Projet Tutoré MDM LA GESTION DES APPAREILS MOBILES EN ENTREPRISE - BELFAKIR - SECULA - LAVAL - DAHOU - Loria
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Projet Tutoré MDM LA GESTION DES APPAREILS MOBILES EN ENTREPRISE BELFAKIR - SECULA – LAVAL - DAHOU
I - Remerciements 3
II - Historique 4
III - Introduction 6
IV - Contexte et objectif 7
V - API 11
VI - Virtualisation de téléphone 11
VII - Android Studio 12
VIII - BYOD 14
1 Introduction 14
a) Problématique 14
b) Intérêts pour les salariés 14
c) Intérêts pour l’entreprise 14
2 Problème de sécurité BOYD 14
a) Perte de données 14
b) Problèmes liés au réseau 15
c) Absence de pare-feu ou de chiffrement des données 15
IX - EMM 17
1 Définition 17
2 Les différents types de solutions 17
X - MDM 17
1 Historique 17
2 Le fonctionnement des MDM 17
a) Schéma simple du fonctionnement 18
b) Schéma d’infrastructure sur site 18
c) Schéma d’infrastructure cloud (SaaS) 19
3 Les fonctionnalités 20
4 Principaux vendeurs 21
a) Magic Quadrant de Gartner (2018) 21
b) Répartition des parts de marché par l’IDC (2016) 22
5 Solutions MDM leaders du marché 23
XI - MDM ou MAM ? Que choisir pour sécuriser sa flotte mobile 24
1 MDM 24
a) Inconvénients 24
b) Avantages 24
1
2 MAM 24
a) Inconvénients 24
b) Avantages 25
Application de stratégies 30
XII - Charte Informatique 31
XIII - RGPD et MDM 32
XIV - Organisation du projet 33
XV - Comparaison Puppet/Ansible et MDM 35
XVI - Conclusion 36
XVII – Bibliographie 37
XVIII – Annexes 37
Documentation Flyve MDM 38
Documentation Relution 43
Documentation WSO2 47
2
I - Remerciements
Nous tenons à remercier l’ensemble du jury, aussi bien les professeurs que
les différents intervenants pour tous leurs précieux conseils qu’ils nous ont fournis.
Nous tenons tout particulièrement à remercier nos tuteurs, Mathieu Goulin et
Antoine Alluin, qui tout au long de ce projet n’ont cessé de nous donner des
conseils et des indications qui nous ont permis d’être au point notamment sur la
soutenance intermédiaire.
Pour nous avoir immergé dans le monde du libre, pour nous avoir donné
l’occasion d’assister à une réunion sur les logiciels libres, nous remercions Lucas
Nussbaum, maître de conférences à l’Université de Lorraine et chercheur au Loria.
Nous remercions également Philippe Dosch qui nous a suivis attentivement durant
toute la durée de la formation, et a su rester disponible pour répondre à toutes nos
questions.
Enfin, nous tenons à remercier les deux sociétés VMware et Cisco, pour
avoir répondu à nos mails et tout particulièrement VMware Airwatch pour nous avoir
fourni une version de démonstration pour tester les fonctionnalités de leur solution.
3
II - Historique
New York, le 3 avril 1973, le docteur Martin Cooper fait une démonstration de
rue d’un appareil au design peu esthétique certes mais dont l’objectif est d’être
joignable à tout moment. Cet appareil n’est autre que l’invention qui a chamboulé notre
monde, à savoir le Motorola DynaTac 8000, ce sera le premier téléphone portable de
l’histoire.
Source de l’image: http://www.mobilophiles.com/2014/10/le-premier-telephone-
portable-au-monde-le-motorola-dynatac-8000x-dit-brick-phone.html
L’utilisation des téléphones portables s’est banalisée dans les années 1990, le premier
téléphone apparu en France est le modèle Bi-Bop.
Le taux d’utilisation du mobile dans le monde à cette époque est de 6 abonnements
pour 1000 habitants. Le nombre d'abonnements en mobile (180 abonnements pour 1000
habitants) dépasse celui des lignes fixes en 2002, ce taux est passé à 510 abonnements pour
1000 habitants.
Le système d'exploitation n’a pas cessé d'évoluer, la plupart des appareils disposent
maintenant de nombreuses fonctionnalités, c’est la naissance du téléphone intelligent d’où son
nom de smartphone.
En 2018, 75 % des Français ont un smartphone, ce qui représente plus de 48 millions
d’habitants. La 3G et la 4G représentent désormais 83 % des connexions. Les messageries
mobiles (48 %) et les vidéos (46 %) représentent l’utilisation la plus sollicitée par les
utilisateurs.
4
Source:https://www.blogdumoderateur.com/etat-lieux-2018-internet-reseaux-sociaux/
À quoi ressemblera le smartphone du futur ?
Les smartphones sont devenus un
véritable ordinateur de poche, dans l'ère
de la 5G, leurs performances ne cessent
de croître , les dernières générations des
appareils mobiles seront un sérieux
concurrent des ordinateurs portables.
D'après des observateurs, deux types de
fonctionnalités seront intégrés dans nos
téléphones, soit la possibilité de les relier
à un écran plus grand et à un clavier, soit
celle de les intégrer dans une coque
d’ordinateur portable ou les deux.
Source:https://itsocial.fr/enjeux/mobilite-it/smartphone/a-quoi-ressemblera-
telephone-10-ans/
5
III - Introduction
Depuis quelques années avec l'apparition des appareils mobiles, on observe
que les employés confient leurs appareils mobiles au service informatique de leur
entreprise pour installer l’application de l’entreprise ou mettre en place la messagerie
interne de la société.
Les employés utilisent leurs terminaux pour faire des tâches professionnelles,
les tâches généralement accomplies sur ces appareils relèvent de la correspondance
électronique, de la gestion d’agenda, et de l’échange de messages instantanés dont
les SMS, il n’est pas surprenant que les entreprises encouragent leurs employés à
utiliser leurs terminaux mobiles dans le cadre professionnel, motivées par les gains
de productivité perçus et par les réelles économies offertes par le BYOD (Bring Your
Own Device) . Néanmoins, cette nouvelle tendance qui n’est pas encore totalement
appréhendée par le droit pose une multitude de question concernant à la fois la
sécurité de l’entreprise, mais aussi la préservation de la vie privée du salarié.
