Du jour au lendemain, le travail à distance est devenu un format populaire et nécessaire. Tout cela à cause du COVID-19. De nouvelles mesures pour prévenir l’infection apparaissent chaque jour. Les températures sont mesurées dans les bureaux et certaines entreprises, y compris les plus grandes, transfèrent leurs travailleurs vers le travail à distance pour réduire les pertes dues aux temps d'arrêt et aux arrêts de maladie. Et en ce sens, le secteur informatique, avec son expérience du travail avec des équipes distribuées, est gagnant.
À l'Institut de recherche scientifique SOKB, nous organisons depuis plusieurs années l'accès à distance aux données d'entreprise à partir d'appareils mobiles et nous savons que le travail à distance n'est pas une tâche facile. Nous vous expliquerons ci-dessous comment nos solutions vous aident à gérer en toute sécurité les appareils mobiles de vos employés et pourquoi cela est important pour le travail à distance.
De quoi a besoin un employé pour travailler à distance ?
Un ensemble typique de services auxquels vous devez fournir un accès à distance pour un travail à part entière sont les services de communication (e-mail, messagerie instantanée), les ressources Web (divers portails, par exemple un centre de services ou un système de gestion de projet) et les fichiers. (systèmes de gestion électronique de documents, contrôle de versions, etc.).
Nous ne pouvons pas nous attendre à ce que les menaces à la sécurité attendent que nous ayons fini de lutter contre le coronavirus. Lorsque l’on travaille à distance, certaines règles de sécurité doivent être respectées même en période de pandémie.
Les informations professionnelles importantes ne peuvent pas simplement être envoyées vers la messagerie personnelle d’un employé afin qu’il puisse les lire et les traiter facilement sur son smartphone personnel. Un smartphone peut être perdu, des applications qui volent des informations peuvent y être installées et, à la fin, des enfants assis à la maison peuvent y jouer à cause du même virus. Ainsi, plus les données avec lesquelles un employé travaille sont importantes, mieux elles doivent être protégées. Et la protection des appareils mobiles ne devrait pas être pire que celle des appareils fixes.
Pourquoi antivirus et VPN ne suffisent-ils pas ?
Pour les postes de travail fixes et les ordinateurs portables exécutant le système d'exploitation Windows, l'installation d'un antivirus est une mesure justifiée et nécessaire. Mais pour les appareils mobiles, pas toujours.
L'architecture des appareils Apple empêche la communication entre les applications. Cela limite la portée possible des conséquences d'un logiciel infecté : si une vulnérabilité d'un client de messagerie est exploitée, les actions ne peuvent pas aller au-delà de ce client de messagerie. Dans le même temps, cette politique réduit l’efficacité des antivirus. Il ne sera plus possible de vérifier automatiquement un fichier reçu par mail.
Sur la plateforme Android, les virus et les antivirus ont plus de perspectives. Mais la question de l’opportunité se pose toujours. Pour installer des logiciels malveillants depuis l’App Store, vous devrez accorder manuellement de nombreuses autorisations. Les attaquants obtiennent les droits d'accès uniquement auprès des utilisateurs qui autorisent tout les applications. En pratique, il suffit d'interdire aux utilisateurs d'installer des applications provenant de sources inconnues pour que les « pilules » pour les applications payantes installées gratuitement ne « traitent » pas les secrets d'entreprise de la confidentialité. Mais cette mesure va au-delà des fonctions d’antivirus et de VPN.
De plus, VPN et antivirus ne pourront pas contrôler le comportement de l’utilisateur. La logique veut qu'au moins un mot de passe soit défini sur la machine utilisateur (comme protection contre la perte). Mais la présence d’un mot de passe et sa fiabilité dépendent uniquement de la conscience de l’utilisateur, sur laquelle l’entreprise ne peut en aucun cas influencer.
Bien sûr, il existe des méthodes administratives. Par exemple, des documents internes selon lesquels les employés seront personnellement responsables de l'absence de mots de passe sur les appareils, de l'installation d'applications provenant de sources non fiables, etc. Vous pouvez même obliger tous les employés à signer une description de poste modifiée contenant ces points avant d'aller travailler à distance. . Mais avouons-le : l'entreprise ne pourra pas vérifier comment cette instruction est mise en œuvre dans la pratique. Elle s'occupera de restructurer d'urgence les principaux processus, tandis que les employés, malgré les politiques mises en œuvre, copieront les documents confidentiels sur leur Google Drive personnel et y ouvriront l'accès via un lien, car il est plus pratique de travailler ensemble sur le document.
Le télétravail soudain au bureau est donc un test pour la stabilité de l’entreprise.
Gestion de la mobilité d'entreprise
Du point de vue de la sécurité des informations, les appareils mobiles constituent une menace et une faille potentielle dans le système de sécurité. Les solutions de classe EMM (Enterprise Mobility Management) sont conçues pour combler cette lacune.
La gestion de la mobilité d'entreprise (EMM) comprend des fonctions de gestion des appareils (MDM, gestion des appareils mobiles), de leurs applications (MAM, gestion des applications mobiles) et de leur contenu (MCM, gestion de contenu mobile).
Le MDM est un « bâton » nécessaire. Grâce aux fonctions MDM, l'administrateur peut réinitialiser ou bloquer l'appareil en cas de perte, configurer des politiques de sécurité : présence et complexité d'un mot de passe, interdiction des fonctions de débogage, installation d'applications depuis apk, etc. Ces fonctionnalités de base sont prises en charge sur les appareils mobiles de tous. fabricants et plateformes. Des paramètres plus subtils, interdisant par exemple l'installation de récupérations personnalisées, ne sont disponibles que sur les appareils de certains fabricants.
