BELFAKIR - SECULA – LAVAL - DAHOU

Projet Tutoré MDM LA GESTION DES APPAREILS MOBILES EN ENTREPRISE

1

I - Remerciements 3

II - Historique 4

III - Introduction 6

IV - Contexte et objectif 7

V - API 11

VI - Virtualisation de téléphone 11

VII - Android Studio 12

VIII - BYOD 14

1 Introduction 14

a) Problématique 14

b) Intérêts pour les salariés 14

c) Intérêts pour l’entreprise 14

2 Problème de sécurité BOYD 14

a) Perte de données 14

b) Problèmes liés au réseau 15

c) Absence de pare-feu ou de chiffrement des données 15

IX - EMM 17

1 Définition 17

2 Les différents types de solutions 17

X - MDM 17

1 Historique 17

2 Le fonctionnement des MDM 17

a) Schéma simple du fonctionnement 18

b) Schéma d’infrastructure sur site 18

c) Schéma d’infrastructure cloud (SaaS) 19

3 Les fonctionnalités 20

4 Principaux vendeurs 21

a) Magic Quadrant de Gartner (2018) 21

b) Répartition des parts de marché par l’IDC (2016) 22

5 Solutions MDM leaders du marché 23

XI - MDM ou MAM ? Que choisir pour sécuriser sa flotte mobile 24

1 MDM 24

a) Inconvénients 24

b) Avantages 24

2

2 MAM 24

a) Inconvénients 24

b) Avantages 25

Application de stratégies 30

XII - Charte Informatique 31

XIII - RGPD et MDM 32

XIV - Organisation du projet 33

XV - Comparaison Puppet/Ansible et MDM 35

XVI - Conclusion 36

XVII – Bibliographie 37

XVIII – Annexes 37

Documentation Flyve MDM 38

Documentation Relution 43

Documentation WSO2 47

3

I - Remerciements

Nous tenons à remercier l’ensemble du jury, aussi bien les professeurs que

les différents intervenants pour tous leurs précieux conseils qu’ils nous ont fournis.

Nous tenons tout particulièrement à remercier nos tuteurs, Mathieu Goulin et

Antoine Alluin, qui tout au long de ce projet n’ont cessé de nous donner des

conseils et des indications qui nous ont permis d’être au point notamment sur la

soutenance intermédiaire.

Pour nous avoir immergé dans le monde du libre, pour nous avoir donné

l’occasion d’assister à une réunion sur les logiciels libres, nous remercions Lucas

Nussbaum, maître de conférences à l’Université de Lorraine et chercheur au Loria.

Nous remercions également Philippe Dosch qui nous a suivis attentivement durant

toute la durée de la formation, et a su rester disponible pour répondre à toutes nos

questions.

Enfin, nous tenons à remercier les deux sociétés VMware et Cisco, pour

avoir répondu à nos mails et tout particulièrement VMware Airwatch pour nous avoir

fourni une version de démonstration pour tester les fonctionnalités de leur solution.

4

II - Historique

New York, le 3 avril 1973, le docteur Martin Cooper fait une démonstration de

rue d’un appareil au design peu esthétique certes mais dont l’objectif est d’être

joignable à tout moment. Cet appareil n’est autre que l’invention qui a chamboulé notre

monde, à savoir le Motorola DynaTac 8000, ce sera le premier téléphone portable de

l’histoire.

Source de l’image: http://www.mobilophiles.com/2014/10/le-premier-telephone-

portable-au-monde-le-motorola-dynatac-8000x-dit-brick-phone.html

L’utilisation des téléphones portables s’est banalisée dans les années 1990, le premier

téléphone apparu en France est le modèle Bi-Bop.

Le taux d’utilisation du mobile dans le monde à cette époque est de 6 abonnements

pour 1000 habitants. Le nombre d'abonnements en mobile (180 abonnements pour 1000

habitants) dépasse celui des lignes fixes en 2002, ce taux est passé à 510 abonnements pour

1000 habitants.

Le système d'exploitation n’a pas cessé d'évoluer, la plupart des appareils disposent

maintenant de nombreuses fonctionnalités, c’est la naissance du téléphone intelligent d’où son

nom de smartphone.

En 2018, 75 % des Français ont un smartphone, ce qui représente plus de 48 millions

d’habitants. La 3G et la 4G représentent désormais 83 % des connexions. Les messageries

mobiles (48 %) et les vidéos (46 %) représentent l’utilisation la plus sollicitée par les

utilisateurs.

5

Source:https://www.blogdumoderateur.com/etat-lieux-2018-internet-reseaux-sociaux/

À quoi ressemblera le smartphone du futur ?

Les smartphones sont devenus un

véritable ordinateur de poche, dans l'ère

de la 5G, leurs performances ne cessent

de croître , les dernières générations des

appareils mobiles seront un sérieux

concurrent des ordinateurs portables.

D'après des observateurs, deux types de

fonctionnalités seront intégrés dans nos

téléphones, soit la possibilité de les relier

à un écran plus grand et à un clavier, soit

celle de les intégrer dans une coque

d’ordinateur portable ou les deux.

Source:https://itsocial.fr/enjeux/mobilite-it/smartphone/a-quoi-ressemblera-

telephone-10-ans/

6

III - Introduction

Depuis quelques années avec l'apparition des appareils mobiles, on observe

que les employés confient leurs appareils mobiles au service informatique de leur

entreprise pour installer l’application de l’entreprise ou mettre en place la messagerie

interne de la société.

Les employés utilisent leurs terminaux pour faire des tâches professionnelles,

les tâches généralement accomplies sur ces appareils relèvent de la correspondance

électronique, de la gestion d’agenda, et de l’échange de messages instantanés dont

les SMS, il n’est pas surprenant que les entreprises encouragent leurs employés à

utiliser leurs terminaux mobiles dans le cadre professionnel, motivées par les gains

de productivité perçus et par les réelles économies offertes par le BYOD (Bring Your

Own Device) . Néanmoins, cette nouvelle tendance qui n’est pas encore totalement

appréhendée par le droit pose une multitude de question concernant à la fois la

sécurité de l’entreprise, mais aussi la préservation de la vie privée du salarié.

