Pour une gestion sûre de l'équipement mobile amené en entreprise

05/01/15 à 13:37 - Mise à jour à 13:37

Grâce à la Kaseya BYOD Suite, les organisations peuvent permettre à leurs collaborateurs de travailler avec leurs propres appareils mobiles, sans danger pour la confidentialité et la sécurité des données et applications professionnelles. Test.

Pour une gestion sûre de l'équipement mobile amené en entreprise

Kaseya BYOD Suite © Kaseya

Avec la BYOD Suite de Kaseya, spécialiste dans la gestion de systèmes pour les départements IT internes et les fournisseurs de services IT, les employés peuvent utiliser en toute sécurité leurs propres appareils mobiles sur le réseau de l'entreprise. Les données privées et personnelles des collaborateurs restent hors d'atteinte, mais ce logiciel de gestion pour équipement mobile amené en entreprise garantit aussi que les données et applications professionnelles ne peuvent être abusées ou contaminées.

'Bring your own device' (BYOD) est une source de préoccupations pour de nombreux gestionnaires de systèmes. Les employés veulent utiliser leur propre équipement au sein de l'entreprise et/ou en combinaison avec les applications et données de cette dernière. Mais comment le gestionnaire de systèmes peut-il être sûr que l'appareil mobile amené dans l'entreprise ne contient pas un malware capable d'infecter le réseau de celle-ci? Et comment l'entreprise peut-elle s'assurer que ses données sensibles ne soient pas emportées en secret à l'extérieur de ses murs?

A l'inverse, des employés n'apprécient pas non plus que leur entreprise puisse lire leurs données personnelles. Pensons ici aux comptes e-mail privés, documents personnels, messages WhatsApp ou autres messages de chat...

Grâce à sa BYOD Suite, Kaseya tente de résoudre d'un seul coup deux soucis. En fait, la BYOD Suite crée une zone professionnelle sécurisée ('container') sur le smartphone ou la tablette de l'utilisateur, qui soit complètement séparée de la partie privée. Et grâce à des applis spécialement sécurisées, les utilisateurs ont accès à l'e-mail, aux documents, aux applications et aux données de l'entreprise.

Fonctionnement technique

La BYOD Suite gère les données de l'entreprise et n'est donc pas destinée à gérer l'équipement. La plate-forme se compose d'une application serveur Windows, de la Kaseya BYOD Gateway, qui assure une connexion sécurisée entre l'infrastructure de l'entreprise et les applis mobiles sécurisées pour Apple iOS et Google Android.

Il y a trois applis Kaseya mobiles. Secure Browser est un navigateur html5 permettant aux utilisateurs d'utiliser de manière sûre des applications intranet telles Microsoft SharePoint et (à partir de mai) Microsoft Office 365. Secure Docs incorpore un éditeur compatible Microsoft Office (version OEM de Picsel SmartOffice) permettant aux utilisateurs de visionner, traiter, créer et stocker des documents Word, Excel et PowerPoint. Quant aux PDF, ils ne peuvent être que visionnés. Secure Mail, enfin, est un client e-mail compatible ActiveSync basé sur une version OEM de NitroDesk TouchDown.

Les utilisateurs peuvent utiliser les applis via une connexion single sign-on (sso). Toute la communication entre les applis sécurisées et le réseau de l'entreprise se déroule dans les deux sens et est cryptée en standby avec la méthode aes256 tournant par-dessus le cryptage SSL par défaut. La Kaseya BYOD Suite est en outre certifiée pour les standards sécuritaires tels FINRA, FIPS 140-2 et HIPAA.

Les appareils mobiles ne sont jamais directement connectés au réseau de l'entreprise: seules les applis Kaseya spéciales ont accès aux sources de l'entreprise préalablement configurées dans la passerelle (gateway). Un utilisateur spécifique est en outre toujours associé à un mobile spécifique via 'device access control' à sécurité multi-facteur.

La Kasye BYOD Gateway peut être installée sur un serveur Windows ou sur un PC Windows dédié et tourne en tant que service Windows. La gestion s'effectue via une interface web. Des utilisateurs peuvent être ajoutés au système manuellement ou à partir de Microsoft Active Directory ou LDAP. Les connexions aux systèmes de stockage au sein de l'entreprise se déroulent via les 'shares' traditionnels ou via WebDAV.

Grâce à l'application programming interface (API), les entreprises peuvent aussi déployer des applis auto-développées vers les utilisateurs. Cela peut se faire directement, sans devoir passer par les magasins d'applis d'Apple ou de Google. Le déploiement et la gestion des applis sont centralisés, et les applis peuvent également utiliser les propriétés d'appareils spécifiques comme le GPS, l'appareil photo ou l'accéléromètre.