Sources: https://www.murielle-cahen.com/publications/smartphones.asp ]
https://www.lemagit.fr/actualites/2240231343/BYOD-les-craintes-liees-a-la-securite-
ne-freinent-pas-lutilisation-de-terminaux-personnels
La mise en œuvre de la solution MDM peut générer certaines problématiques
auxquelles l’entreprise doit être très attentive : le fait de ne pas avoir d’appareil mobile
peut en effet mettre de côté certains salariés. De même, les applications de
l’entreprise dans le cas de BYOD peuvent ne pas être compatibles avec les
téléphones.
Dans certains cas, l’utilisateur refuse que sa société détienne des informations
personnelles. Parfois encore ces salariés n’acceptent pas les conditions d’utilisation
et se sentent donc marginalisés aux yeux de l’entreprise.
Il est donc nécessaire de définir clairement la position de l’entreprise, par
rapport au BYOD en tenant compte bien sûr des problèmes juridiques. Cette politique
d’entreprise vise à faire des investissements raisonnés dans les solutions MDM, en
donnant la priorité aux fonctions essentielles, et évidemment dans le respect de la vie
privée de ses employés.
6
IV - Contexte et objectif
Le BYOD est de plus en plus utilisé en entreprise, ce qui apporte certains
avantages pour l’employeur comme pour l’employé, mais qui pose de nombreux
problèmes au sein du réseau de l’entreprise et notamment en matière de sécurité.
Le but est donc de trouver des solutions MDM pour palier à ces problèmes.
L’objectif de ce projet tutoré et de faire une étude sur les différentes solutions
MDM existantes, étudier leurs capacités, leurs limites. Mais aussi de faire une
comparaison entre les solutions libres et propriétaires.
Etudes des besoins des entreprises
Dans le cadre de notre formation en Licence Professionnelle ASRALL, nous
avons imaginé deux scenarios pour mettre en place une solution MDM.
Nous nous sommes basés sur des besoins réalistes, d’une part le cas d’un collègue
qui occupe un poste de technicien informatique dans une société française basée à
Paris, qui se place comme leader en France dans la transformation digitale, et d’autre
part le cas d’une société de petite taille approchée au cours d’un stage en entreprise.
Chaque société a des besoins propres à son activité et à son effectif en termes de
personnel.
1. Premier scénario
En premier lieu, nous avons étudié les besoins de la société parisienne.
Avec plus de 200 employés en France, le service informatique de même que
le reste des services est basé à Paris, les principales fonctions dans cette entreprise
sont des techniciens, des commerciaux et des chefs de projets répartis sur tout le
territoire français.
● Les besoins des techniciens
Pour les tâches quotidiennes, les techniciens utilisent leur tablette pour clôturer
les interventions et rédiger les rapports des installations, des applications de
l’entreprise dédiées à cette tâche doivent être installées sur les terminaux, et ils
pourront également consulter leur boîte mail, et d’autres applications pour les besoins
des comptabilités sur leur Smartphones.
● Les besoins des commerciaux
7
Les commerciaux consultent en permanence les tarifs et les devis à partir de
la base de données de la société, pour cette raison l’entreprise leur fournit un pc
portable, et aussi un smartphone pour joindre les clients et consulter leurs mails, et
les applications de l’entreprise.
● Les besoins des chefs de projet
Les chefs de projets travaillent la plupart du temps en entreprise, mais ils sont
amenés à se déplacer pour mettre en place une nouvelle solution, le service
informatique installe les applications de l'entreprise sur leurs appareils mobiles.
● Les besoins attendus de la solution MDM
Nous pouvons répertorier les attentes de l’entreprise pour gérer les terminaux
par fonction, en effet chaque service a des besoins spécifiques, ci-dessus un tableau
de la politique choisie pour les tâches de chaque service.
8
Le schéma ci-dessous montre une vue globale de l’entreprise
92. Deuxième scénario
Une société de maintenance informatique de petite taille basée à Nancy a
besoin de mettre en place une solution MDM, avec un budget limité, l’entreprise a une
dizaine de salariés, 6 techniciens terrain et un commercial, en effet pour des raisons
de productivité et d’organisation, l'opérateur qui gère le planning, n’a pas de visibilité
sur les tâches quotidiennes effectuées par les techniciens, ces derniers et le
commercial ont besoin de consulter leur mail, et l’application de l'entreprise, ainsi
d’autres tâches que nous pouvons répertorier dans le tableau ci-dessus.
Pour répondre à la problématique posée précédemment, nous allons dans un
premier temps vous parler des outils nécessaires en pré-requis (API, Virtualisation,
Android studio)
10V - API
Les API vont servir à manager les appareils en lien avec la solution mdm. L’API
va alors être l’agent où l’on va pouvoir mettre toutes sortes de règles de restrictions
ainsi qu’une possibilité de descendre des applications et de les manager.
Comme on peut le voir sur ce schéma, l’API ou l’agent va être l’intermédiaire
entre la solution MDM et le matériel que détient l’employé, elle est représentée par le
noeud. L’API va pouvoir bloquer par exemple la wifi, les appels, ou va pouvoir localiser
le téléphone.
Maintenant nous allons nous intéresser à un matériel qui va permettre de
mettre en place des règles de restrictions plus précises et également plus restrictives
encore, c’est Samsung. Avec Samsung Knox, nous avons pu voir en effet que en
acceptant un certificat en plus, nous avons pu mettre en place des règles de
restrictions en plus.
VI - Virtualisation de téléphone
Dans un souci de réalisme, nous avons voulu mettre en place les solutions
MDM avec un nombre d’équipements un peu plus important que nos téléphones seuls.
Nous avons donc mis en place de la virtualisation de téléphone sous Android. Voici
les différents logiciels que nous avons utilisés : Genymotion, Virtualbox (avec des
images iso notamment Android x86), Android Studio.
11Cette capture vient de l’application d’Android Studio, cette
virtualisation sert à vérifier le fonctionnement de l’application
développé sur Android Studio.
VII - Android Studio
Dans le cadre de notre projet, nous avons dû développer une application de
test afin de pouvoir la déployer sur des appareils Android grâce aux solutions MDM.
