Réponse à Appel d offres Sophos Mobile Control Sophos SARL River Ouest 80 Quai Voltaire 95870 Bezons Téléphone : 01 34 34 80 00 Fax : 01 34 34 80 01 info@sophos.fr 1
2
Table des matières 1. Contacts... 4 2. Présentation générale de la société... 5 2.1. La société... 5 2.2. Plus de 100 millions d utilisateurs nous font confiance à travers le monde... 6 2.3. Notre vision... 6 2.3.1. Meilleurs ensemble... 7 2.3.2. Active Protection... 7 2.3.3. Cycle de vie complet de la sécurité... 8 2.4. Les SophosLabs... 8 2.5. Certifications and reconnaissance... 9 3. Sophos Mobile Control... 10 3.1. Présentation... 10 3.1.1. Garder le contrôle Accès administrateur... 11 3.1.2. Dégager du temps d administration Enrôlement par l utilisateur... 12 3.2. Gestion des utilisateurs... 12 3.3. Déploiement et provisionnement... 13 3.3.1. Périphériques et groups... 13 3.3.2. Packages d installation... 14 3.3.3. Principes de fonctionnement du processus d installation... 15 3.4. Paramètres de configuration des terminaux... 18 3.4.1. Profil entreprise pour IOS... 18 3.4.2. Profil entreprise pour Android... 19 3.4.3. Profil entreprise pour Windows Phone 8... 20 3.5. Le magasin d application... 20 3.6. Conformité... 23 3.7. Rapports... 27 3.8. Portail en libre-service... 28 3.8.1. Configuration... 28 3.8.2. Accès... 29 3.8.3. Matrice fonctionnelle... 31 3.9. Architecture logicielle du produit... 35 3.9.1. Sophos Mobile Control server... 35 3.9.2. Logique métier... 36 3.9.3. Accès à l annuaire centralisé... 36 3.9.4. ActiveSync Proxy... 36 3.9.5. Interface web d administration... 37 3.9.6. SMC Service Center... 37 3.10. Sophos Mobile Security... 38 4. Table des figures... 44 3
1. Contacts Consultante Avant Vente Lise Delage Tel: +33 (0)1 34 34 80 44 Fax: +33 (0)1 34 34 80 01 Email: lise.delage@sophos.fr Ingénieur Commercial David Batut Tel: +33 (0)1 34 34 80 18 Fax: +33 (0)1 34 34 80 01 Email: david.batut@sophos.fr Société SOPHOS SARL River Ouest 80 Quai Voltaire 95870 Bezons Téléphone: +33 (0)1 34 34 80 00 Fax: +33 (0)1 34 34 80 01 Email: info@sophos.fr 4
2. Présentation générale de la société 2.1. La société La mission de Sophos est de délivrer le meilleur niveau de sécurité informatique et de protection des données pour les entreprises. Nous développons des produits antivirus et de chiffrement depuis les années 1980. Aujourd'hui, nos solutions protègent plus de 100 000 entreprises (soit plus de 100 millions d'utilisateurs) dans plus de 150 pays à travers le monde. Et parce que nous comprenons tous les enjeux liés à la sécurité de votre entreprise, nous sommes reconnus par nos clients et les spécialistes du marché comme leader dans ce que nous faisons. Les professionnels de l'informatique et les spécialistes de la sécurité choisissent Sophos car notre offre est unique sur le marché, reposant sur un engagement très simple : proposer «une sécurité complète, sans complexité». Nos produits protègent les entreprises partout et à tous les niveaux, de la passerelle réseau aux serveurs en passant par les systèmes d'extrémité, les données dans le Cloud et les mobiles personnels des utilisateurs. "Une sécurité complète, sans complexité" signifie une protection plus performante, une meilleure visibilité, des solutions innovantes faciles à déployer et mises au point par l'un des éditeurs les plus réputés qui consacre l'ensemble de ses ressources à un seul domaine : la sécurité. Tous nos produits bénéficient de l'intelligence de nos SophosLabs, notre réseau mondial d'experts qui surveillent les menaces, les attaques et les applications légitimes 24h/24, 7j/7 et qui sont connectés en permanence à votre entreprise via notre service de protection active. Figure 1 : Siège Social de Sophos en Angleterre 5
2.2. Plus de 100 millions d utilisateurs nous font confiance à travers le monde Notre mission est d'aider les organisations à protéger leurs données et à lutter contre le nombre croissant de menaces, de plus en plus complexes. Notre protection s'applique partout et assure une sécurité complète à tous les niveaux : systèmes d'extrémité, chiffrement, messagerie, Web, sécurité réseau et UTM. Notre mission est d'aider nos clients à protéger leur entreprise et à maintenir leur conformité. Tous nos clients bénéficient de l'expertise de nos analystes des menaces, répartis à travers le monde. Leurs centres de recherche sont au cœur de toutes nos activités. Ils détectent les menaces les plus récentes et mettent à jour la protection de nos clients automatiquement. De plus, nos équipes Support se composent d'ingénieurs connaissant parfaitement nos produits et disponibles 24h/24 pour vous assister. Nous attachons une importance primordiale à la simplicité d'installation et d'utilisation de nos produits pour vous faire gagner du temps dans la gestion de votre sécurité informatique. Grâce à Sophos, vous pouvez vous concentrer sur vos activités et les besoins de votre entreprise, en sachant que vous êtes parfaitement sécurisé. 2.3. Notre vision La sécurité informatique devient de plus en plus complexe et versatile : nouveaux défis générés par les smartphones, les tablettes ou le stockage dans le Cloud, nombre croissant de produits de sécurité à administrer, nouvelles applications à contrôler, et toujours plus de malwares et de pirates... Malheureusement, les équipes informatiques et les budgets de sécurité informatiques ne suivent pas cette cadence et ont du mal à s'adapter. Chez Sophos, nous pensons qu'il est temps d'adopter une approche différente. C'est pourquoi nous nous sommes engagés à garantir : «une sécurité complète sans complexité». Notre vision est de donner à nos clients : Un système de sécurité unique pour leur entreprise : la «couche sécurité» de leur département informatique Des solutions complémentaires : Endpoint (mobiles compris) + Gateway + Cloud fonctionnent conjointement pour offrir une meilleure protection. Une visibilité globale. Une vue d'ensemble de votre système de sécurité pour que vous puissiez voir en un instant ce qui ne va pas et y remédier. Un cycle de vie complet de la sécurité Un système qui permet de résoudre et d'apporter des améliorations rapidement lorsqu'un problème survient, plutôt que de prétendre qu'il bloque 100 % des menaces sans impact sur l'entreprise. Technologie "Active Protection" pour vous connecter directement à nos experts en menaces informatiques. Moins de complexité - simple à déployer et à administrer, elle évite d'avoir de multiples produits à gérer. 6
