À propos de l'Auteur
Dom Hume est vice-président des produits et services techniques chez Becrypt.
Alors que les entreprises continuent d'innover pour réaliser des économies grâce à l'utilisation de technologies mobiles de plus en plus sophistiquées et omniprésentes, nombre d'entre elles sont continuellement confrontées aux risques associés à la gestion d'entreprises. 39, un parc de terminaux en croissance constante. Pour gérer avec succès la complexité de plusieurs plates-formes matérielles et logicielles mobiles, il est nécessaire de disposer d'un moyen pratique, sécurisé et rentable de gérer, de surveiller et de suivre les appareils.
La meilleure façon d'y parvenir est de mettre en œuvre une stratégie de gestion des appareils mobiles de bout en bout, ce qui peut parfois impliquer de prendre en compte l'ensemble de la pile matérielle et logicielle, pour garantir une utilisation efficace du temps. et les ressources nécessaires pour sécuriser et surveiller les appareils mobiles de données critiques de l'entreprise.
J'ai décrit quatre thèmes qui, selon nous, sont importants pour les organisations dans la mise en œuvre d'une stratégie MDM solide, dont une grande partie est basée sur le travail que nous avons effectué avec le gouvernement britannique. Uni.
Choisissez un fabricant d'appareils dédié aux correctifs de sécurité
Il est important de prendre en compte le fait qu'Android et iOS ont des approches fondamentalement différentes de l'écosystème du téléphone. Apple a un écosystème fermé tandis qu'Android est une plate-forme ouverte et les fabricants de téléphones peuvent créer leurs propres appareils à l'aide d'Android. Google publie des mises à jour et des correctifs pour ses téléphones Pixel, tout en publiant également des correctifs pour la communauté Android dans son ensemble.
Inévitablement, il faut du temps aux fabricants individuels pour intégrer, tester et publier le correctif sur leurs téléphones. En conséquence, cela peut conduire à une période de temps où les vulnérabilités publiques connues peuvent être exploitées pendant une période qui dépend de la réactivité du fournisseur. Cette situation ne se reflète pas directement dans l'écosystème Apple.
Il est également important d'étudier la durée de vie des correctifs auxquels un fournisseur s'est engagé, car cela est souvent corrélé à la réactivité des correctifs. Les organisations ayant des projets à long terme peuvent vouloir s'appuyer sur des fabricants spécialisés, tels que Bittium, qui s'engageront à prolonger le cycle de vie des appareils.
Planifiez la gestion du cycle de vie de vos applications.
Du point de vue de la plate-forme de provisionnement d'applications, l'Apple App Store et le Google Play Store remplissent les mêmes fonctions. Bien qu'il existe certaines différences d'approche, les deux programmes ne favorisent plus les applications à chargement latéral pour les utilisateurs.
Depuis sa création, l'App Store d'Apple a établi un processus de passerelle de qualité et de conformité par lequel les applications doivent passer avant de pouvoir apparaître sur le magasin. Les développeurs d'applications peuvent toujours signer leurs propres applications et les transférer sur des appareils, via certains MDM qui proposent des magasins d'applications privés. Cependant, si le certificat d'un développeur d'applications est révoqué, les applications ne fonctionneront plus.
Une méthode plus sûre consiste à demander à son développeur de soumettre l'application au véritable App Store, où les applications sont vérifiées pour s'assurer qu'elles fonctionnent et n'affectent pas la fonctionnalité et la sécurité de l'appareil. Pour les entreprises, Apple a créé le programme d'achat en volume (VPP) pour les entreprises. Cela permet aux organisations de soumettre des demandes uniquement pour elles-mêmes ou pour des clients spécifiques.
Il est important de noter que les applications ne sont pas toujours livrées depuis les serveurs d'Apple. En fait, ils sont souvent fournis par un courtier de Content Delivery Network. Tous les appareils iOS intègrent la fonctionnalité App Store ; Cela peut être désactivé à partir d'un serveur MDM. Les organisations peuvent également envoyer des applications proxy et des mises à jour à partir du serveur MDM.