Pour cela, nous avons utilisé Android Studio qui permet la création simple
d’application Android.
12Sur l’écran de configuration
du projet, nous pouvons
sélectionner le niveau
minimum d’API qui va définir
le niveau de compatibilité de
l’application avec les
différents appareils Android
existant.
Le développement sous Android Studio s’effectue en Java mais certains aspects du
développement concernant des informations sur les éléments graphiques sont en xml.
Il est aussi possible de voir une prévisualisation de
l’aspect visuel de l’application avant de tester son
fonctionnement dans un environnement Android.
13VIII - BYOD
1 Introduction
a) Problématique
BYOD qui signifie bring your own device, est une tendance qui permet
l’utilisation de son propre matériel informatique en entreprise. De plus en plus
d’employés utilisent leurs appareils mobiles, à savoir un ordinateur, un smartphone,
et une tablette.
L’utilisation du BYOD suscite des questions au niveau de la sécurité et de la
protection des données, mais également au niveau social et juridique. En raison
d'absence de contrôle des appareils, celui-ci est généralement une solution à risque
pour les entreprises, qui se tournent vers les solutions MDM (mobile devices
management) permettant d’encadrer et d'administrer les terminaux au sein de la
politique informatique de l'entreprise.
b) Intérêts pour les salariés
L'intérêt pour le salarié et de pouvoir utiliser son propre matériel, ce qui lui
apporte plusieurs avantages. Il sera plus efficace, car il travaille avec son propre
matériel qu’il maîtrise mieux. De nos jours, de plus en plus de salariés possèdent
plusieurs outils informatiques, à savoir un ordinateur portable, un smartphone, et une
tablette. Travailler avec son appareil personnel permet par exemple de travailler en
horaires décalés, ou faire du télétravail.
c) Intérêts pour l’entreprise
Un des gros avantages qui n’est pas des moindres est la réduction des coûts
pour l’entreprise qui n’aura pas à fournir des appareils pour équiper ses salariés. Et
un gain considérable de productivité.
2 Problème de sécurité BOYD
a) Perte de données
Un des problèmes majeurs du BYOD est la perte des appareils mobiles. Ce qui
implique que les données de l’entreprise peuvent être entre les mains de personnes
malveillantes. Selon l’expert en sécurité Winn Schwartau, 25 % des salariés
propriétaires de mobiles perdent au moins une fois leur smartphone.
Il existe plusieurs solutions pour pallier à ce problème :
14● L’une d’entre elle est la gestion à distance proposée par Google et Apple, qui
permet de neutraliser l’appareil si celui-ci est perdu ou volé. Mais il faut l’activer
au préalable.
● Une autre solution consiste à blacklister l'appareil ce qui le rendra inutilisable.
b) Problèmes liés au réseau
Un autre problème lié au BYOD est la fuite des données. En effet, les appareils
apportés par les salariés ne sont pas toujours contrôlés. Ce qui comporte un gros
risque pour l’entreprise.
De plus, le fait que les employés de l’entreprise puissent utiliser leur propre
appareil apporte quelques problèmes au niveau de la sécurité.
Les employés auront la possibilité de se connecter au réseau de l’entreprise,
ce qui veut dire de nombreuses connexions entrantes et donc de plusieurs risques
d’intrusions dans le réseau de l’entreprise. Également les nombreuses connexions
avec les appareils des salariés peuvent entraîner une importante consommation en
bande passante et par conséquent des ralentissements sur les réseaux.
c) Absence de pare-feu ou de chiffrement des données
De plus, dans la plupart des cas, ces terminaux ne sont pas bien protégés (pas
de mot de passe, pas de chiffrement, antivirus et pare feu absents, application non
sécurisée) ce qui les rend vulnérables face aux différentes attaques. Il existe aussi un
risque d’infection au sein du réseau interne de l’entreprise.
Pour mettre en place une solution MDM, il faut prendre en compte plusieurs
paramètres. Les trois principaux besoins sont le parc matériel, le parc logiciel, et la
sécurité.
151. Le parc matériel
Les entreprises encouragent l’utilisation du BYOD, pour diminuer le coût global
à investir dans une solution MDM. Ci-dessous les besoins en matériels :
● Le nombre d'appareils à administrer
● Les moyens disponibles pour administrer (serveur, administrateur système)
● Les solutions d’hébergement du serveur MDM, dans les locaux de l’entreprise
ou sur le cloud
2. Le parc logiciel
Pour choisir une solution MDM qui répond à nos attentes, il est important
de vérifier quelques points :
● Les applications de l’entreprise sont-elles compatibles avec les OS des
appareils ?
● Quel OS est utilisé par chaque terminal ?
● Quelles applications seront gérées par la solution MDM (géolocalisation,
transfert des fichiers, gestion des applications, etc ..)?
3. La sécurité et l’aspect juridique
C’est le point le plus délicat, il est absolument primordial de définir au préalable
nos besoins en termes de sécurité et de loi, ci-dessous les points essentiels
● Mettre en place une charte informatique, pour la bonne pratique d’utilisation
des appareils de l’entreprise ou des appareils personnels BYOD, et définir
toutes les modalités de contrôle des appareils, le but étant que les employés
soient clairement informés de leurs droits et de leurs devoirs (anticipation par
l’employeur des litiges)
● Comment sécuriser le serveur MDM
● Comment réagir en cas de perte d’un appareil
● Définir la frontière entre la vie professionnelle et personnelle
● Si le BYOD est appliqué par la société, comment définir la responsabilité de
chacun en cas de perte ou de casse des terminaux (qui paye l’assurance ?)
● L’entreprise a-t-elle le droit de contrôler le terminal mobile personnel de ses
salariés ? A-t-elle le droit de géolocaliser le salarié ? Effacer des données à
distance est-il envisageable ?
● Les salariés ont-ils le droit de « transporter » des données confidentielles de
l’entreprise sur des terminaux personnels ?
16IX - EMM
1 Définition
Les solutions EMM (Entreprise Mobile Management) sont l’ensemble des
services de gestion des appareils mobiles en entreprise, ces services permettent la
gestion et la sécurisation des données des appareils mobiles.
