App Store et son exécution sur l'appareil (se reporter àlasection Signature obligatoire du code pour plus d'informations), ce qui dissuade de créer des applications malveillantes.

Plus important encore, si une telle application est détectée, le certificat dudéveloppeur peut être révoqué pour empêcher l'exécution de toutes ses applications.

Exécution des applications : se prémunir des codes non autorisés Exécuter une application sur iOS ou sur un système d'exploitation classique n'a rien à voir. Sous iOS, la plupart des processus s'exécutent en tant qu'utilisateur non privilégié, comme toutes les applications tierces. Les applications sont placées dans la sandbox, les empêchant ainsi de modifier l'appareil et le système d'exploitation, mais aussi d'accéder aux données d'autres applications pour éventuellement les altérer. Il existe un risque que les applications exposent les architectures ou les bibliothèques à un accès par d'autres applications du même développeur.

Cependant, les exécutables intégrés ne peuvent se lier qu'aux bibliothèques fournies avec le système, ce qui renforce la protection contre les exécutions de code non autorisé. Chiffrement par défaut : protéger les données statiques et en transit Une technologie appelée Protection des données protège les données stockées dans la mémoire Flash des appareils iOS. Basée sur les technologies de chiffrement matérielles, elle assure un chiffrement fichier par fichier via le moteur AES-256 intégré à chaque appareil. Chaque nouveau fichier se voit attribuer une classe de protection des données, qui détermine la clé utilisée pour le chiffrement du fichier.

Les applications tierces installées sur iOS 7 ou version ultérieure bénéficient automatiquement de la protection des données. Plus important, cette technologie inclut des mécanismes pour supprimer de la mémoire des clés de chiffrement, et qui contrôlent quand et comment les données sont déchiffrées et mises à disposition.

8 En plus des données statiques de l'appareil, iOS assure la protection des données en transit. Le mécanisme App Transport Security (ATS) introduit dans iOS 9 requiert le chiffrement des connexions aux services Internet via le protocole Transport Layer Security (TLS) v1.2. Son utilisation ou l'application d'exceptions explicites devait être rendue obligatoire à compter du 1erjanvier2017 pour toutes les applications soumises à l'App Store, mais l'échéance a été provisoirement repoussée. En attendant, Apple conseille vivement d'utiliser le protocole HTTPS pour garantir aux entreprises et aux utilisateurs finaux une protection accrue des données, et éviter ainsi qu'elles ne soient divulguées ou interceptées en cours de transmission.

Avec le protocole TLS v1.2, les services backend sont par ailleurs moins vulnérables aux attaques exploitant les faiblesses des versions précédentes. Configuration, gestion et utilisation des appareils iOS Outre l'intégrité du système d'exploitation et des applications, les problématiques de sécurité iOS concernent la gestion et la mise à jour des paramètres de l'appareil. Ces derniers peuvent être ajustés selon que l'appareil appartient à l'entreprise ou à l'employé, et qu'il est utilisé à la fois à des fins personnelles et professionnelles.

Profils de configuration : distribution des paramètres de l'appareil Les profils de configuration iOS permettent de distribuer des paramètres d'appareil personnalisés7 . Ces fichiers XML contiennent toute sorte de paramètres, comme des certificats numériques, des comptes de messagerie (POP, IMAP et MicrosoftExchange), des services d'annuaire LDAP, des clips Web, et des paramètres Wi-Fi et VPN. Créés avec l'application macOS Apple Configurator2, les profils de configuration sont installés en partageant une connexion entre l'appareil et un Mac équipé de l'application, via USB ou d'autres méthodes sans fil.

Les paramètres définis par un profil de configuration ne peuvent être modifiés par l'utilisateur. Un moyen pratique pour les administrateurs informatiques de standardiser la configuration des appareils iOS. Gestion des appareils mobiles : enregistrement et exécution de commandes à distance La gestion des appareils mobiles (MDM), ajoutée dans iOS 4, permet aux administrateurs d'appareils de réaliser des opérations de gestion à distance. Elle repose sur les protocoles HTTP et TLS et des APN, et comprend le protocole d'enregistrement MDM et le protocole MDM. Le protocole d'enregistrement sert à vérifier que l'appareil peut être géré via MDM et que le serveur de gestion peut communiquer avec l'appareil.

