ObjectifCyber

Chapitre 5 — MDM, BYOD & Sécurité Mobile

La gestion des appareils mobiles est un défi croissant. Ce module couvre MDM, MAM, les politiques BYOD/COPE, les menaces mobiles et les meilleures pratiques de sécurité.

Mémorisez ! MDM = gestion complète de l'appareil. MAM = gestion uniquement des applications. BYOD = l'employé utilise son propre appareil. COPE = l'entreprise fournit et l'employé peut utiliser à titre personnel. COBO = appareil d'entreprise uniquement professionnel.
StratégieDescriptionContrôle ITPrivacy
BYODBring Your Own Device — appareil personnel de l'employéFaibleÉlevée pour l'employé
COPECorporate-Owned, Personally Enabled — entreprise fournit, usage perso autoriséÉlevéMoyenne
COBOCorporate-Owned, Business Only — appareil d'entreprise, usage professionnel uniquementTrès élevéFaible (pas d'usage perso)
CYODChoose Your Own Device — liste d'appareils approuvés parmi lesquels choisirÉlevéMoyenne

Capacités MDM clés

MenaceDescriptionContre-mesure
Malware mobileApps malveillantes, souvent hors stores officiels (sideloading)Interdire le sideloading, sources approuvées uniquement
Jailbreak/RootContourne les protections OS pour accès rootMDM détecte et bloque les appareils jailbreakés
SMS Phishing (Smishing)Phishing via SMS avec liens malveillantsFormation, filtrage SMS
Rogue AppApps légitimes en apparence mais malveillantesVérifier les permissions, stores officiels
Shoulder SurfingObservation physique de l'écran dans les lieux publicsFiltres de confidentialité, comportements prudents
Bluejacking / BluesnarfingBluejacking = envoyer des messages via Bluetooth. Bluesnarfing = accéder aux données via Bluetooth vulnérable.Désactiver Bluetooth si non utilisé, pas de couplage inconnu
Astuce Examen

Bluejacking = envoyer du contenu non sollicité via Bluetooth (spam BT — nuisance). Bluesnarfing = accéder et voler les données (carnet d'adresses, emails) via Bluetooth sans autorisation — beaucoup plus grave. Différence clé pour l'examen.

1. Un employé utilise son iPhone personnel pour accéder aux emails d'entreprise. L'entreprise veut pouvoir effacer les données d'entreprise si l'appareil est perdu, sans affecter les données personnelles. Quelle solution est la plus adaptée ?

MAM crée un conteneur séparé pour les apps et données d'entreprise. En cas de perte, seul ce conteneur est effacé (selective wipe) — les photos et apps personnelles de l'employé ne sont pas touchées. Parfait pour BYOD.

2. Un employé "jailbreake" son iPhone pour installer des apps hors App Store. Quel est le risque principal de sécurité ?

Le jailbreak/root supprime les protections sandbox d'iOS/Android. Les apps malveillantes peuvent accéder à toutes les données de l'appareil, pas seulement leur sandbox. Les MDM peuvent détecter les appareils jailbreakés et refuser l'accès aux ressources d'entreprise.

3. La stratégie COPE (Corporate-Owned, Personally Enabled) signifie que :

COPE = l'entreprise achète et possède l'appareil (contrôle total) mais permet à l'employé de l'utiliser aussi à des fins personnelles. Plus de contrôle qu'en BYOD, meilleure expérience qu'en COBO.

4. La fonctionnalité "Geofencing" dans un MDM permet de :

Geofencing = zones géographiques virtuelles. Ex: désactiver la caméra dans les zones de R&D, forcer la connexion VPN hors du réseau d'entreprise, bloquer l'accès aux apps sensibles si l'appareil est dans un pays à risque.

5. Quelle est la différence entre Bluejacking et Bluesnarfing ?

Bluejacking = envoi de messages/cartes de visite non sollicités via Bluetooth (nuisance, pas vraiment dangereux). Bluesnarfing = accéder au carnet d'adresses, messages, calendrier via Bluetooth sans autorisation — vol de données réel.

6. Quelle pratique BYOD est recommandée pour protéger la confidentialité des employés tout en maintenant la sécurité d'entreprise ?

MAM avec conteneurisation = meilleur équilibre. Les apps d'entreprise sont dans un conteneur chiffré et géré. L'IT ne peut pas voir les apps/photos personnelles. L'employé signe un accord acceptable d'utilisation pour le conteneur d'entreprise uniquement.

7. L'UEM (Unified Endpoint Management) diffère d'un MDM classique en ce qu'il :

UEM = convergence MDM + gestion PC. Microsoft Intune, Jamf, VMware Workspace ONE gèrent tous les endpoints (iOS, Android, Windows, macOS, Linux) depuis une seule console. Simplifie la gouvernance et les politiques unifiées.

8. Quel est le risque principal du "sideloading" d'applications mobiles ?

Les stores officiels (Google Play, App Store) analysent les applications pour détecter les malwares. Les apps sideloadées contournent ces vérifications — risque élevé de malware. MDM peut interdire le sideloading via des politiques de restriction.

9. Un employé reçoit un SMS lui demandant de cliquer sur un lien pour "vérifier son compte bancaire". Cette attaque s'appelle :

Smishing = SMS Phishing. Les attaquants envoient des SMS frauduleux avec des liens vers des sites de phishing ou des numéros surtaxés. Vishing = Voice Phishing (appel téléphonique). Phishing = email. Spear phishing = phishing ciblé.

10. La fonctionnalité "Remote Wipe" dans un MDM est particulièrement importante pour :

Remote Wipe = effacement à distance déclenché par l'IT si l'appareil est perdu ou volé. Protège les données d'entreprise sensibles en effaçant soit tout l'appareil (full wipe en MDM), soit uniquement le conteneur d'entreprise (selective wipe en MAM). Critique pour la conformité RGPD.