Android Usage Professionnel Guide pratique Ce document met l accent sur l intégration pratique des appareils Android en entreprise. Juin 2014 Ulrik Van Schepdael Mobco bvba
Avant-propos Android est la plateforme mobile la plus populaire, tant sur smartphones que sur tablettes. Alors que les volumes de ventes aux particuliers continuent d augmenter, le marché professionnel s intéresse de façon croissante au déploiement de ces appareils pour les techniciens mobiles, les personnes affectées au transport, ou aux interventions, Dans ce document, nous aborderons brièvement quelques points en rapport avec la gestion de la sécurité en environnement professionnel mais aussi les solutions actuellement disponibles permettant de transformer les appareils Android en parfaits outils mobiles. Des appareils mobiles destinés au personnel administratif, aux dispositifs cloisonnés à quelques applications professionnelles, vous trouverez dans ce document des informations utiles, mais aussi quelques questions importantes dont vous devriez tenir compte pour votre projet mobile. N hésitez pas à nous contacter pour obtenir plus d informations, une démonstration ou une évaluation des solutions que nous proposons! Mobco BVBA est leader sur le marché BeLux en terme de solutions mobiles professionnelles, et partenaire de MobileIron, Samsung, Apple et Acronis. Nous rendons possible la configuration, la sécurisation et la gestion à distance de n importe quel appareil mobile c est notre objectif! Une équipe de spécialistes est prête à vous assister durant la mise en œuvre de votre projet mobile, de sa conception à son exploitation, en passant par son architecture. 2
Table des matières Avant- propos Table des matières Fragmentation Plateforme ouverte Plan d attaque Enterprise Container Kiosk Mode Samsung KNOX Concrètement Contact 2 3 4 5 6 7 8 9 10 11 3
Fragmentation Les appareils Android occupent une très grande part du marché mobile, avec plus de 80% de part de marché. Il est actuellement possible de trouver des appareils dont le prix varie entre moins de 100 et plus de 1000, et chaque fournisseur de matériel possède au moins un appareil Android dans sa gamme. Cependant, nous devons aussi faire face à une autre réalité : il existe un très grand nombre d appareils différents sur le marché, et tous sont équipés de leur propre «version» du système d exploitation Android. En effet, chaque constructeur doit créer une version adaptée du système d exploitation, ce pour chaque appareil qu il produit. Cette capacité d adaptation de la plateforme Android est aussi la cause de cette fragmentation, les vendeurs de matériel n étant pas toujours en mesure de fournir une mise à jour pour chaque appareil produit. L appareil, lors de sa sortie, est souvent équipé de la dernière version du système d exploitation, mais tout au long de sa durée de vie, de nouvelles versions d Android peuvent être publiées Cette constatation est particulièrement marquée pour les appareils bas de gamme, et s étend aux appareils de milieu de gamme, ce 12 mois après leur lancement. En découlent un très grand nombre de combinaisons appareil/version d Android ; une récente analyse montre qu un opérateur a compté pas moins de 15.000 combinaisons différentes sur son réseau 3G. Les API s (Application Programming Interfaces) sont indispensables pour maintenir une certaine unité - des barrières pour mettre en place et maintenir un dispositif de contrôle des terminaux mobiles. Ces API s, et leurs capacités, sont plus nombreux à chaque nouvelle version du système d exploitation mobile la dernière version d Android 4.x est clairement la plus sécurisé et la plus appropriée pour les entreprises. 4
Plateforme ouverte Android est une plateforme ouverte. Les dernières versions d Android mettent encore plus l accent sur cette ouverture, il est possible et facile pour les utilisateurs d installer des applications, ce depuis n importe quel «Store» d applications. Lorsqu on regarde ces «App Stores» d un peu plus près, on s aperçoit qu il y a très peu de contrôle possible. De plus, il existe d autres manières d installer des applications sur un appareil. Est ce qu une plateforme Android est moins sécurisée parce qu elle est ouverte? En principe, si l utilisateur de l appareil sait exactement comment l utiliser, Android reste sûr. Mais si l utilisateur télécharge et installe tout ce qui passe, alors nous nous retrouvons dans la même situation qu avec un PC : scanner de virus, anti-malware, C est une guerre que vous ne pouvez pas gagner sur le long terme, à moins d ajuster les règles du jeu. 5
