Après l'inventaire des terminaux mobiles, le MDM (Mobile Device Management, pour la gestion des appareils mobiles) soigne la configuration et le chiffrement des accès distants. Il protège les transactions numériques, les documents, les données privées et les applications de terrain de l'entreprise.
Tandis que les micro-ordinateurs portables se démocratisent pour résister à la vague des tablettes et autres phablets (appareils hybrides entre le smartphone et la tablette), les services informatiques d'entreprise bâtissent une véritable forteresse autour des mobiles les plus essentiels hors du bureau. Ils reproduisent souvent les recettes de protection des PC de bureau. Mais cette façon de faire n'est pas sans conséquences. L'installation d'un antivirus, puis d'un pare-feu client et parfois d'un outil de prévention d'intrusion sur le PC portable a un coût d'exploitation élevé. Pire, cet empilement de protections n'empêche pas certaines attaques d'atteindre leur but. C'est le cas, en particulier des tristement célèbres menaces ciblées APT (Advanced Persistent Threats pour menaces persistantes avancées). Pour éviter la fuite de données sensibles à partir des équipements mobiles, un outil complémentaire s'impose : le chiffrement des données sur le disque dur. Hélas, il a pour conséquence de ralentir le démarrage ainsi que tous les traitements de terrain. L'utilisateur a l'impression d'être projeté plusieurs années en arrière, alors qu'il dispose, entre ses mains et pour un prix plus accessible que jamais, d'une puissante machine compacte, autonome, multi-cœur, bardée de mémoire et d'espace de stockage.
La protection des terminaux mobiles mérite sans doute une réflexion spécifique. Quoi qu'il en soit, force est de constater que les recettes qui ont fonctionné sur le PC de bureau s'adaptent mal aux PC portables, tablettes et smartphones. Sur un terminal mobile, l'accès aux données d'entreprise retient un réseau sans-fil géré par un opérateur tiers (réseau Wifi, 3G ou 4G), tandis que le PC de bureau se satisfait d'une connexion Ethernet classique contrôlable, de bout en bout, par le service informatique. A la diversité des liaisons s'ajoute celle des terminaux mobiles, des modèles et environnements systèmes (IOS, Android, Windows ), renouvelés fréquemment, lorsqu'ils ne sont pas choisis par les salariés eux-mêmes.
Quelqueseffets secondaires du BYOD
Au tournant de l'an 2000, on a vu apparaître des outils de gestion de flotte d'équipements mobiles, tournés vers les PDA principalement. Ils fournissaient l'inventaire du matériel déployé sur le terrain, un contrôle des incidents et une télémaintenance des assistants numériques, puis des premiers smartphones. Côté sécurité, les fonctions de mise à jour du système et des applications évitent à chaque équipement d'offrir des vulnérabilités déjà connues. S'y ajoutent la sauvegarde des contacts et des données embarquées, voire le blocage du combiné et l'effacement de ses fichiers en cas de perte ou de vol. Depuis quelques mois, les solutions MDM (Mobile Device Management) se renforcent pour cloisonner les espaces professionnels, gérer et contenir les frais de télécommunication, contrôler les applications et la messagerie en particulier.
L'entreprisepeut retenir, grâce à eux, des règles de sécurité, y compris pour les équipements choisis par les employés se connectant au système d'informations. Ultime précaution : éviter que le smartphone ou la tablette ne devienne un vecteur ou une passerelle pour les logiciels espions.
Avec l'approche BYOD (Bring Your Own Device, ou l'apport des appareils de communication des salariés), un juste équilibre entre les bénéfices et les risques est recherché. Côté gains, citons la réduction des investissements pour l'entreprise et la hausse de la productivité des salariés. Côté dangers, la fuite d'informations sensibles reste la principale crainte des DSI. Une difficulté supplémentaire provient des trafics réseaux qui augmentent vite. C'est un des résultats inattendus du BYOD : il double le nombre d'accès distants au système d'information. Et ce n'est qu'un début car les objets connectés promettent, à leur tour, d'envahir la sphère professionnelle après s'être introduits dans la sphère privée. Lunettes communicantes, bracelets montres, vêtements et accessoires bardés de capteurs puiseront des ressources sur l'infrastructure réseau, avec ou sans l'autorisation du responsable informatique.