Le protocole MDM définit les commandes grâce auxquelles les administrateurs peuvent intervenir sur les appareils. On distingue deux catégories de commandes: les requêtes et les actions. Les requêtes permettent de collecter des informations sur un appareil, les actions d'effectuer des opérations spécifiques (désinstaller une application ou réinitialiser l'appareil, par exemple). Supervision : fonctionnalités de sécurité avancées pour les entreprises Les appareils appartenant aux employés inscrits auprès du système MDM sont gérés par un ensemble de contrôles de gestion et de sécurité. Les appareils iOS détenus par l'entreprise et fonctionnant en mode supervision sont gérés par des contrôles informatiques plus stricts, via le système MDM.

La supervision est couramment utilisée pour les appareils qui doivent être restreints au mode Single-App (l'appareil exécute une seule et unique application avec une configuration de type kiosque verrouillée ou dédiée). L'administrateur informatique peut également interdire l'accès à certaines fonctionnalités grand public ou à usage privé comme la Photothèque iCloud et le téléchargement automatique des applications, sans que l'utilisateur puisse contourner ces restrictions. 7 Complément d'information : https://developer.apple.com/library/content/featuredarticles/iPhoneConfigur ationProfileRef/Introduction/Introduction.html

9 Sur les appareils supervisés, l'administrateur informatique peut bloquer l'accès à certaines applications. L'utilisateur a la possibilité de télécharger une application sur liste noire. Par contre, le serveur EMM peut empêcher son utilisation ou même son affichage, à l'aide de contrôles MDM. Par exemple, une organisation peut bloquer l'utilisation de réseaux sociaux tels que Facebook sur des appareils professionnels supervisés. Il est également possible de verrouiller ces appareils de sorte que les employés n'aient accès qu'aux applications approuvées par la société et à aucune autre, même pas aux applications iOS standard.

À l'aide de contrôles MDM, l'administrateur informatique peut également choisir les applications, les icônes et les clips Web visibles sur l'écran d'accueil, et peut ancrer de façon permanente des applications dans le Dock. Programme d'inscription des appareils : inscription MDM obligatoire et supervision sans fil Le Programme d'inscription des appareils (DEP) associe l'appareil au compte de l'entreprise relatif aux achats Apple, d'après son numéro de série. Le client bénéficie alors d'un accès à un portail Web, où il peut configurer les numéros de série et les commandes pour appliquer la supervision sans fil et, éventuellement, appliquer l'inscription MDM pour empêcher la suppression d'un profil MDM par son utilisateur.

Le Programme d'inscription des appareils est un moyen pour l'administrateur informatique de rationaliser le processus d'intégration des nouveaux employés. Celui-ci peut modifier l'expérience utilisateur et personnaliser l'assistant d'installation iOS, notamment en permettant d'ignorer certains écrans, pour épargner à l'utilisateur des manipulations superflues. Les employés apprécient de recevoir moins d'invites et de notifications ; ils sont plus vite opérationnels et productifs.

Différences entre appareils « gérés » et « supervisés » Appareils gérés : Un appareil géré appartient soit à l'entreprise, soit à l'employé.

Le service informatique peut sécuriser et gérer les données et applications d'entreprise de ces appareils indépendamment des données et applications de l'employé en installant un profil MDM. Les informations et applications d'entreprise peuvent être supprimées de l'appareil en cas de perte, vol ou non-conformité, sans que les données personnelles soient altérées. Un appareil géré répond aux exigences de sécurité de l'entreprise et peut compartimenter les applications et comptes personnels et professionnels, de même que leurs données. En revanche, il ne peut pas, et ne doit pas, empêcher l'utilisateur de profiter de la plupart des fonctionnalités grand public d'iOS et de l'écosystème Apple.