Plan d attaque Pour résoudre ce problème, il existe deux possibilités, que nous pouvons actuellement mettre à votre disposition: Enterprise Container et Kiosk Mode. Dans les deux cas, nous prenons le contrôle de la partie du téléphone dans laquelle peuvent se trouver des données de l entreprise. Avec l Enterprise Container, c est une partie de l appareil qui est protégé, alors qu avec le Kiosk Mode, tout l appareil est sous contrôle de l entreprise, et il n y a aucune possibilité d installer des applications privées. Nous pouvons offrir ces deux fonctions via une plateforme de Mobile Device Management, un système de gestion pour appareils mobiles et ordinateurs portables (Windows 8.1 et Mac OS), permettant la configuration, la sécurisation et le contrôle de ces appareils. Dans certains cas, cette plateforme se situe dans le Cloud, avec une intégration minimum dans l infrastructure IT de l entreprise, mais dans une majorité des cas, l implémentation se fait sur le site de l entreprise. Cette dernière option permet non seulement le contrôle des appareils mobiles, mais aussi, selon le conteste, d optimiser et de mieux contrôler l accès au réseau de l entreprise (VPN) grâce à l automatisation (Certificats) des mécanismes de sécurité. L intégration avec l Active Directory ou le LDAP complète le tableau, et permet de configurer automatiquement les appareils en fonction du statut des utilisateurs dans l entreprise : si demain un employé change de poste ou déménage au sein de la société, les paramètres de son smartphone s adapteront automatiquement. Dans ce contexte, l appareil va d abord être placé sous le contrôle du MDM, afin de pouvoir envoyer par la suite l Enterprise Container ou le Kiosk Mode. 6
Enterprise Container Puisque nous sommes dans l impossibilité de bloquer tous les accès détournés au système Android, nous devons accepter une responsabilité partagée sur l appareil (nous autorisons l utilisateur à installer des applications, et du contenu tel que des photos ou de la musique). Pour cela, il nous faut modifier les règles du jeu : - Nous prenons le contrôle partiel de l appareil afin, par exemple, de donner accès au réseau WIFI de l entreprise. - Nous plaçons les documents et applications de l entreprise dans une zone sécurisée accessible uniquement après identification. Cette approche est possible en créant une sorte de «carte SD virtualisée» sur l appareil, dans laquelle les données de l entreprise seront placées. Tout contenu placé dans cette «carte» est encrypté, isolé du reste de l appareil, placé sous contrôle du MDM, et ne peut être utilisé qu après déverrouillage du «conteneur» par code PIN ou mot de passe. Les applications professionnelles (email, applications de gestion de document ou applications développées en interne) sont donc placées dans cet environnement sans impact sur le reste de l appareil ou son utilisation «privée», car aucune restrictions ne s y applique. L utilisateur a donc toujours la possibilité d installer des applications privées, mais sans possibilité d interaction (lecture ou modification) avec les données isolées dans le container. Les fonctionnalités de cet «Enterprise Container» sont complètement sous contrôle du MDM, et ne sont pas influencées par la version d Android. Les avantages de l «Enterprise Container» : - Réponse uniforme à la fragmentation du marché Android, sur tous types d appareil. - Sécurisation par l encryptage du conteneur, sans nécessité d encryptage de l appareil complet. - Responsabilité partagée avec l utilisateur, sans impact sur l utilisation privée de l appareil. - Pas de mot de passe ou de code nécessaires sur l appareil, les données sensibles se trouvant dans le conteneur, qui lui est protégé par mot de passe ou code - Seules les applications sécurisées sont autorisées dans le conteneur Dois-je développer de nouvelles applications pour travailler au sein de ce conteneur? Non, ce n est pas nécessaire. Les applications «privées» ont juste besoin d obtenir une couche de sécurité supplémentaire afin d être admises au sein du conteneur. C est une action gratuite que seul le gestionnaire du MDM de l entreprise peut effectuer. Remarque : les applications publiques ou commerciales ne sont pas toujours disponibles en format sécurisé. Veuillez nous contacter pour obtenir une liste complète des applications disponibles. Les applications développées en interne ne posent pas de problème. 7