Selon une étude récente de Nemertes Research, 69 % des entreprises occidentales retiennent une approche BYOD pour tout ou partie de leurs équipements mobiles. Et 84 % des organisations sondées par le cabinet d'analyses devraient déployer une solution MDM avant la fin 2014.
«Nouspouvons témoigner de l'évolution des préférences d'équipements des salariés et des styles de travail. Les tablettes iOS et Android, les smartphones et les ordinateurs portables permettent aux employés de travailler partout et à tout moment», note Philippe Clarke, directeur de recherches de Nemertes Research. Selon lui, le service informatique ne peut se contenter de simples recommandations d'achat de modèles aux salariés : le BYOD, comme d'autres approches technologiques, peut devenir désastreux ou bien providentiel. Le succès de cette démarche dépend, in fine, d'un train de mesures et de pratiques passant par les solutions MDM, mais pas seulement. La classification des données, la sécurisation des documents, les projets de développement de services mobiles et la gestion de ces applications mobiles entrent en compte également.
Une protection re-localisée dans le cloud
La tendance BYOD devrait pousser les organisations, en particulier les PME, à adopter des services cloud pour gérer leurs flottes d'équipements mobiles. Ainsi, la solution MDM XenMobile de Citrix fonctionne aussi bien depuis le cloud qu'en application installée dans l'entreprise. Afaria, le logiciel acquis par SAP est également disponible en mode SaaS. Suite à un partenariat avec Cap Gemini, cette solution Mobile Secure MDM est proposée en abonnement à 1 euro par mois et par terminal, à partir de 25 équipements mobiles. La sécurisation des environnements professionnels, à la demande, est également une spécialité de l'éditeur français Qualys : «Le cloud offre un mode de protection des données moins coûteux et moins exigeant en termes de ressources à l'ère du BYOD et du travail rendu possible, partout, par l'informatique mobile. Bientôt, il sera difficile de justifier le stockage de données sur les terminaux mobiles. Plus le réseau Internet sera omniprésent, moins on verra d'usages déconnectés. Les avions offrent déjà une connexion Wifi», commente Andrew Wild, le responsable de la sécurité de Qualys. Selon lui, l'alternative au stockage local sécurisé consiste à déconnecter le terminal du réseau Internet, ce que les gouvernements font déjà. Mais dans l'entreprise, cette mesure n'est pas réaliste. Une partie de l'attachement de l'utilisateur à son terminal mobile provient justement de sa faculté à rejoindre en tout lieu et à tout moment les ressources et les services Internet. Logiquement, les protections menées au niveau du cloud devraient garantir que les informations numériques de l'entreprise ne sont pas exposées ni partagées sans autorisation : «Nous devons fournir des services cloud conçus spécialement pour l'entreprise avec des contrôles appropriés et offrant la souplesse nécessaire», poursuit-il.
Pour ses salariés itinérants, l'entreprise cherche à maintenir le contact avec le siège au travers de nouvelles interactions entre leurs équipements mobiles et les applications du système d'information. Les activités métier s'appuient sur le département informatique pour suivre et sécuriser cette transition. Mais plusieurs défis se présentent à cette occasion. Le contrôle des versions de documents et de l'authentification des utilisateurs devraient s'imposer avec la bureautique et les partages professionnels de documents hébergés dans le cloud. En outre, les opérateurs sont souvent impliqués dans la mise à niveau des systèmes itinérants, avec un délai de déploiement parfois incompatible avec la sécurisation des terminaux mobiles. A présent, ils nouent des partenariats avec les éditeurs spécialisés dans la lutte contre les logiciels malveillants pour fournir des solutions de sécurité managées, voire un cloisonnement entre les applications professionnelles et l'espace de navigation web privé.