Sources: https://www.murielle-cahen.com/publications/smartphones.asp ]

https://www.lemagit.fr/actualites/2240231343/BYOD-les-craintes-liees-a-la-securite-

ne-freinent-pas-lutilisation-de-terminaux-personnels

La mise en œuvre de la solution MDM peut générer certaines problématiques

auxquelles l’entreprise doit être très attentive : le fait de ne pas avoir d’appareil mobile

peut en effet mettre de côté certains salariés. De même, les applications de

l’entreprise dans le cas de BYOD peuvent ne pas être compatibles avec les

téléphones.

Dans certains cas, l’utilisateur refuse que sa société détienne des informations

personnelles. Parfois encore ces salariés n’acceptent pas les conditions d’utilisation

et se sentent donc marginalisés aux yeux de l’entreprise.

Il est donc nécessaire de définir clairement la position de l’entreprise, par

rapport au BYOD en tenant compte bien sûr des problèmes juridiques. Cette politique

d’entreprise vise à faire des investissements raisonnés dans les solutions MDM, en

donnant la priorité aux fonctions essentielles, et évidemment dans le respect de la vie

privée de ses employés.

7

IV - Contexte et objectif

Le BYOD est de plus en plus utilisé en entreprise, ce qui apporte certains

avantages pour l’employeur comme pour l’employé, mais qui pose de nombreux

problèmes au sein du réseau de l’entreprise et notamment en matière de sécurité.

Le but est donc de trouver des solutions MDM pour palier à ces problèmes.

L’objectif de ce projet tutoré et de faire une étude sur les différentes solutions

MDM existantes, étudier leurs capacités, leurs limites. Mais aussi de faire une

comparaison entre les solutions libres et propriétaires.

Etudes des besoins des entreprises

Dans le cadre de notre formation en Licence Professionnelle ASRALL, nous

avons imaginé deux scenarios pour mettre en place une solution MDM.

Nous nous sommes basés sur des besoins réalistes, d’une part le cas d’un collègue

qui occupe un poste de technicien informatique dans une société française basée à

Paris, qui se place comme leader en France dans la transformation digitale, et d’autre

part le cas d’une société de petite taille approchée au cours d’un stage en entreprise.

Chaque société a des besoins propres à son activité et à son effectif en termes de

personnel.

1. Premier scénario

En premier lieu, nous avons étudié les besoins de la société parisienne.

Avec plus de 200 employés en France, le service informatique de même que

le reste des services est basé à Paris, les principales fonctions dans cette entreprise

sont des techniciens, des commerciaux et des chefs de projets répartis sur tout le

territoire français.

● Les besoins des techniciens

Pour les tâches quotidiennes, les techniciens utilisent leur tablette pour clôturer

les interventions et rédiger les rapports des installations, des applications de

l’entreprise dédiées à cette tâche doivent être installées sur les terminaux, et ils

pourront également consulter leur boîte mail, et d’autres applications pour les besoins

des comptabilités sur leur Smartphones.

● Les besoins des commerciaux

8

Les commerciaux consultent en permanence les tarifs et les devis à partir de

la base de données de la société, pour cette raison l’entreprise leur fournit un pc

portable, et aussi un smartphone pour joindre les clients et consulter leurs mails, et

les applications de l’entreprise.

● Les besoins des chefs de projet

Les chefs de projets travaillent la plupart du temps en entreprise, mais ils sont

amenés à se déplacer pour mettre en place une nouvelle solution, le service

informatique installe les applications de l'entreprise sur leurs appareils mobiles.

● Les besoins attendus de la solution MDM

Nous pouvons répertorier les attentes de l’entreprise pour gérer les terminaux

par fonction, en effet chaque service a des besoins spécifiques, ci-dessus un tableau

de la politique choisie pour les tâches de chaque service.

9

Le schéma ci-dessous montre une vue globale de l’entreprise

10

2. Deuxième scénario

Une société de maintenance informatique de petite taille basée à Nancy a

besoin de mettre en place une solution MDM, avec un budget limité, l’entreprise a une

dizaine de salariés, 6 techniciens terrain et un commercial, en effet pour des raisons

de productivité et d’organisation, l'opérateur qui gère le planning, n’a pas de visibilité

sur les tâches quotidiennes effectuées par les techniciens, ces derniers et le

commercial ont besoin de consulter leur mail, et l’application de l'entreprise, ainsi

d’autres tâches que nous pouvons répertorier dans le tableau ci-dessus.

Pour répondre à la problématique posée précédemment, nous allons dans un

premier temps vous parler des outils nécessaires en pré-requis (API, Virtualisation,

Android studio)

11

V - API

Les API vont servir à manager les appareils en lien avec la solution mdm. L’API

va alors être l’agent où l’on va pouvoir mettre toutes sortes de règles de restrictions

ainsi qu’une possibilité de descendre des applications et de les manager.

Comme on peut le voir sur ce schéma, l’API ou l’agent va être l’intermédiaire

entre la solution MDM et le matériel que détient l’employé, elle est représentée par le

noeud. L’API va pouvoir bloquer par exemple la wifi, les appels, ou va pouvoir localiser

le téléphone.

Maintenant nous allons nous intéresser à un matériel qui va permettre de

mettre en place des règles de restrictions plus précises et également plus restrictives

encore, c’est Samsung. Avec Samsung Knox, nous avons pu voir en effet que en

acceptant un certificat en plus, nous avons pu mettre en place des règles de

restrictions en plus.

VI - Virtualisation de téléphone

Dans un souci de réalisme, nous avons voulu mettre en place les solutions

MDM avec un nombre d’équipements un peu plus important que nos téléphones seuls.

Nous avons donc mis en place de la virtualisation de téléphone sous Android. Voici

les différents logiciels que nous avons utilisés : Genymotion, Virtualbox (avec des

images iso notamment Android x86), Android Studio.

12

Cette capture vient de l’application d’Android Studio, cette

virtualisation sert à vérifier le fonctionnement de l’application

développé sur Android Studio.

VII - Android Studio

Dans le cadre de notre projet, nous avons dû développer une application de

test afin de pouvoir la déployer sur des appareils Android grâce aux solutions MDM.

Pour cela, nous avons utilisé Android Studio qui permet la création simple

d’application Android.