Appareils supervisés : Le message d'Apple est clair, la supervision est l'unique mode offrant à l'entreprise la possibilité de contrôler et de limiter totalement les fonctions de ses appareils iOS. Elle est réservée aux appareils appartenant à l'entreprise et offre au service informatique plus de contrôle que sur les appareils gérés. En mode supervisé, de nombreuses fonctionnalités de gestion permettent de sécuriser les appareils iOS, notamment le mode Single-App et le VPN toujours actif. Le service informatique peut également restreindre certaines fonctionnalités, telles que la Photothèque iCloud et le téléchargement automatique des applications, sans que l'utilisateur puisse contourner ces restrictions.

En général, la supervision est activée lors de la configuration de l'appareil, viaUSB ou une connexion sans fil dans le cadre du programme DEP.

10 MobileIron EMM : protéger de la périphérie vers le cœur Apple améliore sans cesse la sécurité des appareils iOS, ce qui explique en partie leur popularité auprès du grand public comme des professionnels. La protection des données de l'entreprise ne doit pas se limiter à l'appareil proprement dit. Le service informatique doit pouvoir étendre ce niveau de sécurité à des centaines voire des milliers d'appareils. Une fois ces appareils connectés à des réseaux ouverts, il faut protéger les applications et les données en dehors de la plateforme iOS.

La gestion de la mobilité en entreprise (EMM, Enterprise Mobility Management) est un ensemble complet de processus et technologies, agrégés dans un produit unifié de gestion du cycle de vie, qui permet de gérer les appareils mobiles, d'assurer l'accès sécurisé aux réseaux sans fil et de fournir d'autres services d'informatique mobile au sein de l'entreprise.

Une stratégie EMM efficace résout lesproblèmes de sécurité et améliore la productivité des employés en leur offrant les outils nécessaires pour travailler sur des appareils mobiles. Les solutions EMM conjuguent au moins trois fonctions de gestion de la mobilité, notamment : • Gestion des appareils mobiles (MDM, Mobile Device Management) : fonctions qui apportent la visibilité et les contrôles informatiques indispensables pour configurer, déployer, gérer et exclure les appareils en toute sécurité. • Gestion des applications mobiles (MAM, Mobile Application Management) : outils et technologies pour déployer et gérer les applications, et renforcer leur sécurité.

• Gestion du contenu mobile (MCM, Mobile Content Management) : type de système de gestion du contenu (CMS, content management system) étroitement intégré capable d'envoyer et de stocker du contenu et des services de fichiers sur des appareils mobiles. • Autres fonctions d'intégration avancées : intégration de services d'annuaire et de fournisseurs d'identité, émission et gestion de certificats d'infrastructure à clés publiques (PKI, public key infrastructure), et plus encore.

L'EMM est la solution idéale pour exploiter au mieux les outils de sécurité dans iOS et renforcer la sécurité des appareils chaque fois qu'un utilisateur accède à un environnement, que ce soit des ressources cloud ou le réseau non sécurisé d'un hôtel, d'un aéroport ou d'un café.

Le choix et le déploiement d'une plateforme EMM s'avèrent indispensables pour pouvoir tirer parti de toutes les fonctionnalités MDM et MAM avancées d'Apple iOS décrites précédemment. La solution proposée par MobileIron, par exemple, offre la sécurité d'iOS et du protocole MDM, et permet de distribuer les configurations et paramètres de sécurité à plusieurs appareils dans l'entreprise, via une plateforme standardisée. L'ajout de fonctionnalités avancées fait gagner en productivité et facilite la transformation des processus grâce à la mobilité. Avec une plateforme EMM solide et performante telle que celle proposée par MobileIron, l'entreprise dispose de l'infrastructure idéale pour déployer une stratégie de mobilité d'entreprise complète.