Un support assuré par des experts - un partenaire de sécurité informatique + un éditeur que vous pouvez appeler pour tous vos problèmes de sécurité, avec des experts qui analysent les menaces et qui sont à votre disposition quel que soit le produit ou la technologie en cause. Nous sommes convaincus que cette approche non seulement vous protège plus efficacement mais elle vous fait aussi gagner du temps et de l'argent. 2.3.1. Meilleurs ensemble Nous concevons nos produits de manière à ce qu'ils fonctionnent conjointement pour mieux vous protéger avec moins d'impact sur les performances, et vous permettre de : Appliquer votre politique d'utilisation du web non seulement dans l'entreprise mais aussi dans les lieux publics environnants. Chiffrer les données automatiquement tout au long de leur transfert : du serveur à la messagerie, à l'ordinateur portable, à DropBox, au smartphone Android personnel... sans que l'utilisateur ne s'aperçoive de rien. Améliorer votre protection contre les menaces sophistiquées et persistantes grâce au parefeu dernière génération qui communique avec votre protection des systèmes au fur et à mesure que le trafic s'effectue vers votre réseau et en dehors. 2.3.2. Active Protection Nos experts des SophosLabs surveillent bien plus que les malwares. Ils analysent tous les facteurs pouvant menacer votre sécurité, telles que les applications, les sites Web, le spam et autres vulnérabilités. Nous utilisons ensuite ces informations pour optimiser votre protection. Et notre connexion constante au Cloud nous permet d'ajuster cette intelligence dès que nécessaire. Nos produits simplifient les tâches qui vous prennent trop de temps aujourd'hui et aident à préserver la productivité de vos utilisateurs et de votre équipe informatique. Règles HIPS : Nous créons les règles pour vous, nous vérifions leur précision et nous les ajustons si nécessaire. Il vous suffit de cocher une case pour activer cette protection haute fiabilité. Contrôle des applications : Cette fonction est intégrée à notre antivirus. Vous choisissez les catégories que vous voulez contrôler et nous ajoutons les nouvelles applications pour maintenir votre politique à jour. Contrôle des données : Nous avons intégré une fonction de détection de données sensibles prédéfinies telles que les numéros de cartes bancaires ou les informations médicales. Vous pouvez bloquer ou avertir les utilisateurs qui exposent les données à des risques. Corriger les vulnérabilités : Nous accordons une importance primordiale aux correctifs pour les applications et les systèmes d'exploitation. Vous serez informé des menaces qu'ils arrêtent et pourrez donc facilement identifier les correctifs les plus importants à déployer. 7
2.3.3. Cycle de vie complet de la sécurité Notre protection complète va au-delà de la simple détection des menaces. Elle couvre tous les facteurs pouvant impacter la sécurité. Nous réduisons la surface d'attaque : Nous nous attaquons aux vecteurs de risque tels que les sites Web, les applications, les logiciels de partage de données et autres vulnérabilités. Nous protégeons en tous lieux et en toutes circonstances : Nous nous assurons que les utilisateurs sont protégés où qu'ils soient et quels que soient les systèmes et périphériques portables qu'ils utilisent. Nous bloquons les attaques et les violations de sécurité : Notre technologie va au-delà des signatures grâce à notre protection Live, qui permet d'arrêter les nouvelles menaces instantanément. Et le plus important, nous n'entravons pas la productivité des utilisateurs ni de l'équipe informatique. Nos produits sont conçus pour simplifier les tâches qui vous prennent trop de temps aujourd'hui. 2.4. Les SophosLabs Les SophosLabs, notre réseau international de chercheurs et d'experts hautement qualifiés répartis en Europe, Amérique du Nord et Asie-Pacifique, bénéficient de plus de vingt ans d'expérience dans la protection des entreprises contre les menaces connues et émergentes. Ils couvrent tous les domaines de la sécurité informatique avec un système intégré qui traque les malwares, les vulnérabilités, les intrusions, le spam, les applications légitimes, les sites Web infectés, les formats de données personnelles et tous les types de périphériques amovibles. Nos systèmes automatisés analysent des millions de courriels et des milliards de pages Web, mettant à jour des bases de données composées de téraoctets de code légitime et malveillant et identifiant chaque jour plus de 10 000 URL infectés et plus de 100 000 nouvelles variantes de code malveillant. Nos analystes surveillent en permanence la protection de nos clients et l'ajustent automatiquement via notre système "Active Protection" en temps réel. 8
Figure 2 : Présentation des SophosLabs 2.5. Certifications and reconnaissance Ingénierie de l'informatique. Physique. Mathématique. Chimie. Nos ingénieurs des SophosLabs sont issus d'horizons scientifiques très variés. Ce qui les réunit? Un désir insatiable, non seulement de résoudre vos problèmes, mais avant tout de les prévenir. Bien que hautement qualifiés, nous demandons à ce qu'ils suivent plusieurs mois de formation intensive et rigoureuse avant d'être prêts pour assurer la sécurité de nos clients. Les plus brillants candidats sont recrutés à l'international pour s'attaquer aux dizaines de milliers d'échantillons de malwares et aux millions de menaces Web et de spam relayés chaque jour. Grâce à nos systèmes d'analyse automatisée sophistiqués et étudiés en fonction des besoins de chaque client, les SophosLabs gardent une longueur d'avance sur les attaques et leurs auteurs. En surveillant et en actualisant la protection en permanence, les analystes des SophosLabs développent une sécurité proactive contre les menaces d'aujourd'hui et de demain. Ce haut niveau de protection a valu à Sophos de nombreuses certifications et reconnaissances. Plus de 50 VB100 prix, pour la protection de Windows Vista, Windows Server 2003, Windows Server 2008 et Windows XP Une note de A+ de AV-Comparatives dans deux tests comparatifs (Proactive/Retrospective test and the Performance test) Nos analystes experts se consacrent non seulement à leur mission aux SophosLabs mais aussi plus globalement à l'industrie de la sécurité informatique. Les SophosLabs sont souvent sollicités par les médias et invités à intervenir lors de conférences sur la sécurité, notamment par RSA, Virus Bulletin, Anti Phishing Working Group et Hacker Halted. Aux SophosLabs, nous effectuons une sélection très rigoureuse des candidats auxquels nous confions votre sécurité. Et les résultats sont là. 9
