Comment appréhender des terminaux qui ne sont pas conformes à vos politiques de sécurité ?

Telle est, en substance, l'un des principaux enjeux lié à la gestion d'une flotte de terminaux Apple qu'ils soient personnels ou professionnels.

MobileIron offre plusieurs actions déclenchées lorsqu'un terminal est détecté comme non conforme à l'une ou l'autre de vos politiques de sécurité.

I. Les Alertes

La première de ces actions est la possibilité de déclencher une alerte. MobileIron fournit ainsi un centre d'alerte où vous pouvez, à votre guise, configurer différents événements qui vont déclencher l'envoi d'alertes soit à l'utilisateur, soit aux administrateurs de la plateforme ou encore aux deux en même temps.

Ces alertes peuvent prendre la forme de :

• Mail
• SMS
• Notification Push

Vous pourrez également configurer leur périodicité.

II. Le blocage des accès à la messagerie

Le composant "Sentry" faisant parti de l'infrastructure MobileIron est un "proxy" ActiveSync qui se positionne en coupure entre vos terminaux mobiles et votre infrastructure de messagerie et contrôle ainsi l'accès aux boites mail de vos collaborateurs.

Le Sentry discute en permanence avec votre base de terminaux enregistrés et les stratégies associées et permet ainsi de bloquer l'accès aux courriers électroniques à partir de terminaux non-enregistrés dans la flotte ou non conformes à vos politiques de sécurité.

C'est donc la seconde option que vous pouvez mettre en place lorsque vous détecter qu'un terminal n'est plus conforme : bloquer ses accès à votre messagerie d'entreprise.

Vous pouvez la combiner avec l'envoi d'une alerte.

III. La mise en quarantaine 

La troisième option, la plus radicale, est la mise en quarantaine du terminal non conforme. Cette option vous permettra, temporairement, de retirer de l'appareil visé toutes les configurations et les accès que vous auriez pu pousser dessus auparavant. Cela inclut :

• La messagerie d'entreprise
• Les accès réseau (Wifi, VPN etc ...)
• Les applications (y compris officielles) que l'utilisateur aurait pu téléchargées au travers de l'AppStore d'entreprise proposé par MobileIron

Lorsque le terminal est à nouveau conforme à vos politiques de sécurité, alors MobileIron poussera automatiquement et de manière transparente les configurations et les accès auquels le terminal avait droit avant d'être mis en quarantaine*.

* Hors applications

L'une des nouveautés apportée par l'introduction d'iOS 5 et des nouvelles version de MobileIron qui s'en sont suivis est la possibilité pour vos administrateur de pousser automatiquement la configuration WIFI de votre entreprise sur vos terminaux iOS.

Cette possibilité existait déjà dans les version 4 d'iOS à ceci près qu'il n'était pas possible de faire du "auto-join", c'est à dire de faire en sorte que le terminal mobile accroche et se connecte automatiquement au réseau sans intervention de l'utilisateur final (demande de mot de passe).

Désormais vous pouvez pousser une ou plusieurs configurations WIFI sur des dizaines voir des centaines de terminaux, sans que l'utilisateur final n'ait en quoi que se soit besoin d'intervenir. Vous pouvez le faire également en fonction du type de terminal ou bien attribuer des réseaux Wifi dynamiquement à un terminal ou un utilisateur en fonction de son appartenance à un groupe LDAP.

Cette fonction est compatible avec les réseaux Wifi suivants :

• WPA Personnel / Entreprise
• WPA2 Personnel / Entreprise

Une interrogation récurrente de toutes les sociétés souhaitant déployer des terminaux iOS et sécuriser leur accès à l'intranet à partir de ces terminaux est : Comment puis-je déployer une telle configuration sur mes terminaux ? Quelles sont les technologies compatibles ?

Depuis les tout débuts de son existence iOS est nativement compatible avec les protocoles VPN historiques L2TP, PPTP et IPSec. Au fil du temps, Apple est venu ajouter une compatibilité semi-native avec les technologies de VPN SSL de certains vendeurs (hors CheckPoint) aujourd'hui de plus en plus répandues en entreprises.

De plus, depuis iOS 4, Apple a également introduit la notion de VPN "On-Demand" à laquelle nous essaierons d'apporter quelques éclaircissements à la fin de ce billet.

