Les Instants Infeeny: Gérez & sécurisez vos postes de travail grâce à la solution EMS (Microsoft Enterprise Mobility + Security)

Echange Infeeny autour de la solution EMS (Enterprise Mobility + Security) de Microsoft et comment sécuriser, gérer les différents devices de votre entreprise en situation de mobilité et ainsi répondre aux nouveaux usages qu’ils impliquent.

Transcription de l’interview vidéo
Les Instants Infeeny : Gérer et sécurisez vos postes de travail grâce à la solution EMS (Microsoft Enterprise Mobility + Security)

Hubert de Charnacé, Président Infeeny & Hervé Thibault, Microsoft Regional Director & Consultant Expert Infeeny

Hubert : Bonjour Hervé

Hervé : Bonjour Hubert

Hubert : On est là pour parler de la sécurité, d’une façon globale, des devices dans l’entreprise. Donc chez Microsoft il y a un produit qui s’appelle EMS qui ne gère pas que la sécurité. Est-ce que tu pourrais déjà m’expliquer un peu les rôles importants, principaux d’EMS ?

Hervé : Donc EMS, juste pour rappel, donc c’est Enterprise Mobility + Sécurity.

Hubert : D’accord

Hervé : Donc au temps depuis des années on a des solutions pour sécuriser et gérer les postes de travail en entreprise, donc c’est Active Directory, c’est System Center Configuration Manager par exemple. On n’a pas forcément de solution… On n’avait pas jusque-là de solution équivalente pour des devices différents, type des smartphones, des tablettes ou des postes de travail traditionnels en situation de mobilité. Et justement la solution apportée par EMS ça va être de répondre à ces sujets de mobilité et de sécurité pour ces nouveaux types de devices ou ces nouveaux usages de devices plus courants.

Hubert : D’accord. Donc les référencer ? Gérer les applications qu’ils pourraient utiliser ? Gérer leurs droits d’accès ? En fait c’est un peu globalement tous ces domaines…

Hervé : Effectivement on va …

Hubert : … il n’y a pas que la sécurité en fait ? Il y a d’autres …

Hervé : …on va retrouver plusieurs axes. En fait, sous le terme assez générique de sécurité on va déjà sécuriser les accès au niveau de la gestion de l’identité parce qu’elle va être gérée d’une autre manière. C’était Active Directory dans le réseau d’entreprise, là on va avoir une autre solution et il faut être sûre que c’est la bonne personne qui va accéder au système d’information. On va avoir la sécurité du device lui-même parce que, pareil, côté Active Directory on a ces fameuses stratégies, des GPO, qui permettent de garantir que le device il est conforme à certaines stratégies établies par l’entreprise. Et puis après on a aussi la sécurité des informations.

Hubert : D’accord. Donc ce n’est pas tellement… ce n’est pas totalement orienté référentiel, c’est plutôt orienté sécurité et donc donner accès à tous les devices qui peuvent exister dans la vie de tous les jours. Leur donner accès au système d’information de l’entreprise en toute sécurité en fait ? Pour le système d’information.

Hervé : L’idée c’est de permettre d’assurer la continuité en toute sécurité de l’accès aux applications, aux données de l’entreprise, aux contacts, enfin… à son travail habituel en situation de mobilité.

Hubert : D’accord. Donc il y a première partie, dans la sécurité, c’est la gestion des identités ?

Hervé : Alors dans EMS effectivement on va trouver un certain nombre de produits. C’est une sorte de suite qui va regrouper un certain nombre de solutions et le premier produit que l’on va trouver pour gérer les identités, dans un environnement classique c’est Active Directory, dans EMS ça va être Azure Active Directory qui est en quelque sorte l’annuaire d’Office 365, la façon de gérer des identités en mode cloud. On va trouver la même chose, je peux créer des comptes, des groupes et définir un certain nombre de… comment… d’accès ou de restrictions d’accès basés sur cette identité.

Hubert : D’accord parce qu’effectivement EMS c’est du cloud, c’est dans Azure donc c’est une version plus ouverte. Tu me parlais aussi donc de la gestion des devices en eux-mêmes ?

Hervé : Donc la gestion des devices ben elle va être couverte par un produit qui s’appelle Microsoft Intune qu’on voit en fait comme un outil de MDM. Donc MDM, Mobile Device Management. Ce type d’outil permet d’adresser un certain nombre de besoins effectivement, de s’assurer de la conformité des devices. Donc de dire si un device il rentre dans mon réseau d’entreprise ou il accède à mon système d’information ben il doit satisfaire un certain nombre de critère que j’ai établi. Typiquement si on parle d’iOS ou d’Android, mon device n’est pas jailbreaker ou rooté.

Hubert : D’accord.