13

Sur l’écran de configuration

du projet, nous pouvons

sélectionner le niveau

minimum d’API qui va définir

le niveau de compatibilité de

l’application avec les

différents appareils Android

existant.

Le développement sous Android Studio s’effectue en Java mais certains aspects du

développement concernant des informations sur les éléments graphiques sont en xml.

Il est aussi possible de voir une prévisualisation de

l’aspect visuel de l’application avant de tester son

fonctionnement dans un environnement Android.

14

VIII - BYOD

1 Introduction

a) Problématique

BYOD qui signifie bring your own device, est une tendance qui permet

l’utilisation de son propre matériel informatique en entreprise. De plus en plus

d’employés utilisent leurs appareils mobiles, à savoir un ordinateur, un smartphone,

et une tablette.

L’utilisation du BYOD suscite des questions au niveau de la sécurité et de la

protection des données, mais également au niveau social et juridique. En raison

d'absence de contrôle des appareils, celui-ci est généralement une solution à risque

pour les entreprises, qui se tournent vers les solutions MDM (mobile devices

management) permettant d’encadrer et d'administrer les terminaux au sein de la

politique informatique de l'entreprise.

b) Intérêts pour les salariés

L'intérêt pour le salarié et de pouvoir utiliser son propre matériel, ce qui lui

apporte plusieurs avantages. Il sera plus efficace, car il travaille avec son propre

matériel qu’il maîtrise mieux. De nos jours, de plus en plus de salariés possèdent

plusieurs outils informatiques, à savoir un ordinateur portable, un smartphone, et une

tablette. Travailler avec son appareil personnel permet par exemple de travailler en

horaires décalés, ou faire du télétravail.

c) Intérêts pour l’entreprise

Un des gros avantages qui n’est pas des moindres est la réduction des coûts

pour l’entreprise qui n’aura pas à fournir des appareils pour équiper ses salariés. Et

un gain considérable de productivité.

2 Problème de sécurité BOYD

a) Perte de données

Un des problèmes majeurs du BYOD est la perte des appareils mobiles. Ce qui

implique que les données de l’entreprise peuvent être entre les mains de personnes

malveillantes. Selon l’expert en sécurité Winn Schwartau, 25 % des salariés

propriétaires de mobiles perdent au moins une fois leur smartphone.

Il existe plusieurs solutions pour pallier à ce problème :

15

● L’une d’entre elle est la gestion à distance proposée par Google et Apple, qui

permet de neutraliser l’appareil si celui-ci est perdu ou volé. Mais il faut l’activer

au préalable.

● Une autre solution consiste à blacklister l'appareil ce qui le rendra inutilisable.

b) Problèmes liés au réseau

Un autre problème lié au BYOD est la fuite des données. En effet, les appareils

apportés par les salariés ne sont pas toujours contrôlés. Ce qui comporte un gros

risque pour l’entreprise.

De plus, le fait que les employés de l’entreprise puissent utiliser leur propre

appareil apporte quelques problèmes au niveau de la sécurité.

Les employés auront la possibilité de se connecter au réseau de l’entreprise,

ce qui veut dire de nombreuses connexions entrantes et donc de plusieurs risques

d’intrusions dans le réseau de l’entreprise. Également les nombreuses connexions

avec les appareils des salariés peuvent entraîner une importante consommation en

bande passante et par conséquent des ralentissements sur les réseaux.

c) Absence de pare-feu ou de chiffrement des données

De plus, dans la plupart des cas, ces terminaux ne sont pas bien protégés (pas

de mot de passe, pas de chiffrement, antivirus et pare feu absents, application non

sécurisée) ce qui les rend vulnérables face aux différentes attaques. Il existe aussi un

risque d’infection au sein du réseau interne de l’entreprise.

Pour mettre en place une solution MDM, il faut prendre en compte plusieurs

paramètres. Les trois principaux besoins sont le parc matériel, le parc logiciel, et la

sécurité.

16

1. Le parc matériel

Les entreprises encouragent l’utilisation du BYOD, pour diminuer le coût global à investir dans une solution MDM. Ci-dessous les besoins en matériels :

● Le nombre d'appareils à administrer

● Les moyens disponibles pour administrer (serveur, administrateur système)

● Les solutions d’hébergement du serveur MDM, dans les locaux de l’entreprise

ou sur le cloud

2. Le parc logiciel

Pour choisir une solution MDM qui répond à nos attentes, il est important

de vérifier quelques points :

● Les applications de l’entreprise sont-elles compatibles avec les OS des

appareils ?

● Quel OS est utilisé par chaque terminal ?

● Quelles applications seront gérées par la solution MDM (géolocalisation,

transfert des fichiers, gestion des applications, etc ..)?

3. La sécurité et l’aspect juridique

C’est le point le plus délicat, il est absolument primordial de définir au préalable

nos besoins en termes de sécurité et de loi, ci-dessous les points essentiels

● Mettre en place une charte informatique, pour la bonne pratique d’utilisation

des appareils de l’entreprise ou des appareils personnels BYOD, et définir

toutes les modalités de contrôle des appareils, le but étant que les employés

soient clairement informés de leurs droits et de leurs devoirs (anticipation par

l’employeur des litiges)

● Comment sécuriser le serveur MDM

● Comment réagir en cas de perte d’un appareil

● Définir la frontière entre la vie professionnelle et personnelle

● Si le BYOD est appliqué par la société, comment définir la responsabilité de

chacun en cas de perte ou de casse des terminaux (qui paye l’assurance ?)

● L’entreprise a-t-elle le droit de contrôler le terminal mobile personnel de ses

salariés ? A-t-elle le droit de géolocaliser le salarié ? Effacer des données à

distance est-il envisageable ?

● Les salariés ont-ils le droit de « transporter » des données confidentielles de

l’entreprise sur des terminaux personnels ?

17

IX - EMM

1 Définition

Les solutions EMM (Entreprise Mobile Management) sont l’ensemble des

services de gestion des appareils mobiles en entreprise, ces services permettent la

gestion et la sécurisation des données des appareils mobiles.