Cette migration des logiciels MDM vers le cloud provoque de nombreuses acquisitions depuis plusieurs mois. Citrix a avalé Zenprise (ex-Sparus), IBM a acquis Worklight et BigFix, Dell a acquis Kace et son appliance de gestion des mobiles En janvier 2014, VMware s'est offert
Airwatch pour 1,54 milliard de dollars afin d'être en mesure de distribuer les applications et les règles de sécurité des terminaux mobiles. «Grâce à cette acquisition, nous ajoutons un élément fondamental à notre offre et pouvons dynamiser les salariés mobiles sans compromettre leur sécurité», a résumé Pat Gelsinger, CEO de VMware. L'éditeur va fournir un espace de travail virtuel sécurisé à l'utilisateur final qui pourra ainsi travailler à son rythme, sur le terminal de son choix.
Développerses services mobiles
L'externalisationdu développement et du déploiement d'applications mobiles est une autre tendance croissante, dans l'entreprise. C'est ce que confirme Rémy Poulachon, le directeur des opérations de Sedona, une société de services et de conseils de 140 personnes : «Nous gérons les transactions entre les postes clients mobiles et le back-office de nos clients, jusqu'au déploiement de l'application via la solution Citrix ZenPrise (ex-Sparus). Cette solution MDM fonctionne du premier coup, sans exiger une infrastructure démente», apprécie-t-il. Présente à Paris, Genève et Hong-Kong, Sedona réalise les services itinérants d'une quarantaine de sociétés dont Allo Ciné, PagesJaunes, TF1 et AuFéminin. L'équipe mobilité de Sedona, créée il y a six ans, compte douze salariés. L'entreprise dispose aussi de sa propre agence digitale, chargée de soigner la partie graphique et l'ergonomie de l'application mobile : «En 2014, il faut d'abord faire beau avant que l'application fonctionne. La première chose demandée par le client c'est le graphisme, le fonctionnel vient ensuite. Les appels d'offres contiennent tout un chapitre dédié à l'ergonomie mobile. Dans un projet moyen de 50 à 60 jours, le design prend jusqu'à 15 jours à lui seul. Il doit être très soigné», explique-t-il.
Cette tendance est liée aux évolutions rapides et successives des environnements mobiles, en particulier iOS 7, Windows 8, Android 4.4 et BlackBerry 10. L'application B2B ou B2C déployée sur le terrain va représenter l'entreprise. Elle doit donc offrir de belles interfaces, non seulement sous le navigateur web, mais bel et bien sur 3, 4 ou 5 plateformes mobiles distinctes. Car Android, IOS et Windows n'offrent pas la même interface utilisateur. Sedona aiguille donc volontiers ses clients vers des développements natifs, son expérience des frameworks javascript ayant vite rencontré des limites en termes de rendu et d'évolutivité. «Avec les objets connectés aux smartphones, le modèle natif fournit une interface homogène de bout en bout. L'application mobile vieillit vite : il faut la redévelopper tous les 2 ou 3 ans pour profiter de nouvelles connexions ou d'usages qui évoluent. Par exemple, EuroNews voulait tirer parti des nouvelles caractéristiques du lien Bluetooth LE et d'une interface directe avec la SmartWatch 2 [NDLR : montre Bluetooth de Sony]. La dernière application mobile que nous avons développée permet des notifications immédiates sur cette montre connectée.»
De nouveaux terminaux durcis sous Android
Dans le domaine de la logistique et des transports, la suprématie des terminaux renforcés sous Windows Mobile 6.5 est menacée depuis quelques mois. On trouve de nouveaux terminaux durcis sous Android chez Archos, Motorola, Honeywell ou ZTE par exemple. La bascule dépend, là encore, d'une nouvelle application métier tirant parti de l'interface utilisateur et offrant un gain de temps éprouvé sur le terrain. «Pour la gestion d'entrepôts, le principal intérêt est d'être en lien avec les informations du back-office. Plus besoin de travailler en mode batch et de retourner sur un socle pour synchroniser les données. A présent, on peut travailler partout en temps réel, la synchronisation s'effectuant via un lien RFID, Bluetooth LE ou NFC. Tout un univers de connexions supplémentaires entoure les derniers mobiles professionnels», remarque Rémy Poulachon.
Surveillerson infra depuis son mobile
Paessler offre maintenant son application PRTG de surveillance du réseau, en version mobile. L'appli offre de nouvelles fonctionnalités de surveillance réseau. Elle est disponible pour Android, iOS, Windows Phone et Blackberry.