Hervé : Voilà par exemple. C’est un premier niveau de sécurité. Et puis au-delà de ça on va pouvoir aussi configurer le device. Donc configurer la messagerie, configurer interdire ou autoriser l’accès au store public, configurer la messagerie, des certificats, et cetera, et cetera. Et aussi distribuer des applications. Gérer le store. Il y a un store d’entreprise dans toutes les solutions de MDM donc forcément Intune il va avoir un store d’entreprise sur lequel je vais pouvoir choisir effectivement de mettre à disposition des utilisateurs un certain nombre soit d’applications publiques, soit d’applications qui ont été développées. Bon le plus souvent l’application que l’on va retrouver dans le store d’entreprise aussi c’est Office 365.

Hubert : Office 365 plus des applications métiers liées à l’entreprise en elle-même, à son cœur d’activité ?

Hervé : Tout à fait

Hubert : D’accord. Donc l’ensemble… on connait l’ensemble des terminaux qui ont accès au système d’information, on gère les droits donc on les référence en fait, on gère leurs accès et on peut aller jusqu’à des règles de sécurité assez fines plus le fait de déployer des applications, de permettre à l’utilisateur d’installer des applications. Quand on parle de store dans cette logique c’est : les applications sont à la disposition de l’utilisateur et c’est l’utilisateur qui décide de les installer.

Hervé : On est vraiment dans une approche…

Hubert : Store !

Hervé : …user centric et self-service. Tout à fait.

Hubert : Tu me disais que dans ce contexte d’usage il y a la notion d’accès conditionnel. C’est-à-dire que le même device, le même outil n’aura pas les mêmes règles en fonction de l’endroit dans lequel il est utilisé… quoi… cette notion de mobilité est-ce qu’on l’utilise sur un Wi-Fi public, dans un contexte plus sécurisé d’une entreprise ?

Hervé : Là c’est, effectivement, c’est un scénario intéressant qui peut être couvert par ce type de solution. Autant quand je suis dans le réseau d’entreprise on maitrise bien… voilà… l’environnement dans lequel je vais être. Quand on va être sur différents types de devices ou des… même un device Windows assez classiques qui va se connecter de différents endroits et bien on va pouvoir, au travers de cet accès conditionnel, gérer des connexions différentes… Je me connecte à partir d’un réseau qui est connu, que j’ai identifié, ça peut être le Wi-Fi de l’utilisateur et cetera, le simple fait de rentrer mon compte et mon mot de passe Office 365 va suffire. Je vais me connecter par contre à partir d’un Wi-Fi qui est d’un réseau public parce que je… en attendant un rendez-vous je suis allé dans le café d’à côté, y’avait un Wi-Fi et cetera, mon forfait 4G était un peu short… et bien le fait de passer par un réseau public on va me demander une double authentification. Par exemple via un sms, via une application user authenticator ou autre.

Hubert : D’accord. Donc ça effectivement c’est très intéressant…

Hervé : …ou…

Hubert : Différents usages, différents niveaux de sécurité…

Hervé : … par exemple également si je suis quelqu’un qui est un utilisateur standard on ne va pas effectivement lui demander plus d’options de connexion que ça. Quelqu’un qui est administrateur de l’entreprise, systématiquement, voilà, il aura une double authentification pour accéder à un certain nombre de services importants. Je ne sais pas, l’administrateur Office 365 par exemple.

Hubert : D’accord. Donc on a parlé d’identité, du device. Il y a aussi la sécurisation de la donnée ? Au sens général qui…

Hervé : Alors ça c’est le troisième point effectivement. C’est de dire bon ben mon device une fois que je me suis authentifié dessus donc on a bien validé l’identité, que via donc Microsoft Intune on a validé que le device était conforme, il était pas jailbreaké, rooté, il correspondait bien à mes stratégies d’entreprise, une fois que les applications ont été déployées justement par Microsoft Intune, la dernière étape c’est de dire je ne veux pas que, l’exemple le plus typique hein ça va être des données de messagerie par exemple, un mail, puisse être accédé à partir de n’importe quelle application. Donc effectivement on va dire seule l’application Outlook déployée avec les stratégies d’entreprise, donc Outlook mobile, est susceptible d’ouvrir le mail. L’application messagerie fournit en standard avec mon smartphone elle ne va pas marcher et quand je veux envoyer un mail, par des règles automatiques ou pas, ça dépend du niveau d’abonnement que l’on va avoir dans EMS, mais par certaines règles dites de confidentialité je vais pouvoir empêcher en tant qu’expéditeur par exemple que l’e-mail soit transféré, qu’il soit imprimé ou que l’image soit visualisée en dehors d’un visualisateur spécial qui est contrôlé aussi par la solution de MDM.

Hubert : D’accord. Est-ce que ça s’applique aussi à des contextes de vol ? On a toujours peur de perdre… qu’on nous vole les données. Presque plus peur de perdre les données qui sont sur un smartphone que le smartphone en lui-même. Qu’est-ce que… ?

Hervé : Alors une des premières choses qu’on fait effectivement quand on met en place ce type de solution c’est déjà d’exiger le chiffrement du device.

Hubert : D’accord.

