Retour 
Le parc mobile d'une organisation représente probablement la partie la plus vaste et la moins protégée de son périmètre de données. Ce problème est accentué par une réalité incontournable : l'expérience utilisateur dicte désormais la politique de sécurité et son application.
Les utilisateurs exigent un accès fluide aux applications et aux données depuis n'importe quel appareil, y compris leurs appareils personnels (BYOD). Par conséquent, les organisations s'efforcent de mettre en place un programme de gouvernance de la mobilité, tout en tentant de décrypter une série complexe d'acronymes, tels que MDM, MAM, MTD, SSE, ZTNA, VPN et EDR mobile.
Avant de choisir les bons outils, il est essentiel de choisir le bon modèle, celui qui concilie les exigences des utilisateurs et les impératifs de sécurité.
Dans cette optique, examinons les trois principaux modèles de gouvernance mobile.
1. Protection des données sur les appareils appartenant à l'entreprise
Dans ce modèle, les entreprises fournissent des appareils mobiles à leurs employés. Le cycle de vie de ces appareils est entièrement géré par une solution de gestion des appareils mobiles (MDM) ou une solution de gestion de la mobilité d'entreprise (EMM), qui permet un contrôle strict des applications installées et l'application de politiques de sécurité à l'ensemble de l'appareil. D'autres outils peuvent être utilisés, et peuvent même coexister dans certains cas.
Cette configuration offre en théorie des conditions de contrôle et de sécurité optimales, mais en pratique, elle est rarement viable.
Les utilisateurs recherchent la flexibilité. Outre les applications professionnelles, ils souhaitent se déplacer, voyager, commander des repas, communiquer et se détendre. Cela implique l'utilisation d'un large éventail d'applications personnelles. Mais ces applications non professionnelles nécessitent-elles le même niveau de sécurité que les applications d'entreprise ? La réponse est nuancée, et trouver le juste équilibre est complexe. En général, les utilisateurs s'attendent à utiliser leurs appareils d'entreprise comme leurs appareils personnels, invoquant des raisons de productivité ou de commodité. Il en résulte souvent un conflit entre les politiques : soit les employés emportent un deuxième appareil personnel (solution rarement privilégiée), soit les politiques d'entreprise sont assouplies pour imiter le BYOD, ce qui revient à adopter le modèle immédiatement inférieur.
Il convient de noter que les attentes des utilisateurs portent ici sur la commodité, et non sur la confidentialité. La sécurité axée sur les appareils étant difficile à mettre en œuvre de manière cohérente, les limites doivent être définies ailleurs.
2. Protection des données sur les appareils personnels inscrits à la MDM
Ce modèle propose un compromis en intégrant l'appareil personnel de l'utilisateur à l'environnement d'entreprise. Une fois enregistré, l'appareil reçoit les applications, les paramètres et les politiques nécessaires pour respecter les normes de l'entreprise. La sécurité peut être appliquée à grande échelle, par exemple en limitant les transferts de données entre les applications gérées et non gérées ou en accordant un accès privé et sécurisé uniquement aux applications professionnelles. Aucune fonction de sécurité spécifique au sein des applications, aucune intégration de SDK ni aucune action particulière n'est nécessaire.
Les méthodes modernes d'inscription au MDM (telles que l'inscription utilisateur iOS et le profil professionnel Android) créent une séparation nette entre les espaces personnels et professionnels. La confidentialité peut être bien protégée, mais il existe toujours un fossé de confiance.
Les utilisateurs doivent enregistrer volontairement leur appareil personnel, ce qui revient en substance à permettre au service informatique d'en « gérer » une partie. Malgré les garanties techniques, les idées reçues, le manque de compréhension et la méfiance générale freinent souvent l'adoption de cette pratique.
3. Sécurisation des données dans les applications gérées sur les appareils personnels non gérés
Ce modèle abandonne totalement le contrôle au niveau des appareils pour se concentrer uniquement sur l'essentiel : les applications et les données qu'elles contiennent.
Les applications d'entreprise sont protégées individuellement grâce à des contrôles de sécurité intégrés ou basés sur des kits de développement logiciel (SDK) ; aucune inscription à un système MDM ni aucune installation supplémentaire n'est nécessaire. Il n'est pas surprenant que cette approche gagne rapidement du terrain. Des frameworks tels que la gestion des applications mobiles (MAM) d'Intune de Microsoft facilitent la mise en place de protections uniformes sur l'ensemble des suites d'applications et permettent un accès à distance sans dépendre des profils VPN des appareils.