2 Les différents types de solutions
Il existe plusieurs types de solutions EMM. Les solutions MDM (Mobile Device
Management) qui permettent la gestion des appareils mobiles et des logiciels présents
sur ces appareils. Les solutions MAM (Mobile Application Management) permettant le
déploiement et la mise à jour des applications mobiles. Les solutions MIM (Mobile
Identity Management) qui gèrent l’identification et l’accès aux données des appareils.
X - MDM
Les solutions MDM permettent la gestion de flottes d’appareils mobiles, cela
comprend les smartphones, les tablettes, les ordinateurs hybrides (les ordinateurs
pouvant à la fois être au format tablette et ordinateur portable).
1 Historique
Les logiciels MDM ont fait leurs apparitions au début des années 2000 comme
une façon de contrôler et de sécuriser les assistants personnels et les smartphones
en entreprise. Avec l’arrivée des smartphones grand public, les salariés ont
commencé à apporter leurs propres appareils au travail, ce qui a augmenté l’intérêt
pour les solutions MDM. De nos jours, les logiciels MDM sont compatibles avec les
smartphones, les tablettes, mais aussi avec les ordinateurs Windows ou macOS et
avec certains objets connectés.
2 Le fonctionnement des MDM
Les solutions MDM fonctionnent sous la forme d’un agent se trouvant sur un
appareil mobile connecté par le réseau de l’entreprise ou internet à un serveur qui se
trouve sur une machine pouvant être sur site ou hébergé sur un cloud. Les
administrateurs de la solution configurent les règles et les politiques avec une console
de gestion présente sur le serveur, ils peuvent aussi déployer des applications sur les
appareils par le biais du serveur. Le serveur envoie les règles et politiques à l’agent
qui les interprète et les applique en communiquant avec l’API de l’appareil mobile.
17a) Schéma simple du fonctionnement
b) Schéma d’infrastructure sur site
L’infrastructure sur site se compose principalement des agents mobiles MDM
fonctionnant sur Android, IOS ou sur des ordinateurs portables (Windows, Mac OS,
Linux) et se trouvant sur Internet ou dans le réseau de l’entreprise. Un serveur avec
la solution MDM accessible via une console de gestion, d’une base de données pour
stocker les informations des utilisateurs ainsi que les règles et politiques. Un broker
peut se retrouver dans l’infrastructure et avoir le rôle d’intermédiaire entre les agents
et le serveur MDM pour aider à garder une connexion persistante entre les agents et
le serveur, mais celui-ci reste optionnel pour certaines solutions.
18c) Schéma d’infrastructure cloud (SaaS)
L’infrastructure cloud se différencie de celle sur site, en externalisant la base
de données, le serveur, et le broker chez un fournisseur SaaS, les connexions des
agents au serveur sont donc toutes faites par le biais d’internet.
193 Les fonctionnalités
Les fonctionnalités que l’on retrouve typiquement sur les différentes solutions
MDM sont la gestion et prise en charge des applications, la gestion d’inventaire, la
gestion de la sécurité et la gestion des services de communications.
La plupart des solutions possèdent aussi le contrôle à distance des appareils
ainsi que le renforcement du chiffrement des données. Certaines permettent plus de
gestion pour les applications avec la possibilité de blacklister des applications, et de
bloquer ou interdire l’installation en roaming par rapport à la position géographique.
D’autres solutions apportent aussi la gestion des sauvegardes en permettant
de sauvegarder et restaurer des données appartenant à un compte utilisateur en cas
de changement d’appareils, ainsi que le blocage et la suppression à distance, un
aspect important pour la sécurité des appareils en cas de perte ou de vol de celui-ci.
Finalement, on retrouve aussi des fonctionnalités de diagnostic permettant d’obtenir
des informations diverses sur l’appareil comme l’état de la batterie, les réseaux
auxquels l’appareil s’est connecté, et même le nombre d’heures d’utilisation.
204 Principaux vendeurs
Il y a eu beaucoup de changement au niveau des vendeurs de solutions EMM
au fur à mesure des années. Au début, les principaux vendeurs spécialisés dans la
mobilité d’entreprise étaient AirWatch, Sybase, MobileIron, Zenprise et Fiberlink.
À partir de 2017, tous ces vendeurs sauf MobileIron se sont diversifiés pour
offrir d’autres services que les EMM, cela est notamment dû aux rachats1 des autres
entreprises EMM par les nouveaux leaders du marché que sont VMware, IBM,
BlackBerry, Citrix et Microsoft.
a) Magic Quadrant de Gartner (2018)2
1
AirWatch par VMware en 2014, Fiberlink par IBM en 2013, Good Technology par BlackBerry en
2015, Zenprise par Citrix en 2012.
2
https://en.wikipedia.org/wiki/Magic_Quadrant
21b) Répartition des parts de marché par l’IDC 3 (2016)
3
IDC: International Data Corporation
225 Solutions MDM leaders du marché
Sur le tableau, ci-dessous, nous retrouvons 4 solutions propriétaires qui font
parti des solutions les plus utilisées. Nous avons choisi ces solutions en se basant
sur 4 grandes catégories de critères que nous considérons comme décisifs lors de la
sélection d’une solution MDM.
Comme on peut le voir, les solutions Airwatch, MobileIron, XenMobile rentrent
parfaitement dans les critères de sélection, la seule différence entre les 3 se trouve
sur les systèmes supportés par chaque solution, VMware Airwatch étant celle
supportant le plus de systèmes différents. La solution par Blackberry manque de
certaines fonctionnalités dans la gestion d’applications et la gestion de l’appareil,
notamment la restriction des paramétrages de l’appareil ou la restriction des
applications qui peuvent être des fonctionnalités requises.
23XI - MDM ou MAM ? Que choisir pour sécuriser sa
flotte mobile
La gestion des appareils mobiles (Mobile Device Management) et celle des
applications mobiles (Mobile Applications Management) sont deux des technologies
les plus courantes pour assurer la sécurité des usages du smartphone et de la tablette
en entreprise (Enterprise Mobility Management)
1 MDM
a) Inconvénients
● L’approche "globale" du MDM est qu’elle s’avère souvent pesante à une
époque où les smartphones et tablettes appartiennent aux employés et non à
leur employeur. Les utilisateurs ne comprennent pas forcément pourquoi ils
devraient saisir leur mot de passe professionnel chaque fois qu’ils se servent
de leur téléphone pour jeter un coup d’oeil à leurs courriers électroniques. «
Pourquoi le service informatique voudrait-il supprimer à distance les photos de
mon chien si je perds mon téléphone ? », peuvent s’interroger certains.