Premiers pas : autorisation et authentification des utilisateurs Liaison des appareils, utilisateurs et règles via les annuaires d'entreprise Avant d'appliquer des règles et d'accorder des droits aux utilisateurs, l'entreprise doit trouver une « source de vérité ». Dans le modèle hérité, les règles et droits sont liés à un annuaire d'entreprise par divers attributs tels que l'appartenance à un groupe. Parfaitement adaptée aux terminaux classiques, cette approche n'est cependant pas transposable aux appareils grand public modernes, qui ne reconnaissent pas les annuaires. MobileIron EMM relie l'appareil à l'annuaire: l'entreprise conserve son modèle de sécurité existant, mais peut lier les règles et configurations aux utilisateurs et appareils,

11 comme avec les terminaux traditionnels. Pour affecter correctement les droits, MobileIron s'appuie sur le protocole Lightweight Directory Access Protocol (LDAP) et sur sa base de données de plus de 200 attributs d'appareil, ce qui permet d'établir des règles flexibles, combinant informations sur les utilisateurs et sur les appareils. Authentification renforcée et simplifiée des utilisateurs avec les certificats numériques, Kerberos et l'authentification unique MobileIron assure par ailleurs une prise en charge efficace de l'infrastructure PKI. Quant aux certificats numériques, ils améliorent l'expérience utilisateur sur les appareils mobiles en sécurisant davantage l'authentification et en évitant de saisir des mots de passe complexes.

La plateforme MobileIron EMM intègre une autorité de certification et peut inscrire des appareils auprès d'un système PKI tiers, tel que ceux fournis par Entrust, OpenTrust ou Symantec, via le protocole Simple Certificate Enrollment Protocol (SCEP).

Autre option : combiner les certificats numériques et la délégation Kerberos contrainte (KCD, Kerberos constrained delegation). Le KCD offre un niveau élevé de sécurité et une expérience confortable, puisque les utilisateurs peuvent s'authentifier auprès des services pris en charge sans que l'entreprise ait besoin d'exposer l'infrastructure Kerberos en externe. Le service proxy de centre de distribution de clés Kerberos (KKDCP, Kerberos key distribution center proxy) permet, en outre, de bénéficier del'authentification unique (SSO, single sign-on) Kerberos dans iOS. L'avantage est double : les appareils iOS peuvent demander et recevoir directement des tickets Kerberos pour accéder aux services d'entreprise, et le serveur de centre de distribution de clés (KDC, keydistribution center), pierre angulaire dusystème, reste protégé.

Gérer et sécuriser : le protocole MDM, plan de contrôle de l'entreprise Les règles d'annuaire et d'authentification établies, le provisionnement des appareils peut commencer.

Un administrateur ajoute les données utiles MDM dans un profil de configuration, qu'il distribue aux appareils gérés par e-mail ou via une page Web. Il est éventuellement possible d'envoyer d'autres profils de configuration via une connexion sans fil une fois l'inscription terminée. Les profils de configuration et les profils de provisionnement installés via le service MDM (« profils gérés ») sont automatiquement supprimés en même temps que les données utiles MDM. Un service MDM peut être autorisé à obtenir la liste exhaustive des profils gérés sur l'appareil. En revanche, il ne pourra supprimer que les applications, les profils de configuration et les profils de provisionnement qu'il a lui-même installés.

Un profil de configuration installé via MDM ne peut être modifié ni supprimé par l'utilisateur final. Cela en fait donc une option de choix pour les appareils Single- App détenus par l'entreprise, soumis à des exigences plus strictes de sécurité et de contrôle informatique. Provisionnement simplifié des appareils, avec moins d'interventions Avec ce modèle de gestion sans fil, l'appareil iOS est inscrit via SCEP dans une configuration MDM, qui gère ensuite tous les autres profils. Les grandes structures peuvent ainsi configurer, en une fois, un nombre élevé d'appareils et distribuer les données utiles MDM d'un serveur avec des paramètres de messagerie personnalisés, des paramètres réseau ou des certificats.

Via le protocole MDM, l'administrateur distribue les données utiles d'inscription en les intégrant dans unprofil de configuration et en autorisant leur accès par les appareils ciblés, que ce soit par e-mail ou via une page Web. Le protocole MDM permet aux administrateurs système d'envoyer des commandes de gestion aux appareils iOS gérés équipés d'iOS 4 ou version ultérieure. Les administrateurs informatiques peuvent examiner, installer ou supprimer des profils, supprimer des codes d'accès,

12 ou encore effacer les données d'un appareil géré. C'est aussi grâce à ce protocole que les serveurs MDM contrôlent l'accès aux applications et données de l'entreprise par les seuls utilisateurs autorisés.