Kiosk Mode Si le Kiosk Mode va plus loin en terme de sécurité et de contrôle, il s éloigne du concept de «responsabilité partagée» de l appareil entre l utilisateur et l entreprise. Dans cette situation, nous partons du principe que l ensemble de l appareil est sous contrôle de l entreprise. Faut-il appliquer le même principe que pour le conteneur? Pas vraiment, car il n y a pas de responsabilité partagée, l appareil devient le «conteneur». Le seul contenu visible et utilisable du conteneur dans le cas présent, de l appareil sera celui autorisé par l entreprise. Lorsque vous déverrouillez l appareil, vous ouvrez également le conteneur, et vous obtenez l accès aux applications autorisées par le MDM. D autres fournisseurs proposent ce genre de solution, mais Samsung offre un meilleur contrôle au niveau de l appareil lui-même. Concrètement, nous pouvons constater qu aujourd hui la gamme Samsung Galaxy possède la meilleure implémentation du Kiosk Mode, grâce à la disponibilité des API s SAFE (Samsung Approved For Enterprise). Un autre avantage du Kiosk Mode est qu il est possible, grâce au MDM, d améliorer l expérience de l utilisateur, en offrant une interface personnalisée aux couleurs de l entreprise. La tablette ou le smartphone deviennent alors de vrais outils mobiles professionnels. Les avantages du Kiosk Mode : - Le contrôle de l appareil par l entreprise sans usage privé - Sécurité accrue grâce au cryptage de l appareil - Installation et configuration automatique des applications et de l appareil - Toutes les applications peuvent être intégrées par l administrateur - Protection par PIN ou mot de passe de l appareil et des informations qu il contient Puis-je utiliser n importe quelle application en Kiosk Mode? C est en effet possible. Etant donné que la sécurité se situe au niveau de l appareil luimême, il est possible d intégrer toutes les applications «natives» au Kiosk. L administrateur peut donc intégrer n importe quelle application au Kiosk, ce sans la modifier. C est l administrateur qui se porte garant de la sécurité de l application. 8
Samsung KNOX L évolution ne s arrête pas là, depuis avril 2014, Samsung propose KNOX 2.0, qui est considéré comme une évolution de l API Samsung SAFE. Là où l Enterprise Container se base sur un logiciel d encryptage, KNOX va un cran plus loin en ajoutant une couche hardware efficace pour les entreprises. KNOX propose une solution deux en un : - un appareil privé sur lequel l utilisateur a tous les droits - un appareil professionnel en Kiosk Mode Les deux modes fonctionnent sur le même appareil, mais jamais simultanément, et ne peuvent communiquer l un avec l autre sauf pour les informations stockées dans le répertoire téléphonique, si vous l autorisez. 9
Concrètement Nous préparons un projet Android, devons-nous d abord déterminer si nous acceptons la responsabilité partagée, ou non? - OUI. Pour l utilisation habituelle d un smartphone ou d une tablette, dans le cadre d un travail administratif ou de vente. - NON. Pour les solution spécifiques, telles que les applications de gestion de workflow, ou pour utilisation sur des foires commerciales. Déterminez le type d appareil! - Choisissez aujourd hui Samsung pour ses nombreux API s, tels que SAFE ou KNOX, qui sont réelle une valeur ajoutée (plus de contrôle au niveau de l appareil) - Optez pour des appareils de la gamme Samsung Galaxy et son mode Kiosk si nécessaire - SI aucun choix n est possible, sachez que l Enterprise Container est une solution sûre et uniforme Vérifiez si vous posséder les droits sur l application que vous souhaitez utiliser, ou la possibilité d acquérir ces droits : - Si vous n avez pas les droits sur l application, seul le Kiosk Mode permet de faire fonctionner ces applications dans un environnement sécurisé. - Si vous avez les droits sur l application parce que vous l avez développée, ou vous avez acheté ces droits, vous pouvez l utiliser dans le Container et dans le Kiosk Mode. Remarque : le fournisseur de MDM propose également une gamme d applications prêtes à être exécutées dans le container : - Nitrodesk Touchdown (email, calendar, contacts, tasks) - Divide (email, calendar, contacts, tasks) - email+ (email, contacts) - SharePoint, CIFS, webdav client - Polaris Office document editor - PDF, ZIP viewer, Je souhaite installer 4 applications totalement protégées sur une tablette Android: SMS/Appel, email, GPS et un tableur. Combien ça coûte? - Ces applications mobiles sont toutes disponibles le coût éventuel des licences peut s ajouter dans le cas du GPS et du tableur. - Un abonnement mensuel de 4 euros par appareil (tant appareil mobile que serveur) - Le Setup varie entre 2000 et 5000 euros suivant la complexité du réseau, et des exigences. - Les coûts de support, si demandé. Ces prix sont décrits à titre indicatif, pour un volume de 50 appareils, et peuvent être sujets à modifications. 10
Contact Vous souhaitez obtenir plus d information, ou avez des questions sur ce document, Android, MDM ou les applications mobiles? N hésitez pas à nous contacter! Tel: +32 2 66 99 500 Email: info@mobco.be Website: www.mobco.be D autres Whitepapers sur la mobilité en entreprise sont disponibles sur notre website! 11