3. Sophos Mobile Control 3.1. Présentation Qu'ils appartiennent à l'utilisateur ou à l'entreprise, il est fort probable que des iphone, ipad, Android et smartphones Windows soient connectés au réseau de votre organisation. Il est donc essentiel de protéger ces périphériques de manière à sécuriser les données sensibles en circulation. Nous facilitons la mise en place d'une politique de sécurité efficace visant à protéger les smartphones utilisés dans votre organisation. C'est vous qui détenez le contrôle des fonctionnalités de sécurité, avec même la possibilité de verrouiller les appareils et d'effacer leur contenu sensible à distance en cas de perte. Protégez les données de l'entreprise en appliquant des politiques de sécurité : Permet d'activer les fonctionnalités de sécurité intégrées des périphériques ios (iphone/ipad), Android, Windows Mobile 6.x et Windows phone8, y compris le chiffrement de n'importe quel système d'exploitation et la protection du terminal par mot de passe. Permet le verrouillage à distance via la liaison sans-fil ("over-the-air")et l'effacement des données des périphériques perdus à partir d'une seule et unique interface d administration Web. Exchange ActiveSync Proxy garantit que seuls les postes répondant à vos exigences de conformité (tels que la longueur minimum du mot de passe) sont autorisés à accéder à la messagerie de l'entreprise. Vous laisse contrôler l'usage des applications. Par exemple, vous pouvez bloquer un jeu ou une application inappropriée ou dont le caractère s avère ne pas correspondre à vos politiques de sécurité. Installez ou maintenez facilement les contrôles avec une configuration «over the air» et une interface d administration Web : Contrôle et vérifie les fonctionnalités de sécurité sur les périphériques amovibles à partir d'une seule et unique console de type Web. Le déploiement des mises à jour et des politiques de sécurité "over-the-air" via le portail Web en libre-service permet de maintenir les terminaux à jour n'importe quand et de n'importe où (pour dispenser les utilisateurs d'avoir à contacter votre assistance utilisateur). Permet de tester la conformité de votre entreprise à l'aide d'outils d inventaire et de reporting simples d utilisation. Permet de suivre et d'éditer des rapports détaillés sur tous les périphériques enregistrés, comprenant notamment le paramétrage individuel de chaque appareil, les numéros de série, les numéros de modèle, le matériel installé, etc. Libérez votre service informatique grâce au portail d'auto-assistance : Permet aux utilisateurs d'utiliser et d'enregistrer leurs propres périphériques, vous laissant le contrôle de leur protection et la garantie de leur conformité aux exigences de votre organisation. Permet à l'utilisateur de géolocaliser, de verrouiller ou d'effacer la mémoire de son périphérique sans avoir à contacter l assistance utilisateur. 10
3.1.1. Garder le contrôle Accès administrateur La solution de gestion de flotte de mobiles vous permet de garder le contrôle de vos téléphones d entreprises et de les gérer grâce à une interface web d administration. Figure 3 : Interface d administration de Sophos Mobile Control Depuis celle-ci vous contrôlez l ensemble des téléphones et tablettes qui sont présentes dans l entreprise, définissez les profils de configuration et les appliquez sur les périphériques. Des fonctionnalités d inventaire d applications et de reporting vous permettent d avoir une visibilité accrue sur l ensemble de la flotte. 11
Figure 4 : Interface d inventaire des terminaux de Sophos Mobile Control 3.1.2. Dégager du temps d administration Enrôlement par l utilisateur Avec Sophos Mobile Control, vous allégez également le travail de votre équipe informatique et facilitez le contrôle qu'ont les utilisateurs sur leurs appareils : Aide les utilisateurs à procéder à des tâches routinières grâce à la présence d'un portail en libre-service leur permettant d'activer un nouvel appareil, d'effacer des données ou encore verrouiller un téléphone portable perdu. Offre une vue instantanée des appareils mobiles en répertoriant tous les appareils enregistrés avec leurs paramètres de configuration, leur numéro de série, la référence du modèle et les informations matérielles. Gère les applications sur les périphériques, vous permettant de déployer des applications préconfigurées «over-the-air». Possibilité de désinstaller des applications de la même manière. Une fois le périphérique enrôlé, l utilisateur depuis le portail en libre-service pourra lui-même effectuer un verrouillage ou un effacement des données à distance sans avoir besoin de déranger le service informatique. 3.2. Gestion des utilisateurs Les rôles prédéfinis pour accéder à la console d administration sont les suivants : Administrateur Utilisateur Assistance utilisateur (Helpdesk) Ces rôles ont des privilèges différents. 12
Par exemple le Rôle Assistance utilisateur (ou Helpdesk), ne peut pas supprimer les ensembles de déploiement d applications. L attribution des privilèges en fonction des rôles peut être automatisée. Des rôles complémentaires peuvent être créés en fonction des besoins. Chaque utilisateur bénéficiant d un profil pour définir ces droits d accès. En plus de ces utilisateurs d administration, il est également possible de créer des utilisateurs et des groupes pour une gestion sans connecteur LDAP, en particulier pour accéder au portail en libreservice. Figure 5 : Ajout d un nouvel utilisateur 3.3. Déploiement et provisionnement 3.3.1. Périphériques et groups La solution permet de gérer des périphériques différents (téléphones ou tablettes). Il est ainsi possible de créer des groupes de périphériques afin de répondre à certains critères comme par exemple, les VIPs, les tablettes personnelles, les téléphones personnels ou encore reprendre la nomenclature des groupes de votre société. Afin de rattacher un périphérique à un groupe, il faut l intégrer dans la solution. Pour ce faire, vous pouvez décider de laisser vos utilisateurs enregistrer leur propre matériel ou les intégrer directement depuis la console d administration : Soit manuellement périphérique par périphérique en renseignant au minimum le nom, une description et un numéro de téléphone Soit en masse par l import d un fichier au format CSV 13
Figure 6 : Exemple d enregistrement d un Android Depuis cette interface il est également possible de lier un périphérique à un groupe de terminaux spécifiques ou encore de spécifier s il s agit d un terminal d entreprise ou propriété de l utilisateur. 3.3.2. Packages d installation La solution propose différents packages d installation en fonction des plateformes. Ces packages correspondent au téléchargement de l application Sophos Mobile Control directement sur le Google PlayStore ou sur l Apple Store. 14
Figure 7 : Package SMC Client pour Android Ainsi lors du provisionnement du téléphone, le package correspondant est envoyé sur le périphérique. Ce provisionnement s effectue de différentes façons : Par périphérique Par groupe de périphérique Par email 3.3.3. Principes de fonctionnement du processus d installation Pour installer le client Sophos Mobile Control client sur un périphérique, le processus de synchronisation ne peut être utilisé, car le client n est alors pas encore installé. Le lanceur, un mécanisme standard pour initialiser l installation, est alors utilisé en fonction du type de périphérique. 15