● Le MDM effectue des tâches de sécurité assez importantes, mais il peut
s’avérer coûteux et ne protège pas contre les fuites de données de toutes
sortes.
b) Avantages
La gestion des appareils mobiles suit une approche de sécurisation et de
contrôle de tout l'appareil mobile. Le service informatique peut sécuriser l’accès
à l’appareil en créant un code secret et empêcher que les données sensibles
ne tombent dans de mauvaises mains - en effaçant à distance les informations
d’un appareil perdu ou volé. Les autres fonctionnalités de base des outils MDM
incluent également la mise en oeuvre de règles, le suivi du stock d'appareils,
ainsi que la surveillance et le reporting en temps réel
2 MAM
a) Inconvénients
La gestion des applications mobiles ou MAM, permet, elle, de ne gérer et de
ne sécuriser que les applications conçues spécialement par l'entreprise. Dans
24l’exemple ci-dessus, le service informatique pourrait effacer la messagerie
professionnelle ou en supprimer
b) Avantages
● Certains outils de gestion des appareils mobiles peuvent s’intégrer au MAM
pour déployer et mettre à jour automatiquement les applications mobiles.
● La gestion des applications mobiles ou MAM, permet, elle, de ne gérer et de
ne sécuriser que les applications conçues spécialement par l'entreprise, sans
toucher les données des employées.
● La vie privée des utilisateurs est respectée : les politiques de sécurité ne
s’appliquent qu’aux applications – et données – professionnelles, l’entreprise
n’a pas la main sur l’espace personnel du terminal.
● Les solutions étudiées
Après avoir identifié les besoins de chaque entreprise, nous avons entamé la
recherche des solutions les plus adaptées, nous avons étudié et testé plusieurs
solutions open source et propriétaires, et chaque solution a des avantages et des
inconvénients, que nous allons vous détailler par la suite. Les solutions MDM que
nous avons choisies, répondent à plusieurs paramètres (fonctionnalités, le coût,
..etc.).
Relution Wso2 Flyve Airwatch
25Sur le tableau, ci-dessous, nous avons le tableau des solutions testés (2
solutions libres et 2 solutions propriétaires) comparés de la même façon que le
tableau des solutions leaders du marché.
Comme on peut le voir sur ce tableau, les deux solutions libres ne remplissent
pas tous les critères, WSO2 à une meilleure gestion des appareils que Flyve et permet
aussi de restreindre les applications utilisables, cependant, il ne permet pas le
déploiement d’application comparé à Flyve et il ne supporte qu'Android et Windows
Phone, ce dernier étant sur très peu d’appareils et très peu utilisé. Il est aussi
intéressant de noter qu’aucune des solutions libres ne supporte la sauvegarde des
appareils.
D’une autre part, parmi les solutions propriétaires nous avons VMware Airwatch
qui remplit tous les critères du tableau et supporte un grand nombre de systèmes
différents. La solution Relution comprend beaucoup de fonctionnalités, mais elle ne
prend pas en charge la sauvegarde des appareils, ne supporte pas du tout la gestion
de fichiers et dans une mesure moins importante ne permet pas le contrôle à distance.
26● La mise en place des solutions
Nous avons choisi de vous exposer deux
solutions, que nous paraissent les plus
adaptées aux scénario proposés
précédemment, toutes les solutions sont
détaillées sur l’annexe. Dans notre
démarche, nous avons sollicité la plupart
des sociétés propriétaires pour avoir une
version de test, mais malheureusement
seul Airwatch et Cisco nous ont répondu.
La solution de test de Cisco n’est pas
complète, elle ne prend en compte que la
partie réseaux, par contre la version de
test Airwatch est complète, en effet nous
avons eu la possibilité de travailler avec
une machine virtuelle (voir image échangée avec le commercial de Airwatch)
● La solution Airwatch VMware
Airwatch une solution propriétaire complète, d'après nos recherches elle est le
leader de marché des solutions MDM, elle est capable de gérer tous les OS qui
existe, ainsi que tous les terminaux (Android/iPhone, pc portable, tablette.etc). Ci-
dessous une capture des tests effectués sur un iPhone, la première image
représente la politique adoptée par le service informatique, lors de l'installation du
agent MDM , et sur la deuxième image, une simulation de perte de terminale ( la
personne qui trouve l’appareil n’a pas d’autre solution que d’appeler le numéro
déjà prédéfini antérieurement par l’administrateur).
27Ci-dessous une image qui montre un déploiement des applications sur un pc
portable sur Windows 10, avec une notification envoyée à l’utilisateur pour accepter
l’installation de ces applications.
28● La solution Flyve MDM
La solution Flyve MDM est la solution libre et open source avec un projet étant le plus
actif et fonctionnel que nous avons pu trouver et tester. Cette solution fonctionne sous la forme
d’un plugin GLPI et utilise l’API GLPI pour communiquer les différentes règles à un broker
(mosquitto dans notre cas) qui enverra ces règles aux agents sur les appareils. Flyve dépend
d’un autre plugin GLPI (FusionInventory) qui sert à la gestion d’inventaire des appareils
mobiles.
Infrastructure Générale
L’infrastructure de Flyve MDM est composé de :
● une interface utilisateur pour l’administrateur
● un serveur qui fait office de backend
● un serveur M2M4
● un agent installé dans un appareil administré
Dans ce schéma d’infrastructure, le serveur M2M a le rôle de garantir la persistance
de la connexion en servant de passerelle entre le serveur backend et l’agent mobile,
car un appareil mobile ne peut pas garantir une connexion permanente. C’est aussi
le serveur M2M qui permet d’exécuter les requêtes provenant du serveur backend.
4
Machine-to-Machine: Terme qui englobe toutes les technologies permettant l’échange
d’informations entre machines connectées en réseau, et ceci sans intervention humaine.
29Application de stratégies
Sur la capture, ci-dessous, nous pouvons voir des stratégies que l’on a appliqué à un
appareil, elles définissent deux restrictions (désactivation du Bluetooth et désactivation du
Wifi) et le déploiement de l’application Hello World.