Chiffrés et verrouillés par le système MDM, les profils de configuration deviennent alors des profils gérés, dont les paramètres ne peuvent être arbitrairement supprimés, altérés, ni partagés. La suppression des données utiles MDM entraîne automatiquement la suppression des profils gérés (profils de configuration et de provisionnement des applications) installés via le service MDM. Ces données utiles peuvent d'ailleurs être supprimées à tout moment sur l'appareil personnel d'un utilisateur (comportement par défaut).

Prioritaire sur le modèle de propriété, le protocole MDM d'Apple offre aux administrateurs informatiques l'opportunité de combler les failles de sécurité entre les appareils détenus par l'entreprise et les appareils isolés appartenant aux utilisateurs. Cela explique aussi que le service MDM peut, et doit pouvoir, être supprimé à tout instant d'un appareil personnel. En ne payant pas l'équipement, l'entreprise fait également des économies. En retour, le service informatique dispose d'un niveau de contrôle limité sur l'appareil et ses données, et doit recevoir de l'utilisateur l'autorisation d'effacer les paramètres et les données d'entreprise si celui-ci est piraté ou volé.

C'est pourquoi Apple veille àce que les paramètres et données personnels puissent être sauvegardés et restaurés par l'utilisateur: un mécanisme que l'entreprise ne peut bloquer pour les appareils non supervisés.

La gestion du cycle de vie et de la sécurité des applications en pratique Distribuer les applications mobiles via un magasin d'applications professionnelles Aucune mesure de sécurité ne se suffit à elle-même, cela va sans dire. Les pirates trouveront toujours un moyen d'atteindre leur cible. Aussi est-il pertinent de renforcer la sécurité, surtout dans un environnement d'entreprise accueillant des volumes énormes de données sensibles. Pour empêcher que les utilisateurs téléchargent des applications non autorisées de l'AppStore sur des appareils appartenant àl'entreprise, le service informatique peut dresser une liste des applications approuvées sous la forme d'un magasin d'applications professionnelles.

Depuis iOS 9, les administrateurs ont la possibilité d'installer, de gérer, de mettre à jour et de supprimer des applications de l'App Store via MDM, tout en désactivant le magasin pour le reste de l'entreprise. Ils peuvent déployer des applications sur les appareils supervisés en arrière-plan depuis le serveur EMM ou attribuer des applications à des appareils que les utilisateurs devront installer eux-mêmes. Les administrateurs mobiles peuvent ainsi respecter plus facilement un modèle de déploiement standard et avoir l'assurance que les utilisateurs ne pourront pas installer d'applications personnelles sur les appareils supervisés.

Le service informatique gère facilement les applications surveillées et les listes blanche et noire dans le catalogue d'applications EMM et le risque de perte de données est limité en empêchant l'installation d'applications non autorisées ou potentiellement piratées. Ces options de protection des applications s'avèrent particulièrement utiles lors de déploiements d'envergure ou en mode kiosque. Gestion des applications mobiles : développer la sandbox des applications Une application installée depuis un magasin d'applications d'entreprise via le protocole MDM devient une application gérée. Grâce à elle, le service informatique maîtrise davantage l'utilisation de l'application et des données associées sur l'appareil.

Les protections de la sandbox s'appliquent aux applications gérées ; l'entreprise peut supprimer une application et effacer de manière sélective des données. Des fonctionnalités de sécurité sont activées, comme la gestion de l'ouverture des fichiers (« Open In »), et la sauvegarde des données sur iCloud ou iTunes peut être activée ou désactivée.