Figure 8 : Interface de paramétrage des lanceurs d installation Ce processus est basé sur l envoi de commandes de liaison sur les fichiers d installation, en fonction du système d exploitation utilisé. Des appareils avec des systèmes d'exploitation différents disposent de moyens différents pour installer le client. Les types de fichiers et/ou type MIME sont reconnus par le périphérique comme une installation d application. Figure 9 : Liste des commandes d installation préconfigurées par défaut L utilisateur à juste à ouvrir le lien (qu il peut recevoir par email) ou le SMS et accepter l installation du produit. Cette opération s'effectue généralement une seule fois par appareil. 16
Figure 10 : Schéma de communication initiale Après l installation du client, les informations relatives aux périphériques sont collectées et envoyés au serveur lors du premier processus de synchronisation. Le client peut alors être piloté, géré et remonté des résultats d opérations et des informations sur et depuis le serveur Sophos Mobile Control. Figure 11 : Schéma de communication complet 17
3.4. Paramètres de configuration des terminaux Au travers de l utilisation de Profil entreprise il est possible de définir une configuration des paramètres entreprise en accord avec la politique de sécurité définie par l entreprise et acceptée par l utilisateur lors de la phase d enregistrement. L avantage de cette approche est de pouvoir, lors d un simple dé enregistrement d un périphérique de la plateforme de gestion, supprimer les informations entreprises appliqué au terminal. Les principaux paramètres que l on peut définir varient d une plateforme à une autre Ces principaux paramètres sont par exemple : Le mot de passe et son niveau de complexité, Les paramètres de la messagerie d entreprise via le lien ActiveSync, Les «restrictions» qui sont la possibilité d activer ou désactiver des fonctionnalités disponibles sur les plateformes, par exemple l appareil photo, l accès à la carte SD, Les paramètres de configuration d un accès Wi-Fi ou VPN, La distribution de certificats d authentification, L interface d administration propose, par types de terminal (ios, Android, Windows Phone 8 et mobile 6.x), un template de configuration. 3.4.1. Profil entreprise pour IOS Deux approches sont possibles pour ce système d exploitation : Soit l utilisation de l outil de configuration Apple (ipcu) ce qui a l avantage d être toujours compatible avec les dernières évolutions de cet OS. Figure 12 : Outil de paramétrage de profils entreprise Apple (ipcu) 18
Soit l utilisation de ces paramètres directement embarqués dans l interface web, ce qui permet de gérer ces environnements sans outil tiers Figure 13 : Interface de création de profils entreprise de paramétrage pour ios 3.4.2. Profil entreprise pour Android La définition de ces paramètres est directement embarquée dans l interface web, ce qui permet de gérer ces environnements sans outil tiers. Cependant en fonction des marques de terminaux et des versions du système Android les paramètres disponibles peuvent varier. Figure 14 : Interface de création de profils entreprise de paramétrage pour Android La solution Sophos Mobile Control supporte les intégrations du programme Samsung Safe. A ce jour ce composant mis à disposition conjointement par Samsung et Sophos pour les environnements Android 4.0.4 et supérieur permet de définir plus de paramètres. 19
3.4.3. Profil entreprise pour Windows Phone 8 Figure 15 : Interface de création de profil de paramétrage pour Windows Phone 8 3.5. Le magasin d application Dans le but de centraliser la gestion des applications disponibles aux utilisateurs équipés de la solution Sophos Mobile Control. Sophos propose un Entreprise Store qui permet depuis un emplacement unique de mettre à disposition les applications développées en interne par l entreprise, ainsi que les applications gratuites et légales disponibles sur les différentes Apple Store ou Android PlayStore mais aussi les applications payantes achetées de manière groupées par l entreprise. 20
Figure 17 : Définition d un package applicatif Pour l'approvisionnement des logiciels via le magasin Enterprise App Store, vous pouvez définir des packages logiciels Requis ou Conseillé. Le package logiciel figure alors dans le magasin Enterprise App Store de l'agent SMC pour le téléchargement et les utilisateurs peuvent le sélectionner pour l'installation. Grâce à la fonction des packages logiciels, vous pouvez créer de nouveaux packages à installer sur les appareils. Les packages peuvent être constitués de plusieurs fichiers bien qu'ils soient généralement compressés sous la forme d'un fichier spécifique à un système d'exploitation (par exemple, cab ou apk ). Le processus d'installation s'exécute automatiquement ou avec très peu d'interaction de la part de l'utilisateur. 21
Figure 18 : Interface client du magasin d entreprise (ici sous ios) Si vous voulez supprimer un package logiciel, vous devez tout d'abord supprimer toutes les tâches actives le référençant. 22
3.6. Conformité Cette fonctionnalité vérifie si les appareils sont encore administrés par SMC et sont en conformité avec la règlementation de votre entreprise concernant l'accès des mobiles. En ce qui concerne la vérification de la conformité, vous pouvez définir une série de règles par groupe de terminaux, et dans chaque groupe avoir une règle de conformité différente si le terminal est professionnel ou personnel.. Vous pouvez activer/désactiver n'importe quelle plate-forme. Les paramètres de conformité suivants sous forme de règles sont disponibles pour Android : Administration obligatoire : Oui/Non Version minimum du client SMC Autoriser les droits root (rooting) : Oui/Non Autoriser les applications non officielles : Oui/Non Autoriser le debug bridge (ADB) : Oui/Non Version minimum du système d'exploitation : sélectionnez la version minimum de système d'exploitation requise. Intervalle maximal de synchronisation : sélectionnez l'intervalle de temps maximal entre les processus de synchronisation des appareils. Intervalle maximal de scan avec Sophos Mobile Security : sélectionnez l'intervalle de temps maximal entre les processus de synchronisation des appareils ou désactivez le. Malwares autorisés : Oui/Non Applications suspectes autorisées : Oui/Non Applications potentiellement indésirables (PUA) autorisées : Oui/Non Activation du chiffrement natif : Oui/Non Autorisation du roaming data : Oui/Non Liste noire : cliquez sur Modifier pour définir une liste noire des