Un marché de 2,4 milliards de dollars en 2017
Le marché des logiciels de sécurisation des équipements mobiles est relativement restreint. Il est cependant en croissance soutenue de 22,3 % par an, avec un total de recettes avoisinant les 890 millions de dollars en 2012 (+30,6 % en un an, selon IDC). Ce marché devrait continuer à croître fortement durant les quatre années à venir, pour atteindre 2,4 milliards de dollars en 2017. IDC identifie six segments dans ce marché, les plus représentatifs étant le MSVM (Mobile Security and Vulnerability Management) et le MGAP (MobileGateway Access and Protection). La plus forte progression d'ici à 2017 devrait revenir au segment MIAM (Mobile Identity and Access Management). Le MSVM rassemble les solutions de surveillance et de traitement des vulnérabilités des terminaux mobiles. Le MGAP apporte un contrôle des terminaux mobiles et renforce les règles au niveau d'une passerelle dédiée (clients VPN, NAC, VPN SSL). Enfin, le MIAM apporte des technologies d'authentification à base de certificats numériques, de gestion des mots de passe, de SSO et l'approvisionnement des terminaux mobiles.
Contrôlerles accès aux réseaux sans fil
Pour accueillir les connexions croissantes de consultants, visiteurs, clients et salariés mobiles, huit entreprises sur dix augmentent actuellement les capacités de leurs réseaux sans fil, estime Nemertes Research. Lorsqu'elle suit une approche BYOD, l'organisation en profite pour attribuer 75 % de la bande passante Wifi aux terminaux mobiles de ses salariés. En ce qui concerne la gestion des flottes de terminaux mobiles, la nouvelle tendance est au rapprochement des contrôles d'accès réseau et des solutions de gestion des équipements mobiles, d'où l'apparition d'offres MDM fondées sur le réseau, intégrant le suivi des liens Wifi. Par exemple, le logiciel ClearPass d'Aruba Networks sécurise de vastes flottes de terminaux iOS et Android, Windows et Mac OS X. Il vient ainsi compléter les solutions MDM d'Airwatch, Citrix ou MobileIron. Néanmoins, les efforts actuels de sécurisation des services informatiques doivent porter également sur les réseaux VPN, la virtualisation des bureaux de travail et la sécurisation des applications mobiles, des contenus et documents des travailleurs distants.
Banque : Kobil sécurise les accès mobiles
Kobil, spécialiste allemand de la sécurité, surtout présent dans les banques, renforce sa présence en France et met l'accent sur sa technologie AST et MIDentity. MIDentity AST-Technologie consolide les accès sensibles sur les ordinateurs, les smartphones et les tablettes, indépendamment du système d'exploitation. Cette solution permet de proposer des services allant au-delà de la banque en ligne classique, notamment le paiement mobile, la messagerie sécurisée ainsi que les services de commerce mobile. AST permet également aux industriels de proposer une communication, un cloud et un BYOD sécurisés. Ses avantages ? Elle ne nécessite pas de redevelopper des applications métiers existantes ou de changer l'architecture de sécurité déjà mise en place, entre autres. Le Crédit du Nord, notamment, utilise les services de Kobil en France.
Mesurerl'expérience sur le terrain
Avec l'avènement du cloud et des nuages hybrides, la mesure des temps de réponse perçus par les utilisateurs mobiles devient importante. L'éditeur suisse GSX Solutions fournit une solution sans agent pour mesurer les performances de la messagerie électronique et des serveurs de l'entreprise où qu'ils résident. Pour la BNP, HSBC, la Société Générale ou encore le groupe Total, tous clients de cet éditeur, ces mesures du point de vue de l'utilisateur sont fondamentales car elles varient fortement d'une configuration à une autre, d'un réseau (sans fil) à un autre et d'un service à l'autre.
Grâce à la création de scénarios d'échanges de messages et d'ouvertures de documents Sharepoint, le logiciel évalue les temps de réponse, délais de latence réseau compris, puis propose un rapport complet à partir de statistiques hebdomadaires.