13 La gestion de l'ouverture des fichiers limite les informations d'entreprise envoyées aux appareils des employés, en autorisant leur traitement uniquement dans des applications gérées bien précises.Supposons que le système EMM distribue l'application MicrosoftWord. Les utilisateurs ne pourraient ouvrir les pièces jointes .docx que dans cet outil ou dans une autre application installée par EMM qui accepte ce type de données. Le retrait ou la mise en quarantaine d'un appareil, par l'utilisateur ou un administrateur, entraîne la suppression des données utiles installées par la plateforme EMM, y compris les applications gérées et données envoyées à l'appareil.

En cas de suppression partielle, les applications, données et paramètres professionnels sont tous supprimés. Autrement dit, le contenu et les améliorations de la sandbox de l'entreprise sont effacés. Il ne reste plus que le contenu personnel de l'utilisateur.

De plus en plus, les données d'entreprise migrent des référentiels classiques vers l'espace de stockage local des appareils mobiles. Savoir exploiter ces possibilités fait donc partie intégrante d'une stratégie plus globale de prévention contre la perte des données (DLP). Dans les cas extrêmes, l'effacement complet des données ou la réinitialisation de l'appareil peut s'imposer. MobileIron AppConnect, pour une protection accrue des applications propriétaires MobileIron AppConnect permet d'intégrer des contrôles de gestion et de sécurité supplémentaires dans les applications de l'entreprise, au moyen d'un SDK spécifique.

La solution isole les applications dans des conteneurs pour protéger les données statiques professionnelles sans toucher aux données personnelles, et propose des contrôles de règles plus précis que les fonctions de gestion iOS standard. Au final, chaque application se transforme en un conteneur sécurisé dont les données sont chiffrées, protégées contre tout accès non autorisé et supprimables.

Chaque conteneur d'application est connecté àd'autres conteneurs d'application sécurisés. Ce mécanisme autorise le partage des règles de sécurité et des données d'entreprise entre applications sécurisées. Le contrôle des règles de comportement de ces conteneurs est confié à la console MobileIron EMM. Les applications AppConnect peuvent également utiliser MobileIron Sentry pour échanger des informations avec les systèmes backend d'entreprise à l'aide de solutions VPN par application ou de MobileIron AppTunnel. Par ailleurs, la solution de sécurité cloud MobileIron Access fournit l'accès conditionnel aux services cloud àpartir des applications et des navigateurs mobiles.

Elle met en corrélation l'identité de l'utilisateur avec des informations uniques telles que le statut de l'appareil ou l'état de l'application dans un objectif: garantir que les données professionnelles ne soient pas accessibles par les utilisateurs non validés, et ne puissent pas être stockées sur des appareils non sécurisés ni partagées avec des services cloud non autorisés.

Sécuriser le contrôle d'accès dynamique Il arrive régulièrement, surtout dans le cadre des programmes BYOD, que les appareils ne soient pas toujours conformes. D'où la nécessité d'une approche automatisée pour surveiller le statut de protection des appareils et empêcher les appareils non conformes d'accéder aux ressources de l'entreprise. Le contrôle d'accès dynamique de MobileIronAppTunnel combine la sécurisation du transport du VPN standard avec l'identification basée sur des certificats et les règles basées sur le statut de l'appareil. Ceci permet de simplifier l'accès aux ressources de l'entreprise pour l'utilisateur, tout en garantissant que seuls les appareils autorisés pourront accéder à ces ressources.

Protéger les données en transit grâce au tunneling Grâce au proxy Kerberos, MobileIron permet aux utilisateurs d'appareils iOS qui n'appartiennent pas au réseau d'entreprise de s'identifier à l'aide de l'authentification unique d'iOS sans exposer le KDC Kerberos. Ainsi, les données en transit et l'infrastructure Kerberos de l'entreprise sont protégées. Par exemple, MobileIron Tunnel autorise le navigateur Safari d'Apple à accéder à des sites intranet protégés par un pare-feu grâce à un processus d'authentification transparent qui évite à l'utilisateur de saisir ses identifiants de connexion à chaque fois qu'il visite un nouveau site.

