L’EMM au service de la protection des données en mobilité

La protection des données en mobilité peut être appréhendée selon deux approches : publier des règles et faire confiance aux utilisateurs pour les respecter; ou déployer des systèmes garantissant cette conformité. Les mêmes systèmes de gestion de la mobilité d’entreprise (EMM) sont clés pour faire appliquer les règles de sécurité sur des services de stockage en mode Cloud. Mais ils peuvent être déployés de nombreuses manières différentes, suivant les besoins de l’entreprise.

Initialement, MDM et EMM visaient à assurer l’application des règles relatives aux mots de passe et au chiffrement des données sur les terminaux mobiles. Ces technologies ont également offert aux DSI les moyens de verrouiller et d’effacer les terminaux perdus ou volés, et d’en supprimer les données corporates après le départ de collaborateurs. Mais alors que l’industrie a gagné en maturité, les responsables mobilité ont découvert le besoin d’administrer d’autres aspects du travail en mobilité.

Les capacités de gestion des applications mobiles (MAM) offertes par de nombreux systèmes de MDM et d’EMM peuvent aider à administrer le stockage en Cloud : le MAM permet de définir quelles applications sont autorisées, interdites, voire obligatoires.

Une entreprise préoccupée par la question de la protection des données dans les services Cloud grand public peut tout simplement interdire ces applications. Las, dans le cas d’une stratégie de BYOD, interdire l’application Dropbox, par exemple, peut conduire à interdire aux utilisateurs l’accès à leurs données personnelles.

Le service iCloud d’Apple est légèrement différent parce qu’il s’agit d’une fonction intégrée aux terminaux et qu’aucune application spécifique ne peut être placée en liste noire. Toutefois, Apple fournit les éléments d’interface nécessaires aux systèmes d’EMM pour permettre ou interdire l’utilisation d’iCloud, comme c’est le cas pour Siri, l’appareil photo numérique intégré, Bluetooth, et d’autres fonctionnalités encore. Il est à noter qu’interdire iCloud le rend inaccessible tant pour les usages professionnels que personnels.

Un contrôle plus granulaire sur le stockage en mode Cloud requiert un conteneur sécurisé. Il s’agit d’une section isolée, définie sur le terminal, où les informations corporates peuvent être stockées de manière chiffrée. De nombreux acteurs de l’administration de terminaux mobiles offrent ces capacités. Samsung propose même son propre conteneur, Knox, une option de sécurité pour ses terminaux Android. Pour fonctionner, Knox a besoin d’un système d’EMM ou de MDM.

Aux côtés des fichiers corporates, le conteneur sécurisé peut également embarquer son propre client de courrier électronique, un navigateur et des applications métiers. Les fichiers téléchargés dans ce conteneur peuvent être marqués afin d’en interdire le transfert vers des comptes de messagerie électronique personnels ou encore des services de stockage Cloud. L’accès aux fichiers peut également être limité à la lecture seule. Et l’impression peut être limitée. Il est possible d’appliquer des restrictions au copier/coller.

Si une application de prise de photos se trouve dans un conteneur sécurisé, les clichés ainsi pris peuvent être sujets aux mêmes protections. C’est une fonction utile, parce que prendre une photo du tableau blanc de la salle de réunion est devenu très courant.

Le conteneur sécurisé existe comme composant du client de gestion de la mobilité qui s’exécute sur le terminal de l’utilisateur. En conséquence, toutes les données corporates présentes en son sein peuvent être effacées si l’utilisateur quitte l’entreprise et si le client est désinstallé.

Une autre approche pour contrôler des fichiers sensibles consiste à utiliser la capacité de gestion des droits numériques (IRM) d’ActiveSync. Comme avec un conteneur sécurisé, les administrateurs peuvent définir des contrôles spécifiques sur ce que les utilisateurs peuvent faire des fichiers protégés par IRM.

Le support d’IRM est natif sur les terminaux Windows Phone 8.1, et des outils tiers tels que AD RMS Enable de Secure Island, ou encore Mobility Server de Gigatrust, étendent ce support aux terminaux iOS, Android et BlackBerry.

Bien sûr, tout programme de sécurité implique un certain degré d’inconfort, et les entreprises doivent chercher un équilibre entre sécurité et  accès mobile (avec privilège) à la messagerie électronique et à d’autres systèmes de l’entreprise. Les DSI devraient ainsi rédiger des politiques claires décrivant le détail de leurs programmes de mobilité. A charge pour les utilisateurs de lire et d’accepter formellement ces politiques avant de recevoir un accès mobile aux systèmes et aux données de l’entreprise.

Adapté de l'anglais par la rédaction.