applications qui ne doivent pas être installés sur les appareils. Applications obligatoires : cliquez sur Modifier pour définir une liste des applications devant être installées sur les appareils. Les paramètres de conformité suivants sous forme de règles sont disponibles pour ios : Administration obligatoire : Oui/Non Version minimum du client SMC Autoriser le débridage (jailbreak) : Oui/Non Code secret obligatoire : Oui/Non Version minimum du système d'exploitation : sélectionnez la version minimum de système d'exploitation requise. Intervalle maximal de synchronisation : sélectionnez l'intervalle de temps maximal entre les processus de synchronisation des appareils ou désactivez le. Intervalle maximal de synchronisation des applications ios : sélectionnez l'intervalle de temps maximal entre les processus de synchronisation des appareils ou désactivez le. Activation du chiffrement natif : Oui/Non Autorisation du roaming data : Oui/Non Autorisation l application SMC à géolocaliser le terminal : Oui/Non Liste noire : cliquez sur Modifier pour définir une liste noire des applications qui ne doivent pas être installés sur les appareils. 23
Si l application Sophos Mobile Security est installée et gérée par la console SMC, 4 critères supplémentaires peuvent être ajoutés: o Intervalle maximal de Contrôle SMSec : sélectionnez l'intervalle de temps maximal entre les processus d analyse antimalware des appareils à 6, 12, 24, 48 ou 72 heures ou désactivez-le. o Applications Malveillantes détectées : Oui/Non o Applications Suspectes détectées : Oui/Non o Applications Potentiellement Indésirables détectées : Oui/Non Les paramètres de conformité suivants sous forme de règles sont disponibles pour Windows Phone : Administration obligatoire : Oui/Non Version minimum du client SMC Code secret obligatoire : Oui/Non Version minimum du système d'exploitation : sélectionnez la version minimum de système d'exploitation requise. Intervalle maximal de synchronisation : sélectionnez l'intervalle de temps maximal entre les processus de synchronisation des appareils ou désactivez le. Intervalle maximal de synchronisation des applications ios : sélectionnez l'intervalle de temps maximal entre les processus de synchronisation des appareils ou désactivez le. Activation du chiffrement natif : Oui/Non Autorisation du roaming data : Oui/Non Liste noire : cliquez sur Modifier pour définir une liste noire des applications qui ne doivent pas être installés sur les appareils. Applications obligatoires : cliquez sur Modifier pour définir une liste des applications devant être installées sur les appareils. Autorisation l application SMC à géolocaliser le terminal : Oui/Non En fonction de la conformité, des actions peuvent être prises : Désactiver l accès à l EAS Proxy Notifier l administrateur Lancer un ensemble de tâches spécifiques sur le terminal o Par exemple pour corriger l état de non-conformité : Désinstaller une application en liste noire Installer une application obligatoire Désactiver l itinérance des données Envoyer un message à destination de l utilisateur Effacer le terminal 24
Figure 19 : Règles de conformité pour Android Figure 20 : Règles de conformité pour BlackBerry Figure 21 : Règles de conformité pour Windows Mobile 25
Figure 22 : Règles de conformité pour ios Figure 23 : Règles de conformité pour Windows Phone 8 26
3.7. Rapports Différents types de rapports sont présents au niveau de la console d administration. Figure 25 : Rapports disponibles D autres informations sous forme de listes sont disponibles et exportables, en particulier sur l inventaire des périphériques. 27
3.8. Portail en libre-service Le portail en libre-service permet de laisser aux utilisateurs la possibilité d enregistrer leur propre téléphone ou tablette pour avoir accès à leur messagerie d entreprise (BYOD). Ce portail est également nécessaire pour l enrôlement des tablettes. 3.8.1. Configuration La console d administration vous permet de configurer le portail en libre-service. Ainsi, il est possible de personnaliser la politique d utilisation des terminaux en entreprise, que l utilisateur est obligé d accepter pour pouvoir continuer l enregistrement. Au format HTML, vous pouvez ainsi personnaliser au mieux votre politique. Un message peut également être affiché dans le portail à la fin de l enregistrement d un périphérique. Afin de s assurer qu il n y a pas d abus ou contrôler au plus près les licences Sophos Mobile Control, il est possible de limiter le nombre de périphériques enregistrables sur le portail. Une fois un terminal enregistré, vous pouvez décider des actions qui vous laisser prendre à l utilisateur sans avoir besoin d appeler son service d assistance : Localiser un terminal Verrouiller à distance Reconfigurer le terminal Afficher les violations de conformité Réinitialiser le mot de passe du périphérique Supprimer les données à distance Décommissionner le terminal : supprimer la liaison avec Sophos Mobile Control ainsi que les données entreprise présentent sur le terminal. Figure 26 : Configuration générale du portail en libre-service 28
Figure 27 : Association groupes de terminaux, groupes d utilisateurs de l annuaire et scripts d installation du portail en libre-service 3.8.2. Accès Voici le mode de fonctionnement de l enregistrement d un terminal sur le portail en libre-service : 1. L utilisateur de la tablette reçoit un email l invitant à s enregistrer Figure 28 : Portail en libre-service - Accès 2. L utilisateur accède au Portail en libre-service et enregistre un nouveau périphérique Figure 29 : Portail en libre-service - Enregistrement d un nouveau terminal 29
3. L utilisateur accepte la politique d usage de l entreprise Figure 30 : Portail en libre-service - Acceptation de la politique d usage de l entreprise 4. L utilisateur sélectionne son type de terminal Figure 31 : Portail en libre-service - Sélection du type de terminal 5. Il renseigne les informations relatives à sa tablette 6. L installation du profil s effectue 7. Le périphérique est listé dans le portail de l utilisateur concerné Figure 32 : Portail en libre-service - Descriptif des terminaux enregistrés 30
