Le Mobile Device Management (MDM), un besoin croissant pour les entreprises à l’heure du BYOD

Publié le Mis à jour le

L’expansion de plus en plus rapide des usages mobiles pousse les entreprises à prendre en compte ces moyens modernes d’accès aux informations et services dans leurs projets d’applications Web ou natives. Mais au delà de ce pur aspect diffusion, l’usage croissant de terminaux mobiles personnels dans le cadre professionnel — ce que les anglo-saxons nomment BYOD — nécessite la mise en place de solutions dédiées pour assurer notamment la sécurité des données et applications. Ce sont les solutions de MDM[[A ne pas confondre avec le Master Data Management…]], qui existent depuis l’apparition des premiers PDA, mais ont dû bien évoluer pour prendre en compte les nouvelles problématiques. Les trois principaux besoins gérés par les solutions MDM sont le parc matériel, le parc logiciel, et la sécurité, celle-ci concernant tant le Système d’Informations vis-à-vis du terminal (contrôle des accès, chiffrement et contrôle des flux, etc.) que le terminal lui-même (authentification locale, chiffrement des données stockées, etc.).

Un marché encore jeune

Les acteurs du marché — plus d’une centaine selon le Gartner et Forrester Research —sont actuellement de deux natures, certains fournissant des solutions de MDM pour leur propres systèmes d’exploitation — c’est le cas de RIM pour Blackberry, Apple pour iOS et Microsoft pour Windows Mobile par exemple — et les autres étant plus des acteurs indépendants de tout constructeur et essayant notamment de permettre la gestion de parcs hétérogènes. Alors que les solutions spécifiques à un fabriquant étaient souvent suffisantes dans les entreprises où les parcs matériels — nommés aussi « flottes » — étaient homogènes, l’approche BYOD rend ces parcs largement hétérogènes et nécessite la mise en place de solutions adaptées.

Les fabriquants l’ont bien compris, et certains font évoluer leurs offres MDM pour y apporter la gestion de matériels systèmes d’exploitation concurrents. RIM, en grosse perte de vitesse sur les terminaux depuis l’arrivées des terminaux iOS et Android, a ainsi racheté l’éditeur spécialisé ubitexx pour faire évoluer son offre BlackBerry Mobile Fusion, d’abord prévue pour gérer uniquement les Blackberry, afin qu’elle offre désormais un support étendu aux appareils iOS et Android.

Pour l’instant, Apple et Microsoft ne proposent toujours pas de solution pour gérer des parcs hétérogènes. A vrai dire, Apple ne propose même pas du tout de solution, se contentant de fournir le moyen d’intégrer une flotte iOS dans une solution MDM tierce. Microsoft propose quant à elle MDM Administrator Tools qui ne gère que les Windows Phone.

Parmi les fournisseurs de solutions MDM indépendants des principaux fournisseurs de systèmes d’exploitation, on peut citer de gros éditeurs historiques comme SAP — dont l’offre Afaria est issue du rachat de Sybase — ou Symantec — dont l’offre Symantec Mobile Management est issue du rachat de Odyssey Software et Nukona —, mais aussi des éditeurs plus jeunes et très spécialisés comme MobileIron, AirWatch, Fiberlink, Zenprise, Good Technology, etc.

Voici ce qu’en pense le Gartner dans son plus récent Magic Quadrant sur le sujet :

Les critères de choix

Ces critères, particulièrement le premier, doivent être pris en compte pour le choix de solutions de MDM :

  • Plateformes mobiles supportées
  • Plateformes de bureaux supportées : En complément des appareils mobiles supportés, certaines solutions proposent des outils similaires aux outils mobiles pour la gestion, le suivi, la synchronisation, etc. pour les plateformes traditionnelles des ordinateurs de bureaux
  • Intégration avec les opérateurs télécoms : Certaines solutions de MDM proposent des outils de suivi des consommations sur les réseaux mobiles et certaines vont jusqu’à proposer des solutions clé en main en terme de forfaits et facturations grâce à des accords avec certains opérateurs. A l’exception de Symantec, tous les fournisseurs vus ici ont une offre sur les deux points : suivi de la consommation et solution de facturation des communications.
  • Présence internationale : Le marché de ces solutions étant encore très jeune, toutes les solutions ne sont pas disponibles partout dans le monde, la plupart étant originaires d’Amérique du nord.

Voici un aperçu des terminaux/OS supportés par les solutions citées précédemment :

SolutioniOSAndroidBlackBerrySymbianWin CEWin MobileWin Phone 7WebOS
MobileIron
AirWatch
FiberLink
Zenprise
Good Tech.
SAP
Symantec
SolutionWindowsMacLinux
MobileIron
AirWatch
FiberLink
Zenprise
Good Tech.
SAP
Symantec

La gestion du parc matériel

La gestion du parc matériel est un sujet déjà largement maîtrisé par les entreprises, notamment pour les postes informatiques :
– Gestion des achats
– Inventaire : fabriquant, modèle, OS, version, connectivité, puissance, mémoire, autonomie
– Distribution : référentiel des personnes équipées, contrats d’utilisation, help desk
– Activation / désactivation

La problématique particulière BYOD par rapport aux parcs matériels maîtrisés par l’entreprise nécessite de nouvelles approches pour la gestion de parc, une négociation devant avoir lieu entre l’employeur et l’employé, pour que le premier autorise le second à utiliser son terminal personnel à condition qu’il soit intégré dans le parc géré par la solution MDM.

Éventuellement, la gestion de parc matériel pourra intégrer des fonctions de récupération d’informations à distance sur l’usage du terminal, notamment utiles pour le help desk :
– Géolocalisation
– Connectivité : Type (WiFi, 3G, etc.), débit moyen, volume de données «consommé», etc.