Les règles de cette stratégie se
retrouvent sur l’interface de l’agent Flyve
sur l’appareil. Cependant même si les
règles de restrictions sont visibles sur
l’interface et apparaissent comme si elles
étaient appliquées, celles-ci ne marchaient
pas correctement sur tous les appareils.
Les appareils étant de version Android et
de marque différentes, cela peut expliquer
le problème d’application des règles.
30XII - Charte Informatique
Le but de la charte informatique et d'encadrer l’utilisation des ressources
informatique de l’entreprise, et aussi sensibiliser les employés à la bonne pratique des
outils mise à leurs dispositions. L'intérêt pour les employeurs est de limiter leur
responsabilité, elle est prévue pour compléter la loi, l'employeur a l'obligation de la
diffuser auprès des utilisateurs, avec les acceptations au préalable des instances
représentatives des salariés. L’employeur peut imposer la charte et la déposer au
Greffe du Conseil des Prud’hommes, et l’annexe sur le règlement intérieur de
l’entreprise.
La majorité des sociétés ont une charte informatique (plus de 80% des
entreprises en France), c’est à l’employeur d'élaborer les modalités de la rédaction de
cette charte, ainsi qu'à la mise en place.
Si l’entreprise mis en place une politique de BYOD, elle doit prendre en
considération l’utilisation des appareils mobiles (ordinateurs portables, smartphones,
tablettes, télétravail). Ces nouveaux usages nécessitent une adaptation des règles et
usages traditionnels ci-dessous quelques règles à respecter.
31● Le rappel des règles de protection des données
● Signaler au service informatique les dysfonctionnements, ou violation des
comptes utilisateurs
● Protéger l’identifiant/mot et le mot de passe
● Ne pas installer, copier, modifier, détruire des logiciels sans autorisation
● Ne pas quitter son poste sans verrouiller la session
● Respecter les procédures rédigées par le service informatique
● Définir les règles d’utilisation en cas de BYOD
● Respecter la vie privée des employés qui utilisent des équipements personnels
● Les responsabilités et sanctions encourues en cas de non respect de la charte
Source : https://infodsi.com/articles/150406/la-mise-en-place-dune-charte-
informatique-est-elle-obligatoire.html
XIII - RGPD et MDM
Depuis quelques années, l'utilisation des terminaux personnels par les salariés
dans le cadre professionnel, est devenue une utilisation courant en dépit des menaces
qu’elle fait peser sur la protection des données, la mise en place du RGPD peut être
l’occasion de revoir les pratiques du Byod.
En effet, c’est plus simple pour l’employé de ramener son portable (ou tablette)
pour installer l’application de l’entreprise, et avoir accès aux données nécessaires
pour un éventuel télétravail ou déplacement, cela pose une réflexion sur la frontière
entre la vie personnelle et professionnelle.
Mais la réglementation de la RGPD étant récente, elle n’est pas encore
appliquée entièrement dans les entreprises. Cependant nous pouvons dire qu’avec le
contenu de la RGPD cela va poser problème au niveau du stockage des informations,
l’utilisation de ces informations.
32XIV - Organisation du projet
Concernant l'organisation du projet, nous avons décidé de mettre en place
certaines méthodes pour faciliter la gestion du projet.
Tout d’abord chaque semaine nous avons choisi d’attribuer le rôle de
coordinateur à une personne d’entre nous, qui veille à ce que le projet se déroule
correctement. Puis chaque vendredi nous faisons une répartition des missions à
effectuer pour la semaine suivante, et nous faisons aussi un rapport hebdomadaire de
toutes les missions effectuées durant la semaine.
Pour ce qui est des outils de gestion du travail nous avons utilisé :
Gantt: pour la gestion du temps de travail.
Le diagramme de Gantt est un outil utilisé en ordonnancement et en gestion de projet
et permettant de visualiser dans le temps les diverses tâches composant un projet.
Source: https://fr.wikipedia.org/wiki/Diagramme_de_Gantt
33Trello: pour l’organisation du rapport et du diaporama.
Trello est un outil de gestion de projet en ligne, il s’inspire de la méthode Kanban de Toyota.
Il se base sur une organisation des projets en planches listant des cartes, chacune
correspondant à des tâches.
Source: https://fr.wikipedia.org/wiki/Trello
Discord: pour la communication et l'échange de document.
Discord est basé sur un principe de serveur, que n'importe quel utilisateur peut utiliser,
ajuster et rejoindre. Les administrateurs peuvent créer des salons vocaux ou textuels
et définir des permissions pour chaque utilisateur sous forme de rôle.
Source: https://fr.wikipedia.org/wiki/Discord_(logiciel)
34Google Drive: pour le stockage des documents et la modification en temps réel.
Google Drive est un service de stockage et de partage de fichiers dans le cloud lancé
par la société Google. Google Drive, qui regroupe Google Docs, Sheets et Slides,
Drawings, est une suite bureautique permettant de modifier des documents, des
feuilles de calcul, des présentations, des dessins, des formulaires.
Source:https://fr.wikipedia.org/wiki/Google_Drive
XV - Comparaison Puppet/Ansible et MDM
Après quelques recherches et réflexions sur les fonctionnalités d’outils d'orchestration
tels que Puppet et Ansible, nous avons pu nous apercevoir que les solutions MDM et
ces solutions d’orchestration sont assez similaires sur plusieurs points. On pourrait
même dire que les solutions MDM sont un équivalent d’ outils d’orchestration pour
appareils mobiles.
35XVI - Conclusion
Dans ce projet il nous était donc demandé de mettre en place une ou plusieurs
solutions MDM qui permettait de gérer le BYOD dans les entreprises. Pour cela nous
avons pu étudier plusieurs solutions mdm libre et propriétaire, et nous nous sommes
aperçus en installant et en configurant les différentes solutions que les solutions
propriétaires sont dominantes sur le marché notamment par ses fonctionnalités ainsi
que leurs communautés qui sont encore actives et nombreuses.
Finalement, lorsque l’on regarde dans le monde professionnel, la solution que
l’on recommanderait serait VM Airwatch car elle est complète et prend en charge
beaucoup d’appareils, chose indispensable pour les grandes entreprises comme pour
les PME qui savent qu’elles vont grandir.