Apple ios Android Windos Phone 8 Réponse à Appel d offres - Sophos Mobile Control 3.8.3. Matrice fonctionnelle L ensemble des fonctionnalités de la solution est présenté dans le tableau ci-dessous : Côté Serveur Interface administrateur Interface web facile d utilisation X X X Tableau de bord X X X Filtres flexibles X X X Délégation d administration X X X Multi tenant X X X Envoi de messages textes (via APNs, GCM, SMS, MPS) X X X Portail en libre-service Enregistrer un nouveau périphérique X X X Suppression des données à distance d un périphérique X X X Verrouillage d un périphérique à distance X X Localisation d un périphérique X X X Réinitialisation du mot de passe du terminal, App Protection (Android) et SME (ios) X X Synchronisation du périphérique X X X Décommissionnement d un périphérique (incluant un wipe des données de l entreprise sur IOS, Samsung SAFE, Windows Phone 8) X X 5 X Suppression des périphériques décommissionné de l inventaire X X X Surveillance du statut du périphérique et de sa conformité X X X Affichage de la politique d utilisation avec l enregistrement d un périphérique X X X Affichage d un message à la fin de l enrôlement X X X Contrôle de l enregistrement par type d OS X X X Configuration du nombre maximum de terminaux par utilisateur X X X Configuration des commandes spécifiques à l entreprise disponible pour les utilisateurs X X X Gestion des utilisateurs Politique de gestion des mots de passe X X X Recouvrement du mot de passe par utilisateur X X X Annuaire d utilisateurs interne incluant un import par batch X X X Intégration avec Active Directory X X X Intégration avec Novel edirectory X X X Intégration avec l annuaire Lotus Notes X X X Intégration avec l annuaire Zimbra X X X Règles de conformité Gestion de groupes et de règles de conformité par rapport à l appartenance (entreprise ou personnel) X X X Terminal géré par la solution X X X Détection du jailbreak (ios) / Rooting (Android) X X Chiffrement requis X X X Mot de passe requis X X Version Minimum d OS requis X X X Version Maximum d OS requis X X X Dernière synchronisation du terminal X X X Dernière synchronisation de l application SMC X X X Applications mises en liste noire X X Applications mises en liste blanche X X Applications obligatoires X X Blocage de l installation depuis des stores non Google X Paramétrage du roaming data X X X Paramétrage du debug par USB X Version du client SMC X X X Détection de malwares X 4 Détection des applications suspectes X 4 Détection des applications potentiellement indésirables X 4 Dernière analyse antimalware X 4 Géolocalisation pour l application SMC X X X 31
Sécurité Connexion sécurisée à l interface web X X X Communication sécurisée avec les terminaux X X X Terminaux fiables (Exchange ActiveSync Proxy) X X X Contrôle d accès réseau par état de conformité (interface NAC) X X X Protection contre les codes USSD (i.e. *#2314#) X 4 Lancement d un scan anti malware sur le périphérique X 4 Protection contre le SPAM (appel, SMS, MMS) X 4 Protection contre les sites web malicieux (web filtering) X 4 Protection des applications de l entreprise avec une authentification supplémentaire X 4 Filtrage web de productivité avec 14 catégories X 4 Inventaire Facile à manipuler grâce aux templates de terminaux X X X Agrégation des terminaux par groupes X X X Transfert automatique de l identifiant unique (IMEI, MEID, UDID) et autres infos X X X Détection automatique de la version de l OS X X X Classification des terminaux : entreprise et personnel X X X Import / export des informations du terminal X X X Provisionnement Par SMS X X Par email X X X Enregistrement en ligne depuis le terminal X X X Provisionnement en masse (par SMS et/ou email) X X X Définition de packages de déploiement standardisés X X X Assignement automatique de politiques /groupes basés sur l annuaire X X X Gestion des tâches Création des tâches planifiées X X X Génération des tâches par terminal ou groupes de terminaux X X X Suivi détaillé du statut de chaque tâche X X X Stratégies intelligentes pour la répétition des tâches X X X Reporting Export d inventaire avec filtres X X X Rapports graphiques sur l état d inventaire d un terminal X X X Rapport de violation de conformité (2 types différents) X X X Rapports sur les terminaux (7 différents) X X X Rapport sur les applications (6 types différents) X X X Interface de programmation (API) Web Services API de systèmes tiers pour le provisionnement et les informations du terminal X X X Côté périphérique Fonctionnalités de l application SMC Entreprise App Store (applications requises et recommandées) X X X Affiche les violations de conformité X X X Affiche les messages SMC X X X Affiche le contact technique X X X Déclenchement de la synchronisation du terminal X X X Mobile Application Management Installation d applications (avec ou sans interaction de l utilisateur) X X X Désinstallation d applications gérées par SMC (avec ou sans interaction de l utilisateur) X X Inventaire de toutes les applications présentes sur le périphérique X X Bloquer l installation ou la désinstallation d applications à l initiative de l utilisateur Support du programme d achat volume d Apple (VPP) X Autoriser/Interdire l installation d applications X Configuration à distance des applications entreprise X 10 Blocage d applications spécifiques (Application control) X Sécurité Détection Jailbreak (ios) / Rooting (Android) X X Protection par mot de passe X X X Changements de cartes SIM détectés et transmis à l administrateur n/a X Protection Anti-vol : Suppression à distance X X X Protection Anti-vol : Verrouillage à distance X X Protection Anti-vol : Localisation du périphérique X X X Renforcement de la longueur et de la complexité du mot de passe X X X Temps d inactivité (temps en minute avant la demande de mot de passé) X X X Nombre maximum d essai avant que le périphérique soit réinitialisé X X X Longueur minimale du mot de passe X X X Historique du mot de passe X X 2 X Temps d expiration du mot de passe X 2 X Complexité du mot de passe (majuscule, minuscule, symboles ) X 2 X 32
Réinitialisation du mot de passe / Définition d un nouveau mot de passe X X Activation du chiffrement du stockage X 3 X 2 X Interdiction d accès à la carte mémoire X Activation / désactivation / renforcement du chiffrement de la carte mémoire Activation / désactivation du chiffrement des données X Blocage du Wifi X 5 Blocage de l installation depuis des markets places Google non-officielles X 5 Blocage du Bluetooth X 5 Blocage du transfert de données par Bluetooth Blocage du transfert de données par infrarouge Blocage des connexions par cable ActiveSync Blocage de l appareil photo X X 5,7 Protection des paramètres contre les modifications / suppression par l utilisateur X Autorise / interdit l utilisation de l itunes Store / Google store / Windows store X X 5 Autorise / interdit l utilisation de l application YouTube X Autorise / interdit l utilisation du navigateur internet X X 5 Autorise / interdit le contenu explicite X Autorise / interdit les widgets lorsque le terminal est verrouillé X 7 Autorise / interdit l appareil photo lorsque le terminal est verrouillé X 7 Prévention du transfert d emails X 1 S/Mime Enforcement X 1 Autorise / interdit l usage du mail par une autre application X 1 Autorise / interdit la synchronisation