14 MobileIron Access : la sécurité et la confiance étendues aux applications SaaS De nombreuses entreprises migrent leurs applications et données mobiles vers le cloud, et doivent ainsi redéfinir leurs exigences de sécurité. Les solutions de sécurité cloud classiques, qui reposent essentiellement sur la saisie d'un identifiant et d'un mot de passe, ne suffisent pas pour empêcher que des données du cloud ne tombent entre de mauvaises mains par le biais d'applications et d'appareils mobiles non sécurisés. Pour étendre les principes de sécurité etde confiance aux applications de services logiciels (SaaS, software-as-a-service), comme Office 365, Salesforce, GSuite et Box, il faut une solution capable d'appliquer des règles d'accès conditionnel basées sur l'identité de l'utilisateur, le statut de protection de l'appareil mobile et l'état de l'application mobile.

La solution de sécurité cloud MobileIron Access permet justement aux administrateurs informatiques de définir des règles précises de contrôle des accès cloud en fonction, notamment, des applications, des adresses IP, des identités et des statuts des appareils. En conséquence, l'équipe informatique peut combler les failles entre la sécurité cloud et mobile, et mieux contrôler l'accès aux services cloud de l'entreprise. MobileIron ServiceConnect : intégration avec les systèmes de sécurité d'entreprise tiers Du fait de ce rapport 1:1 inédit qui existe entre l'appareil géré et la plateforme EMM, MobileIron est à même d'assumer des rôles auparavant répartis entre plusieurs agents logiciels.

Avec MobileIron ServiceConnect, les autres systèmes informatiques et de sécurité de l'entreprise bénéficient eux aussi de la visibilité offerte par la plateforme MobileIron EMM, leur permettant de prendre en charge des appareils iOS, à l'instar d'un terminal standard. Console de gestion desservices informatiques (ITSM, IT service management), plateforme de contrôle des accès réseau (NAC, network access control), système de gestion des informations et des événements de sécurité (SIEM, security information and event management)… Peu importe le système, l'entreprise peut s'appuyer sur MobileIron EMM comme « source de vérité » et outil de gestion de règles pour appliquer ses règles et procédures existantes aux différents appareils iOS.

15 EMM et iOS : un modèle de sécurisation de l'entreprise mobile moderne Avec une stratégie de sécurité mobile EMM/iOS, les entreprises sont armées pour affronter sereinement les problèmes de sécurité les plus épineux. Combinés, iOS et EMM proposent un système d'exploitation et une plateforme de gestion complète et sécurisée aux équipes informatiques chargées de la sécurité, qui disposent ainsi du contrôle proactif et évolutif indispensable pour gérer un parc mobile toujours plus vaste. Une solution EMM, comme celle de MobileIron, offre une plateforme complète qui protège les données d'entreprise, où qu'elles soient: dans des centres de données, dans le cloud, dans des applications mobiles, sur des appareils mobiles et lors des transferts.

En gérant son parc d'appareils mobiles via EMM, l'entreprise s'assure que tous ses appareils iOS sont protégés par les configurations de règles les plus récentes, exécutent les dernières versions du système d'exploitation et des applications, et sont accessibles uniquement par les utilisateurs autorisés. La gestion unifiée des terminaux associée à l'EMM réduit le coût total de propriété (CTP) par divers mécanismes, dont la réduction d'un grand nombre de processus de configuration laborieux, l'installation à distance des mises à jour d'applications et de règles, la résolution des problèmes à distance, et la prise en charge d'un éventail élargi d'appareils BYOD et détenus par l'entreprise.

En conjuguant la plateforme de sécurité mobile avancée de MobileIron et les options de sécurité iOS, toujours plus nombreuses, d'Apple, le service informatique peut exploiter le plein potentiel de la mobilité d'entreprise iOS, sans mettre en péril les données de l'entreprise. Notre plateforme EMM a vocation à étendre les fonctionnalités de sécurité existantes d'iOS, tout en les simplifiant, le but étant que les entreprises puissent protéger chaque appareil et application iOS et que leur utilisation reste simple. 415 East Middlefield Road Mountain View, CA 94043, États-Unis info@mobileiron.com www.mobileiron.com Tél : +1 877 819 3451 Fax : +1 650 919 8006

Vous pouvez aussi lire