Chapitre 5 — MDM, BYOD & Sécurité Mobile
La gestion des appareils mobiles est un défi croissant. Ce module couvre MDM, MAM, les politiques BYOD/COPE, les menaces mobiles et les meilleures pratiques de sécurité.
Mémorisez ! MDM = gestion complète de l'appareil. MAM = gestion uniquement des applications. BYOD = l'employé utilise son propre appareil. COPE = l'entreprise fournit et l'employé peut utiliser à titre personnel. COBO = appareil d'entreprise uniquement professionnel.
| Stratégie | Description | Contrôle IT | Privacy |
|---|---|---|---|
| BYOD | Bring Your Own Device — appareil personnel de l'employé | Faible | Élevée pour l'employé |
| COPE | Corporate-Owned, Personally Enabled — entreprise fournit, usage perso autorisé | Élevé | Moyenne |
| COBO | Corporate-Owned, Business Only — appareil d'entreprise, usage professionnel uniquement | Très élevé | Faible (pas d'usage perso) |
| CYOD | Choose Your Own Device — liste d'appareils approuvés parmi lesquels choisir | Élevé | Moyenne |
- MDM (Mobile Device Management) : solution de gestion centralisée des appareils mobiles. Peut pousser des politiques, installer/désinstaller des apps, effacer à distance (remote wipe), localiser l'appareil.
- MAM (Mobile Application Management) : gère uniquement les applications d'entreprise sur l'appareil, sans contrôler l'appareil entier. Crée un "conteneur" d'apps d'entreprise séparé des apps personnelles.
- EMM (Enterprise Mobility Management) : combine MDM + MAM + MCM (Mobile Content Management).
- UEM (Unified Endpoint Management) : étend l'EMM pour gérer tous les endpoints : mobiles, PCs, laptops, IoT depuis une console unique.
Capacités MDM clés
- Remote Wipe : effacement à distance de tout l'appareil (ou seulement le conteneur d'entreprise en MAM). Critique si perte/vol.
- Geofencing : restreindre les fonctionnalités selon la localisation géographique (ex: désactiver la caméra dans les zones sécurisées).
- Application Whitelisting/Blacklisting : autoriser ou bloquer des applications spécifiques.
- Full Device Encryption : forcer le chiffrement de l'appareil.
- PIN/Biometric Enforcement : exiger un code PIN ou biométrique pour déverrouiller.
- OS Version Enforcement : bloquer les appareils sur des versions OS trop anciennes (non patchées).
- Certificate Deployment : déployer des certificats pour l'authentification Wi-Fi 802.1X, VPN.
| Menace | Description | Contre-mesure |
|---|---|---|
| Malware mobile | Apps malveillantes, souvent hors stores officiels (sideloading) | Interdire le sideloading, sources approuvées uniquement |
| Jailbreak/Root | Contourne les protections OS pour accès root | MDM détecte et bloque les appareils jailbreakés |
| SMS Phishing (Smishing) | Phishing via SMS avec liens malveillants | Formation, filtrage SMS |
| Rogue App | Apps légitimes en apparence mais malveillantes | Vérifier les permissions, stores officiels |
| Shoulder Surfing | Observation physique de l'écran dans les lieux publics | Filtres de confidentialité, comportements prudents |
| Bluejacking / Bluesnarfing | Bluejacking = envoyer des messages via Bluetooth. Bluesnarfing = accéder aux données via Bluetooth vulnérable. | Désactiver Bluetooth si non utilisé, pas de couplage inconnu |
Astuce Examen
Bluejacking = envoyer du contenu non sollicité via Bluetooth (spam BT — nuisance). Bluesnarfing = accéder et voler les données (carnet d'adresses, emails) via Bluetooth sans autorisation — beaucoup plus grave. Différence clé pour l'examen.