MAM et MCM sont la « carotte » sous forme d’applications et de services auxquels ils donnent accès. Avec une sécurité MDM suffisante en place, vous pouvez fournir un accès à distance sécurisé aux ressources de l'entreprise à l'aide d'applications installées sur les appareils mobiles.
À première vue, il semble que la gestion des applications soit une tâche purement informatique qui se résume à des opérations de base telles que « installer une application, configurer une application, mettre à jour une application vers une nouvelle version ou la restaurer vers une version précédente ». En fait, il y a aussi de la sécurité ici. Il est nécessaire non seulement d'installer et de configurer les applications nécessaires au fonctionnement sur les appareils, mais également de protéger les données de l'entreprise contre le téléchargement sur une Dropbox ou Yandex.Disk personnelle.
Pour séparer l'entreprise et le personnel, les systèmes EMM modernes proposent de créer un conteneur sur l'appareil pour les applications d'entreprise et leurs données. L'utilisateur ne peut pas supprimer sans autorisation les données du conteneur, le service de sécurité n'a donc pas besoin d'interdire l'utilisation « personnelle » de l'appareil mobile. Au contraire, cela profite aux entreprises. Plus l’utilisateur comprendra son appareil, plus il utilisera efficacement les outils de travail.
Revenons aux tâches informatiques. Il existe deux tâches qui ne peuvent pas être résolues sans EMM : restaurer une version d'une application et la configurer à distance. Une restauration est nécessaire lorsque la nouvelle version de l'application ne convient pas aux utilisateurs - elle contient de graves erreurs ou est tout simplement peu pratique. Dans le cas des applications sur Google Play et l'App Store, la restauration n'est pas possible - seule la dernière version de l'application est toujours disponible dans la boutique. Avec un développement interne actif, des versions peuvent être publiées presque tous les jours, et toutes ne s'avèrent pas stables.
La configuration d'applications à distance peut être implémentée sans EMM. Par exemple, créez différentes versions de l'application pour différentes adresses de serveur ou enregistrez un fichier avec les paramètres dans la mémoire publique du téléphone afin de le modifier manuellement ultérieurement. Tout cela se produit, mais on peut difficilement parler de bonne pratique. À leur tour, Apple et Google proposent des approches standardisées pour résoudre ce problème. Le développeur n'a besoin d'intégrer le mécanisme requis qu'une seule fois et l'application pourra configurer n'importe quel EMM.
On a acheté un zoo!
Tous les cas d’utilisation des appareils mobiles ne sont pas égaux. Différentes catégories d'utilisateurs ont des tâches différentes et doivent être résolues à leur manière. Le développeur et le financier ont besoin d'ensembles d'applications spécifiques et peut-être d'ensembles de politiques de sécurité en raison de la sensibilité différente des données avec lesquelles ils travaillent.
Il n'est pas toujours possible de limiter le nombre de modèles et de fabricants d'appareils mobiles. D'une part, il s'avère moins coûteux d'élaborer une norme d'entreprise pour les appareils mobiles que de comprendre les différences entre Android de différents fabricants et les fonctionnalités d'affichage de l'interface utilisateur mobile sur des écrans de différentes diagonales. D’un autre côté, l’achat d’appareils professionnels pendant la pandémie devient plus difficile et les entreprises doivent autoriser l’utilisation d’appareils personnels. La situation en Russie est encore aggravée par la présence de plateformes mobiles nationales qui ne sont pas prises en charge par les solutions EMM occidentales.
Tout cela conduit souvent au fait qu'au lieu d'une solution centralisée de gestion de la mobilité d'entreprise, on exploite un zoo hétéroclite de systèmes EMM, MDM et MAM, chacun étant entretenu par son propre personnel selon des règles uniques.
Quelles sont les particularités de la Russie ?
En Russie, comme dans tout autre pays, il existe une législation nationale sur la protection des informations, qui ne change pas en fonction de la situation épidémiologique. Ainsi, les systèmes d'information gouvernementaux (SIG) doivent utiliser des mesures de sécurité certifiées selon les exigences de sécurité. Pour répondre à cette exigence, les appareils accédant aux données SIG doivent être gérés à l'aide de solutions EMM certifiées, qui incluent notre produit SafePhone.
Long et peu clair ? Pas vraiment
Les outils d'entreprise comme EMM sont souvent associés à une mise en œuvre lente et à de longs délais de pré-production. Maintenant, nous n'avons tout simplement pas le temps pour cela - les restrictions dues au virus sont introduites rapidement, nous n'avons donc pas le temps de nous adapter au travail à distance.
D'après notre expérience, et nous avons mis en œuvre de nombreux projets pour implémenter SafePhone dans des entreprises de différentes tailles, même avec un déploiement local, la solution peut être lancée en une semaine (sans compter le temps de conclusion et de signature des contrats). Les employés ordinaires pourront utiliser le système dans un délai d'un à deux jours après sa mise en œuvre. Oui, pour une configuration flexible du produit, il est nécessaire de former les administrateurs, mais la formation peut être réalisée parallèlement au démarrage du système.
Afin de ne pas perdre de temps sur l’installation dans l’infrastructure du client, nous proposons à nos clients un service cloud SaaS pour la gestion à distance des appareils mobiles via SafePhone. De plus, nous fournissons ce service à partir de notre propre centre de données, certifié pour répondre aux exigences maximales en matière de SIG et de systèmes d'information sur les données personnelles.
En guise de contribution à la lutte contre le coronavirus, l'Institut de recherche SOKB connecte gratuitement les petites et moyennes entreprises au serveur pour assurer la sécurité des opérations des employés travaillant à distance.
Source: habr.com