Les principaux critères de choix de solutions en ce qui concerne la gestion de parc matériel sont les suivants :
Configuration à distance : capacité à fournir des mises à jour quelque soit le lieu où se trouve le matériel
Monitoring en temps réel : capacité à pouvoir suivre l’activité d’un matériel (position, usages, consommation de ressources, etc.)
Prise de contrôle à distance : capacité à pouvoir prendre le contrôle du matériel à distance
Portail de service aux utilisateurs : système permettant aux utilisateurs d’être autonomes pour installer des applications, sauvegarder leurs informations personnelles, etc.
Granularité des profils utilisateurs : Capacité à définir des droits spécifiques selon les utilisateurs (installation d’applications, accès à la configuration du système, etc.)

Voici un aperçu des capacités des solutions citées précédemment sur cet aspect :

SolutionConfiguration à distanceMonitoring temps réelContrôle à distancePortail de servicesGranularité des profils utilisateurs
MobileIron
AirWatch
FiberLink
Zenprise
Good Tech.
SAP
Symantec

La gestion de parc logiciel

La gestion des applications est souvent le cœur des questions liées à l’usage des appareils mobiles en entreprise. Le contrôle des applications déployées ayant un impact majeur sur la sécurité des systèmes informatiques.

La gestion du parc logiciel pourra inclure celle du système d’exploitation :
– Configuration
– Déploiement de mises à jour sans connexion physique, appelé FOTA
– Sauvegarde et restauration
– Surveillance des privilege escalations telles que le jailbreak sur iOS et le rooting sur Android

Les principaux critères de choix de solutions en ce qui concerne la gestion de parc logiciel sont les suivants :
– Capacité à distribuer et mettre à jour des applications, certaines pouvant être obligatoires
– Capacité à créer des listes d’applications approuvées ou interdites
– Capacité à {interdire l’accès aux {AppStores officiels}}
– Capacité de {déployer un {AppStore spécifique à l’entreprise}}

Voici un aperçu des capacités des solutions citées précédemment sur cet aspect :

SolutionDistribution d‘applicationListes d’applicationsInterdire les AppStoresAppStore d’entreprise
MobileIron
AirWatch
FiberLink
Zenprise
Good Tech.
SAP
Symantec

La sécurité

La sécurité est le sujet le plus complexe à adresser dans une problématique MDM, même si certains des points concernés étaient déjà présents avec l’usage d’ordinateurs portables hors des locaux de l’entreprise.

Les besoins liés à la sécurité peuvent être les suivants :
– Suppression à distance des contenus
– Blocage à distance du terminal
– Limitation du roaming pour restreindre l’usage par zone géographique
– Limitation de capacités physiques : port USB, lecteur de carte (micro)SD ou autre, etc.
– Déploiement de configurations, certificats, règles de sécurité, etc.
– Chiffrement
– Authentification renforcée : mots de passe forts, code PIN, biométrie, etc.
– Configuration d’un firewall, proxy, VPN, etc.
– Antivirus

Les principaux critères de choix de solutions en ce qui concerne la sécurité sont les suivants :
Obligation d’usage de code de sécurité : code PIN, mot de passe, etc.
– Suppression de données sélectives : Capacité à supprimer des données spécifiques, important quand les flottes mobiles peuvent inclure des matériels à usage personnel
Détection des privilèges d’accès : Système permettant de détecter si un matériel dispose d’accès privilégiés au système (Jailbreak/Root)
Capacité cryptographique
Déploiement et gestion de VPN
Système de prévention des fuites de données
Restriction d’accès au système de synchronisation de données : Système permettant de contrôler que les appareils non-autorisés ne peuvent pas accéder aux système de synchronisation à distance d’une entreprise.

Voici un aperçu des capacités des solutions citées précédemment sur cet aspect :

SolutionCode de sécuritéSuppression sélectiveDétection des privilègesCryptographieVPNPrévention des fuitesLimitation de la synchro.
MobileIron
AirWatch
FiberLink
Zenprise
Good Tech.
SAP
Symantec

Ne rien faire serait un risque, aller trop vite aussi

Les utilisateurs demandant de plus en plus à leurs entreprises de pouvoir accéder aux données et services internes depuis des terminaux mobiles, qu’ils soient propriété de l’entreprise ou non, la gestion de parc adaptée aux problématiques mobiles est un besoin croissant très vite, pour lequel il est nécessaire d’avoir une prise en compte immédiate.

Malheureusement, si les besoins sont plutôt clairement identifiés, les solutions sont plutôt récentes et assez peu différenciées, ce qui rend les choix difficiles. La jeunesse des solutions les plus spécialisées et riches pose aussi bien entendu la question de la pérennité. Il y a fort à parier que la consolidation du marché déjà entamée va continuer, seul un nombre restreint de l’actuelle centaine d’acteurs restant au final indépendant des gros éditeurs.

Il est donc nécessaire de définir clairement la position de l’entreprise, notamment vis-à-vis de BYOD qui pose aussi des problèmes juridiques, et de faire des investissements raisonnés dans les solutions MDM, en donnant la priorité aux fonctions essentielles parmi celles listées ici et en s’intéressant avant tout aux solutions des acteurs déjà bien établis.

Il faut aussi faire attention à la conduite du changement lors la mise en œuvre, certains utilisateurs pouvant se sentir exclus de ces nouvelles possibilités, surtout dans un cadre BYOD, s’il n’ont pas de terminal adapté ou n’acceptent pas les nouvelles conditions d’utilisation de leur terminal.

Avec la sortie de Windows Phone 8 d’ici quelques semaines, l’actualisation des offres MDM d’ici la fin d’année sera un bon moyen de vérifier la vélocité des éditeurs et leur prise en compte des évolutions rapides du marché des terminaux mobiles.