Hervé : Comme ça le fait de ne pas pouvoir s’authentifier sur le device ne permet pas d’accéder à l’information. Et puis ensuite effectivement Microsoft Intune dans EMS va permettre si le device est volé, comme tu dis plus pour de la donnée que pour la valeur du device lui-même, ben on va pouvoir réinitialiser ce device à distance et être sûre que de toute façon la donnée elle est, non seulement elle est chiffrée mais elle n’est plus présente sur le device donc ça ne présente pas de risque.

Hubert : Pas de risque. D’accord. Donc il y a vraiment une logique sécurisation de la donnée qui va…

Hervé : Tout à fait. De bout en bout. Identité, device, donnée.

Hubert : D’accord. Bon ça été très à la mode à un moment donné, maintenant c’est notre réalité. Le Bring Your Own Device existe dans l’entreprise. On arrive avec le téléphone qu’on avait et on ne récupère pas nécessairement un téléphone fourni par l’entreprise. On n’a pas envie d’en avoir deux. Est-ce qu’il y a des stratégies particulières pour le Bring Your Own Device ?

Hervé : Alors effectivement il est inenvisageable socialement de dire… on apporte… enfin… imaginons j’apporte mon PC personnel dans l’entreprise, on me dit ben attend on va te le mettre dans Active Directory et cetera, on va t’appliquer les règles d’entreprise… ça, ça ne peut pas exister. Le gros avantage effectivement avec une solution comme EMS c’est qu’on va pouvoir dire à l’utilisateur tu vas amener ton téléphone, ça reste ton téléphone, il y a une partie de ton environnement qui restera privé, ça sera ton environnement à toi, par contre on va t’apporter effectivement cet environnement sécurisé avec le portail libre-service, un certain nombre d’applications on pourra sécuriser les données de ces applications au travers d’Azure Information Protection, c’est la solution qui sécurise les données, et puis si jamais pour une raison X ou Y tu quittes la société ou je ne sais quelle raison on arrivera à effacer cet environnement de travail sans pour autant toucher à ton environnement personnel.

Hubert : D’accord. Donc ça c’est effectivement à mon avis extrêmement intéressant. Il y a vraiment une idée de dire on se concentre sur l’usage, les gens doivent pouvoir accéder aux informations de l’entreprise, passent sur le device, on est capable de faire se connecter avec un bon niveau de sécurité tout type de device. C’est vraiment ça la logique. Logique usage plutôt que device ?

Hervé : C’est exactement ce que tu dis. Le… comment… l’usage professionnel du device il sera, les applications, donc au travers des applications, sera verrouillé. On valide également quand même un certain nombre de règles de sécurité, les fameuses stratégies de conformité dont je parlais tout à l’heure. Typiquement la première règle, surtout sur un Bring Your Own Device, qu’on va regarder c’est que le device ne soit pas jailbreaké ou rooté parce que forcément si l’utilisateur de lui-même il jailbreake ou roote son device ben on casse tout le modèle de sécurité du smartphone et après n’importe qui peut accéder… enfin n’importe quelle application mal intentionnée peut accéder au contact ce qu’on interdit, voilà, par les stratégie Intune.

Hubert : Donc là on a beaucoup parlé des terminaux portables même d’iPhone, Android mais il y a aussi le poste de travail. La gestion du poste de travail.

Hervé : C’est vrai que… voilà… la solution de… les solutions de gestion de flottes mobiles et de MDM sont un peu apparues avec la notion de smartphone mais effectivement, Windows 10, il faut également le voir comme un environnement de travail mobile. Donc un poste Windows 10 il peut être intégré dans un domaine Azure Active Directory et être complètement effectivement gérer en mode full cloud comme le serait un smartphone. Et auquel cas le… c’est une solution comme EMS donc Intune qui viendra gérer ses stratégies de configuration pour effectivement chiffrer le device, pour gérer les mises à jour de sécurité, alors les mises à jour de sécurité mensuelles qu’on a, les évolutions de version de Windows 10. Tout ça effectivement va être géré par l’administrateur en mode cloud.

Hubert : Tout est vu comme un ensemble. On peut faire évoluer Windows 10, un poste de travail classique, et lui appliquer des stratégies différentes en fonction de cas d’usage. Ce que tu disais tout à l’heure. C’est-à-dire qu’un terminal de l’entreprise, un PC de l’entreprise portable qui est utilisé dans un contexte externe ou sur un Wi-Fi public peut avoir la double authentification comme un autre terminal ?

Hervé : C’est ça. On peut continuer à gérer le device et la sécurité du device complètement même sans aucune infrastructure chez soi. C’est le cas notamment de chez certaine… on a certains clients qui sont effectivement des start-up qui n’ont aucune infrastructure de type Active Directory ou chez eux. La solution EMS permet de garantir effectivement le niveau de sécurité minimum pour cet ensemble de device.

Hubert : Très bien. Eh bien écoute merci beaucoup Hervé.

Hervé : C’est moi.