Pour réaliser un tel projet, nous avons dû nous organiser en utilisant des outils
que nous avons décrit dans la partie “Organisation du projet”. Nous nous sommes
organisés assez rapidement en utilisant des outils que nous connaissions déjà
auparavant. Grâce à nos professeurs tutorés nous avons pu corriger certains points
qui nous ont permis de toujours avancer dans la bonne direction.
Au final, ce projet nous a permis d’apprendre à travailler à plusieurs sur une
longue période de 2 mois, et sur un sujet important dans les entreprises aujourd’hui.
Nous avons donc pu apprendre beaucoup de choses au sujet des MDM, savoir que
nous pourrons réutiliser lorsque nous intégrerons le monde professionnel.
36XVII – Bibliographie
Documentation EMM
https://www.lebigdata.fr/emm-definition
https://www.lebigdata.fr/emm-definition/mdm-definition
https://fr.wikipedia.org/wiki/Mobile_device_management
Documentation BYOD
https://www.samsung.com/fr/business/insights/news/gestion-securisation-
conteneurisation-les-cles-du-mdm/
https://www.globalsign.fr/fr/blog/risques-politique-byod-pour-la-securite/
https://www.om-conseil.fr/byod-conseils-pour-transformer-ces-nouvelles-pratiques-
en-veritable-succes/
https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-
papers/sophosBYODrisksrewardswpna.pdf
Tableau comparatif de solution
https://socialcompare.com/fr/comparison/mdm-1z3zkr6l
Documentation AirWatch
https://docs.vmware.com/fr/VMware-
AirWatch/9.2/Windows%20Desktop%20Platform%20Guide%20v9_2.pdf
Guide installation relution
https://repo.relution.io/package/latest/installguide.html
Guide installation wso2
https://docs.wso2.com/display/IOTS330/
Installation Flyve
https://flyvemdm-doc.readthedocs.io/en/latest/installation/
Charte informatique
https://www.murielle-cahen.com/publications/smartphones.asp
https://www.programmez.com/avis-experts/mobile-device-management-mdm-un-
monde-en-pleine-mutation-1303
XVIII – Annexes
37Documentation Flyve MDM
38Pré-requis
Logiciels
Les logiciels requis pour installer et faire fonctionner la solution:
● apache2
● MariaDB/MySQL
● PHP
● composer
Extensions PHP
Les extensions PHP requises pour faire fonctionner l’interface web GLPI et le plugin
Flyve MDM:
● curl
● fileinfo
● gd
● json
● mbstring
● mysqli
● session
● zlib
● simplexml
● xml
● cli
● domxml
● imap
● ldap
● openssl
● xmlrpc
● apcu
● cas
● zip
39Installation
GLPI
Pour utiliser le plugin Flyve MDM, il faut créer une instance GLPI5:
● Téléchargement de GLPI sur le dépôt github: https://github.com/glpi-
project/glpi/releases
● Prendre la version 9.3.2
● Extraire l’archive tar dans le répertoire /var/www/html/glpi
● Création d’une base de données mariadb/mysql avec un utilisateur glpi:
CREATE DATABASE glpi;
CREATE USER glpi@localhost IDENTIFIED BY ‘1234’;
GRANT ALL PRIVILEGES ON glpi.* TO glpi@localhost;
FLUSH PRIVILEGES;
● Configuration Apache à mettre dans le fichier de configuration Apache:
DocumentRoot /var/www/html/glpi
AllowOverride All
● Configuration php.ini:
memory_limit = 64M ; // max memory limit
file_uploads = on ;
max_execution_time = 600 ; // not mandatory but adviced
register_globals = off ; // not mandatory but adviced
magic_quotes_sybase = off ;
session.auto_start = off ;
session.use_trans_sid = 0 ; // not mandatory but adviced
● Rechargement de la configuration Apache: apachectl graceful
● Modification du propriétaire du répertoire glpi en www-data:
sudo chown www-data:www-data /var/www/html/glpi -R
● Installation via l’url http://ip-serveur
Rappel : Une fois l’installation de GLPI terminée, un compte est créé avec comme
login et mot de passe glpi / glpi
5
Gestionnaire Libre de Parc Informatique: logiciel libre de gestion des services informatiques
(ITSM) et de gestion des services d'assistance (issue tracking system et ServiceDesk).
40FusionInventory pour GLPI
● Téléchargement d’une version de FusionInventory compatible avec la version
de GLPI depuis le dépôt github:
https://github.com/fusioninventory/fusioninventory-for-glpi/releases
● Extraire l’archive tar dans le répertoire /var/www/html/glpi/plugins
FlyveMDM pour GLPI
● Téléchargement d’une version de FlyveMDM à partir du dépôt github:
https://github.com/flyve-mdm/glpi-plugin/releases
● Extraire l’archive tar dans le répertoire /var/www/html/glpi/plugins
● Exécuter la commande composer install --no-dev dans le répertoire flyvemdm
● Activer les deux plugins à partir de l’interface web de GLPI
Suivre les instructions de l’assistant d’installation de FlyveMDM en adaptant:
Suivi de l’assistant d’installation :
Lors de l’installation et de la configuration du broker Mosquitto :
41● dans le fichier /etc/mosquitto/conf.d/flyvemdm.conf : on modifie la ligne
auth_opt_host backend-server-ip-or-fqdn en auth_opt_host l’adresse du
serveur backend
● Puis on modifie auth_opt_user database-user en auth_opt_user mosquitto
● Puis on modifie auth_opt_pass StrongPassword en auth_opt_pass 1234
Il est possible d’utiliser FCM6 mais cette fonctionnalité est expérimentale et ne
fonctionne qu’avec les appareils avec Android 8+.
La configuration TLS n’est pas nécessaire au fonctionnement de Flyve MDM, mais
est recommandée pour établir des connexions sécurisées.
Port Forwarding
Pour un accès des agents via Internet, il faudra configurer le forwarding des ports
suivants dans le pare-feu/routeur :
● Ports du broker mosquitto (1883 port standard et 8883 pour la connexion
sécurisé par TLS)
● Port apache pour l’accès à distance à l’interface glpi (80 / 443)
Docker
Alternativement, il est possible de faire une installation avec Docker en suivant la
procédure indiquer sur : http://flyve.org/docker-environment/howtos/installation
6
Firebase Cloud Messaging: solution cloud de Google pour l’envoi de messages et de notifications
pour Android, iOS et les applications web.