2 Les différents types de solutions

Il existe plusieurs types de solutions EMM. Les solutions MDM (Mobile Device

Management) qui permettent la gestion des appareils mobiles et des logiciels présents

sur ces appareils. Les solutions MAM (Mobile Application Management) permettant le

déploiement et la mise à jour des applications mobiles. Les solutions MIM (Mobile

Identity Management) qui gèrent l’identification et l’accès aux données des appareils.

X - MDM

Les solutions MDM permettent la gestion de flottes d’appareils mobiles, cela comprend les smartphones, les tablettes, les ordinateurs hybrides (les ordinateurs pouvant à la fois être au format tablette et ordinateur portable).

1 Historique

Les logiciels MDM ont fait leurs apparitions au début des années 2000 comme une façon de contrôler et de sécuriser les assistants personnels et les smartphones en entreprise. Avec l’arrivée des smartphones grand public, les salariés ont commencé à apporter leurs propres appareils au travail, ce qui a augmenté l’intérêt pour les solutions MDM. De nos jours, les logiciels MDM sont compatibles avec les smartphones, les tablettes, mais aussi avec les ordinateurs Windows ou macOS et avec certains objets connectés.

2 Le fonctionnement des MDM

Les solutions MDM fonctionnent sous la forme d’un agent se trouvant sur un appareil mobile connecté par le réseau de l’entreprise ou internet à un serveur qui se trouve sur une machine pouvant être sur site ou hébergé sur un cloud. Les administrateurs de la solution configurent les règles et les politiques avec une console de gestion présente sur le serveur, ils peuvent aussi déployer des applications sur les appareils par le biais du serveur. Le serveur envoie les règles et politiques à l’agent qui les interprète et les applique en communiquant avec l’API de l’appareil mobile.

18

a) Schéma simple du fonctionnement

b) Schéma d’infrastructure sur site

L’infrastructure sur site se compose principalement des agents mobiles MDM

fonctionnant sur Android, IOS ou sur des ordinateurs portables (Windows, Mac OS,

Linux) et se trouvant sur Internet ou dans le réseau de l’entreprise. Un serveur avec

la solution MDM accessible via une console de gestion, d’une base de données pour

stocker les informations des utilisateurs ainsi que les règles et politiques. Un broker

peut se retrouver dans l’infrastructure et avoir le rôle d’intermédiaire entre les agents

et le serveur MDM pour aider à garder une connexion persistante entre les agents et

le serveur, mais celui-ci reste optionnel pour certaines solutions.

19

c) Schéma d’infrastructure cloud (SaaS)

L’infrastructure cloud se différencie de celle sur site, en externalisant la base

de données, le serveur, et le broker chez un fournisseur SaaS, les connexions des

agents au serveur sont donc toutes faites par le biais d’internet.

20

3 Les fonctionnalités

Les fonctionnalités que l’on retrouve typiquement sur les différentes solutions

MDM sont la gestion et prise en charge des applications, la gestion d’inventaire, la gestion de la sécurité et la gestion des services de communications.

La plupart des solutions possèdent aussi le contrôle à distance des appareils ainsi que le renforcement du chiffrement des données. Certaines permettent plus de gestion pour les applications avec la possibilité de blacklister des applications, et de bloquer ou interdire l’installation en roaming par rapport à la position géographique.

D’autres solutions apportent aussi la gestion des sauvegardes en permettant de sauvegarder et restaurer des données appartenant à un compte utilisateur en cas de changement d’appareils, ainsi que le blocage et la suppression à distance, un aspect important pour la sécurité des appareils en cas de perte ou de vol de celui-ci. Finalement, on retrouve aussi des fonctionnalités de diagnostic permettant d’obtenir des informations diverses sur l’appareil comme l’état de la batterie, les réseaux auxquels l’appareil s’est connecté, et même le nombre d’heures d’utilisation.

21

4 Principaux vendeurs

Il y a eu beaucoup de changement au niveau des vendeurs de solutions EMM au fur à mesure des années. Au début, les principaux vendeurs spécialisés dans la mobilité d’entreprise étaient AirWatch, Sybase, MobileIron, Zenprise et Fiberlink.

À partir de 2017, tous ces vendeurs sauf MobileIron se sont diversifiés pour offrir d’autres services que les EMM, cela est notamment dû aux rachats1 des autres entreprises EMM par les nouveaux leaders du marché que sont VMware, IBM, BlackBerry, Citrix et Microsoft.

a) Magic Quadrant de Gartner (2018)2

1 AirWatch par VMware en 2014, Fiberlink par IBM en 2013, Good Technology par BlackBerry en 2015, Zenprise par Citrix en 2012. 2 https://en.wikipedia.org/wiki/Magic_Quadrant

22

b) Répartition des parts de marché par l’IDC3 (2016)

3 IDC: International Data Corporation

23

5 Solutions MDM leaders du marché

Sur le tableau, ci-dessous, nous retrouvons 4 solutions propriétaires qui font

parti des solutions les plus utilisées. Nous avons choisi ces solutions en se basant

sur 4 grandes catégories de critères que nous considérons comme décisifs lors de la

sélection d’une solution MDM.

Comme on peut le voir, les solutions Airwatch, MobileIron, XenMobile rentrent

parfaitement dans les critères de sélection, la seule différence entre les 3 se trouve

sur les systèmes supportés par chaque solution, VMware Airwatch étant celle

supportant le plus de systèmes différents. La solution par Blackberry manque de

certaines fonctionnalités dans la gestion d’applications et la gestion de l’appareil,

notamment la restriction des paramétrages de l’appareil ou la restriction des

applications qui peuvent être des fonctionnalités requises.

24

XI - MDM ou MAM ? Que choisir pour sécuriser sa

flotte mobile

La gestion des appareils mobiles (Mobile Device Management) et celle des

applications mobiles (Mobile Applications Management) sont deux des technologies

les plus courantes pour assurer la sécurité des usages du smartphone et de la tablette

en entreprise (Enterprise Mobility Management)

1 MDM

a) Inconvénients

● L’approche "globale" du MDM est qu’elle s’avère souvent pesante à une

époque où les smartphones et tablettes appartiennent aux employés et non à

leur employeur. Les utilisateurs ne comprennent pas forcément pourquoi ils

devraient saisir leur mot de passe professionnel chaque fois qu’ils se servent

de leur téléphone pour jeter un coup d’oeil à leurs courriers électroniques. «

Pourquoi le service informatique voudrait-il supprimer à distance les photos de

mon chien si je perds mon téléphone ? », peuvent s’interroger certains.