automatique avec icloud X 1 Autorise / interdit l envoi d information à Apple / Google / Samsung / Microsoft X 1 X 5 Autorise / interdit les certificats de sources non fiables X 1 Autorise / interdit la connexion automatique au wifi X 1 Autorise / interdit le flux de photos X 6 Autorise / interdit l application Passbook sur l écran verrouillé X 6 Autorise / interdit la synchronisation pendant l itinérance X 5 Autorise / interdit les connexions data pendant l itinérance X 1 X 5 Autorise / interdit les appels pendant l itinérance X 1 X 5 Autorise / interdit le mode «hotspot» du terminal X 10 Configuration des durées de vie de profils X 6 Autorise / interdit la synchronisation de contacts récents X 6 Autorise / interdit Siri X 1 Autorise / interdit les recherches web de Siri X 11 Support des certificats SCEP X 9 Autorise / interdit la fonctionnalité «ouvrir avec» pour partager des données entre des applications gérées et non gérées X 10 Autorise / interdit l usage du «TouchID» pour déverrouiller le terminal X 10 Autorise / interdit la modification du compte X 11 Autorise / interdit la modification de l usage des data par application X 11 Autorise / interdit «Control Center» lorsque l écran est verrouillé X 10 Autorise / interdit le centre de notifications lorsque l écran est verrouillé X 10 Autorise / interdit «Today view» lorsque l écran est verrouillé X 10 Autorise / interdit les mises à jour de PKI «over-the-air» X 10 Autorise / interdit les modifications dans l application «Localiser mes amis» X 11 Autorise / interdit Airdrop X 11 Autorise / interdit l usage d ibook store X 10 Autorise / interdit les contenus sexuellement explicite dans l ibook store X 10 Autorise / interdit l usage d imessage X 10 Filtre les accès aux sites web (blacklist ou whitelist) avec les bookmarks X 11 Configuration du périphérique Blocage de zones de configuration Paramètres de messagerie Microsoft Exchange X X 5,12 X Paramètres de messagerie IMAP ou POP X Paramètres LDAP et CalDAV X Ajout / suppression / modification du registre Configuration des options d économie d énergie Configuration des points d accès X X Paramètres du proxy X Paramètres VPN X X 5 Paramètres Wifi X X Tunnel VPN par application X 10 SSO pour applications tierces et pages web entreprises (ios7 seulement) X 10 X Distributions des bookmarks X Réception automatique des paramétrages wifi et vpn depuis les Sophos UTM Appliances X X Informations sur le périphérique Utilisation de la mémoire interne (libre / utilisé) X Utilisation de la carte mémoire (libre / utilisé) 33
Niveau de charge de la batterie X X IMSI de la carte SIM X X X Utilisation de la 3G X X Mode Roaming X X X Version d OS X X X Liste des profils installés X X X Liste des certificats installés X X Liste des malwares détectés X 4 Partage d écran distant (nécessite un terminal AirPlay) X 10 Mobile Content Management (avec Sophos Mobile Encryption) Stockage en ligne : Dropbox X 13 X 13 Stockage en ligne : Google Drive X 13 X 13 Stockage en ligne : Microsoft One Drive X 13 X 13 Stockage en ligne : Telekom Mediacenter X 13 X 13 Stockage en ligne : Egnyte X 13 X 13 Stockage en ligne : OwnCloud X 13 X 13 Stockage en ligne : WebDav (Windows server, Strato Hi-Drive ) X 13 X 13 Authentification utilisateur X 13 X 13 FIPS 140-2 avec chiffrement en AES256 X 13 X 13 DLP : autoriser la vue hors ligne X 13 X 14 DLP : autoriser la copie dans le presse papier X 13 X 14 DLP : autoriser les emails chiffrés X 13 X 14 DLP : autoriser «Ouvrir avec» non chiffrés, incluant les emails non chiffrés X 13 X 14 Ajouter des fichiers depuis un mail ou téléchargement depuis une application X 13 X 13 Sélection d une clé de chiffrement existante ou création d une nouvelle clé utilisateur X 13 X 13 Intégration avec Safeguard Cloud Storage X 13 X 13 Verrouiller les accès des terminaux non conformes X 13 Minimisation des coûts Contrôle mensuel du l utilisation data (Wifi, GSM/3G, Roaming) X Sauvegardes et restauration Fichiers et répertoires X 9 Signets de navigateurs X 9 SMS X 9 1 : Nécessite ios 5 ou supérieur 2 : Nécessite Android 3.0 ou supérieur 3 : En paramétrant un pin ou un passcode 4 : En combinaison avec Sophos Mobile Security 5 : Nécessite un terminal compatible Samsung SAFE avec installation du plugin 6 : Nécessite ios 6 ou supérieur 7 : Nécessite Android 4 ou supérieur 9 : Disponible uniquement sur les installations on-premise 10 : Nécessite ios 7 ou supérieur 11 : Nécessite ios 7 et un terminal supervisé 12 : Nécessite un client de mail Touchdown sur le terminal 13 : En combinaison avec Sophos Mobile Encryption 34
3.9. Architecture logicielle du produit Le Schéma ci-dessous illustre les différents composants de la solution, serveur et client, et leur implantation au travers du réseau. La plupart des composants est décrite dans la suite du document. Figure 34 : Composants de la solution 3.9.1. Sophos Mobile Control server Il s agit du composant principal de la solution. Il dispose donc d une connexion à internet. L administrateur contrôle le serveur au travers d une interface web. Les périphériques mobiles se synchronisent avec le serveur au travers d une liaison HTTPS. Le serveur utilise alors sur des SMS pour notifier le client (sauf pour les environnements tablette Apple et Android). Plusieurs options peuvent être mises en place pour connexions à la passerelle SMS. Dans le cas des tablettes la notification se fait par retour de liens web au travers de la connexion wifi de ces environnements. Le stockage des données de l'environnement est réalisé sur une base de données (Microsoft SQL). Cette dernière peut être hébergée sur ce serveur (SMC), ou sur une autre machine remplissant ce rôle. Il supporte les configurations multi-clients («multi-tenancy») pour permettre de mutualiser le service sur le même serveur Le serveur Sophos Mobile Control est développé autour de l environnement Java Enterprise (JEE). Il s installe et s exécute dans le standard de l industrie qu est le serveur d application JBoss. Par défaut le serveur SMC s installe sur Windows Server 2003 et supérieur et fonctionne indifféremment en environnement physique ou virtuel. 35
