Deux types de posture pour la sécurité des flottes mobiles

J'observe deux grandes tendances de la part des entreprises concernant la question de la sécurisation des flottes de smartphones. D'un côté des entreprises qui considèrent que le téléphone est sécurisable et privatisable comme on a pu le faire pour les ordinateurs professionnels (sécurisation, masterisation/uniformisation des configurations, restriction des droits, etc). Et de l'autre, des entreprises qui ont renoncé à cette démarche et se sont concentrées sur la sécurisation de quelques applications clés, dans un environnement général considéré comme insécurisable.

Le bout de l'histoire pour le MDM "traditionnel" ?

Après quelques années de "banalisation" des solutions de MDM, force est de constater qu'il existe encore de nombreuses entreprises qui n'ont pas adopté ou déployé de solutions. La raison n'est pas le prix, qui a considérablement baissé du fait d'une importante concurrence entre les acteurs et d'une banalisation des fonctionnalités (un certain nombre de MDM basique sont même gratuits).

L'une des raisons de cette relative faible adoption me semble plus profonde: contrairement à ce qu'on avait imaginé dans les années 2000, sécuriser une flotte de mobiles et sécuriser un parc de PC informatique, ça n'est pas la même chose. Les utilisateurs ont un rapport beaucoup plus personnel (pro/perso) avec leur téléphone mobile, qui fait que la mise en oeuvre d'un MDM rencontre des obstacles techniques et sociaux. Par exemple:

Par conséquent je remarque qu'un certain nombre d'entreprises (y compris de très grandes...) renoncent à déployer un MDM "classique".

Renoncer pour autant à la sécurité ?

Pour autant, elles ne considèrent pas qu'il n'y a aucun risque de sécurité associé à la flotte de smartphones. Mais c'est un changement de paradigme: plutôt que d'essayer de "sécuriser" le mobile par une solution de MDM, l'entreprise va considérer que le smartphone n'est pas un terminal sécurisable, et renoncer à vouloir contrôler l'usage et les applications installées. Ce que l'entreprise va vouloir contrôler, c'est "juste" l'accès aux mails ou aux intranets, en prenant la précaution que cet accès se fasse de manière complètement "étanche" par rapport aux autres applicatifs installés sur le device.

C'est toute la différence: plutôt que l'utilisateur mélange ses mails pros et persos dans une même application de messagerie sur son téléphone, l'utilisateur va avoir deux applications. L'application standard ("native") de messagerie pour ses mails persos, et une version séparée, dédiée, étanche, pour les mails professionnels. Cette application de messagerie séparée, isolée, qui gère ses propres données (c'est à dire le contenus des mails et les pièces jointes) est installée dans un "container sécurisé": on parle de containerisation des applications. Le même raisonnement s'applique non seulement à l'accès aux mails, mais il peut s'appliquer à d'autres usages: accès à un CRM, à un Intranet, etc.

disclaimer note: ces propos n'engagent que leur auteur