● Le MDM effectue des tâches de sécurité assez importantes, mais il peut

s’avérer coûteux et ne protège pas contre les fuites de données de toutes

sortes.

b) Avantages

La gestion des appareils mobiles suit une approche de sécurisation et de

contrôle de tout l'appareil mobile. Le service informatique peut sécuriser l’accès

à l’appareil en créant un code secret et empêcher que les données sensibles

ne tombent dans de mauvaises mains - en effaçant à distance les informations

d’un appareil perdu ou volé. Les autres fonctionnalités de base des outils MDM

incluent également la mise en oeuvre de règles, le suivi du stock d'appareils,

ainsi que la surveillance et le reporting en temps réel

2 MAM

a) Inconvénients

La gestion des applications mobiles ou MAM, permet, elle, de ne gérer et de

ne sécuriser que les applications conçues spécialement par l'entreprise. Dans

25

l’exemple ci-dessus, le service informatique pourrait effacer la messagerie

professionnelle ou en supprimer

b) Avantages

● Certains outils de gestion des appareils mobiles peuvent s’intégrer au MAM

pour déployer et mettre à jour automatiquement les applications mobiles.

● La gestion des applications mobiles ou MAM, permet, elle, de ne gérer et de

ne sécuriser que les applications conçues spécialement par l'entreprise, sans

toucher les données des employées.

● La vie privée des utilisateurs est respectée : les politiques de sécurité ne

s’appliquent qu’aux applications – et données – professionnelles, l’entreprise

n’a pas la main sur l’espace personnel du terminal.

● Les solutions étudiées

Après avoir identifié les besoins de chaque entreprise, nous avons entamé la

recherche des solutions les plus adaptées, nous avons étudié et testé plusieurs

solutions open source et propriétaires, et chaque solution a des avantages et des

inconvénients, que nous allons vous détailler par la suite. Les solutions MDM que

nous avons choisies, répondent à plusieurs paramètres (fonctionnalités, le coût,

..etc.).

Relution Wso2 Flyve Airwatch

26

Sur le tableau, ci-dessous, nous avons le tableau des solutions testés (2

solutions libres et 2 solutions propriétaires) comparés de la même façon que le

tableau des solutions leaders du marché.

Comme on peut le voir sur ce tableau, les deux solutions libres ne remplissent

pas tous les critères, WSO2 à une meilleure gestion des appareils que Flyve et permet

aussi de restreindre les applications utilisables, cependant, il ne permet pas le

déploiement d’application comparé à Flyve et il ne supporte qu'Android et Windows

Phone, ce dernier étant sur très peu d’appareils et très peu utilisé. Il est aussi

intéressant de noter qu’aucune des solutions libres ne supporte la sauvegarde des

appareils.

D’une autre part, parmi les solutions propriétaires nous avons VMware Airwatch

qui remplit tous les critères du tableau et supporte un grand nombre de systèmes

différents. La solution Relution comprend beaucoup de fonctionnalités, mais elle ne

prend pas en charge la sauvegarde des appareils, ne supporte pas du tout la gestion

de fichiers et dans une mesure moins importante ne permet pas le contrôle à distance.

27

● La mise en place des solutions

Nous avons choisi de vous exposer deux

solutions, que nous paraissent les plus

adaptées aux scénario proposés

précédemment, toutes les solutions sont

détaillées sur l’annexe. Dans notre

démarche, nous avons sollicité la plupart

des sociétés propriétaires pour avoir une

version de test, mais malheureusement

seul Airwatch et Cisco nous ont répondu.

La solution de test de Cisco n’est pas

complète, elle ne prend en compte que la

partie réseaux, par contre la version de

test Airwatch est complète, en effet nous

avons eu la possibilité de travailler avec

une machine virtuelle (voir image échangée avec le commercial de Airwatch)

● La solution Airwatch VMware

Airwatch une solution propriétaire complète, d'après nos recherches elle est le

leader de marché des solutions MDM, elle est capable de gérer tous les OS qui

existe, ainsi que tous les terminaux (Android/iPhone, pc portable, tablette.etc). Ci-

dessous une capture des tests effectués sur un iPhone, la première image

représente la politique adoptée par le service informatique, lors de l'installation du

agent MDM , et sur la deuxième image, une simulation de perte de terminale ( la

personne qui trouve l’appareil n’a pas d’autre solution que d’appeler le numéro

déjà prédéfini antérieurement par l’administrateur).

28

Ci-dessous une image qui montre un déploiement des applications sur un pc

portable sur Windows 10, avec une notification envoyée à l’utilisateur pour accepter

l’installation de ces applications.

29

● La solution Flyve MDM La solution Flyve MDM est la solution libre et open source avec un projet étant le plus

actif et fonctionnel que nous avons pu trouver et tester. Cette solution fonctionne sous la forme

d’un plugin GLPI et utilise l’API GLPI pour communiquer les différentes règles à un broker

(mosquitto dans notre cas) qui enverra ces règles aux agents sur les appareils. Flyve dépend

d’un autre plugin GLPI (FusionInventory) qui sert à la gestion d’inventaire des appareils

mobiles.

Infrastructure Générale L’infrastructure de Flyve MDM est composé de :

● une interface utilisateur pour l’administrateur

● un serveur qui fait office de backend

● un serveur M2M4

● un agent installé dans un appareil administré

Dans ce schéma d’infrastructure, le serveur M2M a le rôle de garantir la persistance

de la connexion en servant de passerelle entre le serveur backend et l’agent mobile,

car un appareil mobile ne peut pas garantir une connexion permanente. C’est aussi

le serveur M2M qui permet d’exécuter les requêtes provenant du serveur backend.

4 Machine-to-Machine: Terme qui englobe toutes les technologies permettant l’échange d’informations entre machines connectées en réseau, et ceci sans intervention humaine.

30

Application de stratégies

Sur la capture, ci-dessous, nous pouvons voir des stratégies que l’on a appliqué à un

appareil, elles définissent deux restrictions (désactivation du Bluetooth et désactivation du

Wifi) et le déploiement de l’application Hello World.