42Documentation Relution
43Installation avec Docker
Installer docker et docker-compose
Pour docker :
https://docs.docker.com/install/linux/docker-ce/debian/
Pour docker-compose :
https://docs.docker.com/compose/install/
Démarrer docker :
sudo systemctl start docker
Et faire en sort qu’il s'exécute à chaque démarrage du pc :
sudo systemctl enable docker
Créer un répertoire ssl dans votre home puis créer la clé privée
mkdir ssl
cd ssl
openssl genrsa -out $relution.org.key 2048
openssl req -new -key $relution.org.key -out $relution.org.csr
openssl x509 -req -days 365 -in $relution.org.csr -signkey $relution.org.key -out
$relution.org.crt
Configurer les container :
mkdir -p /opt/relution
Télécharger et éditer le fichier de configuration :
wget https://raw.githubusercontent.com/relution-io/relution-
setup/master/docker/Linux/opt/relution/docker-compose.yml \ --directory-
prefix=/opt/relution
Pour éditer le fichier :
vim /opt/relution/docker-compose.yml
44Modifier comme ci-dessous :
45Configuration de Nginx
Se rendre dans le répertoire /opt/relution
cd /opt/relution
Télécharger le fichier de configuration
wget https://raw.githubusercontent.com/relution-io/relution-
setup/master/docker/Linux/opt/relution/relution-nginx.conf
Modification des Hostnames dans le fichier relution-nginx.conf
Démarrer Relution
cd /opt/relution/
docker-compose up -d
46Documentation WSO2
471. Installation du paquet
On travail avec la version wso2iot-3.3.0 qu’on a testé et qui fonctionne correctement
a. récupération de l'exécutable
- Sur le site https://wso2.com/iot/install
- Sur le site https://wso2.com/iot/install/download/?type=downloader
- On peut récupérer l'exécutable directement sur git
wget https://github.com/wso2/product-iots/releases
b. on crée un répertoir wso2
mkdir wso2 cd wso2/ et puis
wget https://github.com/wso2/product-iots/releases/download/v3.3.0/wso2iot-
3.3.0.zip
unzip wso2iot-3.3.0.zip
cd wso2iot-3.3.0/ on se retrouve avec plusieurs fichiers
/wso2iot-3.3.0$ ls
bin extensions patches resources velocity.log
conf lib README.txt samples wso2
dbscripts LICENSE.txt release-notes.html scripts wso2carbon.pid
dropins modules repository servicepacks
il faut modifier l’adresse ip sur plusieurs fichiers, pour cela on exécute le script change-
ip.sh dans le répertoire scripts/ ls
change-ip.sh change-superadmin-credentials.sh
on lance le script et répondre aux questions posées au même temps pour générer un
certificat auto signé
./change-ip.sh
48----------------------------------------
WSO2 IoT Server IP configuration tool
----------------------------------------
>>> Step 1: Change current IP address of the IoT server
Please enter the IoT Core IP that you need to replace (if you are trying out IoT server
for the first time this will be localhost)
localhost
Please enter your current IP
ip local ou ip public ou URL
-----------------------------------------------
Generating SSL certificates for the IoT Server
-----------------------------------------------
mkdir: impossible de créer le répertoire « tmp »: Le fichier existe
=======Enter Values for IoT Core SSL Certificate=======
Please provide Country. Press Enter to skip.
fr
Please provide State. Press Enter to skip.
fr
Please provide Location. Press Enter to skip.
Nancy
Please provide Organization. Press Enter to skip.
wso2
Please provide Organizational Unit. Press Enter to skip.
IoT
Please provide Email Address. Press Enter to skip.
debian@debian.com
Please provide Common Name
adresse ip
Generating SSL Certificate for IoT Core
Generating RSA private key, 4096 bit long modulus
...............................................................................++++
..........................................................................................................................++++
Printing certificate
-----------------------
Configuration Completed!!!
49Installer java
sudo apt install default-jdk
Avant de lancer le script il est nécessaire d’installer java et de modifier le chemin de
la variable d'environnement JAVA_HOME
Saisir la commande ci-dessous.
export JAVA_HOME="/usr/lib/jvm/java-1.8.0-openjdk-amd64"
Il nous reste à lancer trois script qui se situe dans le répertoire bin
/script $:~ cd bin
/bin $: ls
iot-server.sh broker.sh et analytics.sh
Pour tester si tout fonctionne correctement
Openjdk version "1.8.0_181"
OpenJDK Runtime Environment (build 1.8.0_181-8u181-b13-2~deb9u1-b13)
OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)
on commence par le script broker.sh
./broken.sh
Ala fin de script on obtient ce message
[2019-02-05 10:24:50,465] [IoT-Broker] INFO
{org.wso2.carbon.ui.internal.CarbonUIServiceComponent} - Mgt Console URL :
https://172.40.0.1:9446/carbon/
Puis on lance iot-server.sh
./iot-server.sh
[2019-02-05 10:27:04,132] [IoT-Core] INFO -
{org.wso2.carbon.ui.internal.CarbonUIServiceComponent} IoT Server Default Context
: https://172.40.0.1:9443/devicemg
[2019-02-05 10:27:44,437] [IoT-Core] INFO -
{org.wso2.carbon.mediation.dependency.mgt.DependencyTracker} API : admin--
android_sense was added to the Synapse configuration successfully
et finalement on lance le derniers script
./analytics.sh
[2019-02-05 10:31:35,841] [IoT-Analytics] INFO
{org.wso2.carbon.analytics.eventsink.AnalyticsEventStoreDeployer} - Deployed
successfully analytics event store: iot_per_device_stream_geo_AlertNotifications.xml
50Tous les scripts ont bien été lancé avec succès, il reste plus qu'à ce connecter a
l’interface web sur le port 9443
https://adresseip/url:9443/devicemgt/
après l’acceptation du certificats ssl generer par la page web , on peut se connecter
avec le code admin admin
maintenant on as la possibilité de surfer sur l’application
51Vous pouvez aussi lire