I. Le VPN traditionnel (L2TP, PPtP et IPSec)

iOS supporte nativement trois protocoles standard de tunnels VPN : L2TP, PPtP (Microsoft) et IPSec (Cisco). Nativement signifiant  : "vous n'avez pas besoin d'une application tierce pour le faire fonctionner", à la différence, comme nous le verrons plus bas, des VPN SSL.

La configuration d'iOS est faite soit manuellement directement sur le terminal (avec quelques limitations), soit à l'aide de l'outil de configuration d'Apple, soit enfin, à l'aide d'une solution de MDM comme MobileIron qui permet de pousser des configurations VPN avancées sur une flotte toute entière ou dynamiquement, en fonction de population d'utilisateurs, sur une partie de votre flotte.

II. Le support des VPN SSL

Depuis iOS 4, l'OS d'Apple supporte également certaines technologies de VPN SSL de plus en plus déployées - car plus faciles à mettre en oeuvre - au sein des entreprises de nos jours.

iOS supporte donc les technologies de VPN SSL suivantes :

Le principe de fonctionnement est simple :

- En temps normal un utilisateur qui télécharge l'une ou l'autre de ces applications depuis l'AppStore d'Apple devra ensuite entrer manuellement les éléments de configuration de celle-ci, comme la passerelle VPN où se connecter et ses identifiants, par exemple.

- Avec MobileIron, vous serez capable de pousser automatiquement et dynamiquement ces éléments sur des appareils iOS et lorsque l'utilisateur téléchargera l'application correspondante, celle-ci reconnaîtra automatiquement ses paramètres et l'utilisateur n'aura rien à configurer manuellement.

III. Le VPN "On-Demand"

Avouons-le, terme "On-Demand" est purement marketing. Venant d'une société comme Apple, cela n'est pas forcément étonnant.

Il recouvre un principe simple que l'on retrouve un peu partout ailleurs dans le monde de l'informatique moderne il n'a qu'un seul but : vous faire économiser de la batterie sur votre terminal.

En effet, nous connaissons tous l'effet d'un tunnel VPN sur la batterie de nos ordinateurs portables et d'autant plus sur nos appareils mobiles qui utilisent des puces 3G, ogres de puissances : la durée de vie de la batterie s'effondre.

Pour remédier à cela, Apple va permettre à des applications tierces d'ouvrir automatiquement le tunnel VPN (on améliore donc au passage l'expérience utilisateur) lorsqu'elle en ont besoin. Celui-ci sera automatiquement fermé quelques temps après l'arrêt de l'application.

Comment cela se passe-t-il ? C'est très simple, vous configurez un domaine de votre réseau comme "intranet.domaine.com" à l'intérieur duquel, toute application tierce qui souhaitera accéder à un serveur qui se trouve dans ce domaine ouvrira automatiquement le tunnel VPN nécessaire pour y accéder. D'où la notion de "On-Demand".

Cette technologie est également compatible avec les VPN SSL supportés par iOS comme le montre le formulaire de configuration MobileIron ci-dessous :

Attention toutefois, cette technologie ne fonctionne qu'avec une authentification forte par certificat SCEP distribué au moyen de votre PKI interne (nous y reviendrons dans un prochain billet)

Novaliance inaugure aujourd'hui son nouveau blog dédié aux questions que pose la gestion des nouveaux usages mobiles en entreprise.

A l'aide de notre expertise dans le domaine et fort de notre partenariat avec le leader actuel des solutions de Mobile Device Management (MDM), Mobile Iron, nous nous efforcerons à vous apporter des réponses simples, justes et précises à toutes les questions que vous vous posez, qu'elles soient techniques ou fonctionnelles.

Nous nous intéresserons plus particulièrement à des sujets qu'il est aujourd'hui devenu urgent de traiter au sein des DSI à cause des nouveaux terminaux mobiles (iPhone, iPad, Androïd, pour ne citer qu'eux) qui pénètrent peu à peu, par de nouveaux usages, par l'intégration des générations Y, par des besoins métiers, le sacro-saint périmètre du Système d'Information de l'entreprise. Comme par exemple :

• Le Bring Your Own Device (BYOD)
• La sécurisation des terminaux
• La gestion du cycle de vie de votre flotte
• La configuration automatique de vos terminaux (Messagerie, WiFi, VPN ...)
• La gestion des applications mobiles
• ...