Les règles de cette stratégie se

retrouvent sur l’interface de l’agent Flyve

sur l’appareil. Cependant même si les

règles de restrictions sont visibles sur

l’interface et apparaissent comme si elles

étaient appliquées, celles-ci ne marchaient

pas correctement sur tous les appareils.

Les appareils étant de version Android et

de marque différentes, cela peut expliquer

le problème d’application des règles.

31

XII - Charte Informatique

Le but de la charte informatique et d'encadrer l’utilisation des ressources

informatique de l’entreprise, et aussi sensibiliser les employés à la bonne pratique des

outils mise à leurs dispositions. L'intérêt pour les employeurs est de limiter leur

responsabilité, elle est prévue pour compléter la loi, l'employeur a l'obligation de la

diffuser auprès des utilisateurs, avec les acceptations au préalable des instances

représentatives des salariés. L’employeur peut imposer la charte et la déposer au

Greffe du Conseil des Prud’hommes, et l’annexe sur le règlement intérieur de

l’entreprise.

La majorité des sociétés ont une charte informatique (plus de 80% des

entreprises en France), c’est à l’employeur d'élaborer les modalités de la rédaction de

cette charte, ainsi qu'à la mise en place.

Si l’entreprise mis en place une politique de BYOD, elle doit prendre en

considération l’utilisation des appareils mobiles (ordinateurs portables, smartphones,

tablettes, télétravail). Ces nouveaux usages nécessitent une adaptation des règles et

usages traditionnels ci-dessous quelques règles à respecter.

32

● Le rappel des règles de protection des données

● Signaler au service informatique les dysfonctionnements, ou violation des

comptes utilisateurs

● Protéger l’identifiant/mot et le mot de passe

● Ne pas installer, copier, modifier, détruire des logiciels sans autorisation

● Ne pas quitter son poste sans verrouiller la session

● Respecter les procédures rédigées par le service informatique

● Définir les règles d’utilisation en cas de BYOD

● Respecter la vie privée des employés qui utilisent des équipements personnels

● Les responsabilités et sanctions encourues en cas de non respect de la charte

Source : https://infodsi.com/articles/150406/la-mise-en-place-dune-charte-

informatique-est-elle-obligatoire.html

XIII - RGPD et MDM

Depuis quelques années, l'utilisation des terminaux personnels par les salariés

dans le cadre professionnel, est devenue une utilisation courant en dépit des menaces

qu’elle fait peser sur la protection des données, la mise en place du RGPD peut être

l’occasion de revoir les pratiques du Byod.

En effet, c’est plus simple pour l’employé de ramener son portable (ou tablette)

pour installer l’application de l’entreprise, et avoir accès aux données nécessaires

pour un éventuel télétravail ou déplacement, cela pose une réflexion sur la frontière

entre la vie personnelle et professionnelle.

Mais la réglementation de la RGPD étant récente, elle n’est pas encore

appliquée entièrement dans les entreprises. Cependant nous pouvons dire qu’avec le

contenu de la RGPD cela va poser problème au niveau du stockage des informations,

l’utilisation de ces informations.

33

XIV - Organisation du projet

Concernant l'organisation du projet, nous avons décidé de mettre en place

certaines méthodes pour faciliter la gestion du projet.

Tout d’abord chaque semaine nous avons choisi d’attribuer le rôle de coordinateur à une personne d’entre nous, qui veille à ce que le projet se déroule correctement. Puis chaque vendredi nous faisons une répartition des missions à effectuer pour la semaine suivante, et nous faisons aussi un rapport hebdomadaire de toutes les missions effectuées durant la semaine.

Pour ce qui est des outils de gestion du travail nous avons utilisé :

Gantt: pour la gestion du temps de travail. Le diagramme de Gantt est un outil utilisé en ordonnancement et en gestion de projet et permettant de visualiser dans le temps les diverses tâches composant un projet. Source: https://fr.wikipedia.org/wiki/Diagramme_de_Gantt

34

Trello: pour l’organisation du rapport et du diaporama. Trello est un outil de gestion de projet en ligne, il s’inspire de la méthode Kanban de Toyota.

Il se base sur une organisation des projets en planches listant des cartes, chacune

correspondant à des tâches.

Source: https://fr.wikipedia.org/wiki/Trello

Discord: pour la communication et l'échange de document. Discord est basé sur un principe de serveur, que n'importe quel utilisateur peut utiliser, ajuster et rejoindre. Les administrateurs peuvent créer des salons vocaux ou textuels et définir des permissions pour chaque utilisateur sous forme de rôle. Source: https://fr.wikipedia.org/wiki/Discord_(logiciel)

35

Google Drive: pour le stockage des documents et la modification en temps réel. Google Drive est un service de stockage et de partage de fichiers dans le cloud lancé par la société Google. Google Drive, qui regroupe Google Docs, Sheets et Slides, Drawings, est une suite bureautique permettant de modifier des documents, des feuilles de calcul, des présentations, des dessins, des formulaires. Source:https://fr.wikipedia.org/wiki/Google_Drive

XV - Comparaison Puppet/Ansible et MDM

Après quelques recherches et réflexions sur les fonctionnalités d’outils d'orchestration

tels que Puppet et Ansible, nous avons pu nous apercevoir que les solutions MDM et

ces solutions d’orchestration sont assez similaires sur plusieurs points. On pourrait

même dire que les solutions MDM sont un équivalent d’ outils d’orchestration pour

appareils mobiles.

36

XVI - Conclusion

Dans ce projet il nous était donc demandé de mettre en place une ou plusieurs

solutions MDM qui permettait de gérer le BYOD dans les entreprises. Pour cela nous

avons pu étudier plusieurs solutions mdm libre et propriétaire, et nous nous sommes

aperçus en installant et en configurant les différentes solutions que les solutions

propriétaires sont dominantes sur le marché notamment par ses fonctionnalités ainsi

que leurs communautés qui sont encore actives et nombreuses.

Finalement, lorsque l’on regarde dans le monde professionnel, la solution que

l’on recommanderait serait VM Airwatch car elle est complète et prend en charge

beaucoup d’appareils, chose indispensable pour les grandes entreprises comme pour

les PME qui savent qu’elles vont grandir.