3.9.2. Logique métier Le serveur Sophos Mobile Control propose une approche orientée métier de l administration des données et des fonctions de planification. Chaque tache d administration des périphériques s exécute sous forme de tache. Ces taches sont gérées par le planificateur de temps. Toutes les taches sont ainsi réalisées de manière successive. Le planificateur requête la base de données pour identifier les tâches et gère ainsi les différentes étapes de transition. Ce qui peut se traduire, par exemple, par l envoi de notifications via SMS ou par préparation de données de synchronisation. 3.9.3. Accès à l annuaire centralisé Sophos Mobile Control permet de personnaliser la configuration générique des profils utilisateurs avec des données propres récupérées depuis un Annuaire via LDAP (Lightweight Directory Access Protocol) comme par exemple Microsoft Active Directory. Le profil générique contient alors des variables qui sont remplacées par des données propres à l utilisateur au moment de l exécution de la tâche. En utilisant l accès à l annuaire il est possible de ne gérer qu un seul profil générique (plus facile à maintenir) et de le personnaliser pour chaque périphérique, ce qui réduit l interaction au minimum de la part de l utilisateur sur le périphérique. 3.9.4. ActiveSync Proxy Avec le composant EAS proxy, Sophos Mobile Control fournit un moyen de filtrer le trafic ActiveSync entrant utilisé par Le serveur de messagerie. Le composant est installé comme un client ActiveSync reconnue par les dispositifs mobiles. Il se contente de transférer le trafic au serveur hébergeant le composant de messagerie ActiveSync, à conditions que le périphérique soit connu par Sophos Mobile Control et conforme aux politiques définies. Cela assure un plus haut niveau de sécurité dans la mesure où le serveur de messagerie n a pas besoin d être «vu» de l internet et que seuls les périphériques autorisés (correctement configurés, par exemple respectant la politique de mot de passe) peuvent y accéder. L accès au serveur de messagerie peut aussi être bloqué pour des périphériques sélectionnés depuis l interface web. Le composant Proxy EAS peut être installé sur le même serveur que Sophos Mobile Control ou sur une machine distante qui peut joindre à la fois la base de données du serveur Sophos Mobile Control et le proxy ActiveSync. 36
Ce composant peut être aussi installé de multiples fois sur le serveur SMC afin de répondre à des besoins d accès à plusieurs liens ActiveSync hébergé sur différents serveur de messagerie. 3.9.5. Interface web d administration La connexion à l interface web est sécurisée par la saisie d un identifiant et d un mot de passe. Le contrôle d accès autorise différent profils de connexion. Des filtres optionnels sont disponibles dans plusieurs vues de l interface afin de restreindre le nombre d éléments affichés. La création d opérations (installation d applications) est configurée au travers d un assistant intuitif. Tous les types d opérations sont donc configurés via ce même type d assistant qui rend leur création facile à réaliser sur l interface web. 3.9.6. SMC Service Center Il s agit d un service Sophos permettant l envoi des SMS pour la plateforme Sophos Mobile Control 37
3.10. Sophos Mobile Security Le nombre croissant de systèmes Android a abouti à une hausse significative des malwares. Les applications utilisées, en apparence inoffensives, contiennent du code malveillant qui permet aux pirates de voler vos données ou de générer des coûts à votre insu. Sophos Mobile Security analyse les applications que vous installez et vous aide à éviter les mauvaises surprises sur votre facture de téléphone. SophosLabs Intelligence inclut à Sophos Mobile Security vous permet de bénéficier de recherches dans le Cloud pour un accès en temps réel aux dernières données sur les menaces. Sophos Mobile Security protège vos appareils mobiles en contrôlant si les applications que vous installez sont sûres. Vous pouvez également effectuer des contrôles à la demande de toutes vos applications installées, même celles qui se trouvent sur votre carte SD. Figure 35 : Sophos Mobile Security sur tablette Android L'expertise des SophosLabs sur les menaces vous permet de bénéficier des dernières informations en temps réel depuis le Cloud. Sophos Mobile Security est une application légère qui protège vos Android sans affecter leurs performances ni leur autonomie. Chaque application que vous installez requiert certaines permissions, mais après un certain temps il est facile d'en perdre la trace. L application est en téléchargement gratuit sur le Google Play, pour Android 2.2 et supérieur, et peut simplement être ajoutée au profil de conformité des terminaux Android. Sophos Mobile Security protège également votre smartphone et vos données en cas de vol ou de perte. Vous pouvez verrouiller votre appareil à distance et connaitre sa position géographique : Élimination des malwares : effectuez des contrôles lors de l'installation ou des contrôles complets de toutes vos applications, y compris celles qui se trouvent sur votre carte SD. 38
Figure 36 : Sophos Mobile Security Scanner antimalware Protection en cas de vol ou de perte : Verrouillez à distance un appareil perdu ou volé et localisez-le. Figure 37 : Protection contre la perte et le vol avec Sophos Mobile Security 39
Figure 38 : Principe d activation de la protection contre la perte/vol avec SMSec via SMS Cette fonctionnalité permet à l utilisateur un mot de passe de protection d exécution des commandes via SMS et de définir quelques numéros de portables de confiances depuis lesquels les commandes de : Réinitialisation de mot de passe du terminal, Géolocalisation du terminal, (envoie la localisation de l'appareil avant l'épuisement de la batterie) Effacement du terminal. Permet d'envoyer une commande pour accroître le volume de la sonnerie (Alarme à distance) Permet d'afficher un message pour la personne qui aura trouvé votre appareil informe si la carte SIM du terminal est retirée Tous ces paramètres se définissent au travers d un assistant de configuration. Web Protection : Filtre sur réputation émise par les SophosLabs, les requêtes de navigation internet de vos navigateurs et vérifie en temps réel auprès des SophosLabs via une requête DNS si le site accédé est sain ou présente un risque de sécurité (diffusion de codes malveillants, redirection de trafic dissimulé et site de Phishing). Figure 39 : Sophos Mobile Security Protection de la navigation 40
Spam protection : Filtres vos appels, SMS et MMS entrants. Figure 40 : Interface de configuration de la protection contre les appels entrants Ce module permet à l utilisateur de définir ces critères de filtrage des appels, SMS et MMS entrants en fonction de leur origine. Lui permettant par exemple de créer sa propre liste noire ou blanche à partir de son carnet d adresse ou de l historique de ces messages. Par défaut le produit mettra en quarantaine les SMS contenants des URLs malveillantes. Privacy Advisor : Filtrez vos applications en fonction de permissions pour découvrir les menaces potentielles. Figure 41 : Sophos Mobile Security Privacy Advisor Privacy Advisor permet de filtrer les applications en fonction de leurs risques potentiels, par exemple : générer des coûts à votre insu, porter atteinte à la vie privée, accéder à Internet, etc. 41