Pratique

La BYOD Gateway peut être installée tant sur un ordinateur Windows 32 bits que 64 bits. Nous l'avons installée sur un PC dédié avec Windows 7 Ultimate 32 bits. La Gateway tourne à la manière d'un service Windows. La gestion ultérieure se déroule par l'entreprise du navigateur web.

Après l'installation du service, le gestionnaire de systèmes doit donner un nom unique à sa Gateway et choisir l'emplacement du serveur Kaseya BYOD Gateway Relay. Celui-ci veille à ce que vous puissiez utiliser cette plate-forme sans VPN propre. Les organisations peuvent aussi associer le cas échéant la Gateway à leur propre Virtual Private Network (VPN). Enfin, la Gateway génère un code d'accès à six chiffres unique. Ce code permet aux utilisateurs d'associer la BYOD Gateway de leur organisation aux applis Kaseya BYOD.

Les utilisateurs doivent d'abord installer le Kaseya Secure Browser et l'associer à la passerelle de leur organisation. Outre le code unique, ils ont pour cela aussi besoin d'un nom d'utilisateur et d'un mot de passe. L'administrateur les paramètre via la gestion web.

Dans le menu Users, l'administrateur peut soit ajouter des utilisateurs par voie manuelle ou les importer de la gestion des utilisateurs de Windows, du Windows Active Directory ou d'un répertoire LDAP. Par utilisateur, l'administrateur peut déterminer le nombre de mobiles utilisables (entre 0 et 1) et pendant combien de temps (pour une période comprise entre dix minutes et deux semaines). Le nombre d'utilisateurs actifs n'est limité que par le nombre de licences achetées.

Dans le Secure Browser, l'utilisateur est confronté à un menu à contenu d'entreprise. Le gestionnaire configure ce menu dans le menu Site de la gestion web. L'on peut ajouter l'information suivante au menu: contenu d'un fichier, fichiers et dossiers sur un 'share' réseau, lien direct non sécurisé vers un site web externe, tunnel intranet sécurisé vers un site web d'entreprise interne ou contenu web statique d'un répertoire. Le menu peut être aisément subdivisé en sous-menus à des fins de vision d'ensemble.

Les utilisateurs qui ont établi d'abord une connexion à la passerelle via le Secure Browser, peuvent ensuite aussi installer et utiliser les applis Secure Docs et Secure Mail. Le gestionnaire de systèmes doit configurer lui-même les connexions sécurisées requises dans la gestion web.

Pour l'e-mail, seul Microsoft Exchange ActiveSync est supporté, mais l'on peut définir plusieurs serveurs dans le menu Mail de la passerelle. Il n'est possible de partager des sources Documents que via le protocole WebDAV. Dans le menu Documents de la gestion web, l'on peut associer des (groupes) d'utilisateurs à des ensembles de documents spécifiques.

Des statistiques sur l'utilisation de la passerelle peuvent être sollicitées via le menu Devices de la gestion web. L'heure, l'utilisateur, le type d'appareil et le système d'exploitation sont affichés, et l'on peut en outre explorer ou trier la liste sur base de tous ces éléments. Il n'est cependant pas possible de les exporter.

Enfin, le gestionnaire peut configurer certaines limitations d'accès globales dans le menu Policies de la passerelle. L'on peut ainsi activer ou désactiver l'e-mailing mutuel de contenus ou l'impression de ces derniers, ou encore spécifier que les utilisateurs ne peuvent conserver de photos du contenu de l'entreprise dans leur stockage privé. L'on peut aussi déterminer la fréquence de saisie par les utilisateurs de leur mot de passe (entre 15 minutes et 4 jours) et/ou si les utilisateurs doivent de nouveau saisir leur code pin (jamais, chaque fois qu'une appli Kaseya est lancée ou périodiquement après 1 minute à 4 heures d'inactivité).

Conclusion

Au sein de l'offre de produits de sécurité permettant la gestion d'appareils mobiles amenés en entreprise, Kaseya opte avec sa BYOD Suite pour une approche qui gênera un minimum l'utilisateur. Les données de l'entreprise sont protégées dans un container sans VPN spécial, qui n'a aucune influence sur le fonctionnement normal du smartphone ou de la tablette amenés. Les entreprises ne peuvent voir les données privées contenues sur l'appareil, alors que les données professionnelles restent stockées de manière sécurisée dans le container crypté créé par la BYOD Suite. Il va de soi qu'une bonne configuration du système est importante: si le gestionnaire paramètre le tout trop strictement, l'avantage du fonctionnement non gênant sera en partie perdu. (JS)

La Kaseya BYOD Suite est disponible à partir de 89 euros par utilisateur et par an.

Source: www.diskidee.be

Nos partenaires