Pour réaliser un tel projet, nous avons dû nous organiser en utilisant des outils

que nous avons décrit dans la partie “Organisation du projet”. Nous nous sommes

organisés assez rapidement en utilisant des outils que nous connaissions déjà

auparavant. Grâce à nos professeurs tutorés nous avons pu corriger certains points

qui nous ont permis de toujours avancer dans la bonne direction.

Au final, ce projet nous a permis d’apprendre à travailler à plusieurs sur une

longue période de 2 mois, et sur un sujet important dans les entreprises aujourd’hui.

Nous avons donc pu apprendre beaucoup de choses au sujet des MDM, savoir que

nous pourrons réutiliser lorsque nous intégrerons le monde professionnel.

37

XVII – Bibliographie

Documentation EMM

https://www.lebigdata.fr/emm-definition

https://www.lebigdata.fr/emm-definition/mdm-definition https://fr.wikipedia.org/wiki/Mobile_device_management Documentation BYOD https://www.samsung.com/fr/business/insights/news/gestion-securisation-conteneurisation-les-cles-du-mdm/ https://www.globalsign.fr/fr/blog/risques-politique-byod-pour-la-securite/ https://www.om-conseil.fr/byod-conseils-pour-transformer-ces-nouvelles-pratiques-en-veritable-succes/ https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/sophosBYODrisksrewardswpna.pdf Tableau comparatif de solution https://socialcompare.com/fr/comparison/mdm-1z3zkr6l Documentation AirWatch

https://docs.vmware.com/fr/VMware-AirWatch/9.2/Windows%20Desktop%20Platform%20Guide%20v9_2.pdf Guide installation relution https://repo.relution.io/package/latest/installguide.html Guide installation wso2 https://docs.wso2.com/display/IOTS330/ Installation Flyve https://flyvemdm-doc.readthedocs.io/en/latest/installation/ Charte informatique https://www.murielle-cahen.com/publications/smartphones.asp https://www.programmez.com/avis-experts/mobile-device-management-mdm-un-monde-en-pleine-mutation-1303

XVIII – Annexes

38

Documentation Flyve MDM

39

Pré-requis Logiciels

Les logiciels requis pour installer et faire fonctionner la solution:

● apache2

● MariaDB/MySQL

● PHP

● composer

Extensions PHP

Les extensions PHP requises pour faire fonctionner l’interface web GLPI et le plugin

Flyve MDM:

● curl

● fileinfo

● gd

● json

● mbstring

● mysqli

● session

● zlib

● simplexml

● xml

● cli

● domxml

● imap

● ldap

● openssl

● xmlrpc

● apcu

● cas

● zip

40

Installation GLPI

Pour utiliser le plugin Flyve MDM, il faut créer une instance GLPI5:

● Téléchargement de GLPI sur le dépôt github: https://github.com/glpi-

project/glpi/releases

● Prendre la version 9.3.2

● Extraire l’archive tar dans le répertoire /var/www/html/glpi

● Création d’une base de données mariadb/mysql avec un utilisateur glpi:

CREATE DATABASE glpi;

CREATE USER glpi@localhost IDENTIFIED BY ‘1234’; GRANT ALL PRIVILEGES ON glpi.* TO glpi@localhost; FLUSH PRIVILEGES;

● Configuration Apache à mettre dans le fichier de configuration Apache:

DocumentRoot /var/www/html/glpi <Directory /var/www/html/glpi> AllowOverride All </Directory>

● Configuration php.ini:

memory_limit = 64M ; // max memory limit file_uploads = on ; max_execution_time = 600 ; // not mandatory but adviced register_globals = off ; // not mandatory but adviced magic_quotes_sybase = off ; session.auto_start = off ; session.use_trans_sid = 0 ; // not mandatory but adviced

● Rechargement de la configuration Apache: apachectl graceful

● Modification du propriétaire du répertoire glpi en www-data:

sudo chown www-data:www-data /var/www/html/glpi -R

● Installation via l’url http://ip-serveur

Rappel : Une fois l’installation de GLPI terminée, un compte est créé avec comme

login et mot de passe glpi / glpi

5 Gestionnaire Libre de Parc Informatique: logiciel libre de gestion des services informatiques (ITSM) et de gestion des services d'assistance (issue tracking system et ServiceDesk).

41

FusionInventory pour GLPI

● Téléchargement d’une version de FusionInventory compatible avec la version

de GLPI depuis le dépôt github:

https://github.com/fusioninventory/fusioninventory-for-glpi/releases

● Extraire l’archive tar dans le répertoire /var/www/html/glpi/plugins

FlyveMDM pour GLPI

● Téléchargement d’une version de FlyveMDM à partir du dépôt github:

https://github.com/flyve-mdm/glpi-plugin/releases

● Extraire l’archive tar dans le répertoire /var/www/html/glpi/plugins

● Exécuter la commande composer install --no-dev dans le répertoire flyvemdm

● Activer les deux plugins à partir de l’interface web de GLPI

Suivre les instructions de l’assistant d’installation de FlyveMDM en adaptant:

Suivi de l’assistant d’installation :

Lors de l’installation et de la configuration du broker Mosquitto :

42

● dans le fichier /etc/mosquitto/conf.d/flyvemdm.conf : on modifie la ligne

auth_opt_host backend-server-ip-or-fqdn en auth_opt_host l’adresse du

serveur backend

● Puis on modifie auth_opt_user database-user en auth_opt_user mosquitto

● Puis on modifie auth_opt_pass StrongPassword en auth_opt_pass 1234

Il est possible d’utiliser FCM6 mais cette fonctionnalité est expérimentale et ne

fonctionne qu’avec les appareils avec Android 8+.

La configuration TLS n’est pas nécessaire au fonctionnement de Flyve MDM, mais

est recommandée pour établir des connexions sécurisées.

Port Forwarding

Pour un accès des agents via Internet, il faudra configurer le forwarding des ports

suivants dans le pare-feu/routeur :

● Ports du broker mosquitto (1883 port standard et 8883 pour la connexion

sécurisé par TLS)

● Port apache pour l’accès à distance à l’interface glpi (80 / 443)

Docker

Alternativement, il est possible de faire une installation avec Docker en suivant la

procédure indiquer sur : http://flyve.org/docker-environment/howtos/installation

6 Firebase Cloud Messaging: solution cloud de Google pour l’envoi de messages et de notifications pour Android, iOS et les applications web.