Google a également mis en place un processus de validation des applications, soumis à un processus de révision qui peut être un peu lent. Bien qu'il n'y ait pas de Play Store uniquement pour les entreprises, Google propose un concept d'application "privée" qui permet aux utilisateurs de faire la différence entre les applications professionnelles et les applications personnelles. Les administrateurs MDM peuvent supprimer des applications professionnelles d'un téléphone géré. Comme Bring Your Own Device, l'organisation définit les règles et verrouille l'appareil, tout en laissant à l'utilisateur une certaine liberté pour le personnaliser pour un usage personnel. L'utilisateur a le sentiment qu'un certain degré de confidentialité est garanti, mais ce n'est pas un élément de sécurité en soi.
Envisagez une architecture « split proxy » pour les environnements à haut risque
Les organisations considérées comme des cibles de grande valeur et sujettes à des cyberattaques sophistiquées sont de plus en plus préoccupées par les conséquences d'une compromission de serveur MDM. Les pirates qui pénètrent dans le serveur MDM peuvent facilement localiser et déverrouiller un appareil qui constitue une menace sérieuse pour la sécurité de l'entreprise. Les serveurs compromis peuvent également être utilisés pour d'autres mouvements latéraux ou comme point de sortie idéal pour les données.
Les problèmes de sécurité des données associés à la gestion des appareils mobiles résultent des fonctionnalités imposées par l'écosystème des smartphones. Ces préoccupations s'appliquent que le MDM d'une organisation soit sur site ou utilisé en tant que service cloud. Les serveurs MDM ont des protocoles de communication complexes qui interagissent avec plusieurs services Internet, tels que les systèmes de notification push et les magasins d'applications en ligne. En règle générale, ces canaux de communication sont authentifiés et cryptés de bout en bout, ce qui les empêche d'être inspectés à la recherche de menaces.
Ainsi, une organisation ou son fournisseur de services peut ouvrir ses ports de pare-feu à un serveur MDM hébergé sur son segment de réseau le plus fiable, ou héberger le serveur MDM sur un segment moins fiable, une sorte de "zone démilitarisée". Au final, cela revient à compromettre un réseau sécurisé ou à sacrifier le serveur MDM.
Une façon de limiter les risques d'une telle compromission est de choisir une solution utilisant une architecture "proxy partagé". Utilisant une série de serveurs proxy résidant dans une zone démilitarisée, ils répondent à la gamme de communications cryptées avec l'écosystème des smartphones, ce qui est obligatoire pour un serveur MDM. Le trafic MDM peut être inspecté par des serveurs proxy et est soumis à un pare-feu d'application Web pour rechercher des anomalies.
Le serveur MDM peut être hébergé sur le réseau sécurisé, avec une communication sécurisée, et correctement géré avec des serveurs proxy. Ce type de solution peut offrir un niveau de défense nettement amélioré, tout en restant totalement transparent pour l'utilisateur final.
Tenir compte des objectifs commerciaux avant la mise en œuvre
En fin de compte, les organisations qui accordent la priorité à la protection des données et des employés dans le cadre de leur stratégie MDM doivent évaluer ce dont elles ont besoin de leurs appareils mobiles et comment elles comptent les utiliser. Un poste de travail multifonctionnel nécessitant un accès à plusieurs systèmes back-end, y compris des données clients sensibles, nécessitera presque certainement une dépense budgétaire importante, en plus de solides capacités d'analyse des risques.
D'un autre côté, un petit projet de continuité d'activité, qui tient les employés informés des actions en dehors des heures de bureau dans certaines circonstances, peut être réalisé sans aucune mise en œuvre de MDM.
Qu'une entreprise opère dans un environnement à haut ou faible niveau de menace, elle doit sélectionner une solution MDM suffisamment résiliente pour protéger ses données contre des menaces de plus en plus sophistiquées et bien financées qui cherchent à s'infiltrer dans l'entreprise. 39 ; écosystème mobile compromettant les données d'entreprise.
Dom Hume est vice-président des produits et services techniques chez Becrypt.