Solutions de gestion de dispositifs mobiles (MDM) - Conseils à l’intention du gouvernement du Canada - ITSB-64

Introduction

Les dispositifs mobiles se sont propagés rapidement dans les environnements ministériels du gouvernement du Canada (GC), et bien qu’ils permettent d’augmenter la productivité et l’efficacité, ils contribuent de façon notable à accroître le risque de compromission de l’information sensible. Pour atténuer cette nouvelle menace, le Centre de la sécurité des télécommunications Canada (CSTC) recommande aux ministères de déployer des solutions de gestion de dispositifs mobiles (MDM pour Mobile Device Management).

Un logiciel MDM permet de sécuriser, surveiller, gérer et prendre en charge les dispositifs mobiles déployés sur un réseau, en contrôlant et en protégeant les données et les paramètres de configuration. Les capacités de différents progiciels MDM peuvent toutefois varier considérablement, et il faut sélectionner avec soin la solution appropriée.

Que peut offrir une solution MDM?

Les solutions MDM offrent une vaste gamme de fonctionnalités, allant de solutions de base telles que le contrôle des paramètres de sécurité activés sur les dispositifs mobiles, jusqu’à des solutions très évoluées comme l’extension et l’application obligatoire des politiques et contrôles de sécurité ministériels sur les dispositifs mobiles, ainsi qu’une intégration transparente avec les systèmes et services ministériels.

Un produit de MDM peut offrir une ou plusieurs des fonctionnalités suivantes :

1. Gestion des dispositifs mobiles
   • Configuration des dispositifs – paramètres du dispositif, restrictions, justificatifs d’identité
   • Contrôle des dispositifs – vérification des dispositifs, réinitialisation de mots de passe, suppression des données à distance
   • Gestion des applications – détermination des applications qui peuvent ou ne peuvent pas être installées et utilisées
2. Protection des données ministérielles
   • Données en transit
   • Données inactives
3. Intégration de messagerie électronique / courriels
   • Pleine intégration et prise en charge de toutes les fonctionnalités importantes (calendrier, contacts) et des principales plateformes (Microsoft, IBM, GroupWise, etc.)
4. Intégration unifiée des communications
   • Prise en charge des principales plateformes : Microsoft, IBM, Cisco, Avaya, Mitel, Siemens, etc.
5. Facilitateurs opérationnels
   • Soutien, accès et contrôle pour les services et applications sur l’intranet et le réseau ministériel.

Le degré de contrôle offert en matière de paramètres et restrictions imposables au dispositif, ainsi que les options disponibles en matière de vérification, de contrôle et de gestion des applications, dépendent en général du choix de la plateforme, alors que la prise en charge des autres fonctionnalités dépend en général d’une combinaison de plateforme et de soutien MDM.

Les produits MDM plus évolués tirent parti des fonctionnalités de sécurité poussées intégrées à la plateforme de dispositifs mobiles de manière à étendre les politiques et contrôles de sécurité ministériels sur les dispositifs mobiles et à assurer une intégration transparente avec les systèmes et services ministériels.

Un plus petit nombre de produits MDM offrent des fonctionnalités additionnelles :

• Sécurisation des données ministérielles stockées sur le dispositif (données inactives);
• Sécurisation des connexions établies avec l’infrastructure ministérielle (données en transit).

De tels mécanismes comptent souvent sur l’utilisation d’un agent MDM (une application spéciale tournant sur le dispositif mobile) pour activer ces fonctionnalités. Le degré d’efficacité de ces mécanismes tend à varier d’une plateforme mobile à une autre, et d’un fournisseur de solutions MDM à un autre.

Limites de la MDM

Une solution MDM doit tenir compte à la fois des capacités du produit MDM et du choix de la ou des plateformes de dispositif mobile, et prendre en considération les capacités et le soutien disponible en matière de fonctionnalités de sécurité. La sélection d’une solution MDM ne doit PAS se faire indépendamment de la sélection du dispositif mobile.

On ne peut pas compter sur l’ajout d’une solution MDM pour compenser un profil de sécurité inadéquat associé à un dispositif mobile. La MDM ne peut pas ajouter des fonctionnalités de sécurité additionnelles à une plateforme ou un dispositif; elle peut seulement utiliser les fonctionnalités et contrôles de sécurité qui sont déjà pris en charge nativement par une plateforme de gestion de dispositifs.

Certaines solutions MDM peuvent étendre des fonctionnalités de sécurité sur une plateforme de dispositifs mobiles. Elles nécessitent alors l’exécution d’un agent logiciel sur la plateforme. De telles fonctionnalités sont généralement assez limitées, et elles sont jugées moins strictes et moins robustes que les fonctionnalités prises en charge nativement.

Sommaire

Lorsqu’il faut déterminer la pertinence d’autoriser la connexion de dispositifs mobiles à un réseau ministériel, les gestionnaires doivent comprendre que les solutions MDM ne sont pas une solution miracle qui permet de résoudre tous les problèmes de sécurité posés par ces plateformes. Il faut à la fois prendre en considération les limites et les capacités de la solution MDM, la nature de la plateforme des dispositifs mobiles ainsi que le sous ensemble des contrôles de sécurité mis en œuvre par chaque dispositif.

Renseignements supplémentaires

Pour obtenir de plus amples renseignements sur les conseils, l’orientation et les services en matière de sécurité des TI, prière de communiquer avec les Services à la clientèle de la Sécurité des TI : itsclientservices@cse-cst.gc.ca.