43

Documentation Relution

44

Installation avec Docker

Installer docker et docker-compose

Pour docker :

https://docs.docker.com/install/linux/docker-ce/debian/

Pour docker-compose :

https://docs.docker.com/compose/install/

Démarrer docker :

sudo systemctl start docker

Et faire en sort qu’il s'exécute à chaque démarrage du pc :

sudo systemctl enable docker

Créer un répertoire ssl dans votre home puis créer la clé privée

mkdir ssl

cd ssl

openssl genrsa -out $relution.org.key 2048

openssl req -new -key $relution.org.key -out $relution.org.csr

openssl x509 -req -days 365 -in $relution.org.csr -signkey $relution.org.key -out

$relution.org.crt

Configurer les container :

mkdir -p /opt/relution

Télécharger et éditer le fichier de configuration :

wget https://raw.githubusercontent.com/relution-io/relution-

setup/master/docker/Linux/opt/relution/docker-compose.yml \ --directory-

prefix=/opt/relution

Pour éditer le fichier :

vim /opt/relution/docker-compose.yml

45

Modifier comme ci-dessous :

46

Configuration de Nginx

Se rendre dans le répertoire /opt/relution

cd /opt/relution

Télécharger le fichier de configuration

wget https://raw.githubusercontent.com/relution-io/relution-

setup/master/docker/Linux/opt/relution/relution-nginx.conf

Modification des Hostnames dans le fichier relution-nginx.conf

Démarrer Relution

cd /opt/relution/

docker-compose up -d

47

Documentation WSO2

48

1. Installation du paquet

On travail avec la version wso2iot-3.3.0 qu’on a testé et qui fonctionne correctement

a. récupération de l'exécutable

- Sur le site https://wso2.com/iot/install

- Sur le site https://wso2.com/iot/install/download/?type=downloader

- On peut récupérer l'exécutable directement sur git

wget https://github.com/wso2/product-iots/releases

b. on crée un répertoir wso2

mkdir wso2 cd wso2/ et puis

wget https://github.com/wso2/product-iots/releases/download/v3.3.0/wso2iot-

3.3.0.zip

unzip wso2iot-3.3.0.zip

cd wso2iot-3.3.0/ on se retrouve avec plusieurs fichiers

/wso2iot-3.3.0$ ls

bin extensions patches resources velocity.log

conf lib README.txt samples wso2

dbscripts LICENSE.txt release-notes.html scripts wso2carbon.pid

dropins modules repository servicepacks

il faut modifier l’adresse ip sur plusieurs fichiers, pour cela on exécute le script change-

ip.sh dans le répertoire scripts/ ls

change-ip.sh change-superadmin-credentials.sh

on lance le script et répondre aux questions posées au même temps pour générer un

certificat auto signé

./change-ip.sh

49

----------------------------------------

WSO2 IoT Server IP configuration tool

----------------------------------------

>>> Step 1: Change current IP address of the IoT server

Please enter the IoT Core IP that you need to replace (if you are trying out IoT server

for the first time this will be localhost)

localhost

Please enter your current IP

ip local ou ip public ou URL

-----------------------------------------------

Generating SSL certificates for the IoT Server

-----------------------------------------------

mkdir: impossible de créer le répertoire « tmp »: Le fichier existe

=======Enter Values for IoT Core SSL Certificate=======

Please provide Country. Press Enter to skip.

fr

Please provide State. Press Enter to skip.

fr

Please provide Location. Press Enter to skip.

Nancy

Please provide Organization. Press Enter to skip.

wso2

Please provide Organizational Unit. Press Enter to skip.

IoT

Please provide Email Address. Press Enter to skip.

debian@debian.com

Please provide Common Name

adresse ip

Generating SSL Certificate for IoT Core

Generating RSA private key, 4096 bit long modulus

...............................................................................++++

..........................................................................................................................++++

Printing certificate

-----------------------

Configuration Completed!!!

50

Installer java

sudo apt install default-jdk

Avant de lancer le script il est nécessaire d’installer java et de modifier le chemin de

la variable d'environnement JAVA_HOME

Saisir la commande ci-dessous.

export JAVA_HOME="/usr/lib/jvm/java-1.8.0-openjdk-amd64"

Il nous reste à lancer trois script qui se situe dans le répertoire bin

/script $:~ cd bin

/bin $: ls

iot-server.sh broker.sh et analytics.sh

Pour tester si tout fonctionne correctement

Openjdk version "1.8.0_181"

OpenJDK Runtime Environment (build 1.8.0_181-8u181-b13-2~deb9u1-b13)

OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)

on commence par le script broker.sh

./broken.sh

Ala fin de script on obtient ce message

[2019-02-05 10:24:50,465] [IoT-Broker] INFO

{org.wso2.carbon.ui.internal.CarbonUIServiceComponent} - Mgt Console URL :

https://172.40.0.1:9446/carbon/

Puis on lance iot-server.sh

./iot-server.sh

[2019-02-05 10:27:04,132] [IoT-Core] INFO -

{org.wso2.carbon.ui.internal.CarbonUIServiceComponent} IoT Server Default Context

: https://172.40.0.1:9443/devicemg

[2019-02-05 10:27:44,437] [IoT-Core] INFO -

{org.wso2.carbon.mediation.dependency.mgt.DependencyTracker} API : admin--

android_sense was added to the Synapse configuration successfully

et finalement on lance le derniers script

./analytics.sh

[2019-02-05 10:31:35,841] [IoT-Analytics] INFO

{org.wso2.carbon.analytics.eventsink.AnalyticsEventStoreDeployer} - Deployed

successfully analytics event store: iot_per_device_stream_geo_AlertNotifications.xml

51

Tous les scripts ont bien été lancé avec succès, il reste plus qu'à ce connecter a

l’interface web sur le port 9443

https://adresseip/url:9443/devicemgt/

après l’acceptation du certificats ssl generer par la page web , on peut se connecter

avec le code admin admin

maintenant on as la possibilité de surfer sur l’application