Toutefois, du point de vue de la sécurité, ce modèle reste le plus risqué.
En l'absence de gestion centralisée au niveau des appareils, l'application des règles devient fragmentée. La sécurité doit être intégrée à chaque application, mais il est difficile d'assurer la cohérence au sein de l'écosystème applicatif. Intune propose plus de 100 applications dans son catalogue, mais de nombreux outils populaires ne sont pas pris en charge (notamment les solutions majeures comme Google Workspace, Salesforce, Atlassian et Workday). De plus, les fonctionnalités de sécurité pour la protection des applications doivent être acquises, activées et gérées séparément.
L'expérience utilisateur de ce modèle est généralement excellente. Comme il n'y a aucune difficulté d'inscription à la MDM et que la MAM est activée dans l'application après authentification, l'intégration est optimale. Cependant, certains problèmes peuvent se produire en raison d'une application fragmentée des règles de sécurité, avec des « îlots de sécurité » qui ne communiquent pas entre eux. La restriction des activités de copier/coller entre Jira et Microsoft Teams, tous deux protégés par la MAM (séparément), en est un bon exemple.
Paradoxalement, cette expérience fragmentée pourrait inciter les organisations à revoir leurs stratégies fondées sur la MDM dans un souci de cohérence et de simplicité.
L'adaptabilité est essentielle
On dit souvent que l'expérience utilisateur et la sécurité devraient toutes deux influencer la stratégie de mobilité, mais les attentes des utilisateurs font de cette question un véritable défi.
La plupart des employés exigent un accès complet depuis leur téléphone personnel, tout en s'opposant à la moindre mesure de contrôle de la part de la direction, et bien sûr, ils s'attendent à ce que tout « fonctionne tout simplement » sans aucune restriction lorsqu'ils utilisent un appareil de l'entreprise. Les utilisateurs veulent à la fois confidentialité, flexibilité et sécurité, mais uniquement lorsque cela ne leur cause aucun désagrément.
Le manque de cohérence architecturale oblige les entreprises à jongler entre plusieurs modèles, outils et politiques pour répondre à des exigences contradictoires qui, souvent, sont incompatibles.
Et c'est très bien ainsi. Chaque modèle conserve sa place légitime dans l'architecture d'entreprise, car chacun correspond à une approche et un niveau de contrôle différents. L'objectif ne devrait pas être de trouver un modèle unique et parfait, mais de reconnaître cette variabilité et de concevoir une gouvernance de la mobilité qui s'y adapte sans compromettre la confiance ni la protection.
C'est dans cette adaptabilité que Netskope excelle. La plateforme unifiée Security Service Edge (SSE) de Netskope prend en charge de manière flexible les trois modèles de gouvernance mobile grâce à un seul moteur de politique, offrant une protection zero trust cohérente, une protection avancée contre les menaces (ATP) et une protection des données (via la prévention de la perte de données, ou DLP).
Pour les périphériques BYOD appartenant à l'entreprise ou enregistrés, le Netskope One Client peut être déployé via MDM ou EMM, en utilisant soit un profil VPN global pour garantir une inspection et une application complètes du trafic, soit un profil VPN par application, qui ne contrôle que les applications gérées sélectionnées pour une plus grande flexibilité et une meilleure confidentialité des utilisateurs. Pour les périphériques personnels ou non gérés, Netskope permet un accès transparent via le Netskope One Enterprise Browser, offrant un accès sécurisé et isolé aux applications SaaS, web et privées sans nécessiter d'inscription MDM. Cette approche permet aux organisations d'équilibrer la confidentialité des utilisateurs, l'expérience et la sécurité de niveau professionnel sur tous les types de périphériques.
Prochaines étapes
Avant de choisir de nouveaux outils ou frameworks, il est important de comprendre où se situe votre organisation aujourd'hui.
Prenez un moment pour évaluer la maturité actuelle de votre gouvernance mobile et identifier les appareils non gérés, les contrôles d'applications fragmentés ou les politiques incohérentes qui pourraient exposer votre périmètre de données. Cette autoévaluation peut révéler des risques et des opportunités d'amélioration. Grâce à une vision plus claire de votre situation actuelle, l'équipe Netskope peut vous aider à traduire ces enseignements en une feuille de route concrète, en alignant votre stratégie de mobilité sur les principes zero trust et en garantissant une protection homogène sur tous les modèles d'appareils et pour tous les scénarios d'utilisation.
Vous souhaitez en savoir plus sur la sécurité mobile ? Consultez nos pages Netskope One Mobile Client et Enterprise Browser.
Lire le blog