BYOD : réussir la mise en œuvre de l’administration des terminaux mobiles

Répondre aux préoccupations des utilisateurs

Quel que soit le modèle de BYOD retenu, l’entreprise doit établir à l’avance ses attentes auprès des utilisateurs afin que ceux-ci puissent se conformer au système convenu. Des frictions surviennent par exemple lorsque les utilisateurs présentent une note de frais et découvrent qu’elle n’est pas recevable, alors qu’ils s’attendaient à pouvoir entre remboursés. Les utilisateurs finaux se conforment généralement sans difficulté aux politiques internes lorsqu’ils savent à l’avance à quoi ils s’engagent. Et cela vaut pour les fonctionnalités qui seront accessibles et celles qui ne le seront pas. Et pour le succès d’une approche BYOD, il y a quelques questions clés à traiter.

Le MDM permet-il de suivre l’historique de navigation ? Non, mais le MDM peut être utilisé pour déployer des services supplémentaires qui peuvent rediriger, contrôler et surveiller le trafic, transitant via le réseau mobile comme Wi-Fi. Les organisations qui mettent cela en place doivent en informer les utilisateurs et devraient envisager une politique distincte pour ceux qui sont en BYOD.

Le MDM peut-il lire les messages texte ? Pas sur iOS, car Apple n’a pas prévu les connecteurs nécessaires, même avec des appareils supervisés. C’est en revanche possible avec certaines versions d’Android. Mais l’exploitation des contrôles natifs pour l’accès aux messages texte est rare. Car si les messages texte peuvent être transférés aux archives de courrier électronique de l’entreprise, la plupart des applications de messagerie font appel à un chiffrement de bout en bout des messages, ce qui en rend le contenu inaccessible aux services informatiques.

Les organisations soumises à des contraintes réglementaires fortes peuvent déployer des produits tiers pour enregistrer des informations métiers, mais cela doit être clairement communiqué aux utilisateurs, tout en laissant une zone non filtrée pour les communications personnelles. Les entreprises qui sont tenues d’enregistrer de telles communications n’autorisent généralement pas les BYOD pour les utilisateurs concernés, car l’équilibre entre la vie privée des utilisateurs et la conformité est là difficile à trouver.

Le MDM peut-il suivre la localisation ? Oui, et il permet même d’empêcher l’utilisateur de désactiver les services de localisation après enrôlement du terminal. La plupart des plateformes de MDM, dont VMware Workspace One by AirWatch, IBM MaaS360, MobileIron et d’autres, proposent des paramètres de confidentialité pour empêcher le suivi de la localisation des terminaux en BYOD. Les services informatiques doivent toujours savoir clairement si le suivi est activé pour tous les groupes, certains utilisateurs, ou pas du tout.

Les plateformes de MDM peuvent-elles voir quelles applications sont installées sur le téléphone d’un utilisateur ? En général, la plateforme de MDM fait l’inventaire des applications une fois que les utilisateurs ont enrôlé leurs appareils. Mais les services informatiques peuvent choisir de ne voir que les applications métiers qui ont été déployées à partir d’un magasin d’applications interne. Restreindre la visibilité est une bonne idée, car les applications personnelles peuvent révéler des informations sur la santé, la religion ou la sexualité.

Que se passe-t-il lorsqu’un employé quitte l’entreprise ? Dans ce cas, son appareil est généralement retiré du MDM de l’EMM de l’entreprise. Toutes les applications et données de l’entreprise sont purgées du dispositif, tandis que les informations personnelles restent intactes. Une bonne politique de BYOD isole strictement les données professionnelles des données personnelles afin de protéger l’organisation. Mais lors d’un départ, cela profite également à l’utilisateur. Le retrait des dispositifs relève de « l’effacement sélectif ». Les plateformes de MDM comme VMware Workspace One by AirWatch et MobileIron offrent une protection contre la réinitialisation des terminaux marqués comme appartenant à un utilisateur, de sorte qu’ils ne soient jamais effacés accidentellement.

Concilier sécurité et vie privée

Chaque entreprise peut mettre en œuvre une politique de BYOD à sa manière. Mais il convient toujours d’empêcher les informations professionnelles de migrer vers une ressource de stockage personnel en monde cloud ou vers tout autre emplacement hors de portée du service IT. Certaines plateformes de MDM permettent d’encapsuler les applications, tandis que d’autres misent sur des environnements de travail distincts. Android Enterprise offre un profil de travail que l’IT peut gérer, tandis que le reste de l’appareil reste confiné à un usage personnel.

Les entreprises qui autorisent l’accès à leurs ressources à partir de terminaux personnels doivent établir certaines bases pour assurer la sécurité. Et cela passe par la détermination d’une version de système d’exploitation mobile minimale, notamment. Avec Android, il est utile de restreindre les types de smartphones à des constructeurs réputés ; Google fournit une liste des terminaux Android Enterprise Recommended. Pour figurer sur cette liste, les constructeurs doivent s’engager à respecter des accords de niveau de service pour la distribution des correctifs et s’assurer que les appareils auront accès à plusieurs mises à jour du système d’exploitation.

Les dernières versions d’iOS et d’Android apportent d’importantes améliorations à la gestion de la confidentialité des utilisateurs tout en permettant aux entreprises de s’assurer que la posture